А подписи на ключах будут приравниваться к добавлению в друзья? :)

В чем подвох? И сайт в tor и pgp-шифрование, а регистрация без телефона возможна? Где-то засада должна быть.

Шифруются только почтовые уведомления. Насчет внутренней переписки там ни слова, не надейтесь.

Где-то засада должна быть.

Facebook считает, что иметь часть информации о "нелояльной" аудитории лучше, чем не иметь ничего. Первая волна pgp-ключей будет указывать на самую заинтересованую аудиторию, на тех людей, которые уже знают и пользуются шифрованием. В любом случае, это пару лишних бит информации о пользователе.

Подтверждение владением приватной частью ключа спрашивают? Можно чужой ключ указать?


Ага.


Не слышал, чтоб её отменяли. Как несколько лет назад ввели, так и всё.


Шифрование внутренней переписки центральным сервером, через который всё равно проходит весь plain text? Есть ли в этом смысл? Такое если и делать, то на JS и по образу и подобию crypto.cat, и в этом случае не уверен, что есть смысл завязываться именно на PGP, существуют более удачные альтернативы. Кстати, Dark Mail для шифрования почты в подобном стиле тоже использует не PGP, а другой стандарт.


Я не настолько конспирологичен, у меня другая версия (на мой взгляд, куда более естественно звучащая): facebook очень популярен у разного рода активистов, которые прячатся от местных правительств, но по сути — лица публичные и известные, конкретно от facebook'а им скрывать всё равно нечего. Для них эта соцсеть — антиценузрное, защищённое от взлома и антиDDoS медиа, больше им ничего не надо. В этом случае как раз оказывается кстати возможность зайти на facebook как на Tor HS, чтобы не афишировать сеанс связи и своё местоположение перед местными властями, равно и PGP-шифрование сообщений от соцсети подходит под эту модель угрозы. Мало кто может осилить собственный сайт, защитить его должным образом от взломов и DDoS'ов, поэтому многие проекты предпочитают вместо собственного хостинга иметь страницу в соцсетях. Мне так показалось, что в некоторых странах чуть ли ни часть государственных ведомств там располагаются — это их основной канал распространения информации в мир (как и twitter). Нередко бывает, что новостной сайт ссылается на заметку такого ведомства в facebook'е. Ну, а, вообще, есть тренд на шифрование после откровений Сноудена, telegram по этому же пути пошёл.

Про новость: в целом нововведение (шифрование почтовых уведомлений) правильное и полезное, но панацеей, конечно, не является и не делает из facebook'а средство действительно анонимной и защищённой связи.

разумеется

интересная точка зрения, спасибо

Подтверждение владением приватной частью ключа спрашивают?

да, приходит письмо зашифрованное твоим ключом с ссылкой для подтверждения

На pgpru.com сделано не так — тут требуется подпись случайной строки своим ключом, и этот вариант, думаю, безопасней (у противника не получится брутфорсить ответ, подбирая одноразовые ссылки подтверждения).

Если случайная строка в ссылке содержит достаточно энтропии, то разница не принципиальна. Более существенное различие нашей и их схем в том, что у нас пользователь доказывает владение (под)ключом подписи, а там — подключом шифрования.

Кстати, по антицензурности и защите от блокировок соцсеть может быть более стойкой (в модели угрозы активистов), чем персональные сайты проектов. Внести в чёрные списки какие-то личные сайты с конкретными доменными именами — это одно, а как заблокировать конкретные страницы в популярной соцсети, не блокируя её всю, если она на HTTPS, а сама добровольно блокировать контент отказывается? Не такой простой вопрос.

На форуме написано, что они сообщения будут подписывать своим ключом для пущей надежности.

В смысле? На каком форуме? Facebook требует, чтобы пользователь, загрузивший ключ в свой профиль, все свои сообщения для соцсети (вручную) подписывал своим ключом?

В смысле? На каком форуме? Facebook требует, чтобы пользователь, загрузивший ключ в свой профиль, все свои сообщения для соцсети (вручную) подписывал своим ключом?

нет, фейсбук подписывает письмо своим ключом, и речь пока идет только о рассылках получаемых от фейсбука, это ведь пока единственный ф-ционал

Цитирование в оригинале наверно будет уместнее:
"Where encrypted notifications are enabled, Facebook will sign outbound messages using our own key to provide greater assurance that the contents of inbound emails are genuine. The Facebook key can be checked at keyservers such as SKS and MIT."

Значит, ierixon всё правильно сказал.

Как это работает

• На pgpru.com:
  
  

  Я добавил открытый PGP-ключ в свой профиль на сайте, но недавно забыл пароль / утратил закрытый ключ, и теперь не могу его заменить. Не могли бы вы мне помочь?

  
  К сожалению, нет. Опубликование открытого ключа в профиле — это крайняя мера аутентификации. Все последующие действия по изменению этой части аккаунта требуют подтверждения с помощью цифровой подписи. Если вы не можете доказать своё владение этим ключом, то удалять или заменять его администрация сайта не вправе, исключений из этого правила не было и не будет. Если необходимо, вы можете зарегистрироваться на сайте повторно и загрузить в новый аккаунт свой новый ключ.

• На jabber.at:
  
  

  GPG encrypt your confirmation emails
  
  You can now add your GPG key to account.jabber.at: Just click on Set email to give a GPG fingerprint that will be fetched from a keyserver or directly upload a public key. This will cause any confirmation emails to be signed and encrypted with GPG.

А как на facebook? Как там решается проблема утраты ключа?