Sähköpostitko salaisia?

Seuraa 
Viestejä45973
Liittynyt3.9.2015

En kykene keksimään mitään loogista selitystä, miksi olisi takuuvarmaa, että sähköpostitilin tarjoajat eivät monitoroisi viestejämme. Kuvittele, jos sinulla itselläsi olisi palvelu, jonka käyttäjiksi ihmiset liittyisivät: Mikä estäisi sinua lukemasta kaikkia ihmisten tileille tulevia sähköposteja, ilman että ihmisillä on mitään tietoa asiasta?

Internetissä tapahtuva tietoliikenne ei anna maallikolle mitään teknisesti ymmärrettäviä syitä olettaa, että heidän henkilökohtaiset tietonsa ja viestintänsä olisivat salassa palveluiden ylläpitäjältä.

Ymmärrämmekö mitään tietoturvasta? Olisiko oikea ratkaisu alistua täydelle avoimuudelle omissa tiedoissaan vaiko pyristellä vastaan?

Kommentit (15)

Vierailija

Eipä kannata laittaa mitään erityisen salaista email-viesteihin jos haluaa varmistua ettei kukaaa ulkopuolinen lue.

Siksihän näitä salausohjelmia käytetään.

sigfrid
Seuraa 
Viestejä8692
Liittynyt20.7.2007

Joo ja näin on. Olisi tietenkin mahdollista ottaa yleisesti sähköposteissa käyttöön kirjekuoren tapainen salausalgoritmi, joka aukeaa vain vastaanottajalla, mutta jostain syystä näin ei ole tehty. Olisiko taustalla terrorisminvastainen sota ja pahapaha USA?

Takuutestattu suomalainen. Aboriginaali Finlandian asukas.

Blogi: http://terheninenmaa.blogspot.fi

Vierailija

PGP oli yksi sellainen e-mail turvajärjestelmä, jonka sai imuroida ilmaiseksi netistä. Ongelma oli, että se käytti 128-bittistä asynkronista avainta, joka Yhdysvalloissa luokitellaan sotilasteknologiaksi ja siten se oli vientikiellossa!

Zimmermann, joka sen kehitti, sai syytteen, josta sittemmin kai luovuttiin, mutta Pretty Good Privacy kaiketi katosi jonnekin (joskin netistä voi etsiä, kyllä se vielä jossain voi luurata). Joka tapauksessa tämä oli jo ennen Sotaa Juttuja vastaan riehaa, joten koskaan noin hyviä ei yleensä ole ollut kaupan.

128-bittistä asymmetristä salausta käytti siihen asti melkein pelkästään sotilas-tietoliikenne, joskin todelliset salaisuudet, siis ei taktiset radiot, karttakuvat ym., liikkuvat 256- tai viimeaikoina 512-bittisellä salauksella.

Tosin jos vain haluat estää nettioperaattoria lukemasta BSDM-viestejäsi Domillesi, niin jo Exelillä voi kehittää yksinkertaisen ohjelman joka tekee avainlause-aakkossubstituution viestiisi. Tällöin viestiä lukeva joutuisi käyttämään melkoisen kauan taajuusanalyysiin saadakseen viestin luettavaksi ja useimmat laiskat sysadminit eivät taatusti ryhdy moiseen.

Neutroni
Seuraa 
Viestejä26853
Liittynyt16.3.2005
Peksu
En kykene keksimään mitään loogista selitystä, miksi olisi takuuvarmaa, että sähköpostitilin tarjoajat eivät monitoroisi viestejämme. Kuvittele, jos sinulla itselläsi olisi palvelu, jonka käyttäjiksi ihmiset liittyisivät: Mikä estäisi sinua lukemasta kaikkia ihmisten tileille tulevia sähköposteja, ilman että ihmisillä on mitään tietoa asiasta?



Pikemminkin voisin lukea minkä tahansa yksittäisen viestin, mutta kaikkien lukemisen estää massojen laki. Viestejä on niin paljon, että pitäisi palkata hyvin suuri määrä porukkaa lukemaan niitä, jolloin toiminta ei enää pysyisi salassa. Tietokoneohjelmalla tietysti voi seuloa ja seulotaan mahdollisia kiinnostavia viestejä.

sigfrid
Joo ja näin on. Olisi tietenkin mahdollista ottaa yleisesti sähköposteissa käyttöön kirjekuoren tapainen salausalgoritmi, joka aukeaa vain vastaanottajalla, mutta jostain syystä näin ei ole tehty. Olisiko taustalla terrorisminvastainen sota ja pahapaha USA?



Ei, syyllinen salauksen käyttämättömyyteen ei ole USA, ei sionistit, ei kommunistit, ei illuminaatti eikä siriuslaiset, vaan ihmisten henkilökohtainen laiskuus. Salausalgoritmejä ja luotettavia avoimen sorsan ohjelmia saa tietääkseni helposti. Sen kun vain lataa ja ottaa käyttöön. Sähköpostia ei missään tapauksessa tule pitää luotettavana kommunikaationa, vaan arkaluontoiset viestit pitää aina salata luotettavalla menetelmällä. Sittenkin jää tietysti tieto siitä kuka kommunikoi kenenkin kanssa, eiköhän tikaritakit tule aika pian esittämään kiusallisia kysymyksiä, jos on intensiivisessä salatussa kirjeenvaihdossa tunnettujen rikollisten kanssa.

---
Seuraa 
Viestejä3395
Liittynyt6.9.2006

Ensimmäisenä tulee tietenkin mieleen, että miksi ylläpitäjää kiinnostaisi kahlata tuhansia sähköposteja vain lukeakseen murto-osan niistä? Luulisi, että täytyisi olla jokin isompi intressi. Toinen on se, että kuka olisi se henkilö joka tähän ryhtyisi? Ylläpidossa voisi olla joku, mutta kiinnijäämisen riski on kova ja kenkää tulee varmasti jos jää kiinni. Sitäpaitsi kenellä olisi kauheasti edes aikaa moiseen. Yrityksen johdossa saattaisi olla joku, jonka tekninen osaaminen riittäisi moiseen, mutta miksi vaarantaa oma business?

Toisaalta sähköpostipalvelimena paljon käytetty Exhange server ei taida edes päästää lukemaan yksittäisiä viestejä palvelimelta, mikäli olen oikeassa? Kuinka mahtaa olla muiden alustojen kanssa?

sigfrid
Seuraa 
Viestejä8692
Liittynyt20.7.2007
Neutroni

sigfrid
Joo ja näin on. Olisi tietenkin mahdollista ottaa yleisesti sähköposteissa käyttöön kirjekuoren tapainen salausalgoritmi, joka aukeaa vain vastaanottajalla, mutta jostain syystä näin ei ole tehty. Olisiko taustalla terrorisminvastainen sota ja pahapaha USA?



Ei, syyllinen salauksen käyttämättömyyteen ei ole USA, ei sionistit, ei kommunistit, ei illuminaatti eikä siriuslaiset, vaan ihmisten henkilökohtainen laiskuus. Salausalgoritmejä ja luotettavia avoimen sorsan ohjelmia saa tietääkseni helposti. Sen kun vain lataa ja ottaa käyttöön. Sähköpostia ei missään tapauksessa tule pitää luotettavana kommunikaationa, vaan arkaluontoiset viestit pitää aina salata luotettavalla menetelmällä. Sittenkin jää tietysti tieto siitä kuka kommunikoi kenenkin kanssa, eiköhän tikaritakit tule aika pian esittämään kiusallisia kysymyksiä, jos on intensiivisessä salatussa kirjeenvaihdossa tunnettujen rikollisten kanssa.



Tarkoitinkin yleisesti. Se tarkoittaisi sitä, että salausjärjestelmä liitettäisiin operaattoripalveluihin, tai jopa suoraan sähköpostin lisäpalveluihin. Silloin salaus otettaisiin yleiseen käyttöön, ikäänkui peruskonseptina. Vrt suljettu kirje.

Takuutestattu suomalainen. Aboriginaali Finlandian asukas.

Blogi: http://terheninenmaa.blogspot.fi

Neutroni
Seuraa 
Viestejä26853
Liittynyt16.3.2005
sigfrid
Tarkoitinkin yleisesti. Se tarkoittaisi sitä, että salausjärjestelmä liitettäisiin operaattoripalveluihin, tai jopa suoraan sähköpostin lisäpalveluihin. Silloin salaus otettaisiin yleiseen käyttöön, ikäänkui peruskonseptina. Vrt suljettu kirje.



Ei siitä olisi paljoa hyötyä kenellekään. Tuo olisi kuitenkin kaupallinen suljetun sorsan systeemi, joka on aina mahdollisten takaporttien takia epäluotettava, ja luonnollisesti myös altis viranomaisten määräysvallalle. Eli ne, jotka oikeasti tarvitsevat salausta, joutuisivat salaamaan edelleen itse, ja normaali-ihmisten normaali viestintä ei tosiasiassa minkäänlaista salaamista kaipaa. Kun itse hoitaa homman kunnon ohjelmilla, salausta ei pura kukaan (ennen kun salaajan kanssa on hieman "keskusteltu" poliisivankilan uumenissa).

Vierailija

Kaikkea mitä lähetät tai otat vastaan, ulkopuolinen voi monitoroida. Kukaan ei ole anonyymi vaikka niin kuvitelee Nimi.Merkin takana jossain Hesan.Baarissa. Huvittavin tapaus tähän sakka on, kun N.M heitti herjaa eräässä keskustelussa, ja 15 min. myöhemmin keskusteluun ilmestyi hänestä otettu valokuva koneen ääressä.

A.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.D.
O.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.I.
I.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.O.
C.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.V.

sigfrid
Seuraa 
Viestejä8692
Liittynyt20.7.2007
Neutroni
sigfrid
Tarkoitinkin yleisesti. Se tarkoittaisi sitä, että salausjärjestelmä liitettäisiin operaattoripalveluihin, tai jopa suoraan sähköpostin lisäpalveluihin. Silloin salaus otettaisiin yleiseen käyttöön, ikäänkui peruskonseptina. Vrt suljettu kirje.



Ei siitä olisi paljoa hyötyä kenellekään. Tuo olisi kuitenkin kaupallinen suljetun sorsan systeemi, joka on aina mahdollisten takaporttien takia epäluotettava, ja luonnollisesti myös altis viranomaisten määräysvallalle. Eli ne, jotka oikeasti tarvitsevat salausta, joutuisivat salaamaan edelleen itse, ja normaali-ihmisten normaali viestintä ei tosiasiassa minkäänlaista salaamista kaipaa. Kun itse hoitaa homman kunnon ohjelmilla, salausta ei pura kukaan (ennen kun salaajan kanssa on hieman "keskusteltu" poliisivankilan uumenissa).



En ymmärrä. Jos salausohjelma on yksityisesti hankittuna pätevä, niin miksi se ei olisi operaattorin tarjoamana tai clientin mukana tulleena. En myöskään ymmärrä miksi tuote esille tämän " ei normaali-ihmisten viestintä kaipaa..." tässä yhteydessä, kun puhutaan salauksen periaatteellisesta mahdollisuudesta "normaali-ihmiselle". Ketjun aloittakin kirjoittaa takuuvarmuudesta eli vastaus on siihen vain takuuvarmuus.

Takuutestattu suomalainen. Aboriginaali Finlandian asukas.

Blogi: http://terheninenmaa.blogspot.fi

Neutroni
Seuraa 
Viestejä26853
Liittynyt16.3.2005
sigfrid

En ymmärrä. Jos salausohjelma on yksityisesti hankittuna pätevä, niin miksi se ei olisi operaattorin tarjoamana tai clientin mukana tulleena.



Mistä sinä tiedät mitä ohjelmaa ja mitä versiota joku operaattori tarjoaa? Operaattorit lupaavat kyllä kuun taivaalta, mutta eivät anna kenenkään ulkopuolisen tarkastaa tietokoneitaan onko siellä sitä mitä luvataan vai jotain siltä näyttävää. Kyllä hyvä salaus on tietenkin periaatteessa mahdollista, jos operaattori on rehellinen (ja lainsäädäntö ei sitä kiellä tai vaadi siihen takaportteja viranomaisille, niin kuin asia käsittääkseni ainakin joissain maissa on), mutta en minä luottaisi missään kriittisissä asioissa operaattoriin. Ihmisiä nekin ovat, taipuvaisia rikoksiin ja rahanahneuteen.

En myöskään ymmärrä miksi tuote esille tämän " ei normaali-ihmisten viestintä kaipaa..." tässä yhteydessä, kun puhutaan salauksen periaatteellisesta mahdollisuudesta "normaali-ihmiselle".



Perusteluna sille, miksi en näe tarpeelliseksi uhrata edes vähäistä määrää resursseja tuollaiseen nettioperaattorin tarjoamaan salaukseen. Kuitenkin viime kädessä itse joutuisin sen maksamaan nettiliittymän hinnassa.

Ketjun aloittakin kirjoittaa takuuvarmuudesta eli vastaus on siihen vain takuuvarmuus.



Toisten tekemisistä ei koskaan voi olla takuuvarma. Mitä enemmän välikäsiä jossakin operaatiossa on, sitä heikompi on varmuus. Jos tarvitaan salaamista, maksimaalisen varmuuden saa sopimalla siitä vain vastaanottajan kassa ja hoitamalla asia sitten kahdenvälisesti.

sigfrid
Seuraa 
Viestejä8692
Liittynyt20.7.2007
Neutroni
sigfrid

En ymmärrä. Jos salausohjelma on yksityisesti hankittuna pätevä, niin miksi se ei olisi operaattorin tarjoamana tai clientin mukana tulleena.



Mistä sinä tiedät mitä ohjelmaa ja mitä versiota joku operaattori tarjoaa? Operaattorit lupaavat kyllä kuun taivaalta, mutta eivät anna kenenkään ulkopuolisen tarkastaa tietokoneitaan onko siellä sitä mitä luvataan vai jotain siltä näyttävää. Kyllä hyvä salaus on tietenkin periaatteessa mahdollista, jos operaattori on rehellinen (ja lainsäädäntö ei sitä kiellä tai vaadi siihen takaportteja viranomaisille, niin kuin asia käsittääkseni ainakin joissain maissa on), mutta en minä luottaisi missään kriittisissä asioissa operaattoriin. Ihmisiä nekin ovat, taipuvaisia rikoksiin ja rahanahneuteen.




Clienttiin se tietenkin tulisi, siellähän se spostiohjelmistokin on. Serveri siirtää käyttäjän koneelle hederien sisällä sen bittimössön mitä lähetät, ei se ota siihen kantaa.


En myöskään ymmärrä miksi tuote esille tämän " ei normaali-ihmisten viestintä kaipaa..." tässä yhteydessä, kun puhutaan salauksen periaatteellisesta mahdollisuudesta "normaali-ihmiselle".



Perusteluna sille, miksi en näe tarpeelliseksi uhrata edes vähäistä määrää resursseja tuollaiseen nettioperaattorin tarjoamaan salaukseen. Kuitenkin viime kädessä itse joutuisin sen maksamaan nettiliittymän hinnassa.



Niinpä niin, mutta keskutelun lähtökohta olikin miksi - ei mitä se maksaa. Kansa ostaa sitä mitä tarvitsee. Ja maksaa.


Ketjun aloittakin kirjoittaa takuuvarmuudesta eli vastaus on siihen vain takuuvarmuus.



Toisten tekemisistä ei koskaan voi olla takuuvarma. Mitä enemmän välikäsiä jossakin operaatiossa on, sitä heikompi on varmuus. Jos tarvitaan salaamista, maksimaalisen varmuuden saa sopimalla siitä vain vastaanottajan kassa ja hoitamalla asia sitten kahdenvälisesti.

[/quote]


kts 1. vastaus. Ei clientohjelma tiedä kuka sen on sinne hankkinut.

Takuutestattu suomalainen. Aboriginaali Finlandian asukas.

Blogi: http://terheninenmaa.blogspot.fi

Vierailija

Pikkuisen tekniikkaa tuollaisesta salauksesta, ennenkuin mennään tekemään tikusta asiaa.

Kaikki kuviteltavissa olevat salaukset sähköpostin suhteen olisivat asymmetrisia. Asymmetrinen järjestelmä on vapaa edestakaisin siirreltävistä avaimista, joita tarvitsisi sekä kryptaamiseen, että purkuun tarviten avaimen ainoastaan kryptaamiseen ja käyttäen yhdensuuntaisia matemaattisia algoritmejä purkuun, jolloin jokaisella vastaanottajalla pitäisi olla vapaasti luettavissa oleva avain, esimerkiksi vastaanottajan client-palvelimella tai yleisesti netissä, esimerkiksi yhdistettynä koneen IP-osoitteeseen.

Mutta toisaalta, ei ole mitään mahdollisuutta sopia yhteisestä salausohjelmasta tarpeeksi suuressa mittakaavassa, joten tuo on pelkkää unelmointia. Kaikki salausalgoritmit ovat erilaisia, eivätkä yhden avaimet sovi toisiin, jolloin vain ne jotka käyttävät samaa ohjelmaa voivat keskustella salatusti sähköpostin välityksellä.

Toisaalta löysin PGP:n kansainväliset kotisivut. Jos tosiaan haluat salata jotain, niin tuolta löytyy keinot (jos siis vastaanottajalla on sama ohjelma)

http://www.pgpi.org/

Muistaakseni keskimäärin supertietokoneelta menee tuollaiset 15 päivää 128-bittisen salauksen murtamiseen. Joten kukaan ei huvikseen lue noita viestejä.

sigfrid
Seuraa 
Viestejä8692
Liittynyt20.7.2007

Näinhän se tietenkin kuten harrastelija sanoo. Silti salauksen aktiivinen tarjoaminen clientin kylkeen olisi hyvä, koska arkaluonteiset viestit lähetetään yleensä vakiokumppaneille, bisneksessä tai yksityiselämässä. Silloin asian järjestely ei ole ylivoimaista.

Tarkoitan, että salauksen aikaansaamisen pitäisi tehdä helpoksi myös asiaan liittyvästä tekniikasta kiinnostumattomille. Kukaan ei ole tutkinut kuinka pitkälle esimerkiksi Soneran henkilökunnan urkinta vuosituhannen vaihteen tietämissä meni ja kuinka moni Soneran tietotekniikkaa tuntematon johtaja lähetteli viestejä kilpailijoille uskoen kirjesalaisuuden toimivan myös emailissa

Takuutestattu suomalainen. Aboriginaali Finlandian asukas.

Blogi: http://terheninenmaa.blogspot.fi

Vierailija

Kaksi tärkeää pointtia aiheesta:

1. Käyttäjät ovat laiskoja ja tietämättömiä
Emme jaksa edes ajatella, että viestimme ovat valvovan operaattorin luettavissa. Luotamme sokeasti heidän tarjoamiin palveluihinsa. Ehkä pari prosenttia internetin ja sähköpostin käyttäjistä tietää edes kunnolla, mitä ovat tietoturva ja salausmekanismit.

2. Ihmistä ei tarvita lukemaan kaikkea
Googlet ja muut korkean teknologian tahot osaavat yhä paremmin laittaa koneen analysoimaan relevantin tiedon sisällöstä. Ei tarvita ihmistä, vaan ohjelmoidaan kone seulomaan mielenkiintoiset viestit. Yksinkertainen kikka, mitä USA:n tiedustelu haluaisi käyttää olisi seuloa kaikki hotmailin ja gmailin viestit, joissa esiintyy vaikkapa sana 'bomb' tai tiettyjen avainsanojen yhdistelmä, kuten "jihad" ja "kill Americans". Todellisuudessa tietenkin paljon hienostuneempia systeemejä.

ilmaisin
Seuraa 
Viestejä1285
Liittynyt2.7.2005
Harrastelija-Ajattelija
PGP oli yksi sellainen e-mail turvajärjestelmä, jonka sai imuroida ilmaiseksi netistä. Ongelma oli, että se käytti 128-bittistä asynkronista avainta, joka Yhdysvalloissa luokitellaan sotilasteknologiaksi ja siten se oli vientikiellossa!

Zimmermann, joka sen kehitti, sai syytteen, josta sittemmin kai luovuttiin, mutta Pretty Good Privacy kaiketi katosi jonnekin (joskin netistä voi etsiä, kyllä se vielä jossain voi luurata). Joka tapauksessa tämä oli jo ennen Sotaa Juttuja vastaan riehaa, joten koskaan noin hyviä ei yleensä ole ollut kaupan.


Yhdysvalloissa on sittemmin lievennetty salauslakeja. PGP ei todellakaan ole kadonnut mihinkään. Ohjelmaa kehittää nykyään kaupallinen yritys, jossa Zimmermann on mukana.

Rinnalle on kehitetty myös avoimen lähdekoodin GPG-niminen yhteensopiva ohjelma. GPG on nykyään suhteellisen helppokäyttöinen ohjelmisto.

Uusimmat

Suosituimmat