Об ошибках Lavabit-а
Nov. 6th, 2013 05:06 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
jsn(всем спасибо за поздравления!)
К другим новостям: популярно про
Lavabit.. Для тех, кто не следил: Lavabit был коммерческим провайдером
электронной почты, защищённой от перехвата и проч. Много кто пользовался,
Сноуден, например. (предположительно из-за него) К Lavabit-у пришли из органов
и потребовали воткнуть прослушку. Хозяин Lavabit-а отказался, и был вынужден
закрыть сервис. Статья, впрочем, не об этом (об этом ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif){kind=small}
stas писал, например), а о том,
почему технически Lavabit был устроен неправильно, и как это сделало возможным
такой наезд со стороны органов.
Even though Lavabit’s security page went on at length about how, in the age of the PATRIOT act, users shouldn’t accept a Privacy Policy as enough to protect them, that is almost exactly what they implemented. The cryptography was nothing more than a lot of overhead and some shorthand for a promise not to peek. Even though they advertised that they ”can’t” read your email, what they meant was that they would choose not to.
Насколько я понимаю, готовых решений для "простых людей"™, лишённых подобных недостатков, в природе не существует. Для непростых примерно понятно, как что должно быть устроено.
no subject
Date: 2013-11-06 04:45 pm (UTC)1. Это создает давление на производителей браузеров чтобы о ни в конце концов выпихнули в Javascript полноценный интерфейс к все равно имеющимся в браузере криптографическим библиотекам.
2. Это превращает сайт в сервер обмена сертификатами. Что существенно увеличивает количество end-to-end зашифрованных писем.
no subject
Date: 2013-11-06 05:30 pm (UTC)