Domanda:
Per gli utenti che non utilizzano PGP, quale sarebbe l'altro canale per inviare loro un documento in modo sicuro?
Phoenician-Eagle
2010-11-24 21:45:52 UTC
view on stackexchange narkive permalink

Vorrei inviare un documento riservato agli utenti che non hanno la più pallida idea di cosa sia PGP (quindi non ha senso insegnar loro come installarlo ecc ...) tramite posta elettronica.

Il vero domanda è come farlo?

Attualmente sto pensando ai seguenti approcci e mi chiedo se qualcuno sappia qual è il più sicuro:

Ho le seguenti opzioni:

  • crittografalo utilizzando la funzionalità di sicurezza fornita da Microsoft Office Word. Quindi il nome del documento è visibile! E non so se dovrei fidarmi o meno di questo metodo di crittografia di Word.
  • Crittografalo con WINRAR. Posso crittografare anche il nome del documento, quindi all'apertura dovrebbe essere richiesto loro di fornire la password e quindi anche il nome del documento è crittografato.
  • Trasformalo in un file PDF e crittografalo utilizzando PDF. Simile a Word forse un po 'più potente / o meno ??

Ovviamente alcuni direbbero di usare una combinazione, ma non voglio sembrare così paranoico ai miei clienti;)

Quindi, una volta che lo decodificano per leggerlo, potenzialmente hanno una copia in chiaro in giro. Cosa poi? Questo potrebbe essere un problema da risolvere tra le persone e non tra i computer. Capiscono esattamente quanto sia riservato? (O non lo è?)
Sono consapevoli che si tratta di un documento riservato, quindi da quel lato va bene. È la parte tecnica che mi chiedo.
È per una transazione una tantum o qualcosa che desideri sia conveniente per un uso ripetuto? Se utilizzi uno schema basato su password, come pensi di ottenere la password?
Penso che il nome del documento potrebbe essere meno problematico rispetto all'oggetto, all'indirizzo del destinatario e al corpo del messaggio con cui lo si invia. Hai anche bisogno di crittografare il resto dell'email?
Undici risposte:
#1
+15
Bradley Kreider
2010-11-29 12:53:39 UTC
view on stackexchange narkive permalink

Assumi che il documento debba essere inviato tramite posta elettronica. Sembra che tu stia proteggendo dalle intercettazioni solo durante l'invio dell'e-mail (smtp). In tal caso, è necessario solo il trasporto sicuro e non necessariamente la crittografia gestita dall'utente finale.

Non puoi fargli scaricare il documento da un server web che controlli tramite SSL? Devi ancora fornire loro l'URL e la password in qualche modo, ma almeno puoi rimuovere il documento dal webserver. Avranno comunque una versione in testo chiaro del documento, quindi non importa se la mantieni in chiaro sul tuo server web, ma dietro una password. Puoi controllare l'accesso e rimuoverlo dopo averlo ottenuto.

#2
+9
PulpSpy
2010-11-25 06:45:59 UTC
view on stackexchange narkive permalink

Per quanto riguarda la sicurezza di MS Office, non utilizzare Office 2003. La lunghezza della chiave è limitata a 40 bit, il che è ancora un po 'complicato ma tecnicamente può essere forzato.

Ho esaminato la crittografia dei file di Office 2007 e sembra adatta. È difficile determinarlo con certezza perché, per quanto ne so, le specifiche non sono disponibili pubblicamente (se qualcuno ne sa di diverso, mi piacerebbe vederlo) ma c'è della documentazione.

Le lunghezze delle chiavi e le scelte di cifratura sono appropriate. I file di Word 2007 (.docx) sono ora basati su XML. La crittografia del file lascia alcune informazioni di intestazione disponibili (l'utente saprà che è un file .docx e il nome del file), così come un'impronta digitale del file (in modo che se la chiave è inserita male, ha qualcosa a cui abbinarla) , ma il contenuto del file stesso è altrimenti crittografato.

Come accennato, la creazione di un SDA (Self-Decrypting Archive) con PGP sembra soddisfare perfettamente i tuoi criteri ma credo che sia disponibile solo con PGP (il $$$) e non GPG (quello gratuito ). Se hai un PGP effettivo, seguirei quella strada. Altrimenti, la crittografia dei file con Word sembra sicura.

La crittografia per Office 2007 è determinata. OpenOffice può visualizzare il file ".docx". Essendo open source, puoi vedere la crittografia!
#3
+7
nealmcb
2010-11-25 00:15:41 UTC
view on stackexchange narkive permalink

Ahh, un problema così annoso e intricato :)

Molto dipende dal tuo "modello di minaccia": di chi e di cosa sei preoccupato e di chi si fida. Sembra che tu non lo sia t cercando la crittografia dopo aver ottenuto il documento, proprio mentre è in transito.Come ho notato nel mio commento sopra, penserei che ti interesserebbe la privacy dei tuoi messaggi così come la privacy del nome del documento e del documento stesso mentre sei in transito.

Una cosa su cui puoi probabilmente contare è un ragionevole supporto per TLS nei tuoi browser. Quindi, se esiste un provider di servizi web sicuro che utilizza sempre https di cui entrambi vi fidate, funzionerebbe. Ma potresti non voler fidarti, ad esempio, di un ISP controllato dallo stato o di un provider di telefonia mobile in un paese oppressivo. Guarda i combattimenti di Blackberry con gli Emirati Arabi Uniti, ad esempio.

Ad es. se entrambi avete Gmail e vi accedete sempre con https, potrebbe funzionare. È possibile accedere ai documenti di Google anche con https. Ovviamente potresti non fidarti di Google, ma ce ne sono molti altri là fuori (ad esempio fastmail.fm) di cui potresti fidarti.

Se entrambi utilizzate un protocollo peer-to-peer sicuro o uno schema di messaggistica istantanea, o piattaforma di telefonia mobile, che potrebbe essere più sicura dell'email.

#4
+7
Rory McCune
2010-11-25 18:56:53 UTC
view on stackexchange narkive permalink

Questo è un problema perenne e ho visto diverse soluzioni.

Un paio di considerazioni

È uno scambio una tantum o regolare?

se si tratta di uno scambio una tantum, dovrebbe essere sufficiente una password / passphrase comunicata tramite un meccanismo fuori banda (ad esempio, un messaggio di testo SMS, verbalmente al telefono, di persona).

Se si tratta di un trasferimento regolare, potrebbe non essere praticabile, quindi un'opzione a quel punto sarebbe quella di avere un elenco predefinito di password (nuovamente comunicate fuori banda) e lavorarci su a intervalli predeterminati.

Dal punto di consegna del documento all'altra persona, è in gran parte determinato dal software installato e dal tipo di blocco / filtro in atto sul trasporto utilizzato per effettuare il trasferimento.

L'auto-decrittografia degli archivi può funzionare, ma alcuni sistemi di posta elettronica bloccheranno il contenuto eseguibile negli allegati (rinominare il file può essere d'aiuto qui se il sistema funziona esclusivamente sull'estensione del file)

MS office crittografato documenti, se si tratta di una versione moderna e le opzioni di crittografia selezionate sono buone, funzionano abbastanza bene. Come hai detto, potrebbe esserci un po 'di problema di percezione poiché le versioni precedenti di Office avevano una crittografia debole, ma non sono a conoscenza del fatto che sia un problema con le versioni aggiornate (usano Microsoft CryptoAPI che ha forti cifrature disponibili)

Archivi ZIP crittografati, allo stesso modo purché le versioni del software siano aggiornate (la crittografia zip precedente non era molto potente).

+1 per aver menzionato il blocco dell'estensione del file: molte organizzazioni con cui ho lavorato lo usano ancora: l'implementazione di un controllo sul file per il contenuto crittografato è un'opzione ora per quasi tutti i gateway di posta, ma sembra ancora non essere utilizzato abbastanza .
#5
+4
Tate Hansen
2010-11-24 22:28:01 UTC
view on stackexchange narkive permalink

Se hai già la versione commerciale di PGP, puoi creare un SDA (Self-Decrypting Archives):

"Un altro modo per mettere file e cartelle in un unico pacchetto crittografato e compresso . Un SDA ha dimensioni leggermente maggiori di un archivio Zip PGP perché il file eseguibile è incluso nell'archivio, ma ciò significa che SDA può essere aperto su sistemi Windows che non hanno PGP Desktop installato. Gli SDA possono essere protetti solo da passphrase, quindi devi trovare un modo sicuro per comunicare la passphrase dell'SDA al destinatario previsto. "

Altre opzioni:
dropsend.com http: // www.dropsend.com/pricingsignup.php (livello aziendale per aggiungere sicurezza)
winzip con crittografia è popolare http://www.winzip.com/

#6
+2
goodguys_activate
2010-11-24 23:00:55 UTC
view on stackexchange narkive permalink

Se si tratta di un documento word, considera il server Microsoft Rights Management

http://en.wikipedia.org/wiki/Rights_Management_Services

.. è integrato in MS Word 2003 e versioni successive.

#7
+1
user185
2010-11-24 22:28:29 UTC
view on stackexchange narkive permalink

La scelta del nome del file non deve riflettere il contenuto effettivo. Un file Word chiamato "Untitled 1.doc" è ancora un file Word e il titolo a pagina 1 del documento può fornire le informazioni reali.

Per estendere l'elenco delle opzioni, le versioni più recenti di zip ( scusate, non conosco la versione del formato, è qualunque cosa supporti WinZip 9) offrono la crittografia AES.

#8
+1
atdre
2010-11-25 05:35:59 UTC
view on stackexchange narkive permalink

Penso che S / MIME sia davvero fantastico, ma sicuramente WinZip con crittografia (invia la passphrase per telefono o SMS / messaggi di testo) funzionerà in un attimo.

#9
+1
Wayne
2010-11-29 03:06:07 UTC
view on stackexchange narkive permalink

Per situazioni come questa utilizzo AxCrypt. Questo ci consente di crittografare l'allegato senza preoccuparci della versione di Office e, se lo si desidera, creare un file autoestraente. Tieni presente che molti programmi di posta elettronica rimuoveranno gli eseguibili, quindi potresti dover aggirare il problema.

#10
+1
DanBeale
2011-08-05 16:09:07 UTC
view on stackexchange narkive permalink

Potresti considerare la creazione di account hushmail e GENERARE PASSPHRAS SICURE PER QUESTI UTENTI e fornire loro le passphrase in modo sicuro. (Ma vedi la nota di Hushmail sulla loro conformità con le forze dell'ordine valide - http://www.wired.com/threatlevel/2007/11/hushmail-to-war/)

Ciò fornirebbe loro il contenuto, ma non lo proteggerà una volta sul loro computer. Ma poi, gli utenti meno esperti probabilmente avrebbero comunque il contenuto non protetto.

A seconda dell'importanza dei documenti e delle risorse dell'aggressore, esiste un software per forzare la maggior parte della crittografia offerta dal software. (vedi le offerte di Elcomsoft, ad esempio, che ti consentono di utilizzare cluster GPU e attacchi di dizionario oltre alla pura forza brute)

Non dimenticare che la crittografia è difficile e molti dei software che hai menzionato hanno crittografia già implementata nelle versioni precedenti.

http://kb.winzip.com/kb/entry/80/

The Zip Il formato di crittografia 2.0 (Legacy) è supportato dalla maggior parte, se non da tutte, altre utilità per file Zip. La protezione con password di un file Zip con crittografia Zip 2.0 fornisce una misura di protezione contro un utente occasionale che non ha la password e sta cercando di determinare il contenuto dei file. Tuttavia, il formato di crittografia Zip 2.0 è noto per essere relativamente debole e non ci si può aspettare che fornisca protezione da persone con accesso a strumenti di recupero password specializzati.

Non fare affidamento sulla crittografia Zip 2.0 per fornire forte sicurezza dei dati.

#11
  0
this.josh
2011-10-15 05:12:46 UTC
view on stackexchange narkive permalink

Posso credere che nessuno abbia suggerito di stampare il nostro documento e di inviarlo tramite posta celere! A meno che il cliente non abbia urgente bisogno delle informazioni, e non sembra che non sia così, la consegna durante la notte / il giorno successivo dovrebbe essere sufficiente. Un'altra opzione è quella di utilizzare un fax sicuro, comune negli studi medici e nei reparti delle risorse umane, anche se non molte persone li hanno a portata di mano.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...