it-swarm.com.de

Wie werden ProtonMail-Schlüssel verteilt?

Es gibt einen Dienst namens ProtonMail .

Es verschlüsselt E-Mails auf der Clientseite, speichert verschlüsselte Nachrichten auf ihren Servern und der Empfänger entschlüsselt sie dann auch auf der Clientseite, und das System "speichert keine Schlüssel".

Meine Frage lautet: Wie funktioniert die Entschlüsselung?

Ich bin ein bisschen verwirrt. Muss ich meinen Entschlüsselungsschlüssel an jeden Empfänger senden, bevor er meine Nachrichten lesen kann?

30
Protty

Ich bin Jason, einer der ProtonMail-Entwickler.

Bei der Entschlüsselung wird eine Kombination aus asymmetrischer (RSA) und symmetrischer (AES) Verschlüsselung verwendet.

Für PM bis PM E-Mails) verwenden wir eine Implementierung von PGP, in der wir den Schlüsselaustausch durchführen. Wir haben also alle öffentlichen Schlüssel. Was die privaten Schlüssel betrifft Wenn Sie ein Konto erstellen, wird es in Ihrem Browser generiert und dann mit Ihrem Postfachkennwort verschlüsselt (auf das wir keinen Zugriff haben). Anschließend wird der verschlüsselte private Schlüssel an den Server gesendet, damit wir ihn jederzeit an Sie zurücksenden können Login. Also speichern wir Ihren privaten Schlüssel, ja, aber da es sich um den verschlüsselten privaten Schlüssel handelt, haben wir keinen Zugriff auf Ihren Schlüssel.

Für PM für externe E-Mails ist die Verschlüsselung optional. Wenn Sie die Verschlüsselung auswählen, verwenden wir die symmetrische Verschlüsselung mit einem Kennwort, das Sie für diese Nachricht festgelegt haben. Dieses Kennwort kann ALLES sein. Es sollte NICHT Ihr Kennwort sein Postfachkennwort: Sie müssen dieses Kennwort dem Empfänger irgendwie mitteilen.

Wir haben noch ein paar andere Tricks, um die schreckliche Leistung von RSA zu umgehen.

Wir werden schließlich ein Whitepaper mit allen Details schreiben, die jeder verstehen kann. Aber so etwas ist ein einwöchiges Projekt für sich. Ich entschuldige mich im Voraus, wenn meine Antwort nur für Krypto-Leute Sinn macht.

51
Jason S.

Ich habe diese Antwort nach der Antwort von Jason und einem E-Mail-Gespräch erheblich geändert. Das Original ist noch im Bearbeitungsverlauf verfügbar.

Hier gibt es zwei verschiedene Fälle: ProtonMail-to-ProtonMail- und ProtonMail-to-Other-Mails.

Bei PM-zu-PM-E-Mails ist das System in der Lage, die Verteilung von öffentlichen und privaten Schlüsseln zu verwalten. Da sie den Code geschrieben haben, der die privaten Schlüssel generiert und die öffentlichen Schlüssel an den Server sendet, und den Empfänger der E-Mail vor dem Verschlüsseln kennen, können sie mit dem öffentlichen Schlüssel des Empfängers verschlüsseln und der Empfänger kann mit seinem privaten Schlüssel entschlüsseln. Dies kann für die Benutzer des Systems transparent sein. Sie erwähnen nicht das Signieren von E-Mails mit Ihrem privaten Schlüssel, aber dies sollte ebenso möglich und transparent sein.

PM-to-Other-E-Mails verwenden keine asymmetrische Verschlüsselung. Wenn Sie eine E-Mail an einen Empfänger erstellen, der ProtonMail nicht verwendet, generieren Sie ein neues Kennwort, mit dem ein symmetrischer Schlüssel abgeleitet wird, mit dem die Nachricht verschlüsselt wird. Anschließend müssen Sie Ihrem Empfänger dieses Kennwort mit einer anderen, unabhängig sicheren Methode übermitteln. Wenn Sie Ihrem Empfänger den Entschlüsselungsschlüssel und dann die verschlüsselte E-Mail per E-Mail senden, entspricht dies der Nichtverschlüsselung, wenn Ihr Bedrohungsmodell einen Angreifer enthält, der Ihre E-Mail abfangen kann. (Wenn Ihr Bedrohungsmodell nicht Diese Fähigkeit enthält, warum benötigen Sie überhaupt verschlüsselte E-Mails?)

Die E-Mail, die Ihr Empfänger tatsächlich in seinem E-Mail-Client erhält, ist nicht verschlüsselt und nicht Ihre ursprüngliche Nachricht. Es ist einfach ein Link zur ProtonMail-Website, auf der sie das Passwort verwenden können, das Sie ihnen bereits mitgeteilt haben, um Ihre Nachricht zu entschlüsseln.

In beiden Fällen wird behauptet, dass die Ver- und Entschlüsselung mit Javascript in Ihrem Browser erfolgt und die zentralisierten Server immer nur verschlüsselte Daten sehen.

Wenn Sie über eine unabhängige, sichere Kommunikationsmethode für das Entschlüsselungskennwort verfügen, verwenden Sie diese einfach anstelle von ProtonMail.

Ein Grund könnte sein, dass Ihre unabhängige Methode nicht so bequem ist. Möglicherweise wird der Empfänger persönlich besucht oder angerufen. Ein weiterer möglicher Grund sind Werbe- oder Verkaufsförderungszwecke. Wenn Sie ProtonMail mögen und möchten, dass Ihre Kontakte es verwenden, wird dies durch E-Mail-Nachrichten von ProtonMail gefördert.

Aber wenn Sie eine Methode haben, die Sie für sicher halten und praktisch (OTR, Cryptocat, Skype, was auch immer Sie vertrauen), warum nicht einfach diese verwenden?


Ich bin von Natur aus vorsichtig und habe Vorbehalte gegen diesen Dienst, zumindest bis er durch Feuer vor Gericht gestellt wurde.

  1. Es gibt keine Möglichkeit, ein Postfachkennwort zu widerrufen oder zu ändern. Wenn Ihr Postfachkennwort jemals verloren geht, müssen Sie nur Ihr Konto schließen und ein neues erstellen. . Vermutlich ähnelt dies dem Abrufen einer neuen E-Mail-Adresse, was bedeutet, dass viele E-Mails an Ihre alte Adresse gesendet werden, nachdem Sie sie geschlossen haben, und niemand Ihre neue Adresse kennt. Ich gehe davon aus, dass Sie auch den Zugriff auf alle Ihre alten E-Mails verlieren würden. Es gibt keinen kryptografischen Grund, warum Ihre Empfänger den Zugriff auf die von Ihnen gesendete E-Mail verlieren würden, aber das System kann alle E-Mails löschen, wenn der Absender gelöscht wird, da alle auf ihren Servern gespeichert sind.
  2. Für Nicht-ProtonMail-Benutzer, die viele verschlüsselte E-Mails von ProtonMail-Benutzern erhalten, müssen sie das Entschlüsselungskennwort für jede E-Mail irgendwo und eine Zuordnung zwischen ihnen speichern. Für jede einzelne E-Mail muss ein neues Passwort gesucht und eingegeben werden. Ich würde behaupten, dass dies nicht verwendbar ist.
  3. Ansprüche geltend zu machen ist einfach. Ladar Levison sagte, dass Lavabit keine Schlüssel gespeichert hat so konnte er nicht gezwungen werden, sie offenzulegen. Dies stellte sich als falsch heraus . Das Design von ProtonMail sieht deutlich besser aus, aber Behauptungen von "Auch wir können Ihre E-Mails nicht lesen" sind bis zum Beweis immer noch verdächtig.
  4. Sie lassen wichtige Details in ihre FAQ/Anweisungen weg. Wenn beispielsweise behauptet wird, E-Mails zu einem bestimmten Zeitpunkt löschen zu können, wird nicht erwähnt, dass ein Benutzer diese E-Mail in ein anderes Programm kopieren kann, bevor sie gelöscht wird, und die Kopie wird nicht gelöscht. Sie lassen auch das Detail aus, dass Sie Ihre eigene sichere Methode zum Verteilen des Entschlüsselungskennworts für PM-an-andere-E-Mails finden müssen.
  5. Die Ablaufzeitfunktion verweist auf SnapChat das die Bilder infamerweise nicht löscht, sondern nur aufhört, sie in der App aufzulisten .
  6. Einige kluge Leute haben auch Vorbehalte daz .
  7. Die einzigen genannten Metadaten sind IP-Adressen und Zugriffszeiten. Metadaten wie An: und Von: Adressen müssen auf ihren Servern in einem zugänglichen Format (d. H. Nur Text oder mit verfügbaren Verschlüsselungsschlüsseln) gespeichert werden, damit die E-Mail an die richtige Person gesendet werden kann. IP-Adressen und Zugriffszeiten können natürlich weiterhin von Angreifern erfasst und gespeichert werden.
  8. Das System kann nicht verwendet werden, wenn Sie offline sind. Kein Aufholen Ihrer E-Mails während eines Fluges oder der U-Bahn. Sie haben keine Kopie Ihrer E-Mail, wenn der Dienst beendet wird.
  9. Ihr privater Schlüssel wird auf den ProtonMail-Servern gespeichert, verschlüsselt mit AES256 unter Verwendung Ihres Postfachkennworts. Dies ist wahrscheinlich, damit Sie ProtonMail auf einem anderen Computer verwenden können und dieser einfach Ihren privaten Schlüssel an diesen Computer senden kann, damit Sie ihn mit Ihrem Postfachkennwort entschlüsseln können. Dies ist ein Kompromiss der Sicherheit für Benutzerfreundlichkeit/Komfort. Dies steht auch im Widerspruch zur Sicherheitsseite auf der Website, auf der angegeben ist, dass sie nicht an den Server gesendet werden.
  10. In Jasons Antwort werden "Tricks" zur Verbesserung der Leistung von RSA erwähnt. Scheinbar harmlose Änderungen wurden zuvor an Kryptocode vorgenommen, die seine Sicherheit vollständig gefährdet haben.

Es ist definitiv nicht NSA-sicher, aber die ganze Begeisterung darüber verwendet genau diesen Ausdruck, um zu behaupten, dass es das ist. Ihr eigener Blog-Beitrag zu Bedrohungsmodellen besagt, dass er nicht NSA-sicher ist.

Es kann für Sie nützlich sein, aber nicht, wenn Sie versuchen, eine Revolution zu organisieren.

12
Ladadadada

"Das getrennte Authentifizierungs- und Entschlüsselungssystem von ProtonMail bedeutet, dass Sie sich bei einem ProtonMail-Konto anmelden, für das zwei Kennwörter erforderlich sind. Das erste Kennwort wird verwendet, um den Benutzer zu authentifizieren und das richtige Konto abzurufen Danach werden verschlüsselte Daten an den Benutzer gesendet. Das zweite Passwort ist ein Entschlüsselungspasswort , das niemals an uns gesendet wird. [ Das zweite Passwort wird verwendet, um die Daten des Benutzers im Browser zu entschlüsseln , sodass wir niemals Zugriff auf die entschlüsselten Daten oder das Entschlüsselungspasswort haben. Aus diesem Grund können wir auch nicht Wenn Sie Ihr Entschlüsselungskennwort vergessen haben, können wir Ihre Daten nicht wiederherstellen. "

Als Kommentar dazu würde ich sagen, dass dies immer noch anfällig für einen SSL-Schlüsselkompromiss im NSA-gegen-Lavabit-Stil ist. Wenn Sie ihren SSL-Schlüssel erhalten können, geben Sie sich als ProtonMail aus und stehlen mit Javascript sowohl das erste als auch das zweite Passwort aller Benutzer. Dies kann das gesamte Verschlüsselungsprotokoll beschädigen.

Auf diese Weise wird es nicht das "einzige E-Mail-System sein, auf das NSA kann nicht zugreifen"): http://www.forbes.com/sites/hollieslade/2014/05/19/the-only-email-system-the-nsa-cant-access /

2
Jasyth

Auf der Registerkarte "Sicherheit" ihrer Seite geben sie Folgendes an:

Wir unterstützen das Senden verschlüsselter Kommunikation an Nicht-ProtonMail-Benutzer über symmetrische Verschlüsselung. Wenn Sie eine verschlüsselte Nachricht an einen Nicht-ProtonMail-Benutzer senden, erhalten diese einen Link, über den die verschlüsselte Nachricht in ihren Browser geladen wird, den sie mit einer von ihnen freigegebenen Entschlüsselungspassphrase entschlüsseln können.

Sieht so aus, als müssten Sie zuerst die Entschlüsselungspassphrase mit dem Empfänger teilen.

0
JSmyth

Das getrennte Authentifizierungs- und Entschlüsselungssystem von ProtonMail bedeutet, dass Sie sich bei einem ProtonMail-Konto anmelden, für das zwei Kennwörter erforderlich sind. Das erste Passwort wird verwendet, um den Benutzer zu authentifizieren und das richtige Konto abzurufen. Danach werden verschlüsselte Daten an den Benutzer gesendet. Das zweite Passwort ist ein Entschlüsselungspasswort, das niemals an uns gesendet wird. Es wird verwendet, um die Daten des Benutzers im Browser zu entschlüsseln, sodass wir niemals Zugriff auf die entschlüsselten Daten oder das Entschlüsselungskennwort haben. Aus diesem Grund können wir auch keine Kennwortwiederherstellung durchführen. Wenn Sie Ihr Entschlüsselungskennwort vergessen haben, können wir Ihre Daten nicht wiederherstellen.

Quelle

Es scheint also, dass ein Passwort zur Authentifizierung verwendet wird und ein zweites Passwort (der Entschlüsselungsschlüssel) verwendet wird, um Ihre Daten wiederherzustellen und in Ihrem Browser anzuzeigen (über HTTPS). Ihr zweites Passwort/Entschlüsselungsschlüssel wird nicht auf den Servern gespeichert, und die gesamte Entschlüsselung erfolgt lokal in Ihrem System. Sie können nicht entschlüsseln, wofür sie keine Schlüssel haben. Dies bedeutet jedoch nicht, dass ein Keylogger auf Ihrem System nicht die zum Entschlüsseln Ihrer Daten erforderlichen Informationen erhalten kann.

Zum Senden sicherer E-Mails an Nicht-Proton-Benutzer:

Auch Ihre Kommunikation mit Nicht-ProtonMail-Benutzern ist sicher.

Wir unterstützen das Senden verschlüsselter Kommunikation an Nicht-ProtonMail-Benutzer über symmetrische Verschlüsselung. Wenn Sie eine verschlüsselte Nachricht an einen Nicht-ProtonMail-Benutzer senden, erhalten diese einen Link, über den die verschlüsselte Nachricht in ihren Browser geladen wird, den sie mit einer von ihnen freigegebenen Entschlüsselungspassphrase entschlüsseln können. Sie können auch unverschlüsselte Nachrichten wie normale E-Mails an Google Mail, Yahoo, Outlook und andere senden.

Aus persönlicher Sicht sieht es sehr sicher aus. Wenn ihre Server jemals beschlagnahmt würden, könnten sie anscheinend nichts tun, um die Daten zu entsperren. Das schwächste Glied sind die Endbenutzer, die von ihnen verwendeten Passwörter und ob ihre Passwörter kompromittiert werden oder nicht (obwohl es so aussieht, als ob die Passwortdatenbank von ProtonMail für das erste Passwort gehackt worden wäre, hätten alle Angreifer nur verschlüsselte Daten, wie nein Datenbank wird verwendet, um das zweite Passwort zu speichern).

0

ich vermute, sie verwenden einen PGP-Schlüssel mit einem öffentlichen und einem privaten Schlüssel. Sie speichern Ihren öffentlichen Schlüssel und Ihren privaten Schlüssel, der mit Ihrem Passwort verschlüsselt ist (Sie müssen ihnen vertrauen, dass sie nur den verschlüsselten privaten Schlüssel speichern). Sie haben Ihren öffentlichen Schlüssel, damit sie alle eingehenden E-Mails verschlüsseln können. Wenn Sie Ihre E-Mails lesen möchten, senden sie Ihnen (sobald dies identifiziert ist) den privaten Schlüssel, der mit Ihrem mit Ihrem Kennwort beschrifteten Kennwort verschlüsselt wurde (dies ist transparent), und Sie können diesen privaten Schlüssel dann zum Entschlüsseln Ihrer E-Mails verwenden. Wenn das so ist, scheint mir ziemlich gut.

0
nightrow