Эксперт: Lavabit никогда не был безопасным

image

Теги: Lavabit, безопасность, почтовый сервис

Мокси Марлинспайк сообщил, что усилия владельца Lavabit над созданием сервиса приведут к появлению очередной уязвимой службы, претендующей на звание безопасной.  

Эксперт по безопасности Мокси Марлинспайк (Moxie Marlinspike) подверг сомнению тот, факт, что новый почтовый сервис от владельца Lavabit Ладара Левисона (Ladar Levison) действительно будет защищен от слежения со стороны спецслужб. Более того, зашифрованный сервис электронной почты Lavabit никогда не был безопасным.

«В конце концов, как это возможно, что сервис, у которого не было доступа к пользовательским электронным ящикам, прекратил свою работу, чтобы не предоставлять доступ к содержимому электронных писем в ответ на запросы?», - написал Марлинспайк в блоге.

По словам эксперта, главной проблемой Lavabit было то, что все персональные ключи шифрования пользователей хранились на его сервере. Да, эти ключи, как и пароли, были зашифрованы, однако, каждый раз, когда пользователь хотел прочитать свою электронную почту, пароль передавался на сервер, что само по себе небезопасно.

«В отличие от более защищенных серверов, которые получают и отправляют данные в зашифрованном виде, этот сервер получал и отправлял незашифрованные данные. На сервере хранится пароль пользователя для аутентификации, он же используется и для ключа шифрования», - пояснил Марлинспайк.

Таким образом, для того, чтобы прочитать электронную почту пользователей Lavabit, Левисону было достаточно перехватить пароль, переданный на сервер, затем с его помощью расшифровать персональный ключ, после чего расшифровать электронные сообщения. Даже если утверждения Левисона верны, и он действительно никогда не читал электронную почту своих пользователей, это вполне могли сделать злоумышленники.

«Когда они (сотрудники Lavabit) говорили, что «не могут» читать вашу электронную почту, они имели в виду, что просто не будут», - добавил эксперт. Марлинспайк отметил, что не хочет очернить Левисона, однако опасается, что его усилия над созданием сервиса с открытым исходным кодом приведут лишь к появлению очередной уязвимой службы, претендующей на звание безопасной.


или введите имя

CAPTCHA
-_-
11-11-2013 14:11:05
Да, всё строится на доверии. К криптографии и публичной математике в том числе. К.О.
0 |
Руслан
11-11-2013 18:32:41
А что мешает сертификат загружать с сервера и расшифровывать на клиентской стороне, а уже приватным ключом сертификата расшифровывать переписку? Тогда пароль не передаётся на сервер, а, значит, перехватить его никто не может.
0 |
DmA
12-11-2013 16:04:08
Используйте GPG4Win на любом почтовом клиенте и заведя почту на любом почтовом сервере. Всё уже изобретено давно,просто нужно начать этим пользоваться...
0 |