информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Spanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 И ещё раз об интернет-голосовании 
 Типовые уязвимости в драйверах... 
 Logitech готовится закрыть очередную... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
S-Mail. Впечатления проверяющего. Вступление. 31.05.02 11:15  Число просмотров: 4259
Автор: Komlin Статус: Незарегистрированный пользователь
Отредактировано 31.05.02 11:16  Количество правок: 1
<"чистая" ссылка>
Уважаемый читатель. Эта заметка не является каким-то официальным отчётом по тестированию S-Mail. Речь идёт просто о впечатлениях от работы с системой. Поэтому умышленно не оформлял её в виде статьи.

Предыстория:
Где-то пол-года назад в Рунете появилась новая почтовая служба. От своих многочисленных собратьев она отличалась интересным свойством. Эта почта была изначально ориентированна на безопасность пользователя. Для реализации задуманного в ней применялось полное (нередко избыточное) шифрование всей входящей и исходящей корреспонденции при помощи ассиметричных ключей. Как потом выяснилось она довольно интенсивно рекламировалась в сети.
К своему сожалению, я полностью прозевал это событие и узнал о нём только когда пару недель назад обратился один из разработчиков системы с предложением о "публичном аудите сервиса".
Учитывая, что это предложение само по себе уникально, отказаться не смог несмотря на то, что не являюсь в своих глазах экспертом в таких вопросах.
Свои впечатления от данного проекта я разбил на три части выложенных в последующих сообщениях . Первая часть касается применения ассиметричной криптографии в Интернете.

Приложение 1.

Схема работы почты и её отличия от обычных решений в области защиты переписки.

Для клиента схема работы системы достаточно проста: в процессе регистрации случайным образом генерируется его секретные ключи для шифрования почты и цифровой подписи. Затем они шифруются с помощью выбранного пользователем пароля и шифр отсылается на сервер. Туда же отсылаются и открытые ключи с помощью которых будет происходить общение с другими абонентами.
При входе пользователя в сервис осуществляется обратная операция. По её окончании на сервер отсылается случайный подписанный код и если его проверка подтверждает подлинность абонента последний получает доступ к своему почтовому ящику.
Вся информация (письма) в ящике также хранится в зашифрованном виде. Их дешифровка происходит непосредственно на компьютере посетителя.
Все отправляемые ему ( или им) письма шифруются с помощью его (или адресата) открытого ключа непосредственно на машине отправителя и на сервер поступают уже в закодированном виде.
Таким образом, теоретически, никто кроме самого читателя не сможет прочитать свою корреспонденцию. Всё это происходит абсолютно незаметно для пользователя и внешне работа с системой ничем не отличается от своих WWW-собратьев, кроме чуть более медленной загрузки системы.
Максимум на что (в теории) может рассчитывать сотрудник или взломщик сервера , это прочитать не шифруемые заголовки почты (адреса, дату, тему (subject) письма).
Вся клиентская часть реализована на Java и Javascript. Их анализ не составляет большого труда т.к. коды апплета не обфусцированы.
<theory> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach