[MASOCH-L] seguranca do e-mail e SSL
Rubens Kuhl
rubensk at gmail.com
Sat Sep 7 12:48:14 BRT 2013
2013/9/7 Carlos <carlos at greco.com.br>
> A ultima reportagem que assisti na globo diz que EUA e Inglaterra tem
> programa para ler SSL.
>
> Como segurança no e-mail diz respeito ao nosso trabalho, acho que seria
> muito importante discutirmos o assunto de forma a criamos algumas padrões e
> orientações a ser seguida.
> Quem sabe com isso podemos oferecer um serviço para concorrermos com os
> gigantes do e-mail grátis.
>
SSL/TLS tem diversas opções de algoritmos em cada passo do processo (troca
de chaves públicas, chaves de sessão). Alguns desses algoritmos já eram
considerados vulneráveis para atacantes com poucos recursos; a única
novidade de agora é a aparente capacidade dos governos de explorar
vulnerabilidades antes consideradas teóricas, mas já conhecidas.
A seleção de algoritmos para evitar isso é possível tanto para um serviço
independente quanto para os gigantes do e-mail grátis. Por exemplo, o Gmail
hoje tem este perfil:
Your connection to mail.google.com is encrypted with 128-bit encryption.
The connection uses TLS 1.2.
The connection is encrypted using RC4_128, with SHA1 for message
authentication and ECDHE_ECDSA as the key exchange mechanism.
O ECDHE_ acima significa um smiley triste para a NSA... referências:
https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-deploying-forward-secrecy
https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy
Uma das dificuldades hoje é a falta de suporte a bons algoritmos no
software dos usuários, mas um prestador de serviço com esse foco precisa
tanto suportar o que houver de mais robusto quanto alertar o cliente de que
o que ele está usando não é.
Rubens
More information about the masoch-l
mailing list