From ad3cebac138f05d5d9dd668afb6effa0f057a3ee Mon Sep 17 00:00:00 2001 From: Sergey Matveev <stargrave@stargrave.org> Date: Wed, 13 Dec 2017 09:31:59 +0300 Subject: [PATCH] =?utf8?q?=D0=A1=D0=BF=D1=80=D0=BE=D1=81=D0=B8=D0=BB=D0=B8?= =?utf8?q?=20=D0=BA=D0=B0=D0=BA-=D1=82=D0=BE=20=D0=BF=D1=80=D0=BE=20=D0=BC?= =?utf8?q?=D0=BE=D1=91=20=D0=BC=D0=BD=D0=B5=D0=BD=D0=B8=D0=B5=20=D0=BE=20P?= =?utf8?q?rotonMail?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit https://en.wikipedia.org/wiki/Protonmail Ð Ñ Ñ Ñ Ð¾Ð´Ñ Ð¸ не знал ÑÑо оÑвеÑиÑÑ. Ðо-пеÑвÑÑ , не Ð¿Ð¾Ð½Ð¸Ð¼Ð°Ñ Ñего ÑÑавниваÑÑ Ð¿Ð¾ÑÑовÑÑ Ð¿ÑовайдеÑов Ð¼ÐµÐ¶Ð´Ñ Ñобой. ÐÑ Ð·Ð°Ð´Ð°Ñа ÑÑо пÑинÑÑÑ Ð¾Ñ Ð¿Ð¾Ð»ÑзоваÑÐµÐ»Ñ Ð½Ð°Ð±Ð¾Ñ Ð±Ð°Ð¹Ñ, ÑÐ¾Ñ ÑаниÑÑ, ждаÑÑ ÐºÐ¾Ð³Ð´Ð° ÑледÑÑÑий ÑеÑÐ²ÐµÑ Ð² ÑепоÑке полÑÑаÑелей бÑÐ´ÐµÑ Ð´Ð¾ÑÑÑпен и пеÑедаÑÑ ÐµÐ¼Ñ ÑÑи байÑÑ. Ð Ñак до моменÑа когда оно ÑвалиÑÑÑ Ð² поÑÑовÑй ÑÑик полÑÑаÑелÑ. ÐÑли ÑÑо-Ñо из ÑÑого не вÑполнÑеÑÑÑ -- ÑÑо не ÑабоÑаÑÑÐ°Ñ Ð¿Ð¾ÑÑа. ProtonMail, как напÑÐ¸Ð¼ÐµÑ Ð¸ Gmail -- ÑабоÑÐ°ÐµÑ Ð¸ ÑÐ²Ð¾Ñ Ð¾ÑновнÑÑ ÑÑнкÑÐ¸Ñ Ð²ÑполнÑеÑ. Ðо-вÑоÑÑÑ , еÑли Ñ Ð¾ÑеÑÑÑ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи, а именно аÑÑенÑиÑикаÑии полÑзоваÑелÑ, пÑовеÑÐºÑ ÑелоÑÑноÑÑи и конÑиденÑиалÑноÑÑÑ ÐºÐ¾ÑÑеÑпонденÑии, Ñо ÑÑÑ Ð¿ÑидÑмÑваÑÑ Ð½ÐµÑего и доÑÑаÑоÑно (Ñ Ð±Ñ Ñказал нÑжно) иÑполÑзоваÑÑ OpenPGP. Чем OpenPGP Ð¼Ð¾Ð¶ÐµÑ Ð½Ðµ ÑгодиÑÑ Ð¿Ð¾Ð»ÑзоваÑелÑм? Ðа ниÑем, кÑоме как оÑÑÑÑÑÑвием PFS. Ðо PFS нÑжен не ÐºÐ°Ð¶Ð´Ð¾Ð¼Ñ Ð¸ не вÑегда. ÐлÑÑ PFS не вÑегда ÑÐµÑ Ð½Ð¸ÑеÑки вообÑе вÑполним, оÑобенно в store-and-forward ÑÑеде email где Ð½ÐµÑ Ð¸Ð½ÑеÑакÑивнÑÑ ÑеÑÑий Ð¼ÐµÐ¶Ð´Ñ Ð°Ð±Ð¾Ð½ÐµÐ½Ñами. ProtonMail, говоÑÐ¸Ñ Wikipedia, Ð´ÐµÐ»Ð°ÐµÑ Ð² бÑоÑзеÑе на JS ÑÑÐ¾Ñ ÑамÑй OpenPGP. ÐÑипÑогÑаÑÐ¸Ñ (ÑеÑÑÑзнаÑ, а не пÑоÑÑо Ñ ÑÑики поÑÑиÑаÑÑ) на JS: никÑо вÑеÑÑÑз о Ñаком не бÑÐ´ÐµÑ Ð´ÑмаÑÑ Ð¸ ÑаÑÑмаÑÑиваÑÑ ÑÑÐ¾Ñ Ð²Ð°ÑÐ¸Ð°Ð½Ñ Ð½ÐµÐ²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾, еÑли Ð¼Ñ Ð³Ð¾Ð²Ð¾Ñим о ÑÑм-Ñо ÑеÑÑÑзном, а не пеÑедаÑе коÑиков или ÑообÑений Telegram. ÐÐ»Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°Ñной поÑÑÑ *нÑжно* иÑполÑзоваÑÑ ÑÑоÑонний ÑоÑÑ -- в бÑоÑзеÑе ÑÑа задаÑа (Ð½Ñ ÐºÑоме как иÑполÑзованием внеÑÐ½Ð¸Ñ PKCS#11/OpenPGP кÑипÑоклÑÑей) невÑполнима. ÐоÑÑÐ¾Ð¼Ñ Ñо, ÑÑо пÑÐµÐ´Ð»Ð°Ð³Ð°ÐµÑ ProtonMail -- ÑÑÑло, лапÑа на ÑÑи, marketing bullshit, к безопаÑноÑÑи оÑноÑÐµÐ½Ð¸Ñ Ð½Ðµ имееÑ. РеÑение Ð´Ð»Ñ Ð¿Ð¾ÑÑÑ ÑÑо иÑполÑзование OpenPGP. Рего без ÑазниÑÑ Ñ ÐºÐ°ÐºÐ¸Ð¼ email-пÑовайдеÑом иÑполÑзоваÑÑ. ÐÑоме Ñого, ÑÑо даже наобоÑÐ¾Ñ ÑолÑко ÑÑÑеÑÑвенно вÑедиÑ. Ðо ProtonMail, гÑÑбо говоÑÑ, Ñ, Ð²Ð¸Ð´Ñ OpenPGP Ñ Ð´ÑÑгой ÑÑоÑонÑ, Ñпокоен и ÑвеÑен ÑÑо Ñ ÑÑим Ñеловеком можно пеÑепиÑÑваÑÑÑÑ Ð½Ð¾ÑмалÑно. Ð Ñ ProtonMail Ñ Ð²Ð¸Ð¶Ñ OpenPGP и не Ð·Ð½Ð°Ñ -- в ноÑмалÑном ли он ÑоÑÑе Ñеализован или ÑÑо JS в бÑоÑзеÑе. ТепеÑÑ Ñ Ð½Ð¸Ð¼ Ñ Ð¿ÑоÑÑо Ñже не ÑвеÑен, мне ÑÑÑаÑно и не безопаÑно. Ðз-за OpenPGP в JS ÑовеÑÑенно невозможно оÑениÑÑ ÑиÑки. ÐÑли Ð±Ñ Ð¾Ð½Ð¾ гÑомко везде кÑиÑало и пÑедÑпÑеждало ÑÑо ÑÑо не пÑоÑÑо OpenPGP вменÑемо Ñозданное ÑообÑение, а ÑоÑÑ Ð½Ð° JS в бÑоÑзеÑе, Ñо ÑÑо бÑло Ð±Ñ Ð¿Ð¾Ð»ÑÑÑе -- Ñогда можно бÑло Ð±Ñ ÑказаÑÑ ÑÑо в Ñаком ÑаÑкладе не бÑдеÑÑ Ð¾Ð±ÑаÑÑÑÑ Ñ Ñеловеком и бÑдеÑÑ Ð¶Ð´Ð°ÑÑ Ð¿Ð¾ÐºÐ° он не ÑÑÑÐ°Ð½Ð¾Ð²Ð¸Ñ Ñебе ноÑмалÑнÑÑ ÑеализаÑиÑ. ÐÐ¾Ð¼Ñ Ð½Ñжна безопаÑноÑÑÑ (конÑиденÑиалÑноÑÑÑ, ÑелоÑÑноÑÑÑ, аÑÑенÑиÑноÑÑÑ), ÑÐ¾Ñ Ð±ÑÐ´ÐµÑ Ð¸ÑполÑзоваÑÑ Ð½Ð¾ÑмалÑнÑÑ ÑеализаÑиÑ, а ÐºÐ¾Ð¼Ñ Ð¾Ð½Ð° не важна -- какой Ñолк Ð¾Ñ ÐºÐ¾Ð´Ð° на JS ProtonMail? Ðозможно ProtonMail не ÑканиÑÑÐµÑ Ð¿ÐµÑепиÑкÑ, не пÑодаÑÑ/ÑÐ»Ð¸Ð²Ð°ÐµÑ ÐµÑ, не Ð´ÐµÐ»Ð°ÐµÑ ÐºÐ°ÐºÐ¾Ð¹-нибÑÐ´Ñ ÑÐµÐºÐ»Ð°Ð¼Ñ Ð½Ð° оÑнове ÑÑÐ¸Ñ Ð´Ð°Ð½Ð½ÑÑ , в оÑлиÑии Ð¾Ñ Gmail, коÑоÑÑй не ÑкÑÑÐ²Ð°ÐµÑ ÑÑо лÑÐ±Ð¸Ñ ÐºÐ¾Ð¿Ð°ÑÑÑÑ Ð² наÑей гÑÑзной пеÑепиÑке. ÐÑо единÑÑвенное Ñем он мог Ð±Ñ Ð±ÑÑÑ Ð»ÑÑÑе. ÐÑоÑÑо как пÑовеÑиÑÑ ÑÑо он ÑÑо не делаеÑ? Gmail Ð´ÐµÐ»Ð°ÐµÑ ÑоÑно, а ProtonMail пÑоÑÑо не извеÑÑно. ÐÑжно лиÑно знаÑÑ ÐµÐ³Ð¾ владелÑÑев, админов и знаÑÑ ÐºÐ°Ðº Ñам вÑÑ ÑÑÑÑоено. Ð Ñак ÑÑо пÑоÑÑо повеÑиÑÑ Ð½Ð° Ñлово. Wikipedia подÑÑÑÐºÐ¸Ð²Ð°ÐµÑ ÐºÐ°Ðº они акÑивно иÑполÑзÑÑÑ HTTPS и TLS. ÐÑли ÑеÑÑ Ð¿Ñо безопаÑноÑÑÑ, Ñо ÑÑÑ ÑолÑко об end-to-end можно дÑмаÑÑ. TLS/HTTPS Ñоли не игÑаеÑ. РезÑмиÑÑÑ: как store-and-forward пÑÐ¾Ð²Ð°Ð¹Ð´ÐµÑ Ð¿Ð¾ÑÐµÐ¼Ñ Ð±Ñ Ð¸ не иÑполÑзоваÑÑ ÐµÐ³Ð¾ -- ÑÐ°ÐºÐ¸Ñ ÑоÑни и вÑе более менее ÑпÑавлÑÑÑÑÑ Ñ ÑÑой задаÑей. ÐаÑаÑелÑно вÑего ÑÑо они воÑоÑÑÑ ÑÐºÐ¾Ð±Ñ ÑвÑзанное Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑÑÑ -- marketing bullshit, Ñак как ÐºÐ¾Ð¼Ñ Ð¾Ð½Ð° важна, ÑÐ¾Ñ Ð² лÑбом ÑлÑÑае бÑÐ´ÐµÑ Ð¸ÑполÑзоваÑÑ OpenPGP (или ÑÑо-Ñо Ñ PFS-ом напÑимеÑ). ÐÑ Ð¿Ð¾Ð´Ð´ÐµÑжка OpenPGP ÑолÑко вÑÐµÐ´Ð¸Ñ Ñем, ÑÑо ÑÑало Ñложнее оÑениваÑÑ ÑиÑки, не пÑиноÑÑ Ð½Ð¸ÐºÐ°ÐºÐ¾Ð¹ ÑеалÑной полÑзÑ. -- 2.51.0