Przerwijmy to:

1. Bob i Alicja chcą zaangażować się w dwukierunkową komunikację e-mailową.
2. Bob i Alicja muszą używać swoich osobistych adresów e-mail.
3. Ewa ma możliwość obserwowania całej komunikacji w systemie.
4. Ewa nie może uczyć się o żadnej specjalnej komunikacji między Bobem i Alicją.
5. (Alicja nie może się uczyć że Bob jest żonaty.)

Ostatnie stwierdzenie (5) zabrania ci używania systemów współpracy do ukrycia komunikacji, ponieważ Alicja natychmiast zaczęłaby się zastanawiać, czy Bob poprosił ją o takie użycie.

Jednak bez udziału Alice, Ewa dowie się o niewierności Bobsa, gdy Alice odpowie Bobowi najnowszą .

Dlatego proponuję odrzucić punkt 5. Jeśli Alicja aktywnie pomaga Bobowi, mogą potencjalnie trzymać Ewę w ciemności.

W tym celu Bob wysyła zaszyfrowane wiadomości do wszystkich swoich przyjaciół (różne wiadomości do różnych osób). Ponieważ Ewa nie może ich odszyfrować, nie może przeczytać wiadomości Alicji. A ponieważ wszyscy przyjaciele odbierają pocztę, Ewa nie może wywnioskować o szczególnej relacji między Bobem i Alicją.

Teraz ważne jest, aby wielu przyjaciół Boba odpowiadało na jego wiadomości (dlatego musiał wysyłać im sensowne wiadomości ). W przeciwnym razie Ewa mogłaby wywnioskować, kto jest odbiorcą głównej wiadomości (Alice), ponieważ Alicja byłaby jedyną osobą, która odpowiadałaby.

Oczywiście wszystkie odpowiedzi wysyłane do Boba również powinny być zaszyfrowane. (Ale Bob z pewnością ma tylko przyjaciół i kochanki dbających o bezpieczeństwo.)

... Podsumowując, Bobowi lepiej jest pozostać wiernym;)

Jeśli Bob może posiadać komputer Alicji (wszystkie) bez wykrycia, może owinąć bota wokół swojego klienta poczty e-mail, który współpracuje z Bobem w najwygodniejszy dla niego sposób, a następnie przedstawia komunikację Alicji w postaci zwykłego tekstu z adresu Boba, chociaż to nieprawda. Wychodzące wiadomości e-mail do Boba są również przechwytywane i komunikowane wspólnie.

Jeśli Bob może posiadać sieć Alicji (wszystkie) w dół od wszystkich miejsc, które Eve może monitorować, tam bot może zrobić to samo.

Jeśli Bob może posiadać komputer Eve (wszystkie) bez wykrycia, może lobotomować jej narzędzia monitorujące, aby nie widzieć, co tam jest.

Widzę nie mniej inwazyjne rozwiązanie.

Możliwym rozwiązaniem byłoby użycie filtrowania / przekierowania opartego na regułach na serwerze i fałszowania adresów.

1.) Poczta z konta Alicji na adres Bob@Bob.Bob jest natychmiast na serwerze - przekierowany na tajne konto pocztowe, którego używa do swojej sprawy. O ile Ewa nie jest w stanie wyświetlić reguł filtrowania serwera i / lub dzienników na serwerze pocztowym, nigdy się nie dowie, że Bob odbiera pocztę od Alicji.

Uwaga: nie jest to pewne rozwiązanie, jeśli nie ma Maile związane z romansami wracające & między Alice i Bob, które powinna widzieć Eve, aby nie stała się podejrzliwa (co jest zupełnie nowym problemem samym w sobie, ponieważ Alice z pewnością będzie mieszać prywatne informacje biznesowe &, tak jak kochankowie nie mają zwyczaju do zrobienia).

2.) W przypadku poczty z konta Boba do Alicji, będzie on podszywał się pod adres nadawcy, który pochodzi od Bob@Bob.Bob. O ile Alicja nie zna nagłówków i nie sprawdza nagłówków poczty pod kątem niespójności, nigdy nie będzie mądrzejsza.

To rozwiązanie ma kilka warunków wstępnych:

A. Ewa jest w stanie monitorować tylko ruch na komputerze Boba (chyba że jest zaszyfrowany, jak w wielu usługach poczty internetowej) i pocztę (konto klienta lub poczty internetowej), a NIE dzienniki serwera poczty i / lub reguły filtrowania.

B. Oczywiście serwer pocztowy Boba musi umożliwiać filtrowanie po stronie serwera i przekierowywanie, aby wiadomości od Alicji nigdy nie pojawiały się na rzeczywistym koncie pocztowym Boba.

C. Serwer SMTP tajnego konta Boba musi zezwalać na wysyłanie e-maili z innym adresem nadawcy.

Brak rozwiązania. Jak podkreśla Philipp, Twoje wymagania sprowadzają się do tego, że „Bob i Alicja mogą komunikować się tylko w postaci zwykłego tekstu bezpośrednio przez monitorowany kanał”, ponieważ jeśli Bob użyje czegoś innego, Alicja zda sobie sprawę, że coś ukrywa.

Zakładasz, że dana osoba może mieć tylko jeden osobisty adres e-mail, ale to nieprawda. Jeśli Alicja nie jest świadomym uczestnikiem cudzołóstwa Boba, nie powinno być powodu, dla którego musiałaby wiedzieć, że bob@bob.bob jest „jedynym” osobistym adresem Boba. Mógłby dać jej bob@gmail.com, a ona nie byłaby mądrzejsza.

Alternatywnie, jeśli Ewa jest w stanie monitorować tylko sieć, ale nie komputer, Bob mógłby ukryć wiadomość e-mail za pomocą serwera- oparty na kliencie poczty elektronicznej i bezpiecznie się z nim komunikuje. Jeśli Ewa może monitorować komputer, mogłaby zobaczyć korespondencję e-mail przed (lub po) przeprowadzeniu jakichkolwiek operacji szyfrowania (lub deszyfrowania).

Nowoczesny sposób wysyłania e-maili już daje odpowiedź na problem Boba. W rzeczywistości usługa taka jak GMail już szyfruje komunikację e-maili między dwoma adresami Gmaila. Co więcej, Bob może połączyć się ze swoim front-endem poczty e-mail za pomocą protokołu HTTPS, dzięki czemu wszystkie podsłuchy są puste.

Jeśli uznamy, że Bob jest nieostrożny i wysyła swój e-mail do swojej nowej ukochanej za pośrednictwem zwykłych połączeń tekstowych, mógłby skonfigurować przekaźnik e-mail, z którym komunikuje się za pomocą dowolnej wybranej metody kryptograficznej, zezwolenie przekaźnikowi na przekierowanie poczty. Eve widzi tylko zaszyfrowaną wiadomość e-mail wychodzącą od Boba do przekaźnika.

Jednak jeśli Ewa jest w stanie monitorować ruch przychodzący u Alicji (ponieważ może szpiegować wszystkich kandydatów), nie ma dużo Bob może zrobić, ponieważ musi używać własnego adresu dla Alicji.

Bardzo dziwne, że nikt nie wspomina o rozwiązaniu, w jaki sposób generał David Petraeus ukrył swój romans przed wzrokiem ciekawskich:

Obaj mają wspólne konta e-mailowe. Każdy z nich zapisuje swoją wiadomość dla drugiej osoby jako Wersja robocza, w ogóle jej nie wysyłając. Tak więc jedyna wykrywalna transmisja (która jest zwykle szyfrowana) odbywa się między Petraeusem a serwerem (Yahoo, Google Mail cokolwiek) w celu zapisania wersji roboczej. I oczywiście, jeśli ktoś pyta, po prostu czyta jego e-maile, nic więcej.

EDYCJA: Jest to możliwe, ale pod warunkiem, że Alicja jest nieudolna technicznie, ma konto poczty internetowej a Bob jest dość złośliwy.

Bob odbiera wiadomości od Alicji:
Bob konfiguruje serwer poczty (ostatecznie ukryty) w swoim miejscu pracy i podaje adres Alicji. Ewa zostaje poinformowana o zainstalowaniu nowego systemu śledzenia czasu. Serwer pobiera wiadomości od Alicji i umieszcza je steganograficzne ukryte w informacjach o pracy (przepracowałeś bla bla godzin), które następnie widzi Ewa. Aby uniknąć złego czasu, Bob konfiguruje cronjob, aby wiadomości były zawsze wysyłane w tym samym czasie. Ewa nie widzi niczego podejrzanego, tylko głupie nudne maile z pracy przychodzące z miejsca pracy.

Alicja odbiera wiadomości od Boba:
Mocniejsze, bardziej złośliwe i zależne od głupoty Alicji. Bob musi uzyskać hasło Alicji do jej konta (oferta skonfigurowania programu pocztowego, podważ, gdy Alice szuka jej e-maila). Następnie, kiedy Bob otrzymał jej wiadomości, Bob bezczelnie loguje się jako Alicja, zapisuje swoją odpowiedź jako wersję roboczą i przenosi wiadomość do skrzynki odbiorczej ! Oczywiście każdy użytkownik, który spojrzałby na nagłówki, zobaczyłby od razu oszustwo, ale jak powiedziano, zależy to od głupoty Alicji.

Bitmessage może być rozwiązaniem. Zobacz https://bitmessage.org/wiki/Main_Page. Bitmessage ukrywa, kto się z kim komunikuje, a wszystkie wiadomości wysyłane przez sieć są szyfrowane, uwierzytelniane i podpisywane cyfrowo.

Z Wikipedii: Bitmessage to zdecentralizowany, zaszyfrowany, pozbawiony zaufania protokół komunikacji peer-to-peer które mogą być używane przez jedną osobę do wysyłania zaszyfrowanych wiadomości do innej osoby lub wielu subskrybentów. Bitmessage szyfruje skrzynkę odbiorczą każdego użytkownika za pomocą kryptografii klucza publicznego i replikuje ją w swojej sieci P2P, mieszając ją ze skrzynkami odbiorczymi innych użytkowników, aby ukryć tożsamość użytkownika, zapobiec podsłuchiwaniu i umożliwić działanie sieci w sposób zdecentralizowany. Protokół komunikacyjny Bitmessage zapobiega fałszowaniu nadawcy poprzez uwierzytelnianie i ukrywa metadane przed systemami podsłuchowymi

To było całkiem dobre pytanie i pomimo kilku komentarzy, jest bardzo istotne dla bezpieczeństwa. To także prawdziwy problem. Nie daj się wciągnąć w cudowne szczegóły. zamiast tego skup się na ogólnym problemie, który można w równym stopniu odnieść do rzeczywistych problemów, z którymi borykają się dziennikarze lub prawie każdy, kto mieszka w kraju, w którym kontrola rządu i swobody obywatelskie mogą być sprzeczne. Zasadniczo jest to problem z metadanymi. Strona trzecia nie musi faktycznie znać treści komunikacji, aby wyciągnąć wnioski na temat tego, co było w komunikacji. Fakt, że wnioski te mogą opierać się na niedokładnych lub błędnych założeniach, jest w dużej mierze nieistotny.

Ogólne pytanie brzmi: w jaki sposób strona A może komunikować się ze stroną B bez strony C, która ma dostęp do metadanych strony A, wiedząc, że nastąpiła komunikacja?

W przypadku poczty elektronicznej jest to niezwykle trudne. Istnieją inne protokoły, które albo mają mniej użyteczne metadane, albo pozwalają na zaciemnienie metadanych. Jednak problem polega na tym, że strona B może nie być w stanie lub nie chcieć lub nawet nie być świadoma tych innych protokołów. Zaletą poczty elektronicznej jest jej wszechobecność.

Jeśli założymy ograniczenia pierwotnego wstrzymania problemu, tj. strona A nie może po prostu uzyskać innego adresu e-mail, wówczas najbardziej oczywistym rozwiązaniem wydaje się być wykorzystanie scenariusza typu MiTM. Zasadniczo pewna forma przekazywania, w której strona A wysyła wiadomość do strony D, która wysyła ją do strony B, a odpowiedź strony B jest wysyłana do strony D, a następnie z powrotem do strony A. Ma to jednak również szereg ograniczeń. Strona B (która nie współpracuje) może zauważyć, że wiadomości są przekazywane i stać się podejrzana. Podobnie, strona C może się zastanawiać, jakie są wiadomości wysyłane do punktu przekaźnikowego i stać się równie podejrzana, zwłaszcza jeśli C jest w stanie skojarzyć wiadomości przychodzące do przekaźnika z innymi zachowaniami i jest wystarczająca częstotliwość. Problem z używaniem jakiejkolwiek formy przekaźnika polega na tym, że nie zmienia ona ogólnego wzorca metadanych - po prostu dodaje do procesu kolejny przeskok.

Metadane dotyczą wzorców i analizy wzorców. Aby ukryć komunikację na tym poziomie, musisz zasłonić wzorce. Zamiast jednego przekaźnika należy mieć wiele przekaźników i używać każdego przekaźnika dla wielu odbiorców. Odmawiaj wzorce, komunikując się z wieloma osobami (w przykładzie PO, nie wysyłaj e-maili tylko do swojej kochanki, ale także z wieloma innymi kobietami, które nie są twoją kochanką).

Chyba chodzi o to, że wszystko, co robisz, pozostawia metadane. Te metadane można wykorzystać do sporządzenia założeń na podstawie wzorców zidentyfikowanych w metadanych. Każdy, kto twierdzi, że tylko ludzie, którzy mają coś do ukrycia, muszą martwić się o metadane, nie są w stanie pomyśleć o tym, jakie założenia twórcy mogą wyprowadzić z tych wzorców. Jeśli wyciągający wnioski mają wystarczającą władzę, to fakt, że założenia mogą być błędne, jest nieistotny - jeśli uznają założenia za słuszne, postąpią odpowiednio, co może mieć niekorzystny wpływ niezależnie od prawdy. Dla tych, którzy mają wystarczającą moc / wpływ, to, jak postrzegasz, może być równie ważne, jak to, jak jesteś - jeśli twój partner wierzy, że oszukujesz, twoje życie prawdopodobnie stanie się nieszczęśliwe, niezależnie od tego, czy jesteś, czy nie. Jeśli Twój rząd uważa, że ​​prezentujesz wzorce danych powszechnie kojarzonych z działalnością terrorystyczną, prawdopodobnie potraktują Cię w ten sposób niezależnie od Twoich faktycznych działań, a jeśli Twoja firma uzna, że ​​zidentyfikowała Cię jako demaskatora na podstawie metadanych, prawdopodobnie znajdziesz się bezrobotni niezależnie od rzeczywistości.

Metadane są cenne i potencjalnie niebezpieczne. Będzie istnieć niezależnie od tego, czego zechcemy. Ważne jest, aby dostęp był odpowiednio kontrolowany, a dostęp podlegał odpowiednim kontrolom i równowadze. Nie możemy zakładać, że ponieważ niektóre metadane wydają nam się nieszkodliwe, inne nie mogą z nich korzystać, zwłaszcza w połączeniu z innymi źródłami. Z punktu widzenia bezpieczeństwa powinniśmy stosować normalną zasadę „potrzeby wiedzy” do wszystkich naszych danych, a nie tylko do danych, które naszym zdaniem są wrażliwe lub ważne. Musimy założyć, że zawsze jest ktoś mądrzejszy i bardziej kreatywny niż my, a jeśli zamierzasz oszukiwać swojego partnera, upewnij się, że masz oddzielną tożsamość sieciową, o której nic nie wiedzą!