GovBox posiela emaily nešifrovane (keď si odmyslíme šifrovanie kanálu SMTPS, ktorým to ide). Niektorí používatelia navrhli, že by sa emaily mohli posielať šifrovane (S/MIME) alebo aspoň zaheslovane (zip). Nevýhody sú zrejmé. S/MIME potrebuje podporu klienta, so zipom sa stráca výhoda okamžitého pozerania príloh správ.
Ja (http://hany.sk/~hany/gpg/475DFC4C.txt) mam rad OpenPGP (http://openpgp.org/). 
Isty cas sa na to nechala nahovorit aj TB ohladom mail vypisov, zatial stale funguje.
Na vsetko sa najde asi nejaka chyba: https://www.root.cz/clanky/chyba-efail-umoznuje-cist-zpravy-zasifrovane-pomoci-pgp-a-s-mime/
Mozno by som uvazoval nad inou cestou. Aj ked asi dost komplikovanou, ale bezpecnejsou a to vlastna aplikacia na govbox? Na principe aplikacii internet bankingu, ktora si bude robit vlastne zabezpecene spojenie so serverom a vlastne sifrovania lokalne.
Pri emailoch je to naozaj limitovane aplikaciami.
Preto chytrejsi odo mna hovoria “Don’t roll your own crypto, bro.”. Referencie:
- Why You Don't Roll Your Own Crypto
- cryptography - Why shouldn't we roll our own? - Information Security Stack Exchange
Cim som chcel povedat, ze EFAIL v PGP&co. je fakt zle, ale nadalej verim vyrazne viac PGP&co. nez “vlastnej apke”, ci uz fakt mojej, alebo nejakej od banky ci S.D 
. Typicky preto, ze taky EFAIL by sa v tych “vlastnych apkach” hladal a fixoval vyrazne tazsie.
Samozrejme ak sa pouzije riesenie, ktore ma nejaku chybu, ta bude skor ci neskor opravena. A pokial aj tam je nejaka chyba, da sa voci nej vacsinou adekvatne zabezpecit. O tom pisat nemusime. Skor mi slo o tu kompatibilitu, ze bezny default android klient nepodporuje sifrovanie mailov a tak dalej. Your own crypto je asi trosku o inom, ak som to pochopil spravne. Samozrejme nejdeme do aplikacie vkladat vlastne algoritmy a pod., ale skor pouzit existujuce riesenie s certifikatmi, ktore budu zabezpecovat spojenie a kode do aplikacie, ktory funguje ako passphrase. Tu je to uz skor o tom ci to bude vhodne naprogramovane, aby tie certifikaty ci passphrase neostavali v pamati alebo niekde v /tmp a ine faily. V tomto pripade moze byt kod tejto aplikacie tym padom aj open vzhladom na to, ze certifikaty budu vydavane autoritou (govbox), resp. po uvodnom logine v aplikacii sa certifikaty vygeneruju (zas sa mozme opierat o zranitelnosti pri generovani na zariadeniach). Asi na kazdom kroku mozme najst problem.
Aby som sa v tom nemotal, urcite moznost pgp je super. Ale moze narazit na problem instalacie dalsej aplikacie kedy bude mat user 2 mailove appky na rozne veci a bude nespokojny alebo vyvoj vlastnej aplikacie, ktora moze okrem sprav byt rozsirovana o dalsie sluzby/moduly, bude profesionalnejsia (snad) a uzivatel nebude mat pocit, ze je to nejaka zlatanina, kvoli ktorej musi mat v mobile “2 emaily” ako by laik povedal.
1 Like
Ja len pre info, zatial to nechcel od nas ziadny z asi 600+ zakaznikov.
Zakaznikovi to je asi jedno pokial ho na to niekto neupozorni. Otazka je ci aktualny stav je dostatocny pre adekvatne zabezpecenie. Ked sa na to pozrieme z ineho pohladu a to, ze sa jedna prakticky o sluzbu tretej strany, t.j. ak sa pohyujeme v ramci slovensko.sk tak pouzivame nejaku homogennu sustavu (ak to tak mozno nazvat a ak to tak aj realne je) a tym padom je predpoklad, ze sa jedna o bezpecnu sluzbu.
Akonahle vsak opustame vody statnych serverov a ideme do sluzieb tretej strany, ta musi dokazat, ze ma adekvatne zabezpecene veci. Zakaznik sa zacne v tom rypat az ked si uvedomi, ze by zo zleho zabezpecenia mohol byt problem alebo sa do toho pusti nejaky aktivista a zacne sa rypat vo veciach.
hmmm
Ale Europa ma doveryhodne riesenie na cele dorucovanie. Vola sa eDelivery a je centralne vyvinute, udrziavane a pre kazdeho zdarma k dispozicii. Pri dorucovani do inych clenskych statov sa aj tak bude musiet pouzit. https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eDelivery
Preco my SVK mame SKTalk a statne schranky
bez tychto stavebnych blokov nejaka interoperabilita a Jednotny Europsky Trh su iba bullshit bingo buzzwordy…
3 Likes
Aby som sa “pripojil”, tak potrebujem “kod”. Zatial som nasiel toto:
Vies aj o niecom dalsom? (Resp. idem na to vobec dobre?) Povedzme, ze som teda obcan a chcem cosi ako GovBox apku alebo si to dat rovno preposlat na mail.
(Security, potvrdzoanie atd. do urcitej veci “beriem” (akceptujem), ale potrebujem to kvoli efektivnosti nejako naparovat na existujuce veci, aby som nemal na komunikaciu s X partnermi Y nastrojov, kedze ak by sa Y blizilo X, tak by to bolo nezvladnutelne.)