26.01.2019, 23:19
[Aby zobaczyć linki, zarejestruj się tutaj]
autorstawa[Aby zobaczyć linki, zarejestruj się tutaj]
, firmy zajmującej się audytami bezpieczeństwa oprogramowania, kryptografią komputerową itp.Nie zebym rozumiał wszystkie szczegóły odnośnie kryptograficznej strony, ale w skrócie:
- Jeżeli korzystasz z webowej wersji Protonmail, serwer Protonmail (wedle założeń samej usługi - niezaufany) może uzyskać twój klucz PGP i odszyfrować Twoje maile bez Twojej wiedzy.
- Jeżeli korzystasz z Apki mobilnej, jesteś bezpieczny, ale wystarczy, że raz zalogujesz się w wersji przeglądarkowej i ułomność opisana powyżej staje się możliwa do wykorzystania i odczytania wszystkich Twoich maili.
- Protonmail nie wymusza silnych haseł, przez co niektóre da się złamać metodą słownikową.
- Protonamil nie wymusza silnego "hashownia" (liczba powtóreń funkcji bcrypt 2^10), co zdaniem autora sprawia, że przy współczesnej mocy komputerów łamanie haseł staje się możliwe.
- Już w 2015 pojawiały się wpisy sugerujące podobne błędy.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...