Säkert epost – Countermail.com
I skrivandets stund är detta förmodligen den säkraste epostleverantören som finns på internet.
I denna tråd på flashback svarar en av sidans utvecklare på frågor, https://www.flashback.org/t1203921
Bland annat svarar han här på frågan vad det är för skillnad mellan countermail och hushmail som också är en populär leverantör av säker epost.
Simson1 wrote:Här är några av skillnaderna mellan Hushmail och Countermail:
1. Säkrare inloggning på CounterMail, CM kör alltid PGP+RSA+SSL. CM kan ej switcha till SSL-only som Hushmail kan göra om de skulle vilja få tillgång till ett av deras email-konton2. CM läcker inte timestamps i sina nycklar, hos Hushmail det är enkelt att ta reda på när ett konto skapades
3. Hos CM kan man radera sin privata nyckel från CM:servrar, den privata nyckeln kan man sen lagra var man vill, t.ex i en mobil eller på ett USB-minne. Man kan även byta ut hela nyckelparet om man kontaktar CM
4. CM:s java applet kan köras direkt ifrån din lokala dator eller USB-minne, dvs. äkta end-to-end security, detta innebär att även om en tjuv skulle ha root-access på servern så kan tjuven ej skicka en förfalskad java applet till dig, han kommer då ej kunna få tag i lösenordet
5. Hushmail har inget extra skydd mot keyloggers. Hos CM kan man köpa USB-nycklar som skyddar mot de flesta keyloggers och även mot oönskade inloggningar. Här ett exempel där man använde en keylogger mot Hushmail: http://news.cnet.com/8301-10784_3-9741357-7.html
6. CM loggar inte IP-nr! Hushmail har mig veterligen ingen klar policy ang. detta.
7. CM:s web servrar har ingen hårddisk, inga IP-nr kan alltså läcka till någon lokal disk. En reboot och allt är nollställt
8. Hushmail har inget extra skydd mot SSL-MiTM attacker. Detta innebär bl.a att om en tredjepart har tillgång till ett CA-rootcert som finns på den datorn du loggar in ifrån så kommer tredjeparten att kunna se vissa känsliga uppgifter, t.ex vilket inloggningsnamn du har och vem du mailar till. Det finns även legitima anledningar till någon installerat ett extra CA-cert på en dator som t.ex de företag som använder SSL-gateways på sina LAN, dessa gateways terminerar SSL-krypteringen i förtid för att kunna scanna trafiken, bl.a för att scanna virus eller för att kunna spåra ev. oönskad trafik. Om man jobbar på ett företag som använder SSL-terminerare så kan adminstratören på företaget se bl.a vilket Hush-namn du loggar in med. CM krypterar först användarnamnet lokalt innan det skickas till CMs inloggningserver, på så sätt går det ej att se vilket namn man loggar in med även om någon skulle terminera SSL-anslutningen.
9. CM har skydd mot DNS-poisoning, innan anslutningen görs mot inloggningsservern så kontrolleras att domänen pekar mot rätt IP-nr
10. CM kommer snart att lägga till en “time-delay” funktion där användaren själv kan välja när mailet skall skickas, t.ex inom ett slumpmässigt valt antal minuter eller vid ett specellt datum, denna funktion kan även användas som “livförsäkring”, t.ex om användare inte loggar in på X antal dagar så kommer ett mail automatiskt att skickas till en viss mottagare. Time-delayed email gör även att det i praktiken blir omöjligt för någon tredje part att lyckas med timing-attacker, dvs. när en tredjepart har tillgång till både in- & utgående trafik och på så sätt får statistik som leder till en identitet
Det finns även fler skillnader om man räknar in de andra funktionerna som är under utveckling.
Detta kan också vara av intresse,
Simson1 wrote:CM har blivit kontaktade två ggr av myndigheter. En gång från USA och en gång från bedrägeriroteln i Sthlm. CM kunde inte ge dom något lösenord, IP-nr eller någon okrypterad mailtext, eftersom CM inte lagrar sådan info. I det svenska fallet (en svindlare på Blocket) kunde CM ge polisen en Hotmail adress som scammern hade mailat till (från ett mail som låg kvar i Sent-mappen). Polisen accepterade det lilla CM kunde ge dom, jag antar att dom gick vidare till Microsoft.
Log in to reply.