Pourquoi quelqu'un comme Edward Snowden pourrait-il se fier à des services tiers comme Lavabit ou Hushmail pour héberger son courrier électronique?
Je veux dire qu'il est très facile de mettre en place un serveur de messagerie auto-hébergé. De quoi as-tu besoin:
Une telle configuration n'est-elle pas "plus sécurisée" que le recours à un service de messagerie tiers?
Pourquoi tant d'experts en sécurité (c.-à-d. Cryptologues et autres) n'hébergent-ils pas leur propre courrier électronique?
Louer VPS (encore mieux: serveur domestique) et domaine (peut prendre jusqu'à 2 jours, peu importe ..)
Combien de FAI n'offrent pas aux forces de l'ordre un accès à leurs sites et aux systèmes qu'ils fournissent à leurs clients?
Et avec un serveur domestique: de nombreux sites refusent explicitement l'accès à leur serveur de messagerie à partir d'une adresse IP "domestique" (ce sont des blocs d'adresses connus), afin de lutter contre le spam. Et même si vous gérez cela: êtes-vous à la maison toute la journée ou êtes-vous sûr de détecter tout type d'effraction? Veuillez noter que vous n'êtes pas confronté au cambrioleur moyen.
Sécurisez à nouveau tout et testez (30 minutes - 2 heures)
Ce que vous avez décrit pourrait aider à protéger votre vie privée contre Google, etc. (au moins les e-mails). Contre le NSA ce n'est probablement pas suffisant. S'ils veulent vraiment vous posséder, ils peuvent envoyer des courriels d'hameçonnage intelligents avec des logiciels malveillants, utiliser des malversations pour vous attaquer, pénétrer simplement chez vous, et bien plus encore.
Pourquoi tant d'experts en sécurité (c.-à-d. Cryptologues et autres) n'hébergent-ils pas leur propre courrier électronique?
La sécurité est un domaine très vaste et je suis sûr que de nombreux experts en cryptographie n'ont probablement aucune idée de la façon de configurer et de sécuriser correctement un serveur de messagerie. De nombreux administrateurs de messagerie n'ont aucune idée d'une cryptographie plus approfondie. Ce sont tous des experts dans leur domaine et ils ne savent pas tout. Cela signifie soit qu'ils apprennent à être experts dans un autre domaine et ont moins de temps pour leur propre domaine, soit qu'ils doivent trouver un moyen d'externaliser ces tâches à quelqu'un en qui ils ont confiance.
DKIM, SPF, DMARC, DNSSEC, DANE & co si vous le souhaitez. (1 heure - 2 heures)
Ce ne sont certainement pas faciles. Vous devez d'abord trouver quelqu'un qui vous permet de faire DNSSec avec votre propre domaine. La plupart des FAI ou même des fournisseurs DNS dédiés ne le font pas. Et pour avoir DKIM, SPF ou DANE, vous devez soit utiliser votre propre serveur DNS avec tous les problèmes (besoin de primaire et secondaire pour la disponibilité, etc.) ou encore devoir trouver un fournisseur qui vous permet de configurer tous ces enregistrements. Ces brefs délais que vous donnez ne sont certainement pas réalistes pour quelqu'un qui fait cela pour la première fois.
En tant que personne qui a fait cela pendant quelques années, je peux vous dire que ce n'est pas aussi simple que vous le décrivez et qu'il n'offre pas les propriétés de sécurité que vous souhaitez.
En résumé:
Pourquoi tant d'experts en sécurité (c.-à-d. Cryptologues et autres) n'hébergent-ils pas leur propre courrier électronique?
Parce qu'il faut énormément de temps et de connaissances spécialisées pour le faire correctement, ce n'est pas beaucoup plus sûr en général (c'est en fait moins sécurisé dans certaines circonstances) et il existe des solutions meilleures et plus faciles à trouver
Vos estimations de temps initiales sont très optimistes, même en supposant que vous êtes un administrateur système compétent avec beaucoup d'expérience sur la tâche.
Pour vous donner une idée rapide, un livre populaire qui couvre l'un des plus populaires MTA = s s'étend sur environ 500 pages .
C'est juste pour le MTA. Dans le monde réel, vous aurez également besoin d'un MDA avec POP/IMAP, du filtrage anti-spam et probablement d'un serveur d'authentification.
Vous négligez également l'effort continu nécessaire pour garder le système sain et sécurisé :
Surveillance de l'état de la machine et du service (y a-t-il des mises à jour du système d'exploitation? Le service est-il en cours d'exécution et répond-il? Vous manquez d'espace disque?)
Surveillance des journaux, diagnostic des erreurs (y a-t-il des attaques DoS en cours? Quelqu'un force-t-il l'authentification SMTP? Pourquoi les connexions ne fonctionnent-elles pas?)
Surveillance liée à la sécurité (tripwire
vous a-t-il alerté en raison d'une mise à jour du système d'exploitation ou d'une intrusion? Y avait-il des avis de sécurité de votre système d'exploitation cette semaine? Qu'en est-il de tous les autres logiciels exécutés sur la machine?)
À moins que vous ne soyez heureux de voir vos messages sérieusement retardés occasionnellement (ou perdus, dans le pire des cas), il y a beaucoup d'autres choses qui sont également nécessaires pour de manière fiable fournir des e-mails (sauvegarde MX, basculement et penser à la redondance du stockage). Un seul serveur domestique ne suffira probablement pas si votre connexion baisse et que vous devez répondre à un e-mail de toute urgence.
Vous n'avez pas spécifié votre modèle de thread très clairement, mais il semble que vous vous inquiétiez d'un acteur parrainé par l'État qui souhaite accéder à votre e-mail en particulier. La configuration que vous avez décrite va pas empêcher cela. Par exemple, il existe des preuves solides que le bogue Heartbleed a été largement utilisé avant sa découverte publique . Si vous étiez une cible suffisamment intéressante exécutant un serveur de messagerie, la compromettre aurait été pas de problème du tout. Un adversaire suffisamment bien financé aura la capacité de compromettre tout système de sécurité pratique que vous pouvez concevoir.
L'auto-hébergement a également le grave inconvénient d'exposer beaucoup plus d'informations sur vous , si votre système a peu d'utilisateurs. Votre FAI peut dire de manière triviale quand vous recevez ou envoyez un e-mail et avec quels fournisseurs vous communiquez.
Bien sûr, cela ne veut pas dire que le modèle auto-hébergé est inutile contre les modèles de menace autre. Il empêche la divulgation de votre courrier électronique à votre fournisseur de services et vous aide à rester en sécurité en cas d'atteinte massive à la sécurité, car il s'agit d'un système isolé. Elle empêche également la coercition silencieuse (légale ou non) du prestataire. Certains de ces problèmes peuvent être partiellement atténués en faisant appel à un fournisseur compétent dans un pays doté de solides lois sur la protection des données.
Si vous avez besoin de sécurité avec ce modèle de menace à l'esprit, il existe des solutions meilleures et plus faciles, comme l'a dit lui-même Snowden:
[[# #]] pgp [~ # ~] est sans égal contre ce modèle de menace particulier , car vous n'avez pas besoin faire confiance à any serveur ou fournisseur du tout.
Comparé à la maintenance d'un serveur de messagerie, PGP est en fait assez facile à utiliser et à comprendre.
Lorsque vous envoyez des e-mails dans votre scénario, vous annoncez l'IP de votre serveur de messagerie privé personnalisé. Chaque destinataire, et toute partie intéressée, sait maintenant que vous utilisez votre propre serveur de messagerie et où il se trouve.
Il en résulte un mappage un à un de ce serveur et de votre connexion à celui-ci. Si une agence gouvernementale veut vous retrouver, tout ce qu'elle doit faire est de rechercher du trafic vers votre serveur, et elle sait où vous êtes ou quels services vous utilisez pour essayer de cacher votre emplacement. Ou, comme alternative, l'agence gouvernementale pourrait simplement demander à votre hébergeur de suspendre votre serveur et d'attendre que vous appeliez le support.
Sans oublier les tracas administratifs. Les temps d'arrêt, le spam, les maux de tête liés au trafic, la redondance, les correctifs du serveur, l'analyse des journaux, tous ces types de choses sont gérés par une équipe de professionnels dédiée à votre sécurité 24/7 lorsque vous utilisez un service de messagerie.
Il y a quelqu'un qui n'a jamais exécuté son propre e-mail.
Vous ne mentionnez pas de solution antispam entrante. DKIM et les techniques associées permettent d'authentifier votre propre courrier comme non spam et de le rendre livrable. (La délivrabilité est le principal obstacle à l'hébergement à domicile: la plupart des fournisseurs bloquent le port 25 et de nombreux destinataires de courrier bloquent toutes les plages connues pour être ADSL). Mais si vous n'avez pas d'antispam entrant, vous vous noyerez dans le spam, et aucune des solutions existantes n'est vraiment clé en main.
Votre temps est le meilleur cas pour un administrateur système expérimenté qui a déjà mis en place toutes ces pièces. Pour quelqu'un qui ne l'a pas, cela peut prendre beaucoup plus de temps. Vous devez tolérer le risque de perdre du courrier en silence jusqu'à ce que vous soyez sûr que tout fonctionne.
Et votre temps est unique. Vous devez suivre les versions et les avertissements pour toutes ces pièces et être prêt à tout supprimer dès qu'une vulnérabilité est annoncée. De toute évidence, si une vulnérabilité clé est annoncée pendant que vous dormez, vous pourriez être compromis avant de vous réveiller.
Réponse courte, ce n'est pas la solution la plus simple.
"il est très facile de configurer un serveur de messagerie auto-hébergé"
Vous avez tort, le reste est faux parce que c'est basé sur cela. Je suppose que vous sous-entendez qu'il est facile de configurer un serveur sûr (sinon, quel est le but de tout cela?). Votre liste de lessive de ce dont vous avez besoin est longue, et même pas complète.
Il est beaucoup plus facile d'envoyer et de recevoir des e-mails cryptés et signés et ne vous inquiétez pas de la transmission. Vous pouvez même compter sur gmail ou hotmail pour transmettre les messages cryptés.
Je ne suis pas un expert, mais comme personne n'a encore dit le "cryptage" magique ici, j'écrirai cette réponse.
Il me semble que ce que vous voulez, c'est empêcher NSA de mettre la main sur vos données de communication, mais vous regardez du mauvais côté, vous ne devez faire confiance qu'à l'algorithme de chiffrement qui sécurise les données et privé et rien de plus, vous devriez vous efforcer de faire en sorte que même si NSA est en fait votre fournisseur de messagerie, vos courriels sont toujours privés et ne peuvent pas être lus.
Le seul moyen est bien sûr, avec le cryptage ... tant que les clés sont en sécurité (par exemple dans votre tête) et que l'algorithme de cryptage n'est pas cassé, peu importe où sont stockés les e-mails ou sur quel serveur les e-mails sont envoyés/reçu. Vous pouvez profiter de toute leur bonne infrastructure, d'une exécution 24h/24 et 7j/7 et conserver vos données privées.
Avoir votre propre serveur de messagerie auto-hébergé équivaut à utiliser votre propre stockage cloud auto-hébergé, lorsque vous pouvez simplement crypter vos données et profiter de la facilité d'utilisation de Google Drive et mieux encore, vous ne vous démarquez pas dans la foule.
Donc, en résumé, personne ne le fait, car trop d'efforts (comme ils l'ont dit ci-dessus, aucun fournisseur de messagerie n'est géré par une seule personne et ils sont payés pour cela) et aucun autre avantage, plus pensez-vous vraiment qu'une seule personne pourrait détenir les pirates Elite qui sont très bien payés pour vous pirater? Laissez-les vous pirater, assurez-vous simplement qu'ils ne peuvent rien en faire.
Mais si j'avais besoin de cacher quelque chose comme Snowden, j'aurais probablement une clé publique PGP "principale" à utiliser lors du premier contact avec quelqu'un, après quoi je serais d'accord avec la personne pour continuer à générer de nouvelles clés PGP qui être transmis à chaque message pour crypter le suivant, comme un algorithme Diffie-Hellman. Et bien sûr, ne jamais réutiliser les clés et faire une suppression sécurisée après l'utilisation. Et en plus de cela, je crypterais toutes mes clés privées avec un logiciel open source et les garderais dans un OS Linux fonctionnant dans une boîte virtuelle avec cryptage complet du disque. Et tous les paquets tcp et udp sur VPN + TOR.Oui vraiment paranoïaque, mais efficace.
Cela étant dit, aucun chiffrement ne vous protégera jamais de Cryptanalyse avec un tuyau en caoutchouc donc je ferais encore plus d'actions paranoïaques pour m'assurer qu'ils ne puissent pas me rejoindre (fuir le pays serait l'un d'entre eux, comme Snowden devait le faire)