Quelle est la manière la plus simple pour deux personnes - qui ne sont ni des informaticiens ni ne peuvent se rencontrer en personne - d'envoyer un mot de passe pour un fichier chiffré joint à un e-mail?
Les deux méthodes les plus simples sont les suivantes: téléphoner à l'autre personne et lire le mot de passe par téléphone; ou écrivez dans les e-mails des questions auxquelles le NSA et autres pirates informatiques ne pourraient pas répondre. Les réponses ou des parties de celles-ci, une fois compilées, peuvent alors être le mot de passe ou hachées pour fournir un mot de passe.
Demander à des personnes non techniquement soucieuses d'installer PGP complet pour envoyer un mot de passe n'est pas réaliste. Existe-t-il un simple élément JavaScript qui peut faire un Diffie-Hellman, de sorte que la clé partagée résultante peut devenir le mot de passe?
Moi aussi, j'ai essayé de trouver une bonne solution pour cela. Mais j'ai trouvé https://onetimesecret.com/ qui fonctionne très bien.
Fondamentalement, vous créez un lien contenant un mot de passe et vous envoyez ce lien au destinataire prévu. Dès que le destinataire clique sur le lien, le lien expire et le mot de passe est supprimé. Le récepteur n'a donc qu'une seule fois pour copier le mot de passe. Un secret unique.
Il n'y a aucun moyen infaillible d'assurer le secret, mais vous pouvez le rendre assez difficile.
On peut supposer que tous les communications électroniques sont constamment surveillées, de sorte qu'elles ne sont pas sécurisées. Cependant, le courrier physique ne sera certainement pas intercepté à moins que l'expéditeur ou le destinataire ne soit soupçonné ou observé. Je vous suggère d'écrire le mot de passe et de le poster dans une enveloppe inviolable. Une fois que le destinataire a confirmé la réception du mot de passe, vous pouvez ensuite lui envoyer le fichier.
Notez que cela ne garantit toujours pas la sécurité. Un attaquant déterminé et compétent (comme la NSA) a d'autres moyens d'obtenir le contenu du fichier.
Pour envoyer des trucs pas très sensibles, par exemple. photos de famille de vacances Je place un fichier Zip crypté sur ma boîte de dépôt et envoie un e-mail avec le lien.
Dans l'e-mail, je décrivez le mot de passe verbalement, en utilisant des informations difficiles à connaître pour le public, mais faciles à connaître pour le destinataire. Tout comme vous.
Cependant, d'après mon expérience, décompresser un fichier Zip crypté est déjà une tâche non triviale pour la plupart des amis non techniques.
Si vous n'êtes pas opposé au courrier postal ...
Je sais que l'armée utilise le service d'envoi DHL avec suivi afin d'expédier du matériel sensible. Vous pouvez écrire le code le sceller dans une enveloppe que vous signez ensuite à travers le sceau. Placez cette enveloppe à l'intérieur d'une autre enveloppe de manille qui n'est pas transparente et scellez tous les bords de cette enveloppe avec du ruban d'emballage. Ne pas avoir de marques distinctives sur cette enveloppe. Placez ce paquet dans l'enveloppe DHL. Quant à savoir où cela devrait être envoyé, je configurerais un tiers de confiance pour agir comme une boîte aux lettres entre moi et le destinataire. Il peut s'agir d'une personne ou éventuellement d'une autre entreprise qui propose ce type de service.
Le transfert physique en face à face de documents sensibles est presque toujours le meilleur moyen d'échanger ce type d'informations si vous souhaitez assurer le contrôle de ces informations. (Bien qu'être présent pendant le transfert présente d'autres problèmes selon que vous essayez de cacher vos mouvements ou si vous êtes déjà sous une sorte de surveillance.)
L'établissement d'une ligne de communication directe (cat 5, coaxial, etc.) entre vous et l'autre partie pourrait vous permettre d'envoyer des informations électroniques sans être surveillé.
En ce qui concerne l'utilisation d'un Diffie-Hellman, je pense que c'est une excellente idée. Pourquoi ne pas lire l'algorithme et écrire le vôtre? de cette façon, vous êtes sûr que personne d'autre n'est au courant de l'algo spécifique. vous utilisez. http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
Source: 9 ans de service militaire et quelques manuels de sécurité navale dont j'oublie les noms.
Si c'est le cas, appelez-les. Il faudrait de vastes ressources pour filtrer les appels et les conversations pour retrouver un mot de passe - en dehors NSA bien sûr, qui peut déjà avoir accès sans mot de passe de toute façon.
Pour ce faire en vrac, vous devez configurer une infrastructure PKI.
J'ai trouvé un fichier html téléchargeable en ligne, qui vous permet de faire un simple échange Diffie-Hillman.
Vous entrez une clé secrète de votre choix et créez une clé publique; votre partenaire fait de même. Ensuite, vous échangez des clés publiques avec votre partenaire. Ensuite, vous fusionnez tous les deux votre propre clé secrète avec la clé publique de votre partenaire. Le résultat de la fusion est que vous obtenez tous les deux la même clé secrète, qui peut être utilisée comme mot de passe. La beauté de ceci est que vous n'avez pas besoin de logiciel sur votre ordinateur et qu'il est relativement facile à utiliser.