[e-privacy] Traduzione remailer-help

marcoc1 at dada.it marcoc1 at dada.it
Wed Dec 11 09:39:42 CET 2002 

At 00.03 11/12/02 +0100, you wrote:
>On Mon, 09 Dec 2002 11:06:05 +0100
>"Marco A. Calamari" <marcoc at dada.it> wrote:
...
>> >2) Perche' la firma dell'amministratore e` fatta con PGP 6.5.8ckt e
>> >non con GPG? E` libero PGP 6.5.8ckt? Temo di no...
>> 
>> No, non lo e', ma e' il miglior sw per la gestione di chiavi in
>> ambiente win32, come Jack B. Nymble e' il miglior software in assoluto
>> per la gestione di remailer e nym (ed esiste ahime' solo per win32,
>> fino a  quando qualcuno non lo portera' sotto GNU/Linux o scrivera' di
>> meglio)
>> 
>> Essendo assolutamente allineato sull'esigenza di utilizzare software
>> libero, ma non essendo talebano su quello ma piuttosto sugli argomenti
>>  relativi a privacy & crittografia, devo privilegiare in caso di
>>  contrasto questi ultimi.
>
>GPG sotto GNU/Linux sarebbe meno sicuro di PGP sotto Windows? O soltanto
>meno comodo?

Il mio non e' un discorso specifico per Gpg, ma generale per il
 software crittografico. Penso che Pgp 2.x e Gpg siano equivalenti
 a livello di peer review

>> pgp658ckt e' una versione ricompilata da un "solito noto" di pgp658
>>  con alcune estensioni e correzioni.
>> 
>> Last, but not least, il tipo di sw usato per firmare che e' indicato
>>  negli header viene spesso alterato od offuscato, per lo stesso
>>  motivo difensivo per chi server e programmi non rivelano piu'
>>  la loro esatta identita (come i vari postfix e sendmail).
>
>Security through obscurity?
>Ma non e` appurato che e` una cattiva strategia?

Attenzione al contesto. "Security thurought obscurity" e' una cattiva
 idea nel campo degli *algoritmi e del software crittografico*; questo non
 perche' la segretezza "tolga" affidabilita' (in realta' ne aggiunge,
 anche se molto poca) ma perche' ingenera una mancanza di peer review che
 introdurrebbe molta piu' sicurezza dovuta alla ragionevole
 certezza che' l'algoritmo ed il software siano esenti da arrori.

Offuscare la release di un server e' prassi comune nel campo della
 *sicurezza informatica* (vedi il postfix del serverone, ad esempio)
 non toglie niente all'utente normale, rende un po' piu' difficile
 il debug in caso di malfunzionamenti, e rende assai piu' difficile
 la vita ad un attaccante, "sporcando" la fase di information gathering
 ch precede ogni attacco.

>>  alcuni possono privilegiare il fatto di utilizzare un certo pacchetto
>>  rispetto alla possibilita' di comunicare con tutti gli utenti che
>>  usano posta crittografata, io invege privilegio il secondo fatto al
>>  primo.
>
>Cioe` privilegi l'interoperabilita`? Mi pare giusto...

... anche a me, ma ci sono molte eccezioni (RMS a parte)!.

Ciao.   Marco

More information about the E-privacy mailing list