Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  15 6268
Lurer da på hvilken email provider som er mest populær blant oss som handler på darknet?

Nå tenker jeg ikke på kun norske brukere, fordi der er det ganske tydelig at protonmail er mest populær. Tenker på darknet-brukere generelt. Enten man er fra Norge, Sverige, England, USA eller andre vestlige land.

Tenker selv på Protonmail og Mailbox.org når jeg tenker på såkalte "sikre" email providers.
Sist endret av Defending; 28. september 2019 kl. 15:42.
Proton med tillegskryptering og vpn.
Sitat av Kompis87 Vis innlegg
Proton med tillegskryptering og vpn.
Vis hele sitatet...
Tilleggskryptering? Kan du undervise litt?
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Kompis87 Vis innlegg
Proton med tillegskryptering og vpn.
Vis hele sitatet...
Det er ikkje så himla mykje poeng i når folk ikkje kan opsec uansett.

Kort sagt: Protonmail med langt passord og 2FA funker. GMail med gpg lokalt på PCen funker. Hotmail med GPG funker. Val av e-posttilbyder har relativt marginal betydning om opsec elles er grei.
Sitat av vidarlo Vis innlegg
Det er ikkje så himla mykje poeng i når folk ikkje kan opsec uansett.

Kort sagt: Protonmail med langt passord og 2FA funker. GMail med gpg lokalt på PCen funker. Hotmail med GPG funker. Val av e-posttilbyder har relativt marginal betydning om opsec elles er grei.
Vis hele sitatet...
Har en link(er) der man kan lære seg det man trenger å kunne om opsec for å kommunisere sikkert og trygt på nettet? Jeg handler ikke på darknet, men det virker som det er en god idé å passe på all kommunikasjon men har på nettet.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av neonero Vis innlegg
Har en link(er) der man kan lære seg det man trenger å kunne om opsec for å kommunisere sikkert og trygt på nettet? Jeg handler ikke på darknet, men det virker som det er en god idé å passe på all kommunikasjon men har på nettet.
Vis hele sitatet...
Det er litt av problemet; det er komplekst. Og det er ikkje eit sett handlinger du gjer ein gong. Det er ein kontinuerleg prosess der handlingene er tilpassa ønska sikkerhetsnivå, kostnadnsnivå også viare.

T.d. vil fort Protonmail framstå som problematisk, om du har NSA på nakken - fordi Protonmail har nøkkelmaterialet ditt. Dei kan i prinsippet bytte ut UA, utan at du enkelt kan oppdage det, og på den måten lese e-posten din. Bruker du derimot gmail og gpg lokalt kan ikkje Google lese e-posten din... Til gjengjeld må du sjølv sikre nøkkelmaterialet ditt. Kva gjev meining i ditt tilfelle?

Viare må alle andre du kommuniserer med bruke tilsvarande tiltak. Det er mest utbredte på det private markedet er per i dag gpg/pgp, medan S/MIME er mykje brukt i bedrifter med infrastruktur for sertifikater. Begge gir i utgangspunktet god sikkerhet.

Viare. Vil du sikre at kun du og mottakar kan lese meldinger du sender, eller vil du skjule at de kommuniserer? Kven er angriper? Er det politiet? I så fall vil antakeleg tor vere nok til å riste av seg politiet i svært mange tilfelle. Men er det NSA er gjerne ikkje tor nok heller...
Viare vil Protonmail nå ha ditt Telefonnummer... - Prøv å registrere en ny konto.
Så utan ett anonymt mobilnr så er du fucked..
R.i.p 23.04.2021
Gerilljamail?
Hm-testet yandex.com med "I have no phone" option. Neste gang jeg ville logge på skulle de allikevel ha telfnr. Merkelig.
Jeg ser at hvis man skal ha 2FA på Protonmail, så anbefaler de en app. Men da kan man jo plutselig knytte din e-mail adresse til ditt tlf nr. Man skal så stole på de som eier firmaet bak den 2FA appen man velger. De vet jo som de eneste at mitt navn er knyttet opp mot min protonmail. Det duger vel ikke?
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av neonero Vis innlegg
Jeg ser at hvis man skal ha 2FA på Protonmail, så anbefaler de en app. Men da kan man jo plutselig knytte din e-mail adresse til ditt tlf nr. Man skal så stole på de som eier firmaet bak den 2FA appen man velger. De vet jo som de eneste at mitt navn er knyttet opp mot min protonmail. Det duger vel ikke?
Vis hele sitatet...
Nei, det er ikkje slik det funker...

2FA med TOTP - Time Based One Time Password, baserer seg ikkje på kommunikasjon mellom appen og serveren. Det funker heilt offline.

Måten det funker på er at serveren lager eit tilfeldig, stort tall, og lagrer det. Det blir vist som QR-kode for deg på nettsida. Du legger tallet (som er svært stort, eit par hundre siffer) inn i appen ved hjelp av QR-koden.

Når du får opp ein kode i appen så er koden resultat av tidspunkt (avrunda nedover til næraste 30 sekunder) og det hemmelege tallet. Det store hemmelege talet fortel ingenting om kva nettside eller kva konto det tilhøyrer; det er eit tal. Så appen veit i utgangspunktet ingenting om nettsida, og treng heller ikkje vite det. Nettsida veit heller ingenting om korleis du lagrer det store hemmelege talet.

Den matematiske funksjonen er laga slik at den sekssiffra koden du får opp ikkje røper informasjon om talet, så om tredjeparter kan generere uendeleg mange tidsbaserte koder vil ikkje det hjelpe dei med å finne det hemmelege talet.

Når du taster den inn på nettsida, gjer dei samme beregninga med samme utgangspunkt. Om dei to resultata er like, så har de samme tal, og du er autentisert. Einaste kommunikasjonen mellom appen og nettsida skjer i det du trykker koden inn på nettsida.

Om du vil kan du lagre det i ein YubiKey. Den gjer det umulig å få tilbake tallet; du kan kun hente ut koder, men aldri få tilbake tallet i seg sjølv fra den dingsen.
Sitat av vidarlo Vis innlegg
Nei, det er ikkje slik det funker...

2FA med TOTP - Time Based One Time Password, baserer seg ikkje på kommunikasjon mellom appen og serveren. Det funker heilt offline.

Måten det funker på er at serveren lager eit tilfeldig, stort tall, og lagrer det. Det blir vist som QR-kode for deg på nettsida. Du legger tallet (som er svært stort, eit par hundre siffer) inn i appen ved hjelp av QR-koden.

Når du får opp ein kode i appen så er koden resultat av tidspunkt (avrunda nedover til næraste 30 sekunder) og det hemmelege tallet. Det store hemmelege talet fortel ingenting om kva nettside eller kva konto det tilhøyrer; det er eit tal. Så appen veit i utgangspunktet ingenting om nettsida, og treng heller ikkje vite det. Nettsida veit heller ingenting om korleis du lagrer det store hemmelege talet.

Den matematiske funksjonen er laga slik at den sekssiffra koden du får opp ikkje røper informasjon om talet, så om tredjeparter kan generere uendeleg mange tidsbaserte koder vil ikkje det hjelpe dei med å finne det hemmelege talet.

Når du taster den inn på nettsida, gjer dei samme beregninga med samme utgangspunkt. Om dei to resultata er like, så har de samme tal, og du er autentisert. Einaste kommunikasjonen mellom appen og nettsida skjer i det du trykker koden inn på nettsida.

Om du vil kan du lagre det i ein YubiKey. Den gjer det umulig å få tilbake tallet; du kan kun hente ut koder, men aldri få tilbake tallet i seg sjølv fra den dingsen.
Vis hele sitatet...
Takk for en grundig forklaring.
Det var sånn jeg også tenkte omtrent, litt mindre avansert.
Nå jeg scanner QR koden som Protonmail lager med Authy (som PM anbefaler), så opretter Authy et ikon med min protonmail e-post adresse. Så det vil si at min e-mail adresse ligger inne et sted i den QR koden.
Hva tenker du om det?
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av neonero Vis innlegg
Så det vil si at min e-mail adresse ligger inne et sted i den QR koden.
Hva tenker du om det?
Vis hele sitatet...
Ja, ofte har dei med det for å hjelpe deg med å skilje forskjellige QR-koder, men alle TOTP-providere lar deg stortsett vise tallet i klartekst, og TOTP-apper eg har sett lar deg taste inn tallet og metadata sjølv. Då kan du velje å taste inn andre ting.

I protonmail vel du enter key manually.

Om du bruker yubikey sin app, så har utviklerane der tenkt over det, og lar deg endre metadata før du legger den til.
Sitat av vidarlo Vis innlegg
Ja, ofte har dei med det for å hjelpe deg med å skilje forskjellige QR-koder, men alle TOTP-providere lar deg stortsett vise tallet i klartekst, og TOTP-apper eg har sett lar deg taste inn tallet og metadata sjølv. Då kan du velje å taste inn andre ting.

I protonmail vel du enter key manually.

Om du bruker yubikey sin app, så har utviklerane der tenkt over det, og lar deg endre metadata før du legger den til.
Vis hele sitatet...
Men hvis man så vil være helt sikkert på sin anonymitet, er det ikke en risiko å stole på, som i dette tilfelle Authy, ikke gir fra seg informasjonen om identiteten knyttet til en anonym e-mail. Hvis de blir presset eller lokket med penger.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av neonero Vis innlegg
Men hvis man så vil være helt sikkert på sin anonymitet, er det ikke en risiko å stole på, som i dette tilfelle Authy, ikke gir fra seg informasjonen om identiteten knyttet til en anonym e-mail. Hvis de blir presset eller lokket med penger.
Vis hele sitatet...
Om du taster inn tallet manuelt har dei i realiteten ingen info dei kan selje.

Og er du for paranoid til at det er akseptabelt, er det overkommeleg å skrive eiga programvare for det, og det er mange open source-implementasjoner av det der ute.
Sitat av vidarlo Vis innlegg
Om du taster inn tallet manuelt har dei i realiteten ingen info dei kan selje.

Og er du for paranoid til at det er akseptabelt, er det overkommeleg å skrive eiga programvare for det, og det er mange open source-implementasjoner av det der ute.
Vis hele sitatet...
Takk for info. Jeg kan fint bruke Authy. Hovedsaken for meg er at e-mailen ikke blir hacka. Det var bare for nysgjerrighetens skyld jeg lurte