Hushmail

Hushmail je BEZPLATNÁ, bezpečná, kódovaná offshorová emailová služba využívaná mnoha bankéři, burzovními makléři a právník. Hushmail do vaší pošty NEVKLÁDÁ vaši skutečnou IP adresu. Zůstáváte tak v utajení a nelze dohledat obsah odeslané a přijmuté pošty.

Hushmail (Wikipedia) je projekt společnosti Hush Communications Corporation. U jeho zrodu stál Cliff Baltzley. Jedná se o placený webmail. Lze jej ale používat také zdarma. Bezplatně však nabízí pouze poštovní schránky o velikosti 2 MB. Uživatel se navíc musí minimálně jednou za tři týdny přihlásit, jinak bude jeho účet deaktivován. Deaktivované účty jsou po šesti měsících rušeny.

Hush 1

Obrázek 1) Úvodní stránka Hushmail.com

Hushmail k šifrování používá v JAVA napsaný, patentovaný, Hush Encryption EngineTM (White Paper). Vlastní patent nese název „Public key cryptosystem with roaming user capability“ a lze jej nalézt pod čísly 6,154,543 a 6,292,895. Patent 6,154,543 byl podán 25. listopadu 1998 a zveřejněn 28. listopadu 2000. Jeho rozšíření bylo podáno 19. června 2000 (před zveřejněním patentu 6,154,543) a zveřejněno 18. září 2001.

Hush 2

Obrázek 2) Hush Encryption Engine

Zdrojové kódy Hush Encryption Engine, stejně jako dalších produktů Hush Messenger a Hushmail for Outlook jsou volně přístupné.

Lze si stáhnout aktuální verzi (HushEncrypti­onEngine2-5–0–6_update1.zip) a provést její důkladnou analýzu. Vznikl ale právě spouštějící se JAVA applet překladem těchto zdrojových kódů? Když se budete zítra přihlašovat z jiného počítače, stáhne se vám naprosto stejný Java applet? Co když se stáhne „vylepšená“ verze, která vaše heslo bez vašeho vědomí jednoduše odešle na server?

Stejný Engine je využíván také v systému Just1Key. Jedná se o společný projekt společností Crimsonata Corporation a Hush Communications Corporation. Uživatelé si zde mohou „bezpečně“ poznamenat jména a hesla ke všem svým účtům, příslušné webové adresy a také libovolné poznámky (telefonní čísla, adresy, PIN). Jak název napovídá, vše mohou následně zapomenou, stačí jim už pouze jedno jediné heslo k Just1Key. Vývojáři Just1Key pracují na nové vylepšené verzi a o nové platící zákazníky nemají dočasně zájem.

Hush 3

Obrázek 3) Just1Key

Práce s poštou v Hushmail

Hush 4

Obrázek 4) Čtení zpráv

Hush 5

Obrázek 5) Psaní zprávy

Hush 6

Obrázek 6) Pokud Hushmail nedokáže zprávu automaticky zašifrovat (nemá k k dispozici potřebný veřejný OpenPGP klíč), nabídne zprávu zabezpečit pomocí otázky a odpovědi. Tuto možnost mají i uživatelé bez Hushmail účtu. Kdokoli může poslat takto zabezpečenou zprávu pomocí Hushmail Express.

Hush 7

Obrázek 7) Příjemce dostane zprávu, že tu pravou zabezpečenou zprávu získá, když klikne na dané URL

Hush 8

Obrázek 8) Na daném URL jej čeká kontrolní otázka

Hush 9

Obrázek 9) Stačí na otázku správně odpovědět a zpráva se zobrazí

Hush 10

Obrázek 10) Pokud máte podezření, že někdo zná vaše heslo, lze jej změnit. Jak veřejný tak i soukromý klíč lze ze systému vyexportovat a tedy použít také v jiných OpenPGP systémech

Hushtools

Hush 11

Obrázek 11) Zprávy lze podepisovat, ověřovat jejich podpisy, šifrovat i dešifrovat i bez jejich posílání. Slouží k tomu Hushtools. K některým funkcím není potřebný ani Hushmail účet. Příkladem může být šifrování i dešifrování lokálních souborů pouze na základě hesla.

Hush 12

Obrázek 12) Veřejné OpenPGP klíče lze do Hushmail systému importovat i ze systému exportovat

Pozor na keyloggery

Pokud lze provozovatelům webmailu Hushmail věřit a pokud uživatelé používají dostatečně dlouhá a neuhádnutelná hesla, měla by být jejich data v bezpečí. Samozřejmě nelze odpovědět „Ano“ na otázku webového prohlížeče, zda si má heslo zapamatovat.

Problémem mohou být keyloggery, tj. programy zaznamenávající stisky všech kláves. Nejedná se ale o problém pravidelných čtenářů Root.cz. Nedávno vyšel na CNET News.com článek s názvem „Feds use keylogger to thwart PGP, Hushmail“. Agent DEA získal soudní povolení k instalaci keyloggera na počítač podezřelého. Podezřelý používal právě PGP a šifrovaný webmail Hushmail. O týden později vyšel článek „Security firms on police spyware, in their own words“, kde 13 softwarových společností zabývajících se počítačovou bezpečností odpovídá na otázky, zda by jejich produkty dokázaly detekovat i vládní spyware a keyloggery a pokud ano, zda by o tom informovaly uživatele. Občas mlhavé odpovědi na jasné otázky. Jisté je, že zákony dané země musí dodržovat i softwarové společnosti.

 

Registrace

Přihlášení do schránky