Hushmail
Hushmail je BEZPLATNÁ, bezpečná, kódovaná offshorová emailová služba využívaná mnoha bankéři, burzovními makléři a právník. Hushmail do vaší pošty NEVKLÁDÁ vaši skutečnou IP adresu. Zůstáváte tak v utajení a nelze dohledat obsah odeslané a přijmuté pošty.
Hushmail (Wikipedia) je projekt společnosti Hush Communications Corporation. U jeho zrodu stál Cliff Baltzley. Jedná se o placený webmail. Lze jej ale používat také zdarma. Bezplatně však nabízí pouze poštovní schránky o velikosti 2 MB. Uživatel se navíc musí minimálně jednou za tři týdny přihlásit, jinak bude jeho účet deaktivován. Deaktivované účty jsou po šesti měsících rušeny.
Obrázek 1) Úvodní stránka Hushmail.com
Hushmail k šifrování používá v JAVA napsaný, patentovaný, Hush Encryption EngineTM (White Paper). Vlastní patent nese název „Public key cryptosystem with roaming user capability“ a lze jej nalézt pod čísly 6,154,543 a 6,292,895. Patent 6,154,543 byl podán 25. listopadu 1998 a zveřejněn 28. listopadu 2000. Jeho rozšíření bylo podáno 19. června 2000 (před zveřejněním patentu 6,154,543) a zveřejněno 18. září 2001.
Obrázek 2) Hush Encryption Engine
Zdrojové kódy Hush Encryption Engine, stejně jako dalších produktů Hush Messenger a Hushmail for Outlook jsou volně přístupné.
Lze si stáhnout aktuální verzi (HushEncryptionEngine2-5–0–6_update1.zip) a provést její důkladnou analýzu. Vznikl ale právě spouštějící se JAVA applet překladem těchto zdrojových kódů? Když se budete zítra přihlašovat z jiného počítače, stáhne se vám naprosto stejný Java applet? Co když se stáhne „vylepšená“ verze, která vaše heslo bez vašeho vědomí jednoduše odešle na server?
Stejný Engine je využíván také v systému Just1Key. Jedná se o společný projekt společností Crimsonata Corporation a Hush Communications Corporation. Uživatelé si zde mohou „bezpečně“ poznamenat jména a hesla ke všem svým účtům, příslušné webové adresy a také libovolné poznámky (telefonní čísla, adresy, PIN). Jak název napovídá, vše mohou následně zapomenou, stačí jim už pouze jedno jediné heslo k Just1Key. Vývojáři Just1Key pracují na nové vylepšené verzi a o nové platící zákazníky nemají dočasně zájem.
Obrázek 3) Just1Key
Práce s poštou v Hushmail
Obrázek 4) Čtení zpráv
Obrázek 5) Psaní zprávy
Obrázek 6) Pokud Hushmail nedokáže zprávu automaticky zašifrovat (nemá k k dispozici potřebný veřejný OpenPGP klíč), nabídne zprávu zabezpečit pomocí otázky a odpovědi. Tuto možnost mají i uživatelé bez Hushmail účtu. Kdokoli může poslat takto zabezpečenou zprávu pomocí Hushmail Express.
Obrázek 7) Příjemce dostane zprávu, že tu pravou zabezpečenou zprávu získá, když klikne na dané URL
Obrázek 8) Na daném URL jej čeká kontrolní otázka
Obrázek 9) Stačí na otázku správně odpovědět a zpráva se zobrazí
Obrázek 10) Pokud máte podezření, že někdo zná vaše heslo, lze jej změnit. Jak veřejný tak i soukromý klíč lze ze systému vyexportovat a tedy použít také v jiných OpenPGP systémech
Hushtools
Obrázek 11) Zprávy lze podepisovat, ověřovat jejich podpisy, šifrovat i dešifrovat i bez jejich posílání. Slouží k tomu Hushtools. K některým funkcím není potřebný ani Hushmail účet. Příkladem může být šifrování i dešifrování lokálních souborů pouze na základě hesla.
Obrázek 12) Veřejné OpenPGP klíče lze do Hushmail systému importovat i ze systému exportovat
Pozor na keyloggery
Pokud lze provozovatelům webmailu Hushmail věřit a pokud uživatelé používají dostatečně dlouhá a neuhádnutelná hesla, měla by být jejich data v bezpečí. Samozřejmě nelze odpovědět „Ano“ na otázku webového prohlížeče, zda si má heslo zapamatovat.
Problémem mohou být keyloggery, tj. programy zaznamenávající stisky všech kláves. Nejedná se ale o problém pravidelných čtenářů Root.cz. Nedávno vyšel na CNET News.com článek s názvem „Feds use keylogger to thwart PGP, Hushmail“. Agent DEA získal soudní povolení k instalaci keyloggera na počítač podezřelého. Podezřelý používal právě PGP a šifrovaný webmail Hushmail. O týden později vyšel článek „Security firms on police spyware, in their own words“, kde 13 softwarových společností zabývajících se počítačovou bezpečností odpovídá na otázky, zda by jejich produkty dokázaly detekovat i vládní spyware a keyloggery a pokud ano, zda by o tom informovaly uživatele. Občas mlhavé odpovědi na jasné otázky. Jisté je, že zákony dané země musí dodržovat i softwarové společnosti.