web-dev-qa-db-ja.com

Snowdenのようなセキュリティ専門家が、自己ホスト型の電子メールではなく、LavabitやHushmailなどの電子メールサービスを使用するのはなぜですか?

Edward Snowdenのような人が、LavabitやHushmailなどのサードパーティのサービスを利用してメールをホストするのはなぜですか?

つまり、自己ホスト型電子メールサーバーを設定するのは非常に簡単です。あなたが必要なもの:

  • VPS(さらに良い:ホームサーバー)とドメインをレンタル(最長2日かかることがあります。
  • ファイアウォールを設定する(20分)
  • セキュアSSH(10分)
  • Postfix&Dovecotをインストールしてセットアップする(1時間)
  • DKIM、SPF、DMARC、DNSSEC、DANE&co。 (1時間-2時間)
  • すべてを再度保護してテストする(30分-2時間)

このような設定は、サードパーティのメールサービスに依存するよりも「安全」ではありませんか?
なぜ多くのセキュリティ専門家(暗号学者など)が自分のメールをホストしないのですか?

57

VPS(さらに良い:ホームサーバー)とドメインのレンタル(最長2日かかることがあります。

法執行機関がサイトや顧客に提供するシステムにアクセスできないISPはいくつありますか?

また、ホームサーバーの場合:多くのサイトは、スパムと戦うために、「ホーム」IPアドレス(これらは既知のアドレスブロックです)からのメールサーバーへのアクセスを明示的に拒否しています。そして、たとえこれを管理したとしても、あなたは一日中家にいますか、それとも何らかの侵入を検出しますか?平均的な強盗に対抗していないことに注意してください。

すべてを再度保護してテストする(30分-2時間)

あなたが説明した内容は、Googleなど(少なくともメール)からプライバシーを保護するのに役立ちます。 NSAに対してはおそらく十分ではありません。彼らが本当にあなたを所有したい場合、彼らはマルウェアを含む巧妙なフィッシングメールを送信し、マルバタイジングを使用してあなたを攻撃し、単に家に侵入することができます。

多くのセキュリティ専門家(暗号学者など)が自分のメールをホストしないのはなぜですか?

セキュリティは非常に広い分野であり、多くの暗号化の専門家はおそらくメールサーバーをセットアップして適切に保護する方法を知らないでしょう。また、多くのメール管理者は、より深い暗号化について何も考えていません。彼らはすべて自分の分野の専門家であり、すべてを知ることはできません。これは、彼らが別の分野の専門家になることを学び、自分の分野に費やす時間が少ないか、またはそのようなタスクを信頼できる誰かにアウトソーシングする方法を見つける必要があることを意味します。

DKIM、SPF、DMARC、DNSSEC、DANE&co。 (1時間-2時間)

これらは間違いなく簡単ではありません。最初に、自分のドメインでDNSSecを実行できる人を見つける必要があります。ほとんどのISPまたは専用のDNSプロバイダーはそうではありません。また、DKIM、SPF、またはDANEを使用するには、すべての問題(可用性のためにプライマリとセカンダリが必要)を備えた独自のDNSサーバーを使用するか、これらのすべてのレコードを設定できるプロバイダーを再度見つける必要があります。あなたが与えるこれらの短い時間は、初めてこれをしている誰かにとって確かに現実的ではありません。

73
Steffen Ullrich

数年間実際にこれを行った人として、私はあなたが説明しているほど単純ではなく、必要なセキュリティプロパティを提供していないと言えるでしょう。

要約すれば:

多くのセキュリティ専門家(暗号学者など)が自分のメールをホストしないのはなぜですか?

実行するには膨大な時間と専門知識が必要になるため適切に、一般的にはそれほど安全ではありません(実際にはless状況によって安全です)。すぐに利用できる優れた簡単なソリューションです


どのくらいの時間が必要ですか?

最初の時間の見積もりはvery楽観的です。ただし、タスクについて多くの経験を積んだ知識のあるシステム管理者であると仮定してもです。

簡単なアイデアを与えるために、a 人気の本 最も人気のあるものの1つをカバーする [〜#〜] mta [〜#〜] sは約500ページに及びます

これはMTA専用です。現実の世界では、POP/IMAPを使用した [〜#〜] mda [〜#〜] 、スパムフィルタリング、およびおそらく認証サーバーも必要です。

keepシステムを正常に保つために必要な継続的な努力and secureも無視しています:

  • マシンとサービスの状態の監視(OSの更新はありますか?サービスは実行されていますか?応答していますか?ディスク領域が不足していますか?)

  • ログの監視、エラーの診断(進行中のDoS攻撃はありますか?誰かがSMTP認証を総当たり攻撃していますか?ログインが機能しないのはなぜですか?)

  • セキュリティ関連の監視(OSの更新または侵入が原因でtripwireが警告を出しましたか?今週OSのセキュリティアドバイザリはありましたか?マシンで実行されている他のすべてのソフトウェアはどうですか?)

メッセージがときどき大幅に遅れる(または最悪の場合は失われる)ことに満足していない限り、他にも多くのことが必要ですreliablyメールを提供する(バックアップMX、フェイルオーバー、ストレージの冗長性)思い浮かぶ)。接続が切断され、電子メールに緊急に応答する必要がある場合、単一のホームサーバーではおそらく十分ではありません。


最良の場合、どれくらい安全ですか?

スレッドモデルをあまり明確に指定していませんが、メールにアクセスすることに関心のある国営の俳優に関心があるようです特に。あなたが説明した設定はnotでそれを防ぎます。例として、 Heartbleedバグが公開される前に広く使用されてきた であるという強力な証拠があります。電子メールサーバーを実行する十分に興味深いターゲットである場合、それを危うくすることはまったく問題ありませんでした。 十分に資金のある敵は、あなたが考案できる実用的なセキュリティシステムを危険にさらすことができます。

セルフホスティングには、システムのユーザーが少ない場合に、あなたについてのより多くの情報を公開するという重大な欠点もあります。 ISPは、いつ電子メールを受信または送信するか、およびどのプロバイダーと通信するかを簡単に通知できます。

もちろん、それは自己ホスト型モデルがother脅威モデルに対して役に立たないと言っているのではありません。それは分離されたシステムであるため、サービスプロバイダーへの電子メールの開示を防ぎ、大規模なセキュリティ違反が発生しても安全を維持するのに役立ちます。また、プロバイダーのサイレント強制(合法または非合法)も防止します。これらの問題の一部は、強力なデータ保護法のある国で有能なプロバイダーを使用することで部分的に軽減できます。


より良い代替案はありますか?

この脅威モデルを念頭に置いてセキュリティが必要な場合は、Snowden氏が言ったように、より優れた簡単なソリューションがあります。

適切に実装された強力な暗号化システムは、信頼できる数少ないものの1つです

[〜#〜] pgp [〜#〜] は、この特定の脅威モデルに対して比類のないものです、信頼する必要がないためanyサーバーまたはプロバイダーです。

電子メールサーバーの保守と比較すると、PGPは実際には非常に使いやすく、理解しやすいものです。

49
goncalopp

シナリオでメールを送信するときは、カスタムのプライベートメールサーバーのIPをアナウンスします。すべての受信者と利害関係者は、自分のメールサーバーを使用していることと、それがどこにあるかを知っています。

これにより、このサーバーとサーバーへの接続が1対1でマッピングされます。政府機関があなたを追跡したい場合、彼らがする必要があるのはあなたのサーバーへのトラフィックを探すことだけであり、彼らはあなたがどこにいるか、またはあなたがあなたの場所を隠すために使用するサービスを知っています。または、代替オプションとして、政府機関はサーバーをホスティングしている会社にサーバーを一時停止して、サポートへの電話を待つように依頼することもできます。

行政の面倒は言うまでもありません。ダウンタイム、スパム、トラフィックの頭痛、冗長性、サーバーへのパッチ適用、ログ分析、これらすべての種類のことは、メールサービスを使用する場合、24時間365日、セキュリティに専念する専門家のチームによって管理されます。

18
schroeder

自分のメールを一度も実行したことがない人がいます。

インバウンドのアンチスパムソリューションについては言及していません。 DKIMおよび関連するテクニックは、自分のメールをスパムではないものとして認証し、配信可能にするためのものです。 (配信可能性はホームホスティングに対する主な障壁です。ほとんどのプロバイダーはポート25をブロックしますおよび多くのメール受信者はADSLであることがわかっているすべての範囲をブロックします)。しかし、もしあなたがインバウンドアンチスパムを持っていなければ、あなたはスパムに溺れるでしょう、そして既存のソリューションのどれも本当にターンキーではありません。

あなたの時間は、前にそれらのすべてをセットアップした経験豊富なシステム管理者にとって最良のケースです。それをしていない人にとっては、もっと長くかかるかもしれません。メールがすべて正常に機能していることが確実になるまで、メールを静かに失うリスクを許容する必要があります。

そして、あなたの時間は1回限りです。それらすべてのバージョンとアドバイザリを追跡し、脆弱性が発表されたらすぐにすべてをドロップする準備をする必要があります。明らかに、眠っている間に主要な脆弱性が発表された場合、目覚める前に危険にさらされる可能性があります。

11
pjc50

簡単に言えば、これは最も簡単な解決策ではありません。

「自己ホスト型電子メールサーバーの設定は非常に簡単です」

それはこれに基づいているので、あなたは間違っています、残りは間違っています。 safeサーバーをセットアップするのは簡単だと思います(そうでなければ、その目的は何ですか?)必要なものの洗濯リストは長く、完全ではありません。

暗号化および署名された電子メールの送受信がはるかに簡単になり、送信を心配する必要がありません。暗号化されたメッセージを送信するためにgmailやhotmailに依存することもできます。

10
Quora Feans

私は専門家ではありませんが、魔法の言葉「暗号化」はまだ誰も言っていないので、この答えを書きます。

NSAがあなたの通信データを手に入れることを防ぐことですが、間違った方法で見ているので、データを安全にする暗号化アルゴリズムのみを信頼する必要がありますプライベートであり、何もない場合は、NSAが実際にメールプロバイダーである場合でも、メールはプライベートであり、読み取ることができないようにする必要があります。

もちろん、唯一の方法は、暗号化を使用することです...キーが安全で(たとえば、頭の中で)、暗号化アルゴリズムが壊れていない限り、電子メールがどこに保存されているか、どのサーバーに電子メールが送信されるかは問題ではありません/受け取った。優れたインフラストラクチャを24時間年中無休で利用しながら、データを非公開にすることができます。

自分でホストするメールサーバーを用意することは、自分でホストするクラウドストレージを使用することと同じです。これは、コンテンツを暗号化してGoogleドライブの使いやすさを楽しむだけで、しかも群衆の中で目立たない場合に適しています。

だから、再開しても誰もそれをしません。なぜなら、あまりにも多くの労力が必要だからです(上記で言ったように、電子メールプロバイダーは1人だけで運営され、そのために支払われます)そしてそれ以上のメリットはありませんそれはあなたをハックするために非常によく支払われていますか?彼らにあなたをハックさせ、彼らがそれを何も作れないことを確認してください。

しかし、Snowdenのようなものを非表示にする必要があった場合、誰かとの最初の連絡で使用する「マスター」PGP公開鍵をおそらく持っているでしょう。その後、私はその人が新しいPGP鍵を生成し続けることに同意します。 Diffie-Hellmanアルゴリズムのように、各メッセージに渡されて次のメッセージを暗号化します。そしてもちろん、キーを再利用したり、使用後に安全な削除を行ったりすることは決してありません。その上で、私はすべての秘密鍵をオープンソースソフトウェアで暗号化し、フルディスク暗号化を備えた仮想ボックスで実行されているLinux OSでそれらを保持します。そして、VPN + TOR上のすべての単一のtcpパケットとudpパケット。本当にパラノイアですが、効果的です。

とは言っても、暗号化によってあなたを守ることはできません ゴムホース暗号解読 だから私は彼らが私に到達できないことを確認するためにさらに偏執的な行動をとります(国から逃げることはその1つです)スノーデンがしなければならなかったように)

5
Freedo