Как совместить приятное с полезным (анонимность и приватность) в email-е
В этой теме я хотел бы дать короткий конспект как настроить относительно анонимную и относительно приватную систему email-переписки. Наверняка большинству из вас будут известны как минимум некоторые моменты из того, что написано ниже, я всего лишь попытался «собрать всё воедино».Сразу хочу сказать насчет слова «относительно» в первом абзаце: абсолютную/защиту/надежность/безопасность в этом мире никто дать не может. Можно подцепить keylogger, полиция и спецслужбы абсолютно свободных и демократических могут на вполне законных основания вставить «жучек» в компьютер если вы подозреваетесь в серьезных преступлениях и т.д.
Если интересно, то прошу под кат.
1. Настраиваем Tor. Есть несколько различных пакетов, использующих Tor — Tor Browser Bundle, Whonix, Tails и т.д. Можно долго спорить, какой и них лучше, я выбрал Whonix вот почему: Whonix реализован как две Virtual Box виртуальные машины: Gateway, который заворащивает весь траффик в Тор и Workstation, котораяумеет разговаривать только со своим gateway-ем. Это означает, во первых, что любая программа на workstation by default рабоатет через Тор (по крайней мере, в теории), а во-вторых, в случае если вы используете javascript в браузере, то в случае критической уязвимости (типа той, что произошла несколько месяцев назад) будет «деанонимизирована » только виртуальная workstation и атакующий получит «очень ценную» информацию типа IP 192.168.0.1 и Mac address 02:00:01:01:01:01
Повторяю, 100%-ой гарантии никто не дает, но все же лучше, чем ничего.
2. Итак, установили Whonix, теперь несколько дополнительных вкусняшек, которые нам понадобятся на Workstation (здесь и далее, если не оговорено отдельно, под Workstation подразумевается Virtual Box Whonix Workstation)
— Добавляем необходимую раскладку клавиатуры (зимбабвийскую, гватемальскую, северокорейскую и т.д): Start menu button → Applications → Settings → System Settings → input devices → layout → add yours and remove default one → apply → Done
— Необязательный шаг: Добавляем Guest Addition. Это шаг потенциально снижает безопасность Whonix-a, но уж очень удобно копипастить из основного компьютера в виртуальную машину и наоборот и работать на большом экране.
sudo apt-get update && upt-get dist-upgradesudo apt-get install --no-install-recommends virtualbox-guest-dkms virtualbox-guest-utilssudo apt-get install virtualbox-guest-x11sudo init 6
Необходима перезагрузка Workstation, как вы видите. Пароль по умолчанию: 'changeme' (без кавычек)
— Устанавливаем почтовый клиент icedove — клон Thunderbird-a
sudo apt-get install icedove
— Устанавливаем расширение enigmail для icedove
sudo apt-get install enigmail
— Chromium не помешает (хотя и не обязательно, так, на всякий случай)
sudo apt-get install chromium-browser chromium-browser-l10n
— Некастрированный firefox, который в Whonix называется iceweasel тоже не помешает, хотя как и в случае с Хромиумом — не является необходимым
sudo apt-get install iceweasel
Последне два шага не сильно снижают уровень безопасности, потому что весь трафик заворачивается в Тор через Whonix gateway. Тем не менее, пользуйтесь этими браузерами только тогда, когда основной Tor Browser почему-то не годится. В принципе, стандартного Tor Browser включенного во Whonix должно хватить, но если вы не можете жить без какого-то расширения, например, то Chromium or Iceweasel к вашим услугам, не забудьте на всякий случай в сетевых настройках iceweasel добавить 127.0.0.1:9150 в SOCKS proxy. Я так и не понял зачем это надо, вроде и без этих настроек все работает нормально.
— Регистрируем email аккаунт отвечающий следующим условиям: а. Регистрация/логин через httpsb. Есть поддержка SMTP and IMAP/POP3c. Желательно, чтобы в email header-ах не указывался IP address отправителя. Даже если там будет указан адрес узла Тора, то вам это не нужно. Могу порекомендовать openmailbox.org для этой цели.По крайне мере, когда я проверял последний раз, адрес там не указывался.
Не забудьте только включить JavaScript в Tor Browser-e во время регистрации — иначе регистрация вряд-ли получится. Обычно включение javaScript считается опасным моментом, но в данном случае, как я уже писал, это не выглядит большой проблемой благодаря двухуровневой реализации Whonix-a.
— Создаем соответствующий аккаунт в icedove
— В icedove:
OpenPGP-->Key management-->Generate OpenPGP Key генерируем пару private-public pgp key
Account Settings-->Open PGP Security: задаем key для аккаунта и отмечаем галочки в нужных местах
Импортируем public keys адресатов: OpenPGP-->Key management-->File-->Import
— Готово!!! Теперь вы можете послать любимой девушке фотографии котиков абсолютно анонимно и приватно — никто кроме вас и вашей девушки не увидит этих котиков.
Или, в рамках тестирования, можете послать мне: gpgtest@openmailbox.org
Public key:
-----BEGIN PGP PUBLIC KEY BLOCK-----
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×3wh2uBtSCeLHJlKFtixsKb+ZCwGepu9Rev7xFFby5mfJ/gV7nPSHN8hvubdO88TezINN0mqxOzRYusE3vG1seOh78bYiDLvWp6jSdrmD8Yvd75nBtt8EOHqP3IQ9/y9k8CA5ujzX59qh5vcA7Al7xaSmpxTze/YEBfPBUyshKCs9V5cacvfAfk0KzoD9NO/yUVrTvxtEal7wBTWvfzQRQWJpcyz/H37kBDQRT3tNZAQgA5e40XSpCU2iJpKv0ei/xVrJO/Bs6D7×08tjIFrOLcHJTwLB3BiNnQVd5ZYUsIP4yBFUhx526XutXdL3Ic5aUFlDCboQ9m9s0IqNOQ0KCzsx5Sdt3oixySw98sxoamu2+4pcYt86CoINafzVnhZfstMkb9CFUHfuJPhr/hrC9raMO7V0JWmQQ3xXLYV1+yxbiEUHY/8OADWDFShQpEwdLqpTOnTail3ThzQ/a3wNiy833ryZnra/LWfb0wSGFb0nXH5HdclUt0BWcF+aoFxlVgc0i8PQrL3VBZWx9OsvXx3eVwWkoNN4WwdNheBbHknJXpC4L843B/NZ+dVgWmfM3FQARAQABiQElBBgBCgAPBQJT3tNZAhsMBQkJZgGAAAoJENWtEUX341qG9PwH/3LdIhK20NB5qiVVmtfKU8GLYEbTx4diZIPYqqvululueWhQwwwoT+hNiNGfAIaGBjkz0/cDNT9sZDraXkEkOlv73tG43P/bl4bmi0HOEG0yQtQxRfJy7bcdi5rpdzFQHWqjPKa8puA6U1MZ7q3h4DF9zBjnua9IwGMk2HhE/7anupL12EGV2p3k4ZfwNzFljzdpg5+QBG9ke16Coz81KBf4BD+ciNf95DWj4MnghiTqLwXMmLkDSoOaCZUnqgO+5ohYIYuvHt6ETsb0n9GfvyHYpd+tILjNnuwcEM0lFCa7uTxubW8/vzVZbY2SmT68EzN7K/5bwBZZNOpEZvTNLhw==eyg/-----END PGP PUBLIC KEY BLOCK-----