SlideShare a Scribd company logo
1 of 33
Secure Messaging
How to protect yourself
& your company
Per Thorsheim
@thorsheim
+47 90 99 92 59 (Signal|Wire|Whatsapp)
PasswordsCon.org
Youtube.com/user/thorsheim
Article 12:
“No one shall be subjected to arbitrary interference with
his privacy, family, home or correspondence, nor to
attacks upon his honour and reputation. Everyone has the
right to the protection of the law against such interference
or attacks.”
The Universal Declaration of Human Rights,
United Nations
Signal
Signal.org
Whatsapp
www.whatsapp.com
Wire
WIRE.COM
Secure Email
DNSSEC DANE TLSA CAA SPF DKIM DMARC
Regular email
I have email for you
Ok, I am ready
Here you go….
Thank you, I’ve got it.
Thank you, that was all.
The problem:
It is all unencrypted
Email with STARTTLS
Hi, I have email for you.
Ok, I am ready, and I have STARTTLS
Good! Let’s use TLS-RSA-RC4-128-SHA
Oh, I can only do RC4-MD5…
Ok, let’s use it then. Send your public key.
234lkj235dfwdknj523dlkjsdrkj
seljw5kjwouijsdlfjk235346lkj3w
…..
Initial communication is
Unencrypted.
STARTTLS is opportunistic.
Sender, recipient & all contents
are encrypted.
Status for
universiteter og
høyskoler,
oktober 2014.
Status for
universiteter og
høyskoler,
mars 2015
In the second instance, Golden Frog shows that a wireless
broadband Internet access provider is interfering with its
users’ ability to encrypt their SMTP email traffic. This
broadband provider is overwriting the content of users’
communications and actively blocking STARTTLS encryption.
This is a man-in-the-middle attack that prevents customers
from using the applications of their choosing and directly
prevents users from protecting their privacy.
https://www.techdirt.com/blog/netneutrality/articles/20141012/063
44928801/revealed-isps-already-violating-net-neutrality-to-block-
encryption-make-everyone-less-safe-online.shtml
The «maslow hiearchy» of email security
DNS
DNSSEC
DANE TLSA
HTTP
HTTPS
HSTS
SMTP
SPF
DKIM
DNScrypt
HPKP
DMARC
DANE TLSA
POP IMAP
POPS IMAPS
WWW DNS
Server til
server
epost
Klient til
server
epost
DANE TLSADANE TLSA
SMTP STS
STARTTLS
Unencrypted
Not verified
Encrypted
Verified
Encrypted
CAA
REQUIRETLS
ARC
https://dnssec.vs.uni-due.de/
https://hostmaster.ua/dnssec/
Facebook
Secret conversations - demo
per@thorsheim.net
+47 90 99 92 59 Signal|Wire|Whatsapp
@thorsheim
Linkedin.com/in/thorsheim

More Related Content

More from QAFest

QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QAFest
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QAFest
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQAFest
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QAFest
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QAFest
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQAFest
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QAFest
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QAFest
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQAFest
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQAFest
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QAFest
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QAFest
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QAFest
 
QA Fest 2019. Евгений Рудев. QA 3.0. New generation
QA Fest 2019. Евгений Рудев. QA 3.0. New generationQA Fest 2019. Евгений Рудев. QA 3.0. New generation
QA Fest 2019. Евгений Рудев. QA 3.0. New generationQAFest
 
QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...
QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...
QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...QAFest
 
QA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИ
QA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИQA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИ
QA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИQAFest
 
QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...
QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...
QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...QAFest
 
QA Fest 2019. Saar Rachamim. Developing Tools, While Testing
QA Fest 2019. Saar Rachamim. Developing Tools, While TestingQA Fest 2019. Saar Rachamim. Developing Tools, While Testing
QA Fest 2019. Saar Rachamim. Developing Tools, While TestingQAFest
 
QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...
QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...
QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...QAFest
 
QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...
QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...
QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...QAFest
 

More from QAFest (20)

QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium ClusterQA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automationQA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях ITQA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложенииQA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
 
QA Fest 2019. Евгений Рудев. QA 3.0. New generation
QA Fest 2019. Евгений Рудев. QA 3.0. New generationQA Fest 2019. Евгений Рудев. QA 3.0. New generation
QA Fest 2019. Евгений Рудев. QA 3.0. New generation
 
QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...
QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...
QA Fest 2019. Ірина Ярославцева. Майбутнє вже тут, або як тестувати систему о...
 
QA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИ
QA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИQA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИ
QA Fest 2019. Никита Кричко. Тестирование приложений, использующих ИИ
 
QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...
QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...
QA Fest 2019. Вячеслав Панкратов. Как выходить из тестирования и надо ли выхо...
 
QA Fest 2019. Saar Rachamim. Developing Tools, While Testing
QA Fest 2019. Saar Rachamim. Developing Tools, While TestingQA Fest 2019. Saar Rachamim. Developing Tools, While Testing
QA Fest 2019. Saar Rachamim. Developing Tools, While Testing
 
QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...
QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...
QA Fest 2019. Boni Garcia. Web and Mobile testing with Selenium, JUnit 5, and...
 
QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...
QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...
QA Fest 2019. Диана Пинчук. Тестирование аутентификации и авторизации (AuthN ...
 

Recently uploaded

16. Discovery, function and commercial uses of different PGRS.pptx
16. Discovery, function and commercial uses of different PGRS.pptx16. Discovery, function and commercial uses of different PGRS.pptx
16. Discovery, function and commercial uses of different PGRS.pptxUmeshTimilsina1
 
Grade Three -ELLNA-REVIEWER-ENGLISH.pptx
Grade Three -ELLNA-REVIEWER-ENGLISH.pptxGrade Three -ELLNA-REVIEWER-ENGLISH.pptx
Grade Three -ELLNA-REVIEWER-ENGLISH.pptxkarenfajardo43
 
Sarah Lahm In Media Res Media Component
Sarah Lahm  In Media Res Media ComponentSarah Lahm  In Media Res Media Component
Sarah Lahm In Media Res Media ComponentInMediaRes1
 
Farrington HS Streamlines Guest Entrance
Farrington HS Streamlines Guest EntranceFarrington HS Streamlines Guest Entrance
Farrington HS Streamlines Guest Entrancejulius27264
 
The Emergence of Legislative Behavior in the Colombian Congress
The Emergence of Legislative Behavior in the Colombian CongressThe Emergence of Legislative Behavior in the Colombian Congress
The Emergence of Legislative Behavior in the Colombian CongressMaria Paula Aroca
 
Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...
Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...
Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...DrVipulVKapoor
 
DBMSArchitecture_QueryProcessingandOptimization.pdf
DBMSArchitecture_QueryProcessingandOptimization.pdfDBMSArchitecture_QueryProcessingandOptimization.pdf
DBMSArchitecture_QueryProcessingandOptimization.pdfChristalin Nelson
 
6 ways Samsung’s Interactive Display powered by Android changes the classroom
6 ways Samsung’s Interactive Display powered by Android changes the classroom6 ways Samsung’s Interactive Display powered by Android changes the classroom
6 ways Samsung’s Interactive Display powered by Android changes the classroomSamsung Business USA
 
How to Uninstall a Module in Odoo 17 Using Command Line
How to Uninstall a Module in Odoo 17 Using Command LineHow to Uninstall a Module in Odoo 17 Using Command Line
How to Uninstall a Module in Odoo 17 Using Command LineCeline George
 
Objectives n learning outcoms - MD 20240404.pptx
Objectives n learning outcoms - MD 20240404.pptxObjectives n learning outcoms - MD 20240404.pptx
Objectives n learning outcoms - MD 20240404.pptxMadhavi Dharankar
 
How to Manage Buy 3 Get 1 Free in Odoo 17
How to Manage Buy 3 Get 1 Free in Odoo 17How to Manage Buy 3 Get 1 Free in Odoo 17
How to Manage Buy 3 Get 1 Free in Odoo 17Celine George
 
Transdisciplinary Pathways for Urban Resilience [Work in Progress].pptx
Transdisciplinary Pathways for Urban Resilience [Work in Progress].pptxTransdisciplinary Pathways for Urban Resilience [Work in Progress].pptx
Transdisciplinary Pathways for Urban Resilience [Work in Progress].pptxinfo924062
 
DiskStorage_BasicFileStructuresandHashing.pdf
DiskStorage_BasicFileStructuresandHashing.pdfDiskStorage_BasicFileStructuresandHashing.pdf
DiskStorage_BasicFileStructuresandHashing.pdfChristalin Nelson
 
PART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFE
PART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFEPART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFE
PART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFEMISSRITIMABIOLOGYEXP
 
Q-Factor General Quiz-7th April 2024, Quiz Club NITW
Q-Factor General Quiz-7th April 2024, Quiz Club NITWQ-Factor General Quiz-7th April 2024, Quiz Club NITW
Q-Factor General Quiz-7th April 2024, Quiz Club NITWQuiz Club NITW
 
Congestive Cardiac Failure..presentation
Congestive Cardiac Failure..presentationCongestive Cardiac Failure..presentation
Congestive Cardiac Failure..presentationdeepaannamalai16
 

Recently uploaded (20)

16. Discovery, function and commercial uses of different PGRS.pptx
16. Discovery, function and commercial uses of different PGRS.pptx16. Discovery, function and commercial uses of different PGRS.pptx
16. Discovery, function and commercial uses of different PGRS.pptx
 
Grade Three -ELLNA-REVIEWER-ENGLISH.pptx
Grade Three -ELLNA-REVIEWER-ENGLISH.pptxGrade Three -ELLNA-REVIEWER-ENGLISH.pptx
Grade Three -ELLNA-REVIEWER-ENGLISH.pptx
 
Sarah Lahm In Media Res Media Component
Sarah Lahm  In Media Res Media ComponentSarah Lahm  In Media Res Media Component
Sarah Lahm In Media Res Media Component
 
Chi-Square Test Non Parametric Test Categorical Variable
Chi-Square Test Non Parametric Test Categorical VariableChi-Square Test Non Parametric Test Categorical Variable
Chi-Square Test Non Parametric Test Categorical Variable
 
Farrington HS Streamlines Guest Entrance
Farrington HS Streamlines Guest EntranceFarrington HS Streamlines Guest Entrance
Farrington HS Streamlines Guest Entrance
 
The Emergence of Legislative Behavior in the Colombian Congress
The Emergence of Legislative Behavior in the Colombian CongressThe Emergence of Legislative Behavior in the Colombian Congress
The Emergence of Legislative Behavior in the Colombian Congress
 
Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...
Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...
Geoffrey Chaucer Works II UGC NET JRF TGT PGT MA PHD Entrance Exam II History...
 
DBMSArchitecture_QueryProcessingandOptimization.pdf
DBMSArchitecture_QueryProcessingandOptimization.pdfDBMSArchitecture_QueryProcessingandOptimization.pdf
DBMSArchitecture_QueryProcessingandOptimization.pdf
 
6 ways Samsung’s Interactive Display powered by Android changes the classroom
6 ways Samsung’s Interactive Display powered by Android changes the classroom6 ways Samsung’s Interactive Display powered by Android changes the classroom
6 ways Samsung’s Interactive Display powered by Android changes the classroom
 
Mattingly "AI & Prompt Design" - Introduction to Machine Learning"
Mattingly "AI & Prompt Design" - Introduction to Machine Learning"Mattingly "AI & Prompt Design" - Introduction to Machine Learning"
Mattingly "AI & Prompt Design" - Introduction to Machine Learning"
 
How to Uninstall a Module in Odoo 17 Using Command Line
How to Uninstall a Module in Odoo 17 Using Command LineHow to Uninstall a Module in Odoo 17 Using Command Line
How to Uninstall a Module in Odoo 17 Using Command Line
 
Objectives n learning outcoms - MD 20240404.pptx
Objectives n learning outcoms - MD 20240404.pptxObjectives n learning outcoms - MD 20240404.pptx
Objectives n learning outcoms - MD 20240404.pptx
 
How to Manage Buy 3 Get 1 Free in Odoo 17
How to Manage Buy 3 Get 1 Free in Odoo 17How to Manage Buy 3 Get 1 Free in Odoo 17
How to Manage Buy 3 Get 1 Free in Odoo 17
 
Spearman's correlation,Formula,Advantages,
Spearman's correlation,Formula,Advantages,Spearman's correlation,Formula,Advantages,
Spearman's correlation,Formula,Advantages,
 
Transdisciplinary Pathways for Urban Resilience [Work in Progress].pptx
Transdisciplinary Pathways for Urban Resilience [Work in Progress].pptxTransdisciplinary Pathways for Urban Resilience [Work in Progress].pptx
Transdisciplinary Pathways for Urban Resilience [Work in Progress].pptx
 
DiskStorage_BasicFileStructuresandHashing.pdf
DiskStorage_BasicFileStructuresandHashing.pdfDiskStorage_BasicFileStructuresandHashing.pdf
DiskStorage_BasicFileStructuresandHashing.pdf
 
PART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFE
PART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFEPART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFE
PART 1 - CHAPTER 1 - CELL THE FUNDAMENTAL UNIT OF LIFE
 
Introduction to Research ,Need for research, Need for design of Experiments, ...
Introduction to Research ,Need for research, Need for design of Experiments, ...Introduction to Research ,Need for research, Need for design of Experiments, ...
Introduction to Research ,Need for research, Need for design of Experiments, ...
 
Q-Factor General Quiz-7th April 2024, Quiz Club NITW
Q-Factor General Quiz-7th April 2024, Quiz Club NITWQ-Factor General Quiz-7th April 2024, Quiz Club NITW
Q-Factor General Quiz-7th April 2024, Quiz Club NITW
 
Congestive Cardiac Failure..presentation
Congestive Cardiac Failure..presentationCongestive Cardiac Failure..presentation
Congestive Cardiac Failure..presentation
 

QA Fest 2017. Per Thorsheim. Secure messaging - how to protect yourself & your company

  • 1. Secure Messaging How to protect yourself & your company Per Thorsheim @thorsheim +47 90 99 92 59 (Signal|Wire|Whatsapp)
  • 3. Article 12: “No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks.” The Universal Declaration of Human Rights, United Nations
  • 4.
  • 5.
  • 7.
  • 8.
  • 9.
  • 10.
  • 12.
  • 13.
  • 15.
  • 16.
  • 17. Secure Email DNSSEC DANE TLSA CAA SPF DKIM DMARC
  • 18. Regular email I have email for you Ok, I am ready Here you go…. Thank you, I’ve got it. Thank you, that was all. The problem: It is all unencrypted
  • 19. Email with STARTTLS Hi, I have email for you. Ok, I am ready, and I have STARTTLS Good! Let’s use TLS-RSA-RC4-128-SHA Oh, I can only do RC4-MD5… Ok, let’s use it then. Send your public key. 234lkj235dfwdknj523dlkjsdrkj seljw5kjwouijsdlfjk235346lkj3w ….. Initial communication is Unencrypted. STARTTLS is opportunistic. Sender, recipient & all contents are encrypted.
  • 20.
  • 21. Status for universiteter og høyskoler, oktober 2014. Status for universiteter og høyskoler, mars 2015
  • 22.
  • 23.
  • 24. In the second instance, Golden Frog shows that a wireless broadband Internet access provider is interfering with its users’ ability to encrypt their SMTP email traffic. This broadband provider is overwriting the content of users’ communications and actively blocking STARTTLS encryption. This is a man-in-the-middle attack that prevents customers from using the applications of their choosing and directly prevents users from protecting their privacy. https://www.techdirt.com/blog/netneutrality/articles/20141012/063 44928801/revealed-isps-already-violating-net-neutrality-to-block- encryption-make-everyone-less-safe-online.shtml
  • 25.
  • 26.
  • 27.
  • 28. The «maslow hiearchy» of email security DNS DNSSEC DANE TLSA HTTP HTTPS HSTS SMTP SPF DKIM DNScrypt HPKP DMARC DANE TLSA POP IMAP POPS IMAPS WWW DNS Server til server epost Klient til server epost DANE TLSADANE TLSA SMTP STS STARTTLS Unencrypted Not verified Encrypted Verified Encrypted CAA REQUIRETLS ARC
  • 29.
  • 33. per@thorsheim.net +47 90 99 92 59 Signal|Wire|Whatsapp @thorsheim Linkedin.com/in/thorsheim

Editor's Notes

  1. Nasjonal sikkerhetsdag i Oslo, april 2010. EDB Business Partner v/Per Thorsheim legger frem pressemelding og rapport (https://www.evry.com/globalassets/presse-nyheter/e-post_sikkerhet_i_norge.pdf) hvor vi hadde scannet 345K domener på Internett, hvorav 82K var norske .NO domener. Resultatene var nedslående, og nedenstående nyhetssak hos Dagens Næringsliv fikk stor oppmerksomhet: https://www.dn.no/tekno/2010/04/20/-statsministerens-kontor-bruker-falsk-id
  2. Jeg fulgte opp Kunnskapsdepartementets brev fra juni 2014 i hhv Oktober 2014 og mars 2015. Med tanke på at STARTTLS lar seg implementere av kompetent personell på få timer hos de fleste, så er det all grunn til å spør seg selv hvorfor det tar så lang tid… Pr. 23 mai 2017 ser det ut til at i hvert fall 5 av disse fortsatt ikke har implementert denne støtten. (Kanskje en urettferdig sammenligning, men APPLE implementerte støtte for dette innen 72 timer etter at de ble gjort oppmerksom på det av Christopher Soghoian i ACLU, som jeg har hatt et visst samarbeid med for å få oppmerksomhet på dette hos store virksomheter i USA.)
  3. Å sammenligne ulike tjenester har en formidabel og udiskutabel positiv effekt. Etter at jeg publiserte denne oversikten tok blant annet Morgenbladet grep, og ble første store norske avis som gikk fullt over til HTTPS på sine nettsider. Det har også Dagens Næringsliv gjort, og jeg vet at Schibsted (Aftenposten, VG m.fl.) er svært nær lansering. Dette gir bedre sikkerhet for både avis og og leser, og sikrer også personvernet for lesere på en god måte. Sikkerhet for avisen kommer i form av raskere sidevisning, sikring av inntektsstrøm (reklame) som ikke lengre kan manipuleres like enkelt av eksterne gjennom MitM. Tilsvarende har også epost sikkerhet kommet på agendaen også hos mediehus, og jeg jobber (idealistisk, ikke betalt) for å få dem til å bli bedre på dette mht kildevern mm.
  4. Google Transparency report viser nå oversikt over domener som Google (Gmail) snakker med, og hvilke som benytter STARTTLS hhv når det sendes epost til Gmail, eller fra Gmail til andre domener.
  5. Som en direkte konsekvens av den voldsomme økningen i bruk av STARTTLS, så ble man plutselig også i stand til å oppdage MitM (man-in-the-middle) angrep mot epost, hvor angriper simpelthen grep inn i den initielle klartekst kommunikasjonen mellom 2 epost servere, og sørget for at STARTTLS aldri ble brukt. Eksempelet til venstre kom i forbindelse med større opptøyer i Thailand i 2014, hvor Google og Yahoo plutselig observerte at epost fra Thailand som inntil nylig hadde brukt STARTTLS plutselig ikke gjorde dette lengre. Uten å vite hvorvidt det ble funnet en rotårsak til dette, så antas det et massivt MitM angrep for å kunne avlytte klartekst epost til og fra kontoer hos hhv Google og Yahoo. Eksempelet til høyre stammer fra en amerikansk trådløs internett tilbyder som uten forklaring utførte MitM mot alle SMTP forbindelser gjennom dem, og strippet vekk STARTTLS fra den initielle klartekst kommuikasjonen, slik at alt gikk i klartekst.
  6. På forslag fra Per Thorsheim skrev NSM sin veileder U-02 Kryptering av e-post overføring.
  7. 14. November 2013 sendte Finanstilsynet ut brev til First Securities, hvor de informerer om at de vil innføre støtte for STARTTLS, og ber om at First Securities gjør tilsvarende. Jeg har IKKE funnet tilsvarende brev til andre bank/finans/forsikringsforetak via offentlig postjournal, men jeg vil anta at tilsvarende brev gikk til alle andre bedrifter som på sett og vis er underlagt Finanstilsynet. 2. Juni 2014 fulgte kunnskapsdepartementet i samme spor, henviste til NSM sin veileder, og ba statlige universiteter og høyskoler om å implementere støtte for STARTTLS. Kilde: Funnet via offentlig postjournal
  8. Bruken av OBLIGATORISK STARTTLS er innført for en del offentlige etater, og i samspill med ulike private selskaper. Meg bekjent innenfor bank/finans, hvor staten (politi, finanstilsynet m.fl.) ber om utlevering av informasjon, og dette oversendes via epost. Dette er IKKE et arbeid jeg har vært eller er involvert i, men slik jeg ser det er det VIKTIG å få stanset det pågående arbeidet med manuelle og «hardkodede» lister over domener som skal benytte STARTTLS. Dette skalerer ikke, og har også en rekke andre svakheter i seg som løses automatisk og med bedre sikkerhet (kryptering og autentisering) gjennom nye standarder som angitt i denne presentasjonen, spesielt ved innføring av DNSSEC og DANE TLSA.
  9. HPKP har vist seg å være såpass lett å gjøre feil, samtidig som en feil kan slå ut en nettsider i uker, om ikke måneder og opptil 1-2 år. HPKP anses som «døende». DNScrypt er ikke en RFC standard. SMTP STS er i ferd med å bli en RFC, med Google som en av flere pådrivere. ARC er en foreslått standard som kan bli til en RFC. RequireTLS er en foreslått RFC standard, som gir en klient (bruker) mulighet til å spesifisere at en gitt epost skal KUN sendes dersom STARTTLS blir benyttet.
  10. Sverige ligger på topp. De var også første land i verden til å signere sin rotsone (.SE). Jeg har personlig god kontakt med CISO i IIS i Sverige, som var og fortsatt er med på å styre DNSSEC både i Sverige og globalt.