Update: The english counterpart of this post by synapse can be found here.

Az utóbbi napokban több ismerős is belefutott a MySecureZone nevű, katonai szintű e-mail titkosítást ígérő IndieGoGo kampányba, ami nem érdemelne külön posztot, ha nem honfitársaink (akik 10 másodperc alatt törik az SSL-t) állnának a kezdeményezés mögött, és nem pislognék tátott szájjal 10 perce a kampány oldal előtt - hiába, ez a példa is alátámasztja, hogy sírva vigad a magyar...

Egy katonai szintű megoldás bemutatásánál eleve többre vágynék néhány marketinges bekezdésnél meg pár csilivili látványtervnél, de dolgozzunk abból, ami van:

• "we’ve worked hard to create the BEST PRIVACY POLICY in the world" - Egy nagyon körültekintően megfogalmazott betűhalom nyilvánvaló garanciákat nyújt.
• "Switzerland is famous for its privacy and personal data protection, so this is why we choose to host our servers there" - Svájcnak nincs titkosszolgálata, a külföldi hírszerzők nem kíváncsiak rájuk, a hackerek pedig amúgy is unalmasnak tartják az országot úgy ahogy van.
• "We’ve implemented open source solutions in creating MySecureZone because we want to achieve greater transparency and therefore greater security" - Juhé, nyílt forrás! Persze az átláthatóság jegyében semmit nem árulnak el a reménybeli befektetőknek a szolgáltatás lelkét biztosító módszerekről... vagy mégis?
• "Our encryption algorithm is second-to-none and will protect your..." - vá-vá-vá-vááárjunk csak!
  • "Our encryption algorithm"
  • "OUR ENCRYPTION ALGORITHM" - kész, erre tényleg nem tudok mit írni (szerencsére páran megtették helyettem) 

Ezek után döbbenetes, hogy már több mint 6000 dollár összegyűlt a kampányra (ezt a kiírók akkor is megkapják, ha nem jön össze a célul kitűzött 50 lepedő!), minden esetre a sokk kiheverése után érdemes tovább olvasni:

• "Your connection to our server will be totally secured" - A kapcsolat titkosított, remek, ezt a GMail is tudja. A szerveren tárolt adatokról egy szó sem esik.
• "We designed a unique encryption framework called MSEP" - Persze az egésznek már van egy 4 betűs neve (33%-kal jobb az AES-nél, a DES-nél vagy az RC4-nél) \o/
• "Our email system is web-based, so there’s no need for program installation" - Miért is ne? A web alapú kriptográfiai megvalósításokból még soha nem volt baj.
• "With our NO LOG policy, you use our system ANONYMOUSLY" - A "privacy expert" készítők a jelek szerint nincsenek tisztában az anonimitás fogalmával (sem)

És még nincs vége, van egy másik videó is - nettó 15mp (biztos drágán adja a tárat a TeCső...), de azért ki lehet kockázni pár érdekes részletet:

• Startupos zongorakísérettel júzerünk beír egy szuperbiztonságos, 6 karakteres jelszót, amivel az e-mailjét el fogja titkosítani.
• Megérkezik a "titkosított" üzenet, melynek tárgya nyíltan olvasható.
• Az anonimitás jegyében láthatjuk, hogy az üzenetet danny küldte.
• Végül a könnyű kezelhetőség érdekében a fogadó félnek döntenie kell, hogy megbízik-e a szerver SHA-256-ot használó TLS tanúsítványában, melyet az X CA hitelesített. Segítségnek a levéltörzsben szerepelnek a vonatkozó tanúsítvány fingerprintek hexa-kódolt értékei.
• Bónuszként két különböző "el szeretném olvasni" link is szerepel a levélben, ne kérdezzétek miért.
• A slusszpoén pedig, hogy ez a figyelmeztető üzenet titkosítás illetve digitális aláírás nélkül érkezik.

Kedves MySecureZone! Kérlek ne hozzatok szégyent a magyar IT-biztonsági szakmára!