Axolotl Ratchet被Signal messenger(以前称为 TextSecure)和OTR的增强版本使用,以使其适用于移动应用程序,它有可能加密消息而无需双方同时在线 如此处所述。密钥交换是异步发生的。
Signal 还解决了其他几个问题,例如乱序解密和防止元数据通过明文泄露。
在我看来,这听起来很完美,可以替代缺少前向保密 (PFS) 和其他一些问题的 PGP。
在创建使用axolotl加密而不是 PGP的邮件客户端插件(如用于 Thunderbird 的 Enigmail)时,必须考虑哪些问题?
好主意,好问题,但有几个问题使 axolotl 不是现有电子邮件客户端和/或服务器的一个很好的直接解决方案:
1) TextSecure 的异步部分需要来自电子邮件服务器不提供的服务器的帮助。具体来说,TextSecure/Signal 服务器为离线用户分发临时公钥。电子邮件服务器没有。
2) Axolotl 客户端必须是有状态的,跟踪每次对话的关键棘轮。它(再次)不是电子邮件客户端旨在提供的功能,并且它使拥有多个电子邮件客户端变得困难,因为它需要在一个电子邮件客户端之间同步该状态。例如,您的桌面电子邮件客户端必须获取您的智能手机电子邮件客户端生成的所有密钥。
但是,它可能是一个很好的电子邮件替代品。如果您想解决该问题,请查看为 TextSecure 或 Pond 开发的 Web 客户端。Textsecure/Signal 需要桌面客户端,Pond 需要移动客户端。
虽然 axolotl 棘轮非常出色并提供了一些出色的安全属性,但有一种观点认为,axolotl 提供的安全保证对于许多用例来说不值得为状态维护带来麻烦。
我推荐Pond用于需要端到端加密的异步消息传递、ala 电子邮件。Pond 使用 axolotl 棘轮进行前向保密,但 Pond 也提供了一些流量分析保护。
恕我直言,值得伪装您发送的加密消息的数量、元数据等。任何电子邮件系统都会将您的元数据暴露给流量分析。我建议将 GnuPG 用于一次性消息或与不使用 Pond 的人的不频繁通信,但说服定期通信使用 Pond。
一个有趣的项目可能是一个尝试自动建立 Pond 连接的电子邮件客户端。
我不确定将 axolotl 用于电子邮件的想法是否合理,但值得一试。我的团队Tradle选择像@geargewalker 建议的那样创建电子邮件的替代方案。不过,这里有一些提示给你:
祝你好运。