[DFRI-listan] SecureDrop

[Emil Tullstedt <sakjur@xxxxxxxxx>]

Startar en separat tråd för SecureDrop så att vi inte stjäl Niklas cjdns-tråd:

SecureDrop (tidigare DeadDrop, live implemenation hos New Yorker
kallas StrongBox) är ett system för pseudonym kommunikation mellan
journalister och källor där källan laddar upp filerna via
Tor-nätverket till en källhanteringsserver som GPG-krypterar
materialet och skickar vidare det till journalisten som avkrypterar
det på icke-nätverksuppkopplad maskin.

SecureDrop finns på https://pressfreedomfoundation.org/securedrop och
https://github.com/freedomofpress/securedrop/

Igår på/efter mötet diskuterade vi möjligheterna för ett sådant typ av
system i föreningens regi (observera att inga beslut i frågan togs)
och ln5 föreslog att även undersöka GlobalLeaks
https://globaleaks.org/

När det kommer till SecureDrops säkerhet finns en audit på:
http://homes.cs.washington.edu/~aczeskis/research/pubs/UW-CSE-13-08-02.PDF

Auditen sammanfattas på punkt 9 (sida 20 i PDFen) där sammanfattningen
pekar på problemen med systemet, vissa är tekniska och kritiska buggar
medans en hel del är användbarhetsproblematik.

Min uppfattning är att sätta upp en SecureDrop-tjänst skulle kräva ett
lite större projekt än bara slå upp något - så vi bör innan vi börjar
sikta på produktion skriva behovsanalys både ifall tjänsten öht behövs
och ifall vi har resurserna för att driva detta, samt ifall det här är
ett projekt som vi känner för att vaska pengar för.

Min uppfattning är att det i dagsläget inte är kritiskt att få upp en
SecureDrop-server snabbt, men det kan också vara lärorikt och roligt.
Jag vill absolut inte sätta upp något där vi lovar anonymitet som vi
sedan inte kan hålla.

Tack för ett väldigt trevligt möte igår

mvh
--
Emil Tullstedt

--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
http://dir.gmane.org/gmane.org.user-groups.dfri