r   e   k   l   a   m   a
r   e   k   l   a   m   a

GPG jest za trudne, więc twórca Cryptocata obiecuje narzędzie do szyfrowania plików dla mas

Strona główna AktualnościOPROGRAMOWANIE

Największym wyzwaniem dla aktywistów walczących o prywatność w Sieci jest techniczna złożoność narzędzi, które prywatność tę pozwalają ochronić. Zwykli Użytkownicy, przyzwyczajeni do prostych, klikalnych interfejsów komercyjnego oprogramowania, nie są w stanie opanować sekwencji operacji niezbędnych do sterowania narzędziami zaprojektowanymi przez geeków dla geeków. O tym przekonać miał się Edward Snowden, gdy odkrył, że nie jest w stanie nauczyć dziennikarza Guardiana korzystania z programu GPG nawet po przedstawieniu mu instruktażowego filmu. Zmienić tę sytuację zamierza młody, 23-letni programista, obiecujący że jego narzędzie pozwoli na szyfrowanie danych nawet najbardziej technicznie opornym osobom.

Za dwa tygodnie w Nowym Jorku zaczyna się hakerska konferencja HOPE. Jednym z jej prelegentów ma być wspomniany programista, Nadim Kobeissi, który obiecuje przedstawić na niej publiczną wersję beta rozszerzenia do przeglądarek o nazwie miniLock, dzięki któremu każdy, kto potrafi korzystać z przeglądarki, będzie też w stanie szyfrować i deszyfrować pliki z wykorzystaniem silnych kryptosystemów.

Rozwijane pod hasłem „mniej to więcej” rozszerzenie wciąż znajduje się w wersji alfa, ale jak twierdzą osoby, które miały okazję je testować, pozwala na szybkie szyfrowanie i deszyfrowanie plików, z wykorzystaniem techniki przeciągnij-i-upuść. miniLock potrafi zaszyfrować pliki przechowywane zarówno lokalnie, np. na dysku USB, jak i w chmurze, np. w Dropboksie czy Dysku Google. Umożliwia również szyfrowanie załączników poczty dowolnego typu.

r   e   k   l   a   m   a

Choć rozszerzenie korzysta z dobrze znanej asymetrycznej kryptografii klucza publicznego (z krzywymi eliptycznymi), to jednak z perspektywy użytkownika cała złożoność programów takich jak GPG zostaje ukryta za prostym schematem pracy. Osoba chcąca skorzystać z miniLocka musi jedynie wprowadzić frazę szyfrującą o odpowiednim poziomie złożoności i długości przynajmniej 30 znaków. Z tej frazy generowany jest klucz publiczny (44-znakowy ciąg, określany jako miniLock ID) oraz klucz prywatny, niewidoczny dla użytkownika. Jako że proces generowania kluczy jest deterministyczny (fraza szyfrująca generuje zawsze taką samą parę kluczy), znika problem z przechowywaniem kluczy prywatnych – są one kasowane zaraz po zakończeniu szyfrowania.

Niewielka długość klucza publicznego pozwala na jego łatwe rozpowszechnianie przez np. Twittera, deterministyczne generowanie kluczy zwalnia z zarządzania ich bezpieczeństwem, zaś sama forma aplikacji – rozszerzenia do przeglądarek – sprawia, że użytkownik nie musi korzystać z żadnych loginów i haseł. Autor miniLocka uważa, że to właśnie pozwoli oddać szyfrowanie plików w ręce mas.

Wszystko to wygląda bardzo dobrze, jest tylko jedno „ale”. Kobeissi już raz robił kryptograficzne narzędzie o nazwie Cryptocat – wykorzystujący krzywe eliptyczne szyfrowany komunikator, w którym najważniejsza była właśnie łatwość obsługi. Cryptocat, który uzyskał całkiem sporą popularność, okazał się jednak zawierać kilka błędów, które pozwoliły na siłowe łamanie zastosowanego kryptosystemu. Od tamtej pory Kobeissi jest trochę chłopcem do bicia dla kryptografów, wypominających mu (co zresztą zrozumiałe, biorąc pod uwagę wiek programisty) braki w jego formalnym wykształceniu matematycznym. Błędy zostały poprawione, ale złe wrażenie pozostało.

By uniknąć powtórki z tej sytuacji, programista nie chce od razu upubliczniać rozszerzenia przez np. Chrome Web Store. Rozszerzenie trafi najpierw na GitHuba, tak by jego kod mogli przeanalizować zainteresowani kryptografowie i wytknąć zawczasu możliwe błędy. Kobeissi zdając sobie sprawę z błędów jakie popełnił, może być dzięki temu pierwszym, który da zwykłym, nie rozumiejącym matematyki ludziom narzędzia do ochrony swojej prywatności. Wierzy w to też Matthew Green, profesor informatyki z Johns Hopkins University, który znalazł błędy w Cryptocacie. Mówi on, że choć obecnie nie szyfrowałby miniLockiem dokumentów NSA, to jednak uważa, że rozszerzenie to może być bezpieczne, zaś ukrycie złożoności szyfrowania przed końcowymi użytkownikami jest tym, czego najbardziej teraz potrzebujemy.

Trudno temu zaprzeczyć, mając choćby w pamięci ostatnią „aferę taśmową” w Polsce, podczas której okazało się, że tak kłopotliwe politycznie nagrania rozmów wysokich urzędników państwowych znajdowały się w jawnej postaci na komputerze redaktora naczelnego tygodnika „Wprost”, wyrywanym mu siłą przez funkcjonariuszy ABW podczas ich wizyty w redakcji. Być może gdyby dziennikarz miał do dyspozycji proste i zrozumiałe narzędzia kryptograficzne, można byłoby uniknąć tak widowiskowych scen.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.