r   e   k   l   a   m   a
r   e   k   l   a   m   a

Kryptografia nie może być tylko dla nerdów, ale czy nerdy stworzą narzędzia szyfrujące także dla Kowalskiego?

Strona główna AktualnościOPROGRAMOWANIE

Kilka tygodni temu głośno było o problemach finansowych głównego programisty pakietu Gnu Privacy Guard (GPG), który zmęczony walką o utrzymanie projektu, swojej rodziny i siebie ze skromnych datków od społeczności zaczął myśleć, by dać sobie z tym wszystkim spokój. Rozgłos przyniósł radykalną zmianę sytuacji, pojawili się hojni sponsorzy, przyszłość GPG wydawała się być zagwarantowana. Czy jednak pieniądze mogą rozwiązać każdy problem? Słynny haker Moxie Marlinspike podzielił się ostatnio swoimi dość przygnębiającymi przemyśleniami dotyczącymi szyfrowania poczty, określając GPG jako ślepą uliczkę – przynajmniej z filozoficznej perspektywy.

Przedstawione przez hakera liczby zaskakują. Choć GPG jest z nami od niemal 20 lat, to w jego głównej, zaufanej bazie znajduje się raptem 50 tysięcy kluczy, a w ciągu całej historii projektu serwer kluczy otrzymał niecałe 4 mln kluczy. Tak więc narzędzie o zasięgu globalnym, rozwiązujące wydawałoby się żywotny problem dla ludzi na całym świecie, jest stosowane przez znikomy odsetek internautów – i to mimo całego zamieszania dookoła inwigilacji naszej komunikacji przez służby specjalne. Kim więc są ci, którzy z GPG korzystają? Odpowiedź nie jest łatwa. Wydaje się, że jedno, co ich łączy, to techniczna kompetencja, daleko wykraczająca poza to, czego można oczekiwać po typowym internaucie. To grono, z którym w ostatnich czasach Marlinspike coraz mniej chce mieć cokolwiek do czynienia.

Dziwna to konkluzja, ale haker tak pisze: kiedy otrzymuję zaszyfrowaną GPG wiadomość od nieznajomego, natychmiast ogarnia mnie uczucie, że nie chcę jej czytać. Czasem nawet myślę, by założyć filtr, który usunie je wszystkie, ale póki co wciąż odblokowuję swój klucz, zaczynam z nikłą nadzieją czytać – i zwykle jestem rozczarowany. Najwyraźniej ludzie wysyłający do nieznajomych sobie osób (nawet jeśli to osoby w pewnym sensie publiczne) zaszyfrowane wiadomości muszą być mało strawni. Marlinspike nie używa tego słowa, ale nie bójmy go się – wiadomości tego typu piszą najczęściej nerdy.

r   e   k   l   a   m   a

GPG od początku było bowiem narzędziem dla nerdów. W czasach, gdy z Internetu korzystali jedynie ludzie o nadludzkich kompetencjach technicznych, myślano w ten sposób: stworzymy sobie i dla siebie elastyczne i potężne oprogramowanie, a potem nauczymy wszystkich innych jak stać się podobnymi do nas. Wówczas każdy, kto chciałby zabezpieczyć swoją komunikację, będzie po prostu musiał zrozumieć podstawy kryptografii, a do tego opanować korzystanie z narzędzia, którego sama podstawowa dokumentacja liczy ponad 16 tysięcy słów.

Rozwijające się w takim duchu przez 20 lat narzędzie dla nerdów kryptografii wyrosło w coś, co jest zarówno niedostępne dla przeciętnego użytkownika, jak i dalekie od współczesnego rozumienia bezpieczeństwa. Owszem, można sobie wybrać szyfr, z jakiego będziemy korzystać, ale wystarczy, że napastnik przejmie nasz klucz, a cała dotychczasowa zaszyfrowana korespondencja będzie mu oddana jak na tacy. Przebudowa GPG nie wchodzi zaś raczej w rachubę. Narzędzie to jest tak skomplikowane, że twórcy poczty mailpile musieli napisać ponad 1200 linii kodu w Pythonie tylko po to, by połączyć się z podstawowymi funkcjami narzędzia. Nic więc dziwnego, że wiele nietechnicznych osób, np. dziennikarzy czy aktywistów, korzystając z GPG robi to po prostu źle, narażając swoje bezpieczeństwo.

Co z tym wszystkim można zrobić? Standard RFC 4880, opisujący szyfrowaną pocztę na bazie infrastruktury klucza publicznego, ma dziś tylko jedną implementację – właśnie GPG. Jego porzucenie niczego dobrego nie przyniesie, to jedyne rozwiązanie jakie póki co dla poczty mamy, i z którego ktoś jednak korzysta. Najbardziej sensowne wydaje się więc stopniowe zastępowanie zarówno RFC 4880 jak i jego implementacji czymś lepszym, bardziej odpowiednim dla naszych czasów. Stopniowe, a więc częściowo wykorzystujące GPG w obecnej formie. Jedno z możliwych rozwiązań przedstawił Smári, jeden z programistów mailpile, sugerując, by ułatwić dostęp do interfejsu GPG za pomocą obiektów JavaScriptu (JSON). Zakodowanie w nich wyników działania narzędzia pozwoliłoby na znacznie łatwiejsze wykorzystanie go w innych aplikacjach, o miejmy nadzieję, bardziej zrozumiałych dla użytkowników interfejsach.

Nam pozostaje liczyć na to, że Werner Koch dostrzeże potrzebę prywatności także u maluczkich, i pozyskane pieniądze wykorzysta na ułatwienie korzystania z jego narzędzia.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.