RSS АД в Facebook АД в Vkontakte АД в Twitter

Мокси Марлинспайк создает шифрование для каждого

Пока что Мокси Марлинспайк не имеет такой известности как Эдвард Сноуден, но свободный духом дредастый программист и специалист по криптографии является одним из самых важных людей в современном глобальном технологическом обществе (и определенно единственный с таким благозвучным псевдонимом)

Марлинспайк является основателем некоммерческой группы разработки программного обеспечения Open Whisper Systems и создателем приложения «Signal», мессенджера с открытым исходным кодом в котором осуществляется шифрование голосового трафика и текстовых сообщений. Signal уже успел получить похвалу от каждого, от Сноудена до кинематографистки Лоры Пойтрас и выдающихся криптографов Брюса Шнайера и Мэтью Грина.

В то время как Марлинспайк имеет поклонников во всем сообществе криптографов, правоохранительные органы (например, директор ФБР Джеймс Коми) публикуют страшные предупреждения касательно возможности общаться, не опасаясь прослушки. В марте ФБР внезапно отошло от громкого дела в котором оно пыталось вынудить фирму Apple взломать собственные меры защиты в iPhone: но только после того как третья сторона предоставила средства взлома рабочего телефона мертвого террориста из Сан Бернардино Саеда Фарука.

Однако, отличительная черта, которой Signal обязан своей популярностью, это сквозное шифрование (end-to-end encryption), с криптографическими ключами, размещенными лишь на устройствах отправителя и получателя. Это означает, что сервера компании выступают всего лишь как посредники и не могут расшифровать передаваемые сообщения, даже получив судебное распоряжение.

Сквозное шифрование - это инструмент, который уже готов уйти из узкоспециальной ниши в общее употребление. Пользователи смартфонов из будущего даже не будут иметь возможность использовать "тупые" нешифрованные сообщения - так называемые "оверлейные" сервисы шифрования, такие как WhatsApp, Signal или Facebook Messenger будут работать поверх вашего смартфона, отвечая за все операции с отсылкой и приемом сообщений.

Марлинспайк, наряду с Брайаном Эктоном и Джаном Коумом, создателями безумно популярного международного мессенджера WhatsApp, объявили в начале апреля, что все разнообразие коммуникационных инструментов WhatsApp будет использовать сквозное шифрование. Данный сервис сообщений, которым владеет Facebook, имеет пользовательскую базу из 1 миллиарда людей, которые теперь могут связываться друг с другом без боязни, что их сообщения, звонки и даже смайлики и emoji будут перехвачены.

Поскольку все больше нашего жизненного пространства занимает интернет, должны же там быть места, куда правительство не сможет дотянуться? Журнал Popular Science связался по e-mail с Марлинспайком, чтобы обсудить всё растущее внимание к сервисам шифрования.

PopScience: Вспомнив о том, как ФБР пошли на попятную со своей тяжбой с Apple, какие выводы можно сделать касательно стойкого шифрования в США?

Мокси Марлинспайк: ФБР уже годами рассуждает о стойком шифровании на устройствах потребителей. Они крупно просчитались в стратегическом плане, однако они решили потратить время и силы на "пробное дело". На данный момент кажется, что они решили, что случай был не таким удачным для создания прецедента. Поэтому круто, что они не выиграли, однако они и не проиграли. Нам по прежнему стоит опасаться, что однажды они найдут идеальную ситуацию для создания нужного им прецедента.

На конференции RSA (международная конференция по информационной безопасности) вы упомянули о своих размышлениях о том, должен ли закон всегда исполняться. Не могли бы вы более детально разъяснить что вы имели в виду?

В айфоне из дела Сан Бернардино не было почти ничего ценного. Это был не личный телефон стрелка, который он специально уничтожил, это был его рабочий телефон, который он оставил в ящике стола. У ФБР уже есть огромное количество информации об этом.

У них есть все звонки сделанные с этого телефона, которые они получили от мобильного оператора и у них есть полная резервная копия данных устройства из iCloud. У них были бы даже более свежие данные из резервных копий iCloud если бы ФБР не опростоволосились и не сделали бы сброс пароля в iCloud перед синхронизацией устройства. Так что у них есть масса информации.

Тем не менее, они говорят, что им нужна возможность доступа к чужим данным, потому что, возможно, там есть ещё что-то. Какая-нибудь маленькая деталь. Но мир, где ФБР ничего никогда не упускает, это также и мир, где ФБР знает все. Я не думаю что это мир, которого мы хотим, но это мир ,который они требуют. (Замечание редакции: По сообщениям из разных источников, ФБР заплатило больше миллиона долларов чтобы взломать телефон, однако до сих пор они не объявили о том, что нашли что-либо значимое)

Моё (довольно непопулярное) мнение состоит в том, что должна быть возможность нарушить закон. Недавно мы видели легализацию однополых браков во многих штатах, так же как легализацию марихуаны. Это все результаты демократических процессов, но мы также должны понять, что это было бы невозможно, если бы мы не могли нарушать закон.

Как бы мы узнали что мы хотим легализации однополых браков, если бы никто не мог иметь отношения с людьми своего пола, потому что законы против гомосексуализма во всех штатах работали бы в ста процентах случаев? Как бы мы узнали, что мы хотим легализации употребления марихуаны, если бы никто никогда не мог попробовать марихуану? Мы можем желать только то, что мы знаем. Наше чувство того, что возможно, во многом определяется нашим текущим опытом того, что мы можем сделать и того, что нам не дозволено.

Учитывая опасность подобных законсервированных террористических ячеек, которые выбирают гражданские мишени, на первый взгляд, абсолютно случайно, как в Сан-Бернардино или Брюсселе, можете ли вы встать на место правоохранительных органов? В частности, на позицию "нам необходимо иметь возможность начать наблюдение, чтобы уловить тревожные сигналы и предотвратить следующую атаку"? Их непростое положение не заставляет вас понять их желание прослушивать телефоны граждан?

Сама постановка вопроса - уже передергивание, поскольку дебаты о шифровании не имеют ничего общего с терроризмом. ФБР просит по умолчанию запретить стойкое шифрование на пользовательских устройствах, а не запретить шифрование вообще - они же понимают, что подобное невозможно.

Шифрование - не материальный продукт, который выпускают на заводе с возможностью регулирования, это всего лишь набор довольно простых алгоритмов, которые публикуются повсеместно и находятся в обиходе вот уже более 30 лет. Уже с 90-х годов доступно программное обеспечение, которое позволяет общаться, используя стойкое шифрование.

Большинство людей не используют их, поскольку это вроде как трудно. Не то чтобы нужно быть семи пядей во лбу, однако приходится делать 3 лишних клика, отправляя письмо. Для большинства пользователей это лишняя морока, но люди, ведущие рискованную преступную деятельность, всегда будут не против кликнуть ещё три раза. А нормальные люди, типа меня или вас - нет. Поэтому именно нас затрагивает массовое наблюдение, а также именно наши данные подвержены утечке и порче каждый раз, когда взламывают популярные интернет-сервисы.

Эти сервисы наконец-то осознают, что сквозное шифрование - способ сохранить наши данные, потому они и начинают применять их в крупных продуктах для рядового потребителя. ФБР хочет заставить нас поверить, что стойкое шифрование в повседневных сервисах даст фору террористам, но у террористов уже есть шифрование! Это у нас его нет.

Мы уже узнали, что террористы в Париже использовали одноразовые мобильники, а не шифрование. Насколько я могу судить, шифрование едва ли сыграло существенную роль в атаках в Сан-Бернардино. Как криптограф, вы не чувствуете себя козлом отпущения, когда после терактов во всем винят шифрование, даже если оно не при делах?

Безусловно. Растущее применение сквозного шифрования в потребительских продуктах не имеет ничего общего с терроризмом, однако ФБР изо всех сил старается их связать. Любое резонансное событие - и тут же появляются "неназванные правительственные источники" и говорят, что в деле замешано сквозное шифрование.

В итоге все это оказывается ложью. Да и если террористы извлекают в какой-то мере пользу из сквозного шифрования, это не должно влиять на его доступность в потребительских продуктах для остальных людей.

С другой стороны, нетрудно представить ситуацию, в которой террористы используют Signal, или WhatsApp, или зашифрованный айфон для обмена сообщениями. Если такое произойдет, будете ли вы чувствовать себя сколько-нибудь виноватым?

Ни капли. Возможно, они выберут Signal из-за простоты использования, но они с таким же успехом могут воспользоваться неудобными программами для шифрования, которые появились еще в 90-х. Или без труда напишут свои неудобные программы. Мы в Open Whisper Systems не изобретаем шифрование - это сделали до нас. Мы занимаемся тем, что создаем методы шифрования, которые могут использовать себе во благо люди, не вовлеченные в рискованную криминальную деятельность.

В 2014 году исследователь безопасности Оливер Дей сказал в интервью Popular Science, что любые компании, которые позиционируют свои продукты как "защищенные от АНБ (Агентство Национальной Безопасности США)", по сути, обманывают нас. Вы согласны с этим утверждением? Может ли все-таки АНБ взламывать наши айфоны или Signal?

Мы работаем над Signal, чтобы сделать массовое наблюдение невозможным. Это касается и массового наблюдения силами АНБ. Однако мы не пытаемся прекратить конкретные атаки. Есть множество путей, с помощью которых АНБ может физически вторгнуться в устройство пользователя Signal и перехватывать набираемый текст еще до того, как он будет зашифрован и передан.

Однако такие атаки очень рискованны для АНБ. Это уже не просто мониторинг сети или же действие, производимое где-то далеко на каком-то сервере. Да и с точки зрения затрат такой уровень доступа требует от них особой избирательности в выборе жертвы.

Будет ли Интернет в будущем дешевым средством коммуникации (и критики правительства)? Или же это будет величайшая в истории машина слежки?

Я не техно-оптимист - я уверен, что по мере роста влияния технологии на нашу жизнь, мы будем все больше терять контроль над этими аспектами жизни - но когда дело касается коммуникации и шифрования, я нехарактерно оптимистичен. Мне кажется, что уже в краткосрочной перспективе, будущим мобильной коммуникации станут оверлейные сервисы, а будущее оверлейных сервисов - это сквозное шифрование.

Оригинал

Перевод Группы Анархо-Переводчиков

 



Ваша оценка: Пусто Средняя: 5 (1 голос)

Signal звучит хорошо и

Signal звучит хорошо и заманчиво. Но он привязывается к смс, а сотовые операторы скомпроментированы, на сколько я знаю, и теоритечески недоброжелатели с доступами могут завладить чужими аккаунтами.

Очень хочется доверять signal, разубедите меня пожалуйста, что перехватив смс спецслужбы не смогут получить доступ к переписке.

Signal использует смс (или

Signal использует смс (или звонок) только на этапе регистрации нового аккаунта. После этого смс уже ни для чего не используется, и никаких операций с аккаунтом при помощи смс проделать невозможно: разве что установить Signal с таким же аккаунтом на другом устройстве, но тогда у изначального пользователя он сразу перестанет работать, а все контакты получат сообщение, что у корреспондента сменился ключ.

Получить доступ к переписке таким образом не получится точно, поскольку создатели Signal клянутся, что вообще не хранят данные, которыми пользователи обмениваются. Но даже если бы и хранили, то это бы ничего не поменяло - сообщения шифруются на оконечном устройстве (то есть, на телефоне), и ключ расшифровки тоже присутствует только на телефоне. То есть, чтобы получить доступ к переписке, противник должен заполучить сам телефон, и расшифровать настройки Сигнала (естественно, его запуск должен быть запаролен).

TOX - открытый, бессерверный,

TOX - открытый, бессерверный, анонимный, зашифрованный видео-аудио чат.

https://tox.chat/

https://tox.chat/faq.html

https://wiki.tox.chat/

https://wiki.tox.chat/clients

https://wiki.tox.chat/users/howtos

https://wiki.tox.chat/binaries

https://github.com/irungentoo/toxcore/blob/master/INSTALL.md

Хотя бы просто чтобы попробовать, поддеражать сеть, поагитировать других. Часто в мире GNU "велосипедистам" не знакомо понятие "солидарность", но очень не чуждо понятие "понты" - поэтому появляется множество дублирующих друг друга приложений, многие из них, обладающие полезными свойствами и гибкостью становятся весьма сложными для малоопытных пользователей, а те, что попроще не позволяют гибко подстроить их под любые условия (сеть, прокси, платформы и т.п.).

Tox - это хорошо, но довольно

Tox - это хорошо, но довольно глючно. Signal просто работает.

Велосипед от очередного

Велосипед от очередного хайпнутого любителя по выпендриваться.

Велосипед это когда повторяют

Велосипед это когда повторяют уже существующее. Аналогов Signal не существовало.