minilockscreenshot

Невероятно простое приложение, позволяющее кому угодно зашифровать что угодно

Шифрование — сложная штука. Когда осведомитель из АНБ Эдвард Сноуден хотел связаться с журналистом Гленном Гринвальдом посредством зашифрованного письма, Гринвальд не мог разобраться в старой PGP-криптопрограмме даже после того, как Сноуден сделал для него 12-минутный видеоучебник.

Надим Кобейсси намерен устранить эти сложности с освоением. На хакерской конференции HOPE в Нью-Йорке в конце этого месяца он собирается представить бета-версию универсальный программы шифрования файлов под названием miniLock — бесплатный и с открытым кодом плагин для браузера, который даже луддиту позволит шифровать и расшифровывать файлы с практически невзламываемой криптографической защитой за считанные секунды.

— Мой слоган – «Шифрование файлов: больше эффективности, меньше затрат», — говорит Кобейсси, 23-летний программист, активист и консультант по безопасности. – Это невероятно просто, доступно и понятно даже ребёнку.

Разработка Кобейсси, которая, по его словам, находится на экспериментальном этапе и ещё не может использоваться для файлов с высокой степенью защиты, на самом деле может оказаться самой простой в использовании шифровальной программой.

— В ранней версии плагина для Google Chrome, испытанной WIRED, мы смогли за несколько секунд перетащить файл в программу и зашифровать данные таким образом, что никто, кроме предполагаемого получателя – теоретически даже правоохранительные органы или разведывательные агентства – не смог бы его расшифровать и прочесть. MiniLock может использоваться для шифрования чего угодно, от видеовложений в письма до фотографий, хранящихся на USB-диске, или для шифрования файлов для безопасного хранения на Dropbox или Google Drive.

Как и более ранние версии PGP, miniLock предлагает так называемое «шифрование открытым ключом». В системах шифрования открытым ключом у пользователей есть два криптографических ключа: открытый и закрытый. Пользователь пересылает открытый ключ тому, кто хочет безопасно отправлять ему файлы; всё, зашифрованное с его помощью, может быть расшифровано только с помощью закрытого ключа, который пользователь сохраняет в тайне.

Вариант Кобейсси с шифрованием открытым ключом отбрасывает почти все эти сложности. Там даже нет необходимости регистрироваться или входить в систему: при каждом запуске miniLock пользователь вводит только ключевую фразу, хотя по требованиям miniLock в ней должно быть не меньше 30 символов, а также буквы и цифры вперемешку. Из этой фразы-пароля программа генерирует открытый ключ, который называется miniLock ID, и закрытый ключ, который пользователю никогда не демонстрируется и стирается при закрытии программы. Ключи генерируются каждый раз, как пользователь вводит ключевую фразу. Повторная генерация одинаковых ключей в каждой сессии означает, что программу можно использовать на любом компьютере, не беспокоясь о безопасности хранения или перемещения чувствительного закрытого ключа.

— Никаких логинов, никаких закрытых ключей! Ничего этого не нужно. Вот в чём особенность, — говорит Кобейсси. – Пользователи могут удостоверять свою идентичность для отправки и получения файлов на любом компьютере, на котором установлен miniLock, безо всякой необходимости при этом заводить аккаунт на интернет-сервисе и без необходимости возиться с файлами ключей, как в PGP.

На самом деле miniLock использует разновидность шифрования, которая едва появилась, когда PGP уже обрело популярность в 1990-е годы: криптография на основе эллиптических кривых. Кобейсси говорит, что набор криптоинструментов даёт возможности, которых раньше не существовало. Открытые ключи PGP, которые пользователь отсылает тем, кто хочет переслать ему зашифрованные файлы, часто напоминают страницу случайного текста. Идентификатор MiniLock состоит только из 44 символов – достаточно короткий, чтобы влезть в твит, и ещё место останется. Криптография на основе эллиптических кривых позволяет miniLock получать ключи для пользователя из одной его фразы, которая каждый раз вводится заново, а не хранится. В своём докладе на конференции HOPE Кобейсси утверждает, что miniLock полностью использует все возможности шифрования на основе эллиптических кривых.

Несмотря на все эти прекрасные особенности, miniLock может встретить у криптосообщества не самый радушный приём. Самым известный предыдущим созданием Кобейсси является Cryptocat, безопасная программа-чат, которая, как и miniLock, сделала шифрование таким простым, что использовать его мог бы и пятилетний ребёнок. Но у неё также было несколько серьёзных уязвимых мест, которые делали её в лучшем случае просто бесполезной, а в худшем – обманчиво-безопасной.

Однако недостатки, за которые сообщество так ополчилось на Cryptocat, уже давно исправлены, сообщает Кобейсси. На сегодняшний день программу скачали почти 750 000 раз, а в рейтинге безопасности чат-программ от немецкой фирмы безопасности PSW Group в прошлом месяце она давно и прочно занимает первое место.

— Несмотря на ранние недостатки Cryptocat, miniLock не следует сбрасывать со счетов, — говорит Мэтью Грин, профессор криптографии Университета Джонса Хопкинса, который подчеркнул предыдущие ошибки в Cryptocat и в настоящее время проводит обзор новой разработки Кобейсси miniLock. – У Надима выходит много ерунды, но не стоит судить о нём по тому, что он делал много лет назад.

В отношении безопасности miniLock Грин скорее склоняется к осторожному оптимизму:
— Я не стал бы прямо сейчас шифровать им документы АНБ. Но у него хороший и простой криптографический дизайн и не так много мест, где что-то может пойти неверно. В целом подготовка обзора займёт у меня некоторое время, но я считаю его достаточно безопасным.

Кобейсси говорит, что тоже извлёк опыт из провала Cryptocat: miniLock не будет сразу выложен в Chrome Web Store. Вместо этого он намеревается выложить код в доступ на GitHub для рассмотрения и предпринять меры по подробному документированию его работы во время тестирования.

— Это не первое моё родео, — говорит он. – Открытость [MiniLock] предназначена для демонстрации методов звукового программирования, изучения криптографических дизайнерских решений и лёгкой проверки miniLock на наличие возможных ошибок.

Если miniLock действительно станет первой по-настоящему элементарной программой шифрования с открытым ключом, это может открыть применение сложного шифрования широкой новой аудитории.
— PGP останется далеко позади, — говорит Грин из Университета Джонса Хопкинса. – Дать возможность обычным людям шифровать файлы – это на самом деле ценно… [Кобейсси] отбросил лишнюю сложность и сделал то, что нам следовало сделать.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *