Эдвард Сноуден.
Getty Images
Еще в 2013 году Эдвард Сноуден своими публикациями секретных материалов Агентства национальной безопасности (АНБ) доказал, что спецслужбы США, Великобритании, Австралии и других стран массово следят за интернет-пользователями и нарушают их право на частную жизнь, оправдывая это борьбой с терроризмом.
Только за последний год было предпринято несколько атак на могущественные международные организации: в прошлом августе хакеры взломали Apple iCloud и обнародовали личные фотографии американских знаменитостей, а в прошлом ноябре злоумышленники получили доступ к закрытой информации и переписке сотрудников Sony Pictures. Причем под ударом оказываются не только большие компании и всем известные активисты, но и простые люди: например, осенью прошлого года в Сеть были выложены пароли от пяти миллионов почтовых ящиков Gmail.
Все это подтверждает, что к личной информации нужно относиться бережнее. Первые способы обезопасить передачу данных с помощью криптографии появились более сорока лет назад, но не пользовались популярностью из-за своей сложности. Slon разобрался, как работают эти системы и кто пытается их упростить.
В 2015 году появляется сразу несколько продуктов, которые должны упростить использование криптосистем с открытым ключом. Например, их созданием занимается стартап Keybase, а Google и Yahoo разрабатывают плагины, которые позволят легко шифровать письма даже тем, кто раньше и не подозревал, что этим следует заниматься.
Как работают криптосистемы с открытым ключом
Криптографические системы с открытым ключом были изобретены еще в середине 1970-х годов, но стали доступны обычным (хотя и технически подкованным) пользователям только в 1990-х. В 1991 году американец Фил Циммерман написал программу PGP (от англ. Pretty Good Privacy), которую можно было легко загрузить на ПК, чтобы шифровать и расшифровывать сообщения и создавать цифровые подписи.
Циммерман придумал PGP как инструмент для общения людей, выступавших против ядерного оружия, – таким образом, шифрование с самого начала оказалось в руках активистов, благодаря которым оно и распространилось. Сегодня PGP – это часть корпорации Symantec с оборотом $6,68 млрд, которая продает одноименную программу. Также существует протокол OpenPGP, на основе которого работает бесплатный инструмент GnuPG (или GPG). Он пользуется большой популярностью, потому что в отличие от PGP это ПО с открытым исходным кодом.
Чтобы отправить что-то конфиденциальное, используя PGP, пользователь создает пару ключей: личный как пароль и публичный. Последний может увидеть любой человек и, используя его, зашифровать для получателя свое сообщение. Расшифровать его можно, только используя личный ключ. Таким образом, получатель – единственный человек, который может прочесть предназначенную для него информацию.
Ключ – длинный набор цифр, созданный по определенным правилам и используемый для криптографических преобразований текста. И личный, и публичный ключи можно хранить в текстовом файле или в специальных приложениях. Кроме того, публичный ключ можно добавить в вашу имейл-подпись, опубликовать на личном сайте или на любой другой открытой площадке.
PGP использовал Эдвард Сноуден, но у него получилось передать секретные материалы не сразу, поскольку в 2013 году мало кто пользовался этим методом. Так, журналист The Guardian Гленн Гринвальд, которому Сноуден изначально хотел передать документы, не понимал, как расшифровать полученные сообщения. Тогда Сноуден решил обратиться к журналистке и режиссеру Лоре Пойтрас, так как был в курсе, что она использует PGP. Но поскольку он не знал ее публичного ключа, то сначала написал письмо Мике Ли, техническому директору Freedom of the Press Foundation, который и предоставил ему этот ключ.
Журналист The Guardian Гленн Гринвальд
REUTERS / Sergio Moraes
В итоге Сноуден успешно передал Пойтрас и Гринвальду документы, разоблачающие слежку АНБ. Позже он сказал: «Шифрование работает. Правильно примененные криптосистемы – одна из немногих вещей, на которые вы можете положиться. К сожалению, защита конечных точек настолько слаба, что АНБ часто удается обойти шифровку». В свою очередь Пойтрас сняла фильм «Гражданин четыре», рассказывающий о Сноудене и его разоблачении PRISM – программы, в ходе которой АНБ следило по крайней мере за девятью крупнейшими интернет-компаниями.
История Сноудена указывает на одну из главных проблем PGP – проблему поиска и передачи публичных ключей. Чтобы подтвердить свою идентичность, в 1990-х годах устраивали вечеринки, на которых люди показывали друг другу водительские удостоверения или другие документы, чтобы подтвердить, что публичный ключ принадлежит именно им. «Если вы были гиком и хотели поделиться этим фактом с другими гиками, это было золотое время», – шутит Мэтью Грин, криптограф и профессор Университета Джонса Хопкинса.
Конечно, публичный ключ можно проверить и не знакомясь с кем-то лично – для этого существует «сеть доверия». Она строится почти так же, как и в группе знакомых: я доверяю тому, за кого могут поручиться мои близкие друзья. Открытый ключ могут подписывать другие пользователи PGP, таким образом подтверждая соответствие ключа и владельца. Для этого можно использовать почтовую программу вроде Thunderbird: в ней есть функционал, позволяющий заверить ключ человека, которому вы доверяете.
Подписей может быть множество: Циммерман надеялся, что по мере роста количества пользователей каждый сможет находить среди подписавшихся людей, которых он знает лично и которым он доверяет. Однако на деле ключи часто очень сложно верифицировать, и это приводит к уязвимости системы: например, при халатном использовании PGP вашу переписку может перехватить третье лицо (такая атака называется «человек посередине»).
Skype, WhatsApp, iMessage тоже используют публичные ключи и другие криптографические методы защиты информации, чтобы шифровать сообщения. Однако у них есть проблема, на которую указывает партнер известного калифорнийского инвестиционного фонда Andreessen Horowitz Крис Диксон: «Хакерские атаки и утечки данных продолжаются в основном потому, что почти неуязвимые криптографические протоколы интегрированы в более крупные системы, в которых есть слабые места: баги, ошибки сотрудников, компромиссы в области продуктового дизайна, юридические ограничения, неправильные менеджерские решения и т.д.».
