13 причин не прибегать к использованию PGP
Проект Secureshare.org предлагает создавать новые средства коммуникации. Они должны вытеснить устаревшие средства анонимности, приватности и шифрования, которые всё ещё основаны на использовании PGP, чат-серверов и электронной почты. При этом он приводит местами спорные, но перспективные для обсуждения подходы в построении новых и более независимых систем связи, изначально защищённых от выслеживания и прослушивания.
Несмотря на популярное мнение, существует набор причин, которые могут повлиять на решение об отказе использования PGP.
PGP лучше, чем отсутствие вообще какого-либо шифрования, и оно является оконечным от пользователя к пользователю (end-to-end), что также лучше, чем полагаться на SMTP поверх TLS (в которых оконечное шифрование осуществляется с сервером, но в промежутке связь нешифрована), но является ли PGP всё ещё лучшим выбором на будущее? Есть ли что-то, что можно порекомендовать людям, которые сегодня требуют большей приватности?
1. Атаки на понижение уровня защиты: риск неправильного использования
С e-mail всегда есть риск, что кто-то отправит вам чувствительную информацию открытым текстом — просто потому, что у них есть такая возможность, потому что так проще, потому что у них нет пока вашего открытого ключа и они не озаботились тем, чтобы его найти, да хоть просто по-ошибке. Может даже потому, что они знают, что это может вас разозлить и оправдать тем самым собственную некомпетентность. Некоторые люди даже отвечают нешифрованными собщениями на шифрованные, хотя PGP должно удерживать их от этого.
Способ, при котором можно просто не использовать шифрование, встречается также в ряде проблем с OTR — криптографическом способе «незаписываемой» переписки.
2. Формат OpenPGP: можете просто побегать по городу голым
Формат сообщений OpenPGP легко детектируется любым оборудованием для глубокой инспекции пакетов, которое будет выявлять шифрованные PGP-сообщения в любых потоках данных в интернете, не только в SMTP. Так что с использованием PGP вы делаете себя заметным.
Можно использовать недетектируемые форматы для обёртки. Это уже кое-что, но не решает всех проблем с PGP.
Предлагается также использование опции --hidden-recipient, которая по крайней мере позволяет скрыть, кому предназначено сообщение. Однако, мало кто это делает. PGP с лёгкостью устраняет приватность в значении анонимности, которая может быть обеспечена сетями наподобие Tor — за счёт включения открытого ключа получателя в сообщение.
3. Передающиеся данные: Мэллори знает, с кем вы разговариваете
Почему бы Мэллори не получить закрытые ключи для вашего мэйл-провайдера, предоставляющего TLS-соединение, так он сможет легко перехватывать коммуникации путём атаки человека посередине, используя достоверные фальшивые сертификаты, которые он может делать сам для себя на лету. Это проект "Bull Run", вы уже слышали?
Вы когда-нибудь видели письмо, которое возвращено вам потому, что TLS-сертификат недействителен? Даже если сеть будет наводнена неверными сертификатами, почта будет всё равно доставляться, так что Мэллори может даже не иметь достоверного сертификата. Ему сойдёт и некорректный.
Даже если вы используете PGP, Мэллори может выслеживать, с кем вы переписываетесь, когда и как долго. Он может догадаться о предмете вашего разговора, особенно если кто-то из вас оставит нешифрованный заголовок темы письма в виде осмысленной фразы.
Даже если Мэллори ничего не сможет предпринять на линии связи, он всё равно может восстановить ваши письма с сервера вашего провайдера электронной почты. Например, с помощью системы, аналогичной PRISM. Но помимо этого, сам TLS часто неосмотрительно разворачивается без включения системы наперёд заданной секретности (PFS).
4. Отсутствие наперёд заданной секретности: противнику имеет смысл собирать все сообщения
Мэллори собирает все сообщения PGP, когда-либо посланные по интернету, в надежде, что когда-нибудь необходимый закрытый ключ попадёт в его руки. В этом есть смысл, поскольку PGP не имеет наперёд заданной секретности (PFS). Это свойство, связанное с регулярной сменой ключей таким образом, чтобы закрытый ключ, соответствующий сообщению, вскоре уничтожался. Технически, PGP позволяет обновлять подключи, но это утомительное занятие редко кто практикует, тем более в таком виде, как это должно было бы происходить: по-крайней мере ежедневно.
5. Криптографический армагеддон: время обновить саму криптографию?
Мэллори также может ждать момента, когда RSA-криптография будет взломана и все ранее переданные шифрованные сообщения будут прочитаны. Каждый, кто записывает как можно большее количество трафика PGP, в один день получит от этого стратегические преимущества. Как считает Alex Stamos, момент краха RSA якобы ближе, чем думают сторонники PGP.
Может быть это и правда, а может это и игра контрразведок с обратной целью: оттянуть больше людей от RSA в сторону криптографии на эллиптических кривых (ECC). Мотивом к этому может быть попытка предоставить людям кривые, рекомендованные НИСТ в том виде, как они были предложены АНБ на основе «волшебных чисел». Неудивительно, что они подозреваются в намеренном ухудшении параметров.
Исходя из этих двух соображений, обеспокоенные активисты криптографии сошлись на использовании эллиптической кривой, известной как Curve25519, варианта ECC, параметры которого математически обоснованы как наименьшие числа, удовлетворяющие определённым критериям.
ECC также оказывается самой быстрой и компактной техникой, которая может быть стимулом для выбора ключей большего размера. Если вы всё ещё беспокоитесь о том, что вероятнее будет взломано в будущем — RSA или ECC, то лучше спросить об этом математиков.
6. Объединение: уход от межсерверного суперхайвея
Официальные представители АНБ заявляют, что они не перехватывают весь файлообменный трафик, поскольку значительная его часть относится к неподходящим целям, связанным с нарушителями копирайта. Поэтому, было бы очень хорошей идеей создать средство коммуникации, которое внедряет ECC-шифрованную информацию непосредственно в покрывающий P2P-трафик.
Хотя такая информация основана только на слухах, она заслуживает рассмотрения. При прохождении через хорошо организованные и прослеживаемые пути электронной почты PGP излишне выделяется. Было бы гораздо лучше, если такие же сообщения PGP передавались напрямую с компьютера на компьютер. Возможно даже посредством фотографий, видео или музыки с использованием стеганографии.
7. Раскрытие: сеть доверия, которой нельзя доверять
Майк Перри сделал хорошую подборку причин, показывающую почему сети доверия PGP так беспомощны. Сюда входит много специфичных вещей, неприменимых к другим социальным графам, таким как проект Secushare. Если кратко суммировать, то сети доверия PGP:
2. Имеют множество точек отказа (социальные хабы скомпрометированных ключей).
3. Недостаточно хорошо масштабируются для глобального применения.
Конечно, причин, отталкивающих от использования PGP на самом деле больше, но поскольку PGP можно использовать и без сетей доверия (Web of Trust — WoT), то все проблемы WoT можно считать за одну.
8. PGP сталкивает неотрицаемость и аутентификацию
«Я послал Бобу шифрованное сообщение о том, что мы должны встретиться и обсудить подавление свободы слова в нашей стране. Боб очевидно хочет быть уверен, что это сообщение пришло от меня, но возможно это шпион … а с PGP единственный способ легко аутентифицировать сообщение, как исходящее от меня — это его криптогафическая подпись, которая создаёт неудаляемое свидетельство о моих словах не только для Боба, но и для каждого!»
9. Статистический анализ: догадки на основе размера сообщений
Хорошо известно, что для чатов и систем удалённого управления компьютерами, размер и частота небольших фрагментов шифрованных данных, наблюдаемые в течении долгого времени, могут помогать разгадывать содержимое. Это проблема с SSH и OTR в большей степени, чем с PGP, но PGP также было бы разумнее использовать, если бы сообщения дополнялись до определённых стандартных размеров, делающих их однороднее.
10. Автоматизация порядка операций: непрактичность групповых сообщений в PGP.
Вы когда-нибудь пытались настроить список рассылки для людей, предоставляя доступ к чтению приватных сообщений? Это громоздкая процедура конфигурирования ещё и неэффективна, так как каждая копия должна быть перешифрована. В качестве альтернативы можно распределить среди всех одинаковый ключ, но это другая неудобная конфигурационная процедура.
Современные средства коммуникации автоматизируют создание и распространение групповых сессионных ключей, так что вам не следует самим беспокоиться об этом. Достаточно лишь открыть рабочую группу и пригласить туда людей.
11. Избыточность: DNS и X.509 требуют ещё дополнительной работы
На первый взгляд это не относится к теме, но PGP работает поверх e-mail, а e-mail неизбежно ведёт к зависимости от DNS и X.509 (стандарты сертификации TLS и HTTPS вынуждают нас использовать сертификаты, подписанные удостоверяющими центрами, эта система подвержена обману и уязвимостям). Всё это требует денег для участия и тщательного администрирования. Каждый, кто пытался заниматься этим, знает: администрирование своего сервера электронной почты (также как и Jabber) — это дорого и утомительно.
Все современные альтернативы основаны на технологии DHT, раскрытии социального графа или оппортунистическом широковещательном запросе. Все они основаны на очевидном факте, что вы используете ПО. Часто они могут быть поддержаны провайдерами сервисов для более быстрой работы, что стало стандартным для Tor, но администрирование таких серверов тривиально: достаточно распаковать ПО и запустить (особый случай составляют исходящие узлы).
Почему мы позволяем себе быть рабами электронной почты?
12. Многобуков: мне плевать, мне нечего скрывать
Так вы думаете, что PGP достаточно только потому, что вам в реальности действительно нет необходимости сообщать о чём-то конфиденциальном? В реальности никого не волнует, почему вам нравится обманывать самого себя тем, что вам нечего скрывать. В таком случае, почему бы вам не делать некоторые свои дела посреди улицы, как спрашивал Джон Леннон?
Это не только ваше личное дело, это ваш гражданский долг перед обществом. Если кто-то знает все ваши предпочтения, привычки, политические взгляды, то вы становитесь угрозой демократическому складу общества. Вот почему недостаточно скрыть только часть своей жизни при помощи PGP, оставив всё остальное на всеобщем обозрении. Начинайте чувствовать себя виновным за всех. Немедленно.
13. Причинно-следственная ошибка: у моих друзей уже есть e-мейл!
Тех, у кого уже есть e-мейл, гораздо проще научить использованию PGP. Почему нужно учить пользоваться какими-то новыми программами?!
Это логическая ошибка. Правда в том, что все люди хотят улучшать свою приватность, устанавливая новые программы. Вопрос — быть в центре суперпрослушиваемых каналов электронной почты или безопасным способом не зависеть от них? В любом случае вам придётся произвести безопасный обмен открытыми ключами, и электронная почта не поможет вам в этом. Фактически вы облегчите Мэллори установление связи вашей идентичности с вашими открытыми ключами на будущее.
Так что установка принципиально нового ПО, которое предназначено только для безопасных коммуникаций, в действительности легче, чем изучение PGP так, чтобы ничего не напутать при его использовании.
Если вы действительно думаете, что ваше использование e-мейл так замечательно и вы абсолютно не хотите начинать использовать принципиально новое ПО, присмотритесь к утилитам, которые могут использовать ваши почтовые клиенты поверх нового ПО. Найдите другие обходные пути.
Что теперь?!!
Теперь, когда мы знаем n причин не использовать электронную почту и PGP, следует признать очевидный факт — им нет явной альтернативы. Электронная приватность — это жертва в зоне преступления с ландшафтом из кровавых луж. Никакое из существующих средств не является достаточно хорошим. Мы видим, что новое подходящее ПО появляется время от времени и кому-то может и хочется переходить на него дважды в год. Мэллори заинтересован в том, чтобы все поверили, что шифрование вообще не работает, но внутренние данные, которые выдал Сноуден, подтверждают, что шифрование реально работает. Нам нужно лишь позаботиться о том, как использовать его оптимальным способом.
Нет никакой единственной волшебной пули, которой было бы достаточно научиться пользоваться
Вам придётся непрерывно изучать новое ПО. Вам необходимо изучать основы шифрования независимо от привязки к какому-либо ПО.
В сравнительном списке списке новых технологий шифрования, более безопасных чем PGP, остаётся проблема его непроверенности. Вы можете инвестировать время или деньги в проверку безопасности разных проектов.
На текущий момент одним из самых интересных проектов в области приватности является сокрытие дополненных до стандартных размеров криптосообщений в общем шуме трафика сети Tor. Tor — это хорошее место для сокрытия приватных коммуникаций, поскольку объёмы Tor-трафика включают в себя и анонимные сеансы связи с Facebook и аналогичными сервисами. Ещё лучшим средством покрывающего трафика будет файлообмен, такой как в RetroShare и GNUnet, в которых помимо серьёзной функциональности по файлообмену есть возможность сокрытия персональных коммуникаций. Bitmessage пытается работать даже поверх архитектуры, подобной биткоину. Очень дерзко. Другие интересные проекты — Briar и собственно Secushare от авторов этого текста, но этот проект ещё не готов.
Мэллори попытается подстроиться и продолжить отслеживать наши коммуникации, по мере того, как мы переместимся в скрытый трафик, но это будет крайне сложной задачей для него, в частности, поскольку все технологии стремятся перейти на Curve25519 с исключением возможности атак отката на обратные стандарты (в частности, так сделано в GNUnet). До тех пор, пока не выработается улучшенная практика. Это гонка вооружений. Придёт время сложить штыки, когда Мэллори выпустит по вам ядерные ракеты.
Спасибо тебе, PGP
Поблагодарим мистера Циммермана за то, что он сделал криптографическую технологию доступной для обычных людей в далёком 1991 году. Это было бесценным средством на протяжении более чем 20 лет, это никогда не будет забыто. Но мы опоздали в дальнейшем продвижении.
Вопросы и ответы
Какова наша модель угрозы?
Что если Мэллори не является высокооснащённой правительственной организацией, а всего лишь админом, обслуживающим почтовый сервер вашего работодателя?
Это хорошее замечание. Причина, почему не стоит уделять внимание моделям угрозы столь слабого уровня, состоит в том, что в условиях краха демократии нет никаких очевидных различий в моделях угрозы, особенно когда идёт разработка средств, превосходящих PGP, которые лучше справляются и с угрозами более слабого уровня.
Например, не стоит думать, что диссиденту в вымышленной стране Ирия лучше от того, что кроме Google Mail никто не знает о том, что он диссидент. Стоит кому-то в какой-то момент его жизни получить доступ к этим данным и распорядиться ими для воздействия против него, то произойдёт худшее. И никто не знает, как будет выглядеть мир спустя двадцать лет.
Не стоит ограничиваться только словами о возможностях лучшей безопасности, не пытаясь изучить возможности. Если у вас есть средства для инвестиций в такие лучшие возможности, не тратьте впустую время на создание ещё одной графической оболочки к PGP или для сбора средств с толпы на модные веяния.
Если работники, учащиеся, родители, дети смогут прознать, что вы обмениваетесь шифрованными сообщениями, то они могут стать весьма реальной угрозой для вас. Использование средства, которое выглядит как нечто другое, по крайней мере на экране, в сети или даже на винчестере, поможет сохранить вашу физическую безопасность.
Это касается только PGP или электронной почты в целом?
Для пользователя нет особой разницы, послужит ли причиной его провала SMTP или PGP.
Что насчёт S/MIME?
S/MIME, к сожалению, страдает от множества таких же проблем, как и OpenPGP, и от ещё больших. Не стоит даже упоминать о нём. Это стандарт, который для нас можно считать провалившимся.
Сначала нам нужен новый стандарт!
Открытые стандарты — это часть проблемы, а не решение. Это ОЧЕНЬ ПЛОХАЯ модель разработки, когда начинается стандартизация проектов, которые ещё даже не начали функционировать. Это становится ущербным на сцене социальных средств: ничто из этого не смасштабируется и не заменит Facebook, но проблемы масштабируемости уже зацементированы в «открытых стандартах», гарантируя, что они так никогда и не будут работать. То же самое произошло и с Джаббером, который превратился в XMPP.
Вам ВСЕГДА следует СПЕРВА иметь рабочий прототип, затем проанализировать его работу и выводить стандарт из него. Bittorent — хороший пример такого подхода. Это одна из немногочисленных вещей, которая действительно работает. Представьте, что Napster и Soulseek разрабатывались бы по мере создания открытых стандартов. Это только бы задержало появление битторента, продвигая на стандартизацию худшие технологии.
Почему бы не исправить все эти проблемы с PGP и e-mail?
Все эти попытки делались проектами наподобие LEAP, но вы всё равно будете получать спам и нешифрованную почту только потому, что у вас есть электронный почтовый адрес. У вас всё ещё будет множество хостов с неисправленными уязвимостями, поскольку им наплевать на апгрейд. Вы всё ещё будете находиться в зависимости от DNS и X.509 для обратной совместимости, посредством которых вы не должны посылать или получать никаких сообщений, поскольку они подорвут вашу приватность. И при этом абсолютно не просматривается никаких критериев, по которым диссидент мог бы выбрать доверенный сервер. Да, можно арендовать свой, но даже рутовый шелл на «своём» сервере не означает, что он безопасен. Лучше не иметь никакого!
Так зачем нести огромные затраты для обратной совместимости? В этом нет никакой стоящей цели. Всё настолько плохо, что настало время для старта с чистого листа, когда каждый участник будет безопасен по определению, что гораздо более практично. Особенно, когда не надо будет объяснять пользователям, почему одни адреса суперпупер-безопасные, в то время как другие недружественны к приватности.
Одной из больших проблем нового поколения средств приватности станет то, что они будут такими простыми, что людям будет трудно поверить, что они на самом деле работают.