05.07 // Использование PGP возможно позволит деанонимизировать контакты Э. Сноудена
Ряд блоггеров обратили внимание на шифрованную переписку, которую вёл владелец сайта Cryptome.org через твиттер и рассылки, её привязку к метаданным ключей шифрования и времени определённых событий (например перемещению определённых персонажей).
Так, по анализу метаданных использованных ключей шифрования удалось выявить связь Джона Янга (Cryptome) с Джулианом Ассанджем (Wikileaks), Брэдли Мэннингом (арестованным информатором Wikileaks), Бирджитой Джонсдоттир (политической активисткой из Исландии), Эдвардом Сноуденом (включая его различные адреса в компании Boozallen — контракторе американских спецслужб и на сервисе Hushmail).
Также интересно, что три ключа Сноудена, Джонсдоттир и Ассанджа были подписаны Майклом Варио на следующий день после того, как Сноуден покинул свой отель в Гонконге. В профиле Варио на Facebook указано, что помимо разных учебных заведений он закончил разведшколу. В то время как никто из них не делал ответной подписи его ключа, что тем не менее может свидетельствовать о связи между этими людьми, так как Варио не просто случайный человек, подписавший ключ, но и находившийся с ними на связи в тот день. Также была выявлена связь между Брэдли Мэннингом и Дэнни Кларком (активистом свободного программного обеспечения). Эта связь, касающаяся обмена PGP-данными между Мэннингом и Кларком была показана ранее и совпадала по времени с утечкой крупных сведении в WikiLeaks во время работы Мэннинга аналитиком разведки в Ираке.
Анализ собранных в интернете данных подтолкнул блоггеров ещё раз осмыслить модель безопасности PGP: она подходит лишь для коммерческих компаний и внутренних коммуникаций и совершенно не подходит для организаторов утечки информации в открытые медиа. Также как она не подходит для сокрытия анонимности пользователя и круга его контактов, т.к. исторически привязана к сети доверия. И хотя в блоге упомянуты возможности простановки скрытого ID получателя сообщения, это сводит ценность PGP к нулю. Так, WikiLeaks призывает прекратить контакты через PGP. Джон Янг в своём ответном постинге отмечает, что использование PGP равноценно накапливанию компрометирующего информационного мусора вместо того, чтобы его сжигать.
Источник: Digital sanitation engineering Blog, part 1, Digital sanitation engineering Blog, part 2, Cryptome.org.