25.11 // Warp2: OpenPGP-шифрование почты вместе с адресами и заголовками

Шифрование электронной почты явилось одним из первых успешных применений технологий достижения информационной приватности. Фактическим стандартом является использование OpenPGP в виде такой его реализации как GnuPG. Несмотря на то, что электронная почта остаётся важным способом связи в сети, GnuPG оставляет нерешённым множество проблем приватности. Сама по себе электронная почта неанонимна, а простые ухищрения, предназначенные для её защиты и/или анонимизации, оставляют противнику варианты для слежки. Прежде всего, противник видит заголовки письма, которые являются важными метаданными. Даже если пользователи не указывают в открытом виде тему письма (что вносит некоторые неудобства не только противнику, но и им самим), противник может отслеживать по заголовкам, какими средствами составлялось и отправлялось письмо. Но самым важным (и на первый взгляд неустранимым) является такая особенность почты, как необходимость открытого указания адреса получателя — иначе письмо просто не дойдёт. Даже если адреса псевдонимны, отслеживание объёма почтового трафика позволяет связать пользователей в сети. Знание противником того, что пользователь A отправил письмо пользователю B, может оказаться для них компрометирующим или опасным.

Шведские исследователи H. Bjorgvinsdottir и P. M. Bentley из университета Упсала и европейского центра нейтронного расщепления материи ESS, Лунд, предложили простой способ повышения приватности электронной почты без создания каких-либо сложных или принципиально новых криптографических протоколов. Фактически, они воспроизвели списки рассылки alt.anonymous.messages в более удобном формате. Тестовая программная реализация их проекта называется warp2. Клиентская часть изначально разрабатывалась для Linux и OS X, а серверная — для FreeBSD и OpenBSD.

В системе warp2 сообщение разбивается на три части. Первая часть включает метаданные. В неё входят заголовки, тема, адрес отправителя (по желанию). Вторая часть состоит из текстового сообщения. Третья, опциональная часть, состоит из двоичных вложений (аттачментов). Все три части шифруются на компьютере пользователя OpenPGP-ключом получателя и отправляются в базу данных почтового сервера warp2 без какой-либо авторизации и ограничения доступа к переписке со стороны посторонних лиц. По крайней мере, доступ к первой части является свободным для всех желающих. Для этого размер шифртекста заголовочной части ограничен одним килобайтом. Получатели скачивают с сервера шифрованные заголовки всех хранящихся на нём писем и используют имеющийся у них секретный ключ для их расшифровки. Если какой-то заголовок удалось расшифровать, то получатель узнаёт, что для него есть сообщение, какая его тема и от кого оно пришло. Получатель использует хэш от открытого текста расшифрованной заголовочной части для получения ссылки на скачивания второй (текстовой) и третьей (вложения) частей писем. Сервер помечает такие письма как прочитанные и стоящие в очередь на удаление. В случае если таким сервером пользуется тысяча пользователей и каждый ежедневно отправляет 10 писем, то ежедневная проверка почты потребует скачивания 10 мегабайтов заголовков. При этом потенциальный противник не знает кто и кому отправляет почту — он лишь видит набор шифртекстов без каких-либо метаданных.

Для повышения своей анонимности пользователям warp2 рекомендуется соединяться с сервером только через анонимные сети связи, например Tor. Кроме того, отправитель может послать получателю внутри письма новую пару ключей для связи, чтобы отвязать себя и получателя от своих ключей. Вероятно, использование ключей с анонимным ID исключается, чтобы не перезагружать клиентскую часть системы на проверку всех скачанных заголовков — они сразу выбираются для расшифровки по ID ключа в открытом виде, но уже локально, после полного скачивания в процессе синхронизации с сервером. Особенно обеспокоенные своей приватностью пользователи могут применять такие псевдонимные ключи одноразово, создавая их каждый раз заново для каждого последующего сеанса связи. Тогда ни сторона анализирующая трафик, ни потенциально злонамеренный или сотрудничающий с противником владелец сервера warp2 не смогут нарушить приватность пользователя.

Очевидным недостатком такой реализации является её нестойкость к вандализму, спаму и атакам на исчерпание ресурсов. Открытый для всех сервер warp2 могут завалить множеством пустых сообщений. Исследователи в дальнейшем предполагают разные пути решения этой проблемы. Возможна полная децентрализация системы (это можно сравнить с проектом BitMessage). Возможен запуск множества серверов добровольцами — особенно в виде скрытых сервисов Tor. Наличие множества серверов позволяет добиться саморегуляции — при перегрузке одного сервера пользователи могут перейти на другой. Возможен и компромиссный вариант: использование групповой авторизации и запуск сервера для лиц, принадлежащих неким группам или организациям — коммерческим, общественным, военным и т.д. Тогда возможны некоторые небольшие ограничения анонимности в обмен на стабильность доставки почты и устойчивость к массовому вбросу перегружающих сообщений. Исследователи также отмечают и сложность какой-либо коммерциализации такого сервиса, что впрочем характерно для большинства серьёзных решений в области приватности — они практически не поддаются коммерциализации и не могут служить источником прибыли путём взимания платы с пользователей.

Источник: arXiv e-print service: Cryptography and Security
См. также: Почему сети доверия PGP беспомощны, 13 причин не прибегать к использованию PGP, Простой способ создания неотслеживаемых коммуникаций, Mylar: обмен данными и запуск приложений через недоверяемый сервер.