Kryptoanarchizm dla newbies

[Mad.lock]

Ja bym to widział nie tylko jako artykuły wrzucane na jakąś stronę, ale też jako miejsce typu wikipedia, gdzie można cały czas poprawiać, uzupełniać i aktualizować już wrzucone teksty. Łatwiej jest coś dopisać czy poprawić niż samemu napisać spójny artykuł. Teksty jako domena publiczna, aktualna baza tekstów do ściągnięcia przez każdego, każdy może kopiować na swoją stronę co chce. Tylko jacyś ogarnięci w informatyce libowie muszą moderować i pilnować, żeby głupot ktoś nie pisał.

 

[FatBantha]

eimi mówi jak to jest z newbiesami...

GPG jest za trudne, więc twórca Cryptocata obiecuje narzędzie do szyfrowania plików dla mas
04.07.2014 12:00
Największym wyzwaniem dla aktywistów walczących o prywatność w Sieci jest techniczna złożoność narzędzi, które prywatność tę pozwalają ochronić. Zwykli Użytkownicy, przyzwyczajeni do prostych, klikalnych interfejsów komercyjnego oprogramowania, nie są w stanie opanować sekwencji operacji niezbędnych do sterowania narzędziami zaprojektowanymi przez geeków dla geeków. O tym przekonać miał się Edward Snowden, gdy odkrył, że nie jest w stanie nauczyć dziennikarza Guardiana korzystania z programu GPG nawet po przedstawieniu mu instruktażowego filmu. Zmienić tę sytuację zamierza młody, 23-letni programista, obiecujący że jego narzędzie pozwoli na szyfrowanie danych nawet najbardziej technicznie opornym osobom.

Za dwa tygodnie w Nowym Jorku zaczyna się hakerska konferencja HOPE. Jednym z jej prelegentów ma być wspomniany programista, Nadim Kobeissi, który obiecuje przedstawić na niej publiczną wersję beta rozszerzenia do przeglądarek o nazwie miniLock, dzięki któremu każdy, kto potrafi korzystać z przeglądarki, będzie też w stanie szyfrować i deszyfrować pliki z wykorzystaniem silnych kryptosystemów.

Rozwijane pod hasłem „mniej to więcej” rozszerzenie wciąż znajduje się w wersji alfa, ale jak twierdzą osoby, które miały okazję je testować, pozwala na szybkie szyfrowanie i deszyfrowanie plików, z wykorzystaniem techniki przeciągnij-i-upuść. miniLock potrafi zaszyfrować pliki przechowywane zarówno lokalnie, np. na dysku USB, jak i w chmurze, np. w Dropboksie czy Dysku Google. Umożliwia również szyfrowanie załączników poczty dowolnego typu.

Choć rozszerzenie korzysta z dobrze znanej asymetrycznej kryptografii klucza publicznego (z krzywymi eliptycznymi), to jednak z perspektywy użytkownika cała złożoność programów takich jak GPG zostaje ukryta za prostym schematem pracy. Osoba chcąca skorzystać z miniLocka musi jedynie wprowadzić frazę szyfrującą o odpowiednim poziomie złożoności i długości przynajmniej 30 znaków. Z tej frazy generowany jest klucz publiczny (44-znakowy ciąg, określany jako miniLock ID) oraz klucz prywatny, niewidoczny dla użytkownika. Jako że proces generowania kluczy jest deterministyczny (fraza szyfrująca generuje zawsze taką samą parę kluczy), znika problem z przechowywaniem kluczy prywatnych – są one kasowane zaraz po zakończeniu szyfrowania.

Niewielka długość klucza publicznego pozwala na jego łatwe rozpowszechnianie przez np. Twittera, deterministyczne generowanie kluczy zwalnia z zarządzania ich bezpieczeństwem, zaś sama forma aplikacji – rozszerzenia do przeglądarek – sprawia, że użytkownik nie musi korzystać z żadnych loginów i haseł. Autor miniLocka uważa, że to właśnie pozwoli oddać szyfrowanie plików w ręce mas.

Wszystko to wygląda bardzo dobrze, jest tylko jedno „ale”. Kobeissi już raz robił kryptograficzne narzędzie o nazwie Cryptocat – wykorzystujący krzywe eliptyczne szyfrowany komunikator, w którym najważniejsza była właśnie łatwość obsługi. Cryptocat, który uzyskał całkiem sporą popularność, okazał się jednak zawierać kilka błędów, które pozwoliły na siłowe łamanie zastosowanego kryptosystemu. Od tamtej pory Kobeissi jest trochę chłopcem do bicia dla kryptografów, wypominających mu (co zresztą zrozumiałe, biorąc pod uwagę wiek programisty) braki w jego formalnym wykształceniu matematycznym. Błędy zostały poprawione, ale złe wrażenie pozostało.

By uniknąć powtórki z tej sytuacji, programista nie chce od razu upubliczniać rozszerzenia przez np. Chrome Web Store. Rozszerzenie trafi najpierw na GitHuba, tak by jego kod mogli przeanalizować zainteresowani kryptografowie i wytknąć zawczasu możliwe błędy. Kobeissi zdając sobie sprawę z błędów jakie popełnił, może być dzięki temu pierwszym, który da zwykłym, nie rozumiejącym matematyki ludziom narzędzia do ochrony swojej prywatności. Wierzy w to też Matthew Green, profesor informatyki z Johns Hopkins University, który znalazł błędy w Cryptocacie. Mówi on, że choć obecnie nie szyfrowałby miniLockiem dokumentów NSA, to jednak uważa, że rozszerzenie to może być bezpieczne, zaś ukrycie złożoności szyfrowania przed końcowymi użytkownikami jest tym, czego najbardziej teraz potrzebujemy.

Trudno temu zaprzeczyć, mając choćby w pamięci ostatnią „aferę taśmową” w Polsce, podczas której okazało się, że tak kłopotliwe politycznie nagrania rozmów wysokich urzędników państwowych znajdowały się w jawnej postaci na komputerze redaktora naczelnego tygodnika „Wprost”, wyrywanym mu siłą przez funkcjonariuszy ABW podczas ich wizyty w redakcji. Być może gdyby dziennikarz miał do dyspozycji proste i zrozumiałe narzędzia kryptograficzne, można byłoby uniknąć tak widowiskowych scen.
​

Tu nawet nie ten projekt jest ciekawy, a ponowna diagnoza, że większość humanistów te cyberpunkowe klimaty wyprzedzają mentalnie o pokolenia. Snowden nie potrafiący nauczyć dziennikarza GPG mnie rozpieprzył na kawałki. Ale tak rzeczywiście jest i nie ma co się zżymać.

 

[kr2y510]

Idea prostej kryptografii dla mas jest super.

Diabeł jak zwykle tkwi w szczegółach. Co do samego autora Nadima Kobeissi mam zastrzeżenia. Zaraz po tym gdy został posadzony w areszcie przez FBI na 3 dni, w Cryptocat'cie zaczęły pojawić się błędy, wychwycone szybko przez Matthew Green'a. Potem oprogramowanie serwera Cryptocat, ze skryptu w PHP który mógł być hostowany niemal na każdym hostingu, ewoluowało do złożonego zestawu oprogramowania, z serwerem Jabbera/XMPP, które musi być hostowane co najmniej na VPS-ie, a jego instalacja wymaga trochę nakładu oraz fachowca. Wszystko to osłabiło popularyzację szyfrowania i samego projektu.

Przypadek?

 

[MaxStirner]

Taki kryptografia może być zwodnicza w tym sensie, że łatwo popełnić jakiś błąd, stracić czujność. Tora można używać za jednym kliknięciem żaden problem. Ale warto pomyśleć by nie być zalogowanym w tym czasie do gmaila. To banalny przykład a tak sie to może skończyć. Sam program nie wystarczy moim zdaniem każdy kto sie w to bawi powinien wykazać minimum zaangażowania, dowiadywać sie, szukać, uczyć. Jak ktoś tego nie ma w sobie, to chyba lepiej nie robić sobie za wiele nadziei.

 

[Rattlesnake]

Taki artykuł ludowy: Tajemnicza kryptowaluta powalczy z Bitcoinem?

W ten sposób bym to widział - bardziej rozbudzanie zainteresowania niż instruktaż.

 

[Rattlesnake]

Dziury w Torze? Prezentacja odwołana

 

[Grzechotnik]

Czyżby służby przedstawiły chłopcom ofertę nie do odrzucenia?

 

[Trigger Happy]

GPG jest za trudne​

Do wczoraj uważałem, że nie jest zbyt trudne ... no bo jak ktoś za cel życia postawił sobie demaskowane oficerów CIA, to musał odrobić pracę domową ...

GOOD GOD ....
​

 

[kr2y510]

Czyżby służby przedstawiły chłopcom ofertę nie do odrzucenia?

Nie służby, tylko prawnicy. Podczas hakowania mogliby zhakować przypadkowe osoby, a to jest nielegalne. W związku z odwołaniem prezentacji, hakerzy zgłosili metodę hakowania Tor jego deweloperom.
Happy End.

 

[Grzechotnik]

Jedno nie wyklucza drugiego. W takich sprawach lepiej mieć paranoiczne podejście i założyć najgorszy rozwój wydarzeń. Dlatego przestałem używać TORa i zalecam to każdemu, póki podatność ta nie zostanie ujawniona publicznie.

 

[FatBantha]

Kontynuacja.

Kryptografia nie może być tylko dla nerdów, ale czy nerdy stworzą narzędzia szyfrujące także dla Kowalskiego?
26.02.2015 13:09
Kilka tygodni temu głośno było o problemach finansowych głównego programisty pakietu Gnu Privacy Guard (GPG), który zmęczony walką o utrzymanie projektu, swojej rodziny i siebie ze skromnych datków od społeczności zaczął myśleć, by dać sobie z tym wszystkim spokój. Rozgłos przyniósł radykalną zmianę sytuacji, pojawili się hojni sponsorzy, przyszłość GPG wydawała się być zagwarantowana. Czy jednak pieniądze mogą rozwiązać każdy problem? Słynny haker Moxie Marlinspike podzielił się ostatnio swoimi dość przygnębiającymi przemyśleniami dotyczącymi szyfrowania poczty, określając GPG jako ślepą uliczkę – przynajmniej z filozoficznej perspektywy.

Przedstawione przez hakera liczby zaskakują. Choć GPG jest z nami od niemal 20 lat, to w jego głównej, zaufanej bazie znajduje się raptem 50 tysięcy kluczy, a w ciągu całej historii projektu serwer kluczy otrzymał niecałe 4 mln kluczy. Tak więc narzędzie o zasięgu globalnym, rozwiązujące wydawałoby się żywotny problem dla ludzi na całym świecie, jest stosowane przez znikomy odsetek internautów – i to mimo całego zamieszania dookoła inwigilacji naszej komunikacji przez służby specjalne. Kim więc są ci, którzy z GPG korzystają? Odpowiedź nie jest łatwa. Wydaje się, że jedno, co ich łączy, to techniczna kompetencja, daleko wykraczająca poza to, czego można oczekiwać po typowym internaucie. To grono, z którym w ostatnich czasach Marlinspike coraz mniej chce mieć cokolwiek do czynienia.

Dziwna to konkluzja, ale haker tak pisze: kiedy otrzymuję zaszyfrowaną GPG wiadomość od nieznajomego, natychmiast ogarnia mnie uczucie, że nie chcę jej czytać. Czasem nawet myślę, by założyć filtr, który usunie je wszystkie, ale póki co wciąż odblokowuję swój klucz, zaczynam z nikłą nadzieją czytać – i zwykle jestem rozczarowany. Najwyraźniej ludzie wysyłający do nieznajomych sobie osób (nawet jeśli to osoby w pewnym sensie publiczne) zaszyfrowane wiadomości muszą być mało strawni. Marlinspike nie używa tego słowa, ale nie bójmy go się – wiadomości tego typu piszą najczęściej nerdy.

GPG od początku było bowiem narzędziem dla nerdów. W czasach, gdy z Internetu korzystali jedynie ludzie o nadludzkich kompetencjach technicznych, myślano w ten sposób: stworzymy sobie i dla siebie elastyczne i potężne oprogramowanie, a potem nauczymy wszystkich innych jak stać się podobnymi do nas. Wówczas każdy, kto chciałby zabezpieczyć swoją komunikację, będzie po prostu musiał zrozumieć podstawy kryptografii, a do tego opanować korzystanie z narzędzia, którego sama podstawowa dokumentacja liczy ponad 16 tysięcy słów.

Rozwijające się w takim duchu przez 20 lat narzędzie dla nerdów kryptografii wyrosło w coś, co jest zarówno niedostępne dla przeciętnego użytkownika, jak i dalekie od współczesnego rozumienia bezpieczeństwa. Owszem, można sobie wybrać szyfr, z jakiego będziemy korzystać, ale wystarczy, że napastnik przejmie nasz klucz, a cała dotychczasowa zaszyfrowana korespondencja będzie mu oddana jak na tacy. Przebudowa GPG nie wchodzi zaś raczej w rachubę. Narzędzie to jest tak skomplikowane, że twórcy poczty mailpile musieli napisać ponad 1200 linii kodu w Pythonie tylko po to, by połączyć się z podstawowymi funkcjami narzędzia. Nic więc dziwnego, że wiele nietechnicznych osób, np. dziennikarzy czy aktywistów, korzystając z GPG robi to po prostu źle, narażając swoje bezpieczeństwo.

Co z tym wszystkim można zrobić? Standard RFC 4880, opisujący szyfrowaną pocztę na bazie infrastruktury klucza publicznego, ma dziś tylko jedną implementację – właśnie GPG. Jego porzucenie niczego dobrego nie przyniesie, to jedyne rozwiązanie jakie póki co dla poczty mamy, i z którego ktoś jednak korzysta. Najbardziej sensowne wydaje się więc stopniowe zastępowanie zarówno RFC 4880 jak i jego implementacji czymś lepszym, bardziej odpowiednim dla naszych czasów. Stopniowe, a więc częściowo wykorzystujące GPG w obecnej formie. Jedno z możliwych rozwiązań przedstawił Smári, jeden z programistów mailpile, sugerując, by ułatwić dostęp do interfejsu GPG za pomocą obiektów JavaScriptu (JSON). Zakodowanie w nich wyników działania narzędzia pozwoliłoby na znacznie łatwiejsze wykorzystanie go w innych aplikacjach, o miejmy nadzieję, bardziej zrozumiałych dla użytkowników interfejsach.

Nam pozostaje liczyć na to, że Werner Koch dostrzeże potrzebę prywatności także u maluczkich, i pozyskane pieniądze wykorzysta na ułatwienie korzystania z jego narzędzia.
​

Tu by się przydał jakiś kryptograficzny malware. Coś w stylu toolbarów albo innych dodatków, które instalują się nieopatrznie i działają same robiąc coś, bez wiedzy użyszkodnika. Tyle, że w tym wypadku robiłyby coś pozytywnego, co wzmocni bezpieczeństwo zarówno jego jak i innych.

 

[kr2y510]

Standard RFC 4880, opisujący szyfrowaną pocztę na bazie infrastruktury klucza publicznego, ma dziś tylko jedną implementację – właśnie GPG.

Są jeszcze implementacje w Jawie i w JavaScripcie.