ProPrivacy.com е чест, че крипто-гениалният и всестранно приятен човек Фил Цимерман е отделил време от забързания си график, за да говори с нас за неговата световно известна технология за криптиране на имейли, PGP; новата му работа в Startpage.com и възгледите му за дигиталната поверителност.Фил Цимерман


Фил е най-известен с измислянето на Pretty Good Privacy (PGP), който след почти 30 години все още се счита за златен стандарт за сигурно криптиране на имейли.

Той е известен и с работата си по протоколите за криптиране на интернет телефонията (VoIP) и е създател на много уважавания протокол за криптиране на ZRTP. Сякаш това не беше достатъчно, той беше съосновател и главен учен от Silent Circle. Просто казано, той е легенда.

Благодаря, че говорихте с нас Фил. Наскоро сте се присъединили към компанията за търсене на поверителност Startpage.com. Бихте ли искали да обясните как и защо се е получило това?

Работя в същата сграда. Знам, че това е малко небрежен отговор, но има няколко различни компании, които работят в една и съща сграда на Haig Security Delta в Холандия. Обикалях мястото и забелязах Startpage. Видях, че те използват PGP в своите продукти, затова започнах да говоря с тях.

Началната страница вече използва PGP, особено в своята шифрована имейл услуга за StartMail. В момента те са в процес на пренаписване на кода, за да го превърнат в два отделни продукта и аз се съгласих да вляза на борда, за да дам съвет как да направим новия по-сигурен. Той все още е много в развитие и ще отнеме известно време, за да пусне.

Харесва ми факта, че Startpage също работи с търсачка за поверителност. Изглежда много zeitgeist. Изглежда, че StartPage наистина е загрижен за поверителността, така че смятам, че е чудесно, че предлагат алтернатива на Google.

Според неотдавнашно прессъобщение, вашият основен акцент ще бъде "разработване на шифрована PGP услуга на компанията от следващо поколение". Това звучи много интересно! Можете ли да ни кажете повече за тази услуга и какво ще я направи различна от другите услуги за електронна поща като ProtonMail?

Вкарах се да помогна за различни реализации на PGP протокола. Моята работа е специално да гарантирам сигурността на услугата. Не мога да коментирам как се сравнява с други услуги, тъй като новият имейл продукт за начална страница все още се разработва.

Prz Medium Sm

PGP се появи в новините наскоро благодарение на някои критични уязвимости, открити от изследователите по сигурността (EFAIL). Нашето разбиране е, че тези уязвимости не са проблем със самия PGP протокол, а с това, как се реализира обикновено. Дали това е правилно?

Това е вярно. На 29 юни отивам на среща в Германия, за да обсъдя протокола. Как да го направим по-модерен и как да подобрим имейл клиентите, за да постигнем по-добри резултати.

Проблемът с имейла е, че той има голяма повърхност за атака и именно там EFAIL имаше проблеми. Самият имейл има голяма повърхност за атака и моделът на заплаха, с който се сблъскваме, се развива през почти три десетилетия, откакто за първи път измислих PGP.

Безопасно ли е да се предположи, че всички PGP имейл продукти, разработени от Startpage, ще смекчат подобни проблеми?

да.

Отново вярваме, че макар и много удобни, услугите за уеб поща са присъщи несигурни. Съгласни ли сте с тази оценка и ако е така, имате ли планове за смекчаването й в предстоящите продукти на Startpage?

Да. Понастоящем има слабости както в криптиране от страна на сървъра, така и от страна на клиента. Ако се притеснявате за надеждността на сървъра, имайте предвид, че всеки, който управлява сървъра, също контролира предоставения от сървъра JavaScript, който се изпълнява в браузъра.

Ако някой, който управлява уеб-базирана услуга за електронна поща, бъде ударен със съдебна заповед, той може да бъде принуден да инжектира „специална“ версия на JavaScript, която може да ексфилтрира ключовете за криптиране от браузъра на потребителя. След това те могат да бъдат използвани за декриптиране на прихванат трафик.

Това е проблем с правенето на криптография в браузъра. Криптирането от край до край е цялата ярост в момента, но ако криптографията се направи в браузъра, тя не е по-сигурна, отколкото ако е направена на сървъра. Ако сървърът е компрометиран, той така или иначе може просто да подаде злонамерен JavaScript в браузъра!

В момента StartMail прави крипто на своите сървъри; но аз му помагам да разработи хибридна схема, която използва комбинация от сървър и браузър за защита на ключовете. Работя по начин, по който ключовете могат да бъдат защитени, дори ако сървърът е компрометиран.

Всяко от двете места има свои собствени уязвимости, въпреки че браузърът има по-голяма повърхност за атака.

Технологиите, по които работите за Startpage, ще бъдат с отворен код? Защо?

Аз съм силно застъпник за публикуване на крипто код, и бих посъветвал всеки да го направи. Но това е продукт, който все още се разработва, така че не сме обсъждали как би се случило това.

Създаването на PGP ви превърна в легенда в технологичните среди, но с какви други професионални постижения се гордеете особено?

Прекарах много години на VoIP. Технологията е по-забавна от работата върху сигурен имейл. Да можеш всъщност да разговаряш с хората е много по-интересно от писането на имейли.

Основна причина, която сте посочили за присъединяването към начална страница, е, че те са „идеологически подравнени по въпросите на поверителността“. Защо смятате, че поверителността е толкова важна в съвременната цифрова ера?

Защото кръвоспираме нашата поверителност. Ужасно е това, което се случва. Не говоря само за личния живот като такъв. Компании като Facebook и Google са основна заплаха за нашето демократично общество заради начина им на работа.

Американското общество е наранено от социалните мрежи, които са предназначени да печелят чрез увеличаване на максимална ангажираност и нищо не води до ангажираност като възмущение. Именно това безобразие разкъсва обществото.

Следователно пренебрегването на поверителността на потребителите е само част от проблема. Именно този цикъл на възмущение се подхранва от самата природа на платформите за социални медии, която подкопава обществените норми.

Като нововъзникващо свойство на приходния модел, който увеличава максимално ангажираността, получавате възмущение и раздвоеност в политическата структура на тялото.Prz Closeup Sm

Ето защо харесвам Startpage. Те правят нещо, за да смекчат проблема, като предоставят търсачка, където резултатите не са съобразени лично с конкретния човек. Подобни персонализирани резултати от търсенето, върнати от Google, са опасни, защото създават ехо камери, които служат само за засилване на дезинформацията и предразсъдъците на хората.

Нуждаем се и от замяна на Facebook, който е изграден за доброто на хората, а не за корпоративна печалба. Нещо, което осигурява предимствата на социалните мрежи без разрушителните елементи на Facebook.

Мога ли да предложа на вашата публикация да пусне функция, гледаща Openbook. Имам приятел, който току-що започна да се развива за него. Хубаво е да видите добри хора, които правят нещо положително в ситуацията, така че аз също помагам на непълно работно време. Виж това.

Кое считате за най-голямата заплаха за неприкосновеността на обикновените потребители на интернет - масово правителствено наблюдение от този вид, извършено от NSA и GCHQ, или корпоративен надзор от този вид, осъществяван от Facebook и Google?

Мисля, че е важно да разберем, че двете са тясно свързани, защото надзорът, осъществяван от компаниите, може да бъде предоставен на правителствата.

Смятате ли, че пейзажът за масово наблюдение се е подобрил след шокиращите разкрития на NSA от Едуард Сноудън през 2013 г.?

Е, крипто протоколите и крипто продуктите се подобриха. Докато някои неща са се подобрили, някои са се влошили. Проявеният апетит на технологичните компании за клиентски данни за техните модели на приходи влоши нещата.

Както казах по-рано, тези модели на приходи, които оптимизират ангажираността, създават верига от причини и последици, които водят до ерозия на либералните демокрации.

Ако сте били заседнали на пустинен остров, коя е една вещ, която бихте искали най-много да ви изнесат на брега?

Антибиотици.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me