Основатели сообщества шифропанков рассказали, как защитить личную информацию в Интернете

Security by CarbonNYC /CC BY 2.0/ tryspruce.com

2 июля при под­держ­ке Mail.Ru Group состо­ял­ся митап Теп­ли­цы на тему «Как защи­тить лич­ную инфор­ма­цию в Интер­не­те?» с Сер­геeм Мат­ве­е­вым, осно­ва­те­лем рус­ско­языч­но­го обще­ства шиф­ро­пан­ков, созда­те­лем GoVPN, и Ива­ном Мар­ки­ным, участ­ни­ка­ми Евро­пей­ско­го фон­да сво­бод­но­го про­грамм­но­го обес­пе­че­ния.

Поделитесь этой новостью с друзьями

 

Каж­дую секун­ду наш ком­пью­тер при выхо­де в Интер­нет гене­ри­ру­ет инфор­ма­цию. При­ло­же­ния и сер­ви­сы соби­ра­ют дан­ные о гео­ло­ка­ции поль­зо­ва­те­ля, о типе элек­трон­но­го устрой­ства и опе­ра­ци­он­ной систе­мы. Поис­ко­вые систе­мы отсле­жи­ва­ют наши запро­сы и рекла­ми­ру­ют те това­ры, кото­ры­ми мы инте­ре­су­ем­ся.

Поль­зо­ва­те­ли совер­ша­ют при­выч­ные дей­ствия и забы­ва­ют, что инфор­ма­ция в Сети может быть исполь­зо­ва­на про­тив них. О том, какие меры без­опас­но­сти в Интер­не­те сто­ит соблю­дать, нам рас­ска­за­ли Сер­гей Мат­ве­ев и Иван Мар­кин.

Вся информация проходит через огромное количество посредников, и есть определенные инструменты, которые помогают увидеть маршрут. Но в целом мы не знаем, кто наш посредник: злоумышленник или нет?

Иван Мар­кин

Иван Маркин Фото: Мария Борисёнок
Иван Мар­кин. Фото: Мария Бори­сё­нок

Зачем нужна криптография?

Идея любо­го шиф­ро­ва­ния – это пре­вра­тить любую инфор­ма­цию в непо­нят­ный текст для посто­рон­не­го чело­ве­ка, но с воз­мож­но­стью насто­я­ще­му адре­са­ту рас­шиф­ро­вать сооб­ще­ние.

Пред­ставь­те, что вы хоти­те поде­лить­ся по почте дели­кат­ной инфор­ма­ци­ей с юри­стом, вра­чом или решить свои бан­ков­ские вопро­сы через Интер­нет. Если у вас нет воз­мож­но­сти очной встре­чи, то на помощь при­хо­дят инстру­мен­ты шиф­ро­ва­ния: систе­ма PGP и про­то­кол Tor.

Иван Маркин, Сергей Матвеев и участники митапа. Фото: Мария Борисёнок
Иван Мар­кин, Сер­гей Мат­ве­ев и участ­ни­ки мита­па. Фото: Мария Бори­сё­нок

Иван Мар­кин на при­ме­ре пере­пис­ки меж­ду вымыш­лен­ны­ми геро­я­ми Али­сой и Бобом рас­ска­зал, как про­ис­хо­дит шиф­ро­ва­ние.

Есть два спо­со­ба шиф­ро­ва­ния – сим­мет­рич­ное и асим­мет­рич­ное.

Сим­мет­рич­ное шиф­ро­ва­ние – спо­соб шиф­ро­ва­ния, в кото­ром для шиф­ро­ва­ния и рас­шиф­ро­вы­ва­ния при­ме­ня­ет­ся один и тот же крип­то­гра­фи­че­ский ключ.

Это похо­же на то, как мы каж­дый день закры­ва­ем и откры­ва­ем двер­ной замок. У нас есть одна связ­ка клю­чей, кото­рую мы носим собой. Но если мы хотим, что­бы нашу дверь открыл еще кто-то, то мы дела­ем дуб­ли­кат клю­чей и пере­да­ем их лич­но нуж­но­му чело­ве­ку.

Но что делать, если мы не можем встре­тить­ся с чело­ве­ком и пере­дать ему дуб­ли­кат? Что делать, если мы хотим отпра­вить зашиф­ро­ван­ное сооб­ще­ние чело­ве­ку за 1000 кило­мет­ров от нас?

В этом слу­чае исполь­зу­ет­ся асим­мет­рич­ное шиф­ро­ва­ние, при кото­ром у поль­зо­ва­те­ля есть пуб­лич­ный и закры­тый клю­чи.

Откры­тый ключ исполь­зу­ет­ся для про­вер­ки под­пи­си и шиф­ро­ва­ния сооб­ще­ния. Для гене­ра­ции под­пи­си и для рас­шиф­ров­ки сооб­ще­ния исполь­зу­ет­ся закры­тый ключ.

Alice
Али­са и Боб хотят обме­нять­ся пись­ма­ми. Ключ от зам­ка – это при­ват­ный ключ. Сам откры­тый замок – это пуб­лич­ный ключ. Боб отсы­ла­ет откры­тый замок (пуб­лич­ный ключ) по почте. Али­са полу­ча­ет короб­ку, закры­ва­ет замок и отправ­ля­ет. Боб поль­зу­ет­ся сво­им закры­тым клю­чом и смот­рит, что при­сла­ла Али­са. (Скрин­шот с пре­зен­та­ции Ива­на Мар­ки­на.)

О сети доверия «Web of Trust»

Что делать, если вме­сто Боба вам послал зашиф­ро­ван­ное сооб­ще­ние дру­гой чело­век? Как это про­ве­рить?

Для таких ситу­а­ций была созда­на сеть дове­рия «Web of Trust». Инфра­струк­ту­ра «Web of Trust» постро­е­на по сете­во­му прин­ци­пу, где участ­ни­ки под­твер­жда­ют клю­чи друг дру­га посред­ством элек­трон­ных под­пи­сей, фор­ми­руя рей­тинг дове­рия каж­до­го чле­на сооб­ще­ства.

Элек­трон­ная под­пись ста­но­вит­ся клю­че­вым эле­мен­том в вери­фи­ка­ции поль­зо­ва­те­ля. Если у вас укра­ли ключ и вам нуж­но пре­ду­пре­дить людей, что ключ недей­стви­те­лен, то нуж­но под­го­то­вить сер­ти­фи­кат отзы­ва.

PGP-шифрование в начале может показаться сложны и вызвать много вопросов. На самом деле, установка программ занимает 30 минут. Фото: Мария Борисёнок
PGP-шиф­ро­ва­ние в нача­ле может пока­зать­ся слож­ным и вызвать мно­го вопро­сов. На самом деле, уста­нов­ка про­грамм зани­ма­ет 30 минут. Фото: Мария Бори­сё­нок

Что такое PGP-шифрование?

PGP (англ. Pretty Good Privacy) – про­грам­ма шиф­ро­ва­ния, кото­рую на сего­дняш­ний день не может взло­мать даже Агент­ство наци­о­наль­ной без­опас­но­сти США. Имен­но через систе­му PGP-шиф­ро­ва­ния Эдвард Сно­уден при­сы­лал жур­на­ли­стам сек­рет­ные дан­ные для пуб­ли­ка­ций. Про­грам­ма вклю­ча­ет сим­мет­рич­ное и асим­мет­рич­ное шиф­ро­ва­ние.

PGP
Али­са при созда­нии сооб­ще­ния гене­ри­ру­ет ключ (сим­мет­рич­ное шиф­ро­ва­ние), а затем шиф­ру­ет этот ключ через асим­мет­рич­ный спо­соб. Боб вна­ча­ле поль­зу­ет­ся закры­тым клю­чом, что­бы рас­шиф­ро­вать ключ (асим­мет­рич­ный) для полу­че­ния сим­мет­рич­но­го сооб­ще­ния. (Скрин­шот с пре­зен­та­ции Ива­на Мар­ки­на.)

Пара пуб­лич­ный и закры­тый ключ созда­ет­ся на дли­тель­ное вре­мя, так как неудоб­но каж­дый раз менять клю­чи. Для созда­ния клю­ча исполь­зу­ет­ся про­грам­ма GNUPG. Для надеж­но­сти защи­ты клю­ча реко­мен­ду­ет­ся исполь­зо­вать пароль­ные фра­зы.

Парольная фраза – это более длинный, сложный и теоретически более надежный вариант пароля.

Обыч­но состо­я­щая из несколь­ких слов, пароль­ная фра­за гораз­до надеж­ней про­тив стан­дарт­ных атак «по сло­ва­рю», в ходе кото­рых взлом­щик пере­би­ра­ет все сло­ва из сло­ва­ря в попыт­ке уга­дать ваш пароль.

Наи­луч­шие пароль­ные фра­зы доволь­но длин­ны и ком­плекс­ны, содер­жат как заглав­ные, так и строч­ные бук­вы, а так­же циф­ры, зна­ки пре­пи­на­ния и про­чие сим­во­лы.

О том, как пошагово создать OpenPGP-ключ, смотрите в вебинаре Алексея Ницы.

Что такое протокол OTR?

Сер­гей Мат­ве­ев рас­ска­зал о про­то­ко­ле OTR (англ. Off-the-Record Messaging) и его отли­чии от PGP-шиф­ро­ва­ния.

Про­то­кол OTR – крип­то­гра­фи­че­ский про­то­кол для систем мгно­вен­но­го обме­на сооб­ще­ни­я­ми.

Сергей Матвеев (справа). Фото: Мария Борисёнок
Сер­гей Мат­ве­ев (спра­ва). Фото: Мария Бори­сё­нок

Если в рабо­те PGP исполь­зу­ет­ся один асим­мет­рич­ный ключ и мно­же­ство сим­мет­рич­ных, то про­то­кол OTR созда­ёт одно­ра­зо­вую уни­каль­ную пару пуб­лич­но­го-при­ват­но­го клю­ча для каж­до­го сооб­ще­ния.

PGP подходит для передачи важных документов, архивов, чувствительной информации. Если нужно передать информацию в режиме реального времени без сохранения истории переписки, то используйте протокол OTR.

Сер­гей Мат­ве­ев

Про­то­кол исполь­зу­ет­ся в про­грам­мах мгно­вен­ных сооб­ще­ний: ICQ, Jabber и чаты соци­аль­ных сетей.

Одна из самых попу­ляр­ных про­грамм, кото­рая под­дер­жи­ва­ет про­то­кол OTR, – это мес­сен­джер Pidgin.

Ска­чать Pidgin-OTR мож­но на офи­ци­аль­ном сай­те сооб­ще­ства шиф­ро­пан­ков.

Полезные ссылки:

Кни­га «Негде спря­тать­ся. Эдвард Сно­уден и зор­кий глаз Дядюш­ки Сэма». Автор: Грин­вальд Гленн.

Онлайн-курс «Крип­то­гра­фи­че­ские осно­вы без­опас­но­сти».

Про­грам­ма GNUPG.

Ману­ал «Само­за­щи­та элек­трон­ной почты».

Презентация Ивана Маркина

Презентация Сергея Матвеева