Даже защищенные сайты шпионят за собой
Старая школа безопасности, только закрытый ключ. Адам Джонс / Wikimedia Commons
В марте 2014 года Google сделал невозможным использование Gmail без зашифрованного соединения («HTTPS» в адресной строке вашего браузера). В этом году Gmail повысил заметность шифрования, добавив значки в каждое сообщение, которое показывалось, когда пользователи общались с кем-то, чей почтовый провайдер не зашифровывал сообщения.
Маунтин-Вью, возможно, сделал больше для повышения безопасности электронной почты от третьих лиц, чем любая другая компания (хотя ее усилия могут не остановить отслеживание состояния, как сообщили два исследователя прошлой осенью), но конфиденциальность ее пользователей от слежки компании является вопросом внутренней политики. , а не то, что потребители могут контролировать.
«Это все равно что сказать, что я установил замки по всему городу, но у меня есть ключи от каждой двери», - сказал в интервью Observer на Tech Day 2016 в Манхэттене Дмитрий Дайн, один из двух соучредителей Virgil Security.
Стартап из пригородов округа Колумбия предоставляет программное обеспечение как услугу для обеспечения сквозной безопасности любого приложения или веб-сайта по умолчанию. The Observer ранее объяснял, как реализовать самодельную сквозную безопасность с использованием PGP, громоздкого (и ненадежного) способа отправки электронных писем, которые не могут прочитать ни ваш поставщик услуг, ни АНБ.
Сквозная безопасность означает, что ключи для шифрования и дешифрования данных хранятся исключительно участниками диалога (обычно на физическом устройстве, используемом для просмотра файла). Другими словами, это электронное письмо, фотография или электронная таблица могут проходить через одну или дюжину других служб, но для каждой из них это будет выглядеть чушью, пока не достигнет своего единственного предполагаемого получателя, и только этот человек сможет сделать их понятными. .
«До Сноудена, - объяснил Дейн, - не было доказательств того, что между ними была третья сторона». Людям, возможно, было неудобно, но в основном они были довольны тем, что облачные сервисы, которые они использовали, имели возможность просматривать свои данные, но, как только стало ясно, что правительства тоже смотрят, «произошли рыночные изменения», - сказал г-н Дейн.
Дмитрий Дейн и Майкл В. Веллман, соучредители Virgil Security, на Tech Day 2016 (Фото: Брэди Дейл для Observer)
Этот сдвиг в настроениях (а не какой-то технологический прорыв) сделал возможным основание Virgil Security, компании, которая предоставляет недорогой инструмент, который может привести в действие компонент шифрования новой услуги по цене, доступной для стартапов.
Майкл В. Веллман, выпускник Lucent Technologies и соучредитель г-на Дейна, объяснил, что разработчики программного обеспечения не склонны быть криптологами. «Безопасность всегда была чем-то, что они добавляли всякий раз, когда решали все, что находили интересным», - сказал он. «Криптологи более академичны, а разработчики программного обеспечения просто пытаются создавать вещи, которые работают».
Клиенты Virgil Security по-прежнему могут сосредоточиться на веселой части. «Поскольку мы упростили это - во многих случаях до одного вызова API - им не нужно тратить на это энергию и расходы», - сказал г-н Веллман.
Однако помимо гонорара Верджила у этих компаний есть расходы. Использование сквозного шифрования означает, что они жертвуют возможностью добывать данные пользователей. Microsoft борется с правительством США сейчас за право информировать своих клиентов о случаях, когда правительство использует ордер для поиска данных этих пользователей на серверах компании, как ранее сообщал Observer. Однако эти ордера были бы бесполезны, если бы компьютерный гигант из Сиэтла обеспечил сквозную безопасность своих услуг.
С другой стороны, решение, которое обеспечивает безопасность данных даже с их хостов, на самом деле улучшает экономическое обоснование приложений в определенных областях, таких как здравоохранение и финансы, пояснил г-н Дейн. Никто не мог вызвать Fitbit в суд в рамках бракоразводного процесса, если компания хранила эту информацию в формате, который она не может прочитать.
Сквозное шифрование может быть буквально спасением жизни в приближающемся крахе Интернета вещей. Недавно мы предупредили, что можем увидеть настоящие бедствия в эпоху, когда каждый светофор и автомобильный двигатель подключены к Интернету. Однако худшего можно было бы избежать, если бы у каждого устройства был свой собственный публично-закрытый ключ, который позволял ему аутентифицировать каждую команду, полученную от каждого внешнего устройства.
Многим из нас не нравится мысль о том, что технологические компании понимают нас лучше, чем мы сами, но мы также не хотим проходить курс по шифрованию на уровне колледжа, чтобы обеспечить безопасность нашего бизнеса с использованием протоколов, которые работают только в том случае, если мы может убедить наших друзей использовать их.
Однако потребители могут потребовать, чтобы такая безопасность была внедрена. WhatsApp только что реализовал сквозную безопасность. Другие компании, включая Snapchat (который, казалось бы, был естественным), могут рассмотреть аналогичный шаг.
Другими словами, количество вотумов доверия к сквозной функции начало расти. По словам соучредителей, Bloomberg Beta поддержала это предприятие, и две крупные компании начали работать над внедрением своих технологий: один из самых маленьких единорогов Twilio и компания по производству светодиодного освещения Soraa.
Сторонники начали выстраиваться в очередь за будущее, в котором мы не доверяем нашим поставщикам услуг больше не смотреть слишком внимательно на наши цифровые вещи. Они просто не смогут их прочитать.
комментариев