Poti nazaj ni več

Šifriranje podatkov in komunikacij postaja tudi za navadne uporabnike nekaj vsakdanjega. V časih, ko do nas in naših naprav pelje množica na široko odprtih poti, tudi ne more biti drugače.

Obsedenost z zasebnostjo in varnostjo komunikacij se zdi na prvi pogled nemara pretirana, še posebej, če pomislimo, da navadno pošto že stoletja pošiljamo prek množice rok, ki jo lahko kadarkoli prestrežejo in preberejo (kot dijak sem nekoč delal v poštnem uradu, zato vem, o čem govorim). Pa vendar, tako pošto lahko preberejo le uslužbenci, ki so ob njej fizično prisotni, današnje digitalne komunikacije pa lahko prestreže vsakdo z dovolj tehničnega znanja, pa četudi je na drugem koncu sveta. Zato je šifriranje teh sporočil nekaj, pri čemer se velja potruditi. Ni še dolgo tega, kar so se v tej smeri trudili le tisti, ki so res nujno potrebovali anonimnost in zasebnost (in so se hoteli ograditi tudi od organov pregona), danes pa postaja šifriranje na voljo vsakomur. Ne govorimo več le o omrežju Tor, ki vendarle zahteva nekaj tehničnega predznanja, temveč o aplikacijah, spletnih in mobilnih, in seveda o samih napravah, ki samodejno šifrirajo vsebino, ki jo hranimo v njih.  

Le nekaj let je tega, kar smo lahko »za hec« in mimogrede prestrezali Facebook komunikacijo sodelavcev v krajevnem omrežju (s telefonsko aplikacijo Droid Sheep), prav tako tudi komunikacijo Gmail. Dokler omenjeni storitvi nista privzeto vklopili šifriranja SSL. In ne bo dolgo, ko bo enako popolnoma šifrirana tudi komunikacija prek vseh mobilnih aplikacij, ki jih imamo v telefonu. Pred kratkim je šifriranje vklopil Whatsup, storitev, ki jo prek mobilne aplikacije uporablja več kot milijarda ljudi. Sledil je Viber, »telefon VoIP«, ki ga uporablja okoli 750 milijonov ljudi. Poti nazaj ni več. Tako je seveda prav.

Po drugi strani pa se ne moremo slepiti, da bo ta poplava šifriranja dovolj močan zid za oblasti različnih držav, ki bodo (zakonito ali nezakonito) hotele prisluškovati teroristom (ali pa kar vsem povprek). Zadnjih nekaj mesecev smo bili sicer priča predstavi za javnost, v kateri ameriški FBI menda ni mogel priti do podatkov v telefonu terorista iz San Bernardina, toda na koncu mu je to vendarle uspelo. Menda ob pomoči zasebnega podjetja, za milijon dolarjev honorarja (kaj na to pravi po trditvah Edwarda Snowdna veliko bolje usposobljena NSA, ni znano). Šifriranje, tako krajevne vsebine kot komunikacij, je za države in tajne službe vsekakor dodaten zid, a ga zagotovo lažje preplezajo kot »običajni« zlobni hekerji. Nedavno je tako prišlo na dan, da zelo opevano in menda nezlomljivo šifrirano komunikacijo med telefoni Blackberry kanadske oblasti (lahko) prebirajo že od nekdaj, saj jim je podjetje pač izročilo univerzalni šifrirni ključ. Apple (ali Google, kdorkoli pač) česa takega morda res ne bi hotel narediti, a ob odločitvi sodišča bi pač moral. Da o zgoraj omenjenem Viberju niti ne govorim, saj gre za izraelsko podjetje (sicer v lasti Japoncev), ta država pa se z nacionalno varnostjo nikoli ne šali (samo za primer – nekdanjega jedrskega znanstvenika Mordechai Vanuna, ki je novinarjem izdal izraelske jedrske načrte, so nekoč kar v Italiji ugrabili in ga za 18 let strpali v zapor, od tega 11 let v samico). Tisti, ki se bojijo »držav«, bodo morda imeli še največ možnosti z manjšimi ponudniki varnostnih komunikacij, kot je npr. Signal.

Kar zadeva navadne smrtnike, je vsesplošen prehod na šifriranje vsega dobra novica. Navsezadnje je osnovni cilj postaviti zid nepridipravom, ki bi si z vdorom v naše komunikacije želeli pridobiti materialne koristi (oz. nam povzročiti škodo). Tudi šifriranje pa seveda ne bo rešitev za človeško neumnost (no, nespametnost), ki je ključni razlog za uspešnost napadov ribarjenja (o nekem takem poskusu na naslednji strani piše kolega Boris), pa tudi razlog za uspešne hekerske napade na večja podjetja in institucije, o katerih na naslednjih straneh piše Matej Huš. V resnici bi nas moralo biti še najbolj strah množice naprav, ki se priklapljajo v internet in v razne »oblake«, tudi ko včasih ni nobene potrebe po tem (pobrskajte po www.shoidan.io!). Kajti tja jih največkrat priklapljajo podjetja in programerji, ki s tem nimajo dovolj izkušenj, ker jim je varnost španska vas. Še več, včasih to zelo površno počnejo tudi podjetja, ki jim tega ne bi pripisali. Še Asus je bil zaradi vrzeli v varnosti svojih usmerjevalnikov pred kratkim spoznan za zelo krivega. Tako zelo, da so mu naložili vzpostavitev varnostne infrastrukture, ki jo bo kar naslednjih dvajset let nadziral zunanji revizor!