Бързам да обещая, че в този текст няма да има формули, математика и сложни технически обяснения. Истината е, че криптографията без тях не може, но целта ми е да обясня защо е важно да ползваме и да изискваме от приятелите и познатите си да ползват криптиране, дори и да не разбираме съвсем в детайли как точно работи то. Да, тук колегите ми математици и софтуерни експерти ще се наежат, че ако не разбираш нещо, има риск да бъдеш подведен. И ще са напълно прави. Но ако не ползваш криптография, рискът е далеч по-сериозен.
Думата произлиза от гръцки: криптос означава таен или скрит, а графо – пиша. Като инструмент в днешния свят на електронни комуникации, криптографията е ключова технология за защита на неприкосновеността на общуването и информацията, която разменяме с други хора, институции и сайтове.
http:// е мъртъв, да живее https://
Забелязали ли сте напоследък, че (в зависимост от това кой браузър използвате) пред адреса на сайтовете все по-често има или катинарче, или нещо в зелено, което ви показва, че връзката ви е подсигурена. Или при допълнително щракване около адреса се появяват предупредителни или успокоителни обяснения. Това е една добра тенденция, защото старият HTTP протокол, на който е базиран целият World Wide Web (WWW), не предлага защита на данните. Всъщност ако пред адреса на сайта пише http, а не https, то цялата информация, която вашият браузър показва, както и всичко, което попълвате, пишете или изпращате обратно към сървъра, е възможно да бъде подслушвано и записвано от всеки. Данните пътуват между вашия браузър и сървъра, към който сте ги насочили, в напълно незащитен, явен и четим вид.
Нещо по-лошо – докато в адресното поле на браузъра ви стои http, нищо не гарантира, че наистина разглеждате сайта, който си мислите, че разглеждате. Възможно е някой да пусне сървър, който да заблуждава, че е оригиналът, но само да изглежда като него. Така може да въведете името и паролата си, номера на кредитната си карта, личните си данни и всичко, което се подхлъзнете да му предоставите.
Затова избягвайте сайтове, които не използват https, особено ако те изискват регистрация или пък някаква платежна информация. Допълнителната буквичка s означава, че имате основателни причини да вярвате в защитеността на комуникацията между браузъра ви и сървъра отсреща. HTTPS е еволюция на протокола за web чрез добавяне на кодиращ слой. Добра практика е дори когато вие изрично сте щракнали на незащитен адрес от стария вид http://alabala.com, сайтът да ви препрати автоматично към защитения https://alabala.com – ако е в крак с времето и се отнася с грижа за вашите права и данни.
Силно препоръчително е да използвате тази добавка към браузъра си, която ще облекчи живота ви в преходния период от некриптиран към криптиран web.
Ако пък сте собственик на сайт и още не сте пуснали https за него, обърнете се към хостинг компанията си за съдействие.
Не подценявайте чата!
Всички чатим. От забавление за тийнейджъри чатът се превърна в основен инструмент както за бизнес комуникация, така и за връзка с роднини и приятели. Не подозираме обаче колко много информация оставяме за себе си в мрежата. Затова е задължително вашето чат приложение да предлага криптирана комуникация от край до край (end-to-end encryption). Това означава, че разговорите ви, текстови или гласови, са кодирани по целия път между вашето устройство и това на човека, с когото общувате, независимо през колко сървъра в интернет са преминали.
На второ място, внимавайте много дали приложението кодира комуникацията ви по подразбиране, или настройките за това са забутани някъде из менютата и трябва изрично да ги включите. Няма никаква нужда и причина това да е по изрично желание. Единственото, което го обяснява, е едно друго желание – вие да не забележите и да не си пуснете криптирането. Обикновено не ви и предупреждават, че чатите или говорите некодирано. Авторите на такива приложения с голяма вероятност не играят честна игра. И не е изненада, че въпросните приложения се предлагат от корпорации, които са заложили в бизнес моделите си брокерството на потребителски данни – Google Allo и Facebook Messenger например са точно такива.
Всеки момент се очаква EFF да публикуват нов анализ и оценка на сигурността на актуалните приложения за чат. От предишния минаха 3–4 години, но
със сигурност приложението, което заслужава най-голямо доверие към момента, е Signal.
Това е съвременният еталон в областта, особено заради предлаганото криптиране от край до край и възможността отвореният му код да бъде одитиран от всеки, който има нужните познания и желание да го направи. Самото приложение е с доста спартански интерфейс (особено версията за iPhone) и за жалост поради тази причина не е спечелило масовия интерес, който наистина заслужава.
WhatsApp ползват същото криптиране като това на Signal, но имплементацията е частна и съответно не е възможно да бъде проверено дали всичко е така, както се твърди. През 2017 г. беше разкрит проблем със сигурността, който породи съмнения, че има теоретична възможност да бъдат подменени криптографските ключове на двама потребители и те да продължат да мислят, че комуникацията помежду им е криптирана, но от WhatsApp да ги подслушват. Фактът, че са собственост на Facebook, също не допринася за доверието към платформата, но тя исторически е натрупала популярност и потребители заради познатия си интерфейс.
Telegram е друго приложение, което привлича огромен интерес и трупа популярност. Авторите му твърдят, че криптографията им е по-добра от тази на WhatsApp, но в същия момент тя е базирана на частна разработка и това не се счита за добра практика.
Финансирането на платформите за чат също буди притеснения, защото зад тях често няма витален бизнес модел. Telegram е огромна частна инвестиция, която все някой ден ще свърши. Те твърдят, че тогава ще станат платена услуга. WhatsApp пък бяха (макар и скромно) платена услуга, но сега са собственост на Facebook, които в същия момент се опитват да прилепят колкото може повече хора към собствения си Messenger.
Аз лично не бих препоръчал нищо друго освен Signal в този момент. WhatsApp, Telegram, iMessage са възможен приемлив компромис, но трябва да бъдат използвани само с ясното съзнание, че са именно това. Непрекъснато се появяват нови и нови приложения, така че в този сегмент разнообразието е голямо. За една нова платформа обаче продължава да е ключов проблем привличането на достатъчно потребители, така че да не се окажеш в ситуацията да си говориш сам.
Темата е обширна, но засега е важно да подчертаем, че е добре криптографските технологии да са ненатрапчиви и внедрени така, че да не изискват експертни познания и специално внимание, за да бъдат използвани. Основната им роля е да защитават комуникацията. Превръщането им в опция намалява груповата резистентност на всички ни към опитите за злоупотреба с неприкосновеността на комуникацията ни и личната ни информация.
Затова търсете криптографията навсякъде. Превърнете я в стандартен критерий да предпочетете една или друга услуга и я използвайте задължително и по подразбиране.
Заглавна снимка: William Iven
Всичко от рубриката „Аз, киборгът“
Искате да четете повече подобни статии?
„Тоест“ е жив единствено благодарение на вас – нашите будни, критични и верни читатели. Включете се в месечната издръжка на медията с дарителски пакет.
Подкрепете ни