Бързам да обещая, че в този текст няма да има формули, математика и сложни технически обяснения. Истината е, че криптографията без тях не може, но целта ми е да обясня защо е важно да ползваме и да изискваме от приятелите и познатите си да ползват криптиране, дори и да не разбираме съвсем в детайли как точно работи то. Да, тук колегите ми математици и софтуерни експерти ще се наежат, че ако не разбираш нещо, има риск да бъдеш подведен. И ще са напълно прави. Но ако не ползваш криптография, рискът е далеч по-сериозен.

Думата произлиза от гръцки: криптос означава таен или скрит, а графопиша. Като инструмент в днешния свят на електронни комуникации, криптографията е ключова технология за защита на неприкосновеността на общуването и информацията, която разменяме с други хора, институции и сайтове.

http:// е мъртъв, да живее https://

Забелязали ли сте напоследък, че (в зависимост от това кой браузър използвате) пред адреса на сайтовете все по-често има или катинарче, или нещо в зелено, което ви показва, че връзката ви е подсигурена. Или при допълнително щракване около адреса се появяват предупредителни или успокоителни обяснения. Това е една добра тенденция, защото старият HTTP протокол, на който е базиран целият World Wide Web (WWW), не предлага защита на данните. Всъщност ако пред адреса на сайта пише http, а не https, то цялата информация, която вашият браузър показва, както и всичко, което попълвате, пишете или изпращате обратно към сървъра, е възможно да бъде подслушвано и записвано от всеки. Данните пътуват между вашия браузър и сървъра, към който сте ги насочили, в напълно незащитен, явен и четим вид.

http vs https

Нещо по-лошо – докато в адресното поле на браузъра ви стои http, нищо не гарантира, че наистина разглеждате сайта, който си мислите, че разглеждате. Възможно е някой да пусне сървър, който да заблуждава, че е оригиналът, но само да изглежда като него. Така може да въведете името и паролата си, номера на кредитната си карта, личните си данни и всичко, което се подхлъзнете да му предоставите.

Затова избягвайте сайтове, които не използват https, особено ако те изискват регистрация или пък някаква платежна информация. Допълнителната буквичка s означава, че имате основателни причини да вярвате в защитеността на комуникацията между браузъра ви и сървъра отсреща. HTTPS е еволюция на протокола за web чрез добавяне на кодиращ слой. Добра практика е дори когато вие изрично сте щракнали на незащитен адрес от стария вид http://alabala.com, сайтът да ви препрати автоматично към защитения https://alabala.com – ако е в крак с времето и се отнася с грижа за вашите права и данни.

Силно препоръчително е да използвате тази добавка към браузъра си, която ще облекчи живота ви в преходния период от некриптиран към криптиран web.

Ако пък сте собственик на сайт и още не сте пуснали https за него, обърнете се към хостинг компанията си за съдействие.

Не подценявайте чата!

Всички чатим. От забавление за тийнейджъри чатът се превърна в основен инструмент както за бизнес комуникация, така и за връзка с роднини и приятели. Не подозираме обаче колко много информация оставяме за себе си в мрежата. Затова е задължително вашето чат приложение да предлага криптирана комуникация от край до край (end-to-end encryption). Това означава, че разговорите ви, текстови или гласови, са кодирани по целия път между вашето устройство и това на човека, с когото общувате, независимо през колко сървъра в интернет са преминали.

На второ място, внимавайте много дали приложението кодира комуникацията ви по подразбиране, или настройките за това са забутани някъде из менютата и трябва изрично да ги включите. Няма никаква нужда и причина това да е по изрично желание. Единственото, което го обяснява, е едно друго желание – вие да не забележите и да не си пуснете криптирането. Обикновено не ви и предупреждават, че чатите или говорите некодирано. Авторите на такива приложения с голяма вероятност не играят честна игра. И не е изненада, че въпросните приложения се предлагат от корпорации, които са заложили в бизнес моделите си брокерството на потребителски данни – Google Allo и Facebook Messenger например са точно такива.

Всеки момент се очаква EFF да публикуват нов анализ и оценка на сигурността на актуалните приложения за чат. От предишния минаха 3–4 години, но

със сигурност приложението, което заслужава най-голямо доверие към момента, е Signal.

Това е съвременният еталон в областта, особено заради предлаганото криптиране от край до край и възможността отвореният му код да бъде одитиран от всеки, който има нужните познания и желание да го направи. Самото приложение е с доста спартански интерфейс (особено версията за iPhone) и за жалост поради тази причина не е спечелило масовия интерес, който наистина заслужава.

WhatsApp ползват същото криптиране като това на Signal, но имплементацията е частна и съответно не е възможно да бъде проверено дали всичко е така, както се твърди. През 2017 г. беше разкрит проблем със сигурността, който породи съмнения, че има теоретична възможност да бъдат подменени криптографските ключове на двама потребители и те да продължат да мислят, че комуникацията помежду им е криптирана, но от WhatsApp да ги подслушват. Фактът, че са собственост на Facebook, също не допринася за доверието към платформата, но тя исторически е натрупала популярност и потребители заради познатия си интерфейс.

Telegram е друго приложение, което привлича огромен интерес и трупа популярност. Авторите му твърдят, че криптографията им е по-добра от тази на WhatsApp, но в същия момент тя е базирана на частна разработка и това не се счита за добра практика.

Финансирането на платформите за чат също буди притеснения, защото зад тях често няма витален бизнес модел. Telegram е огромна частна инвестиция, която все някой ден ще свърши. Те твърдят, че тогава ще станат платена услуга. WhatsApp пък бяха (макар и скромно) платена услуга, но сега са собственост на Facebook, които в същия момент се опитват да прилепят колкото може повече хора към собствения си Messenger.

Аз лично не бих препоръчал нищо друго освен Signal. WhatsApp, Telegram, iMessage са възможен приемлив компромис, но трябва да бъдат използвани само с ясното съзнание, че са именно това. Непрекъснато се появяват нови и нови приложения, така че в този сегмент разнообразието е голямо. За една нова платформа обаче продължава да е ключов проблем привличането на достатъчно потребители, така че да не се окажеш в ситуацията да си говориш сам.

Темата е обширна, но засега е важно да подчертаем, че е добре криптографските технологии да са ненатрапчиви и внедрени така, че да не изискват експертни познания и специално внимание, за да бъдат използвани. Основната им роля е да защитават комуникацията. Превръщането им в опция намалява груповата резистентност на всички ни към опитите за злоупотреба с неприкосновеността на комуникацията ни и личната ни информация.

Затова търсете криптографията навсякъде. Превърнете я в стандартен критерий да предпочетете една или друга услуга и я използвайте задължително и по подразбиране.

Заглавна снимка: William Iven

Всичко от рубриката „Аз, киборгът“

Йовко Ламбрев

Йовко Ламбрев

ИТ експерт, инженер, блогър и фотограф от Пловдив. Основател на OpenFest, съосновател на Trakia.Tech, няколко технологични компании и Тоест. Член на Настоятелството на Фондация „Тоест“. Вярва, че можем да направим света по-добър.