23:41
15/6/2013

I to dużo wcześniej — gdyby nie PGP, czyli oprogramowanie służące do szyfrowania komunikacji.

“Idź Pan! Nie mam PGP!”

Okazuje się, że Edward Snowden zgłosił się do dziennikarza Guardiana już na przełomie stycznia i lutego. Poprosił jednak, aby komunikować się z nim przy użyciu programu do szyfrowania PGP. To przerosło dziennikarza. Odpisał, że nie posiada “takiego oprogramowania”.

Edward Snowden

Edward Snowden

Snowden był jednak wytrwały i nie zniechęcił się — wręcz przeciwnie, podesłał mu amatorskie video, na którym krok po kroku wyjaśnione zostało jak zainstalować i wykorzystać oprogramowanie implementujące protokół OpenPGP do bezpiecznej komunikacji. Glenn Greenwald jednak, o ile obejrzał nagranie, to nie zastosował się do znajdujących się nań wskazówek. Na szczęście mniej więcej w tym samym czasie zgłosiła się do niego koleżanka po fachu, do której także odezwał się Snowden. Opisywała ona sprawy WikiLeaks i z kryptografią asymetryczną była za pan brat — ale i ona wymiękła; “wymagania mnie przerosły”.

Koniec końców, Snowden i Greenwald zaczęli pod koniec maja (tj. po około 3 miesiącach od pierwszego kontaktu) rozmawiać przez niezidentyfikowanego klienta IM i tak doszło do spotkania twarzą w twarz w Hong-Kongu (chociaż wcześniej Snowden kazał wykonać dziennikarzom kilka zadań).

Nie szyfruję, bo za trudne

Jak widać, kryptografia asymetryczna — jedna z lepszych metod poufnej wymiany danych w sieci — stanowi niesamowite wyzwanie dla zwykłych, nietechnicznych internautów. O problemie tym całkiem przystępnie napisał Emil Oppeln-Bronikowski.

Przeczytaj także:

47 komentarzy

Dodaj komentarz
  1. Dobra, to teraz prośba totalnego ignoranta: kto podeśle mi instrukcję (najlepiej video) jak działa szyfrowanie asynchroniczne. Najlepiej jak dla debila, mam teraz sesję i masę “własnego” pisania, a chciałbym dostać coś co będę w stanie zrozumieć :)

    • asymetryczne…

      Tak trudno przepisać? :(

    • @dfgg wybacz, asymetryczne. Mam teraz ogarnianie na
      poziomie czerstwej bułki: sesja + pisanie na bloga + pisanie w
      ramach praktyk + dziesięciodniowy kotek pod opieką = iloraz
      inteligencji tymczasowo porównywalny z moim rozmiarem
      stopy.

    • Szyfrowanie asymentryczne działa tak, że tworzy się parę
      kluczy: prywatny i publiczny. Publiczny jest dostępny publicznie,
      prywatny trzymasz u siebie. Jak coś szyfrujesz to prywatnym, a
      adresat używa publicznego, żeby odkodować. W drugą stronę
      odwrotnie. Głównie publicznym szyfrujesz wiadomość do kogoś, żeby
      on odczytał ją swoim prywatnym, a prywatnego się używa do podpisów.
      Co do PGP to na Windzie może być problem z softem, bo to będzie
      jakiś port z Linuksa najprawdopodobniej.

    • Prościej wytłumaczyć chyba się nie da:
      http://www.youtube.com/watch?v=YEBfamv-_do

    • szyfruje sie publicznym, rozszyfrowuje prywatnym. Inaczej nie ma sensu..

    • Szyfruje się i prywatnym i publicznym. Prywatnym swoim
      (wtedy odbiorca ma pewność że to od nas) i publicznym odbiorcy
      (tylko odbiorca może rozkodować swoim prywatnym).

  2. Jaki jest właściwie cel tego artykułu? Zauważyć, że
    kryptografia asymetryczna przerasta możliwości większości
    użytkowników komputerów? Trochę mało odkrywcze. W tej chwili
    zachodnie portale rozpisują się o tym, że pierwsze doniesienia
    Guardiana i Washington Post były mocno podkoloryzowane i zawierały
    mnóstwo stwierdzeń nieznajdujących oparcia w dostarczonych danych.
    Wydaje mi się to temat o wiele bardziej wart uwagi niż to, że
    dziennikarz nie potrafił obsługiwać PGP.

  3. Kryptografi asymetrycznej powinni uczyć w szkole, tego co
    pamiętam to w kwesti poczty mianem tylko jedna lekcję podczas
    której zakładaliśmy konta na WP :D

    • Faktycznie – dużo przydatniejsza wiedza niż, np. to, że pszczoły bzykają się pokładełkiem. :-D

  4. Panie, czy nie widzisz Pan że to ignorant? A w razie gdyby
    Pan był ignorantem to proszę o spojrzenia na stronę –>
    http://sjp.pwn.pl/haslo.php?id=19602

  5. Zgadzam się, wcale nie jest to takie proste, click to install.. może niebespiecznik pokusi się o jakiś ładny tutorial?

    • To jest takie proste, w takim chociazby kadu kilka klikniec, wystarczy miec chociaz troche checi a nie “ojej co za paranoik, nie chce mi sie robic nic nowego”. Tutoriali tez cala masa.

    • Zgadzam się – możemy pisać tutki i howto do śmierci, a one się na nic nie zdadzą skoro ludzie nie chcą ich przeczytać. Owszem PGP i OTR nie są trywialnymi mechanizmami, ale też nie są jakoś szczególnie skomplikowane w konfiguracji. 15 minut – szacuję że tyle mniej więcej czasu osobie nietechnicznej zajmie skonfigurowanie softu wraz z wygenerowaniem sobie klucza, z użyciem tutoriala. Gdyby tylko chciała… :-P

    • I co z tego że nie są trywialnymi mechanizmami? Przecież
      nikt Ci nie każe _rozumieć_ jakaż to matematyka za tym stoi.
      Instalujesz jakieś Enigmail/GPGTools albo plugin do komunikatora
      (jeśli OTR nie jest wbudowane) i naciskasz guzik. Skoro przeciętny
      debil potrafi używać Worda do pisania CV (wiem! wiem jak one potem
      wyglądają!) to poradzi sobie z zaszyfrowaniem maila w
      Enigmailu.

    • ludzie, mi czasami zajmuje 5-10 minut zeby wytlumaczyc debilom jak znalezc NAZWE KOMPA, a wy oczekujecie ze oni sobie sami zainstaluja, skonfiguruja i jeszcze beda umieli obslugiwac PGP
      wezcie pomyslcie i poczytajcie jak wyglada przecietny user na zachodzie zanim glupoty zaczniecie pisac

  6. Niestety życie jest paskudne: jeżeli coś wymaga większej inwestycji niż poczucie (podkreślam: poczucie i koszt ryzyka), nie bezie używane. O zaletach PGP można mówić wiele ale niestety warte jest tyle ile nasz kochany podpis elektroniczny: wystarczyło z niego zrezygnować by ludzie zaczęli korzystać z urzędów droga elektroniczną… tłumaczenie, słyszałem kiedyś takie od pewnego programisty, że “są nieukami” świadczy o tym, że tym nieukiem jest ów programista. Czasami prościej i niewiele mniej bezpiecznie jest napisać coś na papierze, zrobić zdjęcie i wysłać MMS’a. Jest jedna ważna rzecz: mając do czynienia z miliardami trudne jest rozszyfrowanie czyjejś wiadomości ale znacznie trudniej jest określić czyje wiadomości należy śledzić….

  7. Może Niebezpiecznik napisze artykuł o stosowaniu PGP z
    dokładnym opisem, aby każdy był zorientowany na czym to polega i
    jak najlepiej zastosować tą metodę. Jakich narzędzi stosować, czego
    unikać i jak to zrobić najlepiej aby działało. Napewno wielu to się
    przyda.

  8. Dodam tylko, że PGP jest/było oficjalnie zakazane w USA.
    Jego kody źródłowe zostały wywiezione do Europy i skompilowane pod
    nazwą GPG. Koleś, który to zrobił po powrocie do Stanów zniknął w
    więzieniu za sprzedaż broni (PGP jest klasyfikowana jako broń), a
    wspomniana technologia została zakazana.

    • Jakieś namiary na te informacje? ;)

    • Częściowo przez google ;) http://www.cypherspace.org/rsa/legal.html
      Ale już zluzowali majty i raczej nie sadzają na dołek, natomiast to ciągle jest tak na prawde widzimisie władz USA. Równie dobrze mogą sobie wziąć przysłowiowego “John Smith” i zrobić mu jesień średniowiecza za wysłanie koledze instalki openpgp czy truecrypta ;-/
      U nas w sumie… też nie jest różowo – eksport crypto-urządzeń jest regulowany, import niektórych zaawansowanych… też ;) – dla przykładu, kupując czasem pewne routery (ale nie tylko routery) wypisuje się specjalny papierek dla naszych kochanych służb w jakim celu będzie ten sprzęt wykorzystywany (z reguły: “udostępnianie internetu” lub coś równie głupiego) – i że tylko w takim celu. ;p ay? ;-)

    • Słyszałem, że przy wjeździe do Stanów np. na lotnisku jak Cię przetrzepują i masz laptopa to go też sprawdzają. Włącznie z zawartością i zainstalowanym softem. Załóżmy, że jesteś fanem Niebezpiecznika i masz sobie na kompie trojana, np. Szatan czy inne “cuś” to albo bransoletki albo deportacja. Oczywiście pod posiadaniem trojana rozumiem oprogramowanie sterujące i zbierające informacje, a nie tylko zainfekowanego kompa.

    • Szyfruj dysk z hidden volume TC i po problemie.

    • @Piotrze, zastanow sie czemy facet siedzacy w temacie uzyl
      starenkiego PGP, a nie nowego TC. No zastanow sie…

    • Bo tc to krypto symetryczne :)

    • @Piotrze, on chcial szybko przekazac wazne informacje. Szybko i pewnie. A jednak zamiast “super bezpiecznego” TC, po 3 miesiacach (mimo, ze wiele wskazuje, iz sie spieszyl spieszyl) wybral jakas przypuszczalnie przerobona Mirande lub inny, malo znany (czyli nie sprawdzany) protokol. Piotrze, nie dyskutuje sie z faktami: facet nawet kijem nie tknal TC, co mnie zreszta kompletnie nie dziwi. Zignorlwal takze TORa i inne sieci P2P (ktore to “przypadkowo” wszystkie dzialaja na backoorowej Javie). Mowimy o facecie, ktory WIEDZIAL – nie zgadywal – A WIEDZIAL co mozna, a czego nie nalezy uzywac.

      Powtorze: wyciagnij wnioski.

    • Prześlij mi pls coś TC w bezpieczny sposób. A potem wykombinuj jak w bezpieczny sposób przekazać mi hasło do kontenera, ok? :)

    • @Piotr Skoro uzywal jakiegos IM (ktory uwazal za
      bezpieczny) to haslo mogl przekazac, prawda? Mogl to zrobic i
      przeslac dokumenty – wszak byloby to duzo bezpieczniejsze, gdy jest
      takie narzedzie jak TC. Nie rozbil tego – przekazal osobiscie,
      ryzykujac aresztowanie i powtorze: nawet KIJEM nie tknal TC. Nie…
      Nie obraz sie, ale Ty nie jestes powazna strona do dyskusji.
      Dyskutujesz z faktami.

    • Spotkanie face2face mialo inny powod… Sugerujesz ze truecrypt nie jest bezpieczny, nie majac jakichkolwiek prawdziwych przeslanek ku temu. OTOH, poszuka u nas informacji o bankierze ktoremu fbi po 2 latach oddalo dyski zaszyfrowane truecryptem, spisek? ;)

  9. No jakby nie mogli przez facebooka pogadać…

    • Śmiech śmiechem, może w tym szaleństwie faktycznie jest metoda – czy Tor + byle Facebook by nie wystarczył?

    • TOR? Bez jaj. Ta siec jest na permanentnym
      podsluchu.

  10. To może być prawda co Kim Dotcom napisał na Twitterze? The
    #NSA stores daily: 10B emails 500TB + 3B sms 500GB + 5B chatmsgs
    1TB + 1.8B calls 2PB + misc 1PB at a daily cost of USD 550,000.
    CHEAP! #NSA spy cloud has 40+M hard drives & 150 exabyte of
    capacity. Enough to store all (US networked) emails, sms, calls
    & chats for 38000 days.

  11. Ludzie mnie załamują. Istnieje chociażby gpg4usb – prosty
    programik do gpg, mały (zgodnie z nazwą wygodny na usb), jako takie
    polskie tłumaczenie (a także n innych), na stronie ichniej
    łopatologicznie wytłumaczone korzystanie i to ze screenami (a jeśli
    nawet ktoś na to nie spojrzy, to przyciski są ładnie opisane i nie
    trzeba za dużo robić żeby ogarnąć). A nawet przy pierwszym
    uruchomieniu pokazuje się kreator, który od razu proponuje
    tworzenie pary kluczy. Choć myślałam, że nawet idiota to obsłuży,
    to widać, że niektórych wciąż to przerasta… Mógł im wysłać linka
    z let me google that for you – http://bit.ly/10n1BmU I jestem
    ciekawa, co to za niezidentyfikowany IM i czy był bezpieczny, czy
    może NSA sobie też podglądało wiadomości… o ile cokolwiek
    porządnego tam ustalili, a zapewne nie, skoro się potem musieli
    spotkać.

    • Nie bądź taka cwana

  12. PGP/GPG rzeczywiscie nie nalezy do prostych, a problem poglebia brak sensownej implementacji obslugi z wyzszego poziomu, w postaci wygodnego GUI. O ile w swiecie FLOSS istnieje juz troche nakladek [SeaHorse, GPA – Gnu Privacy Assistant, GPG-Crypter, czy Enigmail dla Thunderbird, lub inne dla Claws-Mail itd], o tyle w swiecie Windows istnieja albo zamkniete, upierdliwe reklamowo aplikacje z linii obslugi PGP, lub tylko Kleopatra, o ile mi wiadomo.
    Do tego sama koncepcja klucza prywatnego i publicznego nie jest tak jasna dla nowicjuszy i wymaga wstepnego, dobrego wyjasnienia. Niestety wiekszosc autorow oprogramowania obslugujacego i implementujacego PGP/GPG nie tlumaczy tych kwesti zbyt jasno, o ile w ogole chce im sie je tlumaczyc.
    Nic dziwnego wiec, ze szary dizennikarz ma z tym problem, choc polemizowalbym z jego niewiedza sugerujac, ze dziennikarz powinien znac sposoby bezpiecznej komunikacji z informatorami tak, aby im nie zagrozic …

    • W sumie patrząc na rynek oprogramowania (np. pocztowego) to jakoś specjalnie producentom i programistom (także webmailów) nie zależy aby użytkownik miał możliwość łatwego używania PGP/GPG.
      Ale mając np. pod windą TheBat, nie ma się większego problemu (OpenPGP). Klik klik i są klucze, następnie trzeba wiedzieć że jeden się wysyła/rozdaje, a otrzymane od kogoś klucze się importuje – i to w sumie tyle.

  13. Jak zależy wam tak na szyfrowaniu to zacznijcie go uczyć, tak będzie lepiej dla każdego. :>

  14. […] internetowa, która w przeciwieństwie do Google nie “śledzi” swoich użytkowników. Afera podsłuchowa związana z PRISM-em sprawiła, że ich liczba użytkowników dramatycznie […]

  15. Niestety bardzo dużo fajnych, otwartych rozwiązań wymusza
    skomplikowane operacje wymagające informatycznej wiedzy. Przykład:
    Skype, typowy spyware: setup, next, next, next, konto, działa.
    Ekiga, Mumble i podobne: setup, next, next, driver, tak, kopiowanie
    pliku, link, konto, nie można się połączyć jesteś za NAT cokolwiek
    to miałoby znaczyć, bo ja jestem co najwyżej za siecią osiedlową.
    Nie wiadomo co z tym zrobić, jakieś forwardowanie, wsparcie zaleca
    logowanie na router do którego nie mam hasła. GPG ma przynajmniej
    to do siebie, że istnieją już nakładki zawieszające się w znanych
    miejscach (np. po generowaniu klucza), więc jest przewidywalne.
    Proponowane na znanej stronie Prism-break alternatywy usług
    chmurowych, szczególnie w zakresie wymiany plików (bo Etherpad i
    podobne są już konsumowalne) wymagają już eksperckiej wiedzy i
    doświadczenia z zakresu konfiguracji sieci. Jakie to szczęście, że
    nie używam chmurowych usług do przesyłania danych.

  16. Jeśli ktoś chce szyfrować GPG (to darmowa wersja
    komercyjnego PGP) niech sobie zainstaluje pakiet oprogramowania z
    tej strony http://www.gpg4win.org/. Oprócz samego protokołu
    dołączone są tam programy do obsługi GPG, czyli np. Kleopatra, oraz
    specjalnie zintegrowany z GPG program do wysyłania poczty
    pozwalający szybciej i łatwiej szyfrować. Ja osobiście polecam, aby
    po zainstalowaniu rzeczy z powyższej stronki zainstalować
    wygodniejszy i przyjaźniejszy w obsłudze GPGshell (używać go
    zamiast Kleopatry do tworzenia kluczy: prywatnego i publicznego,
    szyfrowania i deszyfrowania) ze strony
    http://www.jumaros.de/rsoft/index.html. Jeśli chodzi o przewodnik
    jak to wszystko zrobić to podaje link, ale tekst jest w wersji
    angielskiej http://www.gpg4win.org/doc/en/gpg4win-compendium.html
    Jest tam opisane krok po kroku także na na zrzutach z ekranu. Kto
    zna choćby przyzwoicie angielski powinien sobie poradzić. Co do
    wygody szyfrowania to rzeczywiście, trzeba przyznać, że można było
    by to zrobić jeszcze przystępniej. Na to, że taka integracja GPG z
    internetowymi klientami poczty gigantów branży internetowej
    kiedykolwiek nastąpi należy zwyczajnie zapomnieć. A i jeszcze
    jedno, pamiętajcie, że takie strony z oprogramowanie do szyfrowania
    na pewno są monitorowane przez NSA i każdy kto tam wchodzi ma jak w
    banku, że trafi na listę adresów IP do monitorowania (tak, zawsze
    można użyć Tora https://www.torproject.org/ aby pozostać
    anonimowym, względnie anonimowym).

  17. Dość wygodną graficzną nakładką do PGP jest Cryptphane
    https://code.google.com/p/cryptophane/ Regularnie używają tego
    nawet zwykli użytkownicy u mnie w korpo. Prawdopodobnie większym
    problemem jest fakt, że nie ma (o ile wiem) żadnej rozsądnej
    nakładki do większości popularnych webmaili (np. GMail) ani
    Outlooka/Outlook Expressa. Ja osobiście mam od lat komercyjne konto
    na Hushmailu, który ma PGP niejako wbudowane. Do scenariusza
    takiego jak u Snowdena pewnie poleciłbym drugiej stronie założyć
    sobie darmowe, anonimowe konto na Hushmailu i komunikować się tą
    drogą. Cała filozofia ogranicza się tam do wciśnięcia guzika
    “Encrypt”. Oczywiście, Hushmail na wniosek sądu kanadyjskiego wyda
    klucze, ale nikt nie każe używać tego konta na stałe.

    • Skoro Google mocno powizane z NSA jaka pewnosc ze Cryptphane nie powstalo by wysylac klucze na ich serwery?

  18. […] o 6:30 Glenn Greenwald, dziennikarz Guardiana, który jako jeden z pierwszych opisał rewelacje Snowdena do… i kontrowersyjnego programu PRISM, odebrał telefon od osoby, która przedstawiła się jako oficer […]

  19. > Na początku Snowden chciał PGP przez e-mail, a potem wybrali jakieś losowe loginy w komunikatorze i kontaktowali się bez szyfrowania.

    1. W jaki sposób wymienili sobie swoje loginy? Bo chyba nie przez e-mail?
    2. A nie można było od razu przez XMPP/Jabber? Skoro Greenwald poradził sobie z jakimś komunikatorem, to chyba poradziłby sobie z tym obsługującym XMPP/Jabber. A efekt byłby podobny do tego przy PGP + e-mail, no nie?

  20. […] O PRISM i aferze z podsłuchami NSA mogliśmy dowiedzieć się wcześniej… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.