Дайте умереть PGP или для чего нам нужен новый стандарт шифрования электронной почты
Сотрудники компании Tutanota придумали уникальное решение по шифрованию электронной почты и связанных с этим проблем. Чтобы еще больше понять причины отказа Tutanota от использования PGP, Маттиас Пфау, соучредитель Tutanota, написал эту статью.
PGP - наиболее широко используемое программное обеспечение для шифрования электронной почты, по-прежнему является лишь нишевым продуктом: только часть из миллиардов электронных писем, отправляемых каждый день, защищается с помощью PGP-шифрования. Несмотря на то, что эксперты в области безопасности во всем мире на протяжении десятилетий прилагали все усилия, чтобы добавить поддержку PGP во все виды почтовых приложений, пора понять, что PGP слишком сложно для массового внедрения.
3 причины, по которым PGP не должно больше существовать
1. PGP было изобретено около 30 лет назад Филом Циммерманном. Однако даже Фил Циммерманн не использует его. Причина: слишком сложно установить PGP-плагины для всех почтовых приложений: настольных, мобильных, Web-клиентов. Хотя все еще можно использовать PGP в настольных ПК и Web-клиентах, мобильный мир остается недоступным для большинства пользователей. Именно это и остановило Фила Циммерманна. Сегодня Фил в основном использует электронную почту на своем телефоне - где действительно сложно получить PGP-шифрование.
2. Эксперты в области криптографии, например, Брюс Шнайер, понимают, что наиболее безопасная система может безопасно применяться только в том случае, если пользователь способен безошибочно использовать ее. К сожалению, это не относится к PGP. Во многих почтовых клиентах пользователю очень легко отправить конфиденциальные электронные письма с выключенным шифрованием, поэтому рекомендуем отправлять неважные электронные письма с включенным шифрованием во избежание случайной отправки зашифрованного электронного письма с неверным ключом. Эксперт Брюс Шнайер приходит к выводу:
«Я уже давно придерживаюсь мнения, что вместо пользы PGP приносит больше хлопот. Его трудно использовать правильно и при этом легко ошибиться. В целом, электронную почту по своей сути сложно защитить в связи со множеством разных функций, ради которых мы ее используем и которые требуем от нее».
Филиппо Валсорда дает замечательное объяснение неудобству использования PGP:
«Я не проводил серьезного исследования, но почти уверен, что каждый, кто использовал PGP для связи со мной, сделал или сделал бы (если бы его попросили) одно из следующих действий:
- добыл наиболее подходящий ключ с сервера ключей и, скорее всего, не через TLS
- использовал другой ключ, отвечая «это мой новый ключ»
- перенаправил электронное письмо в незашифрованном виде в качестве оправдания, например, «я путешествую».
3. Проекты со стандартом OpenPGP (Gmail, Yahoo) были обречены, а теперь мертвы.
Пару лет назад Gmail попытался последовать моде в плане обеспечения конфиденциальности, позже присоединился к нему и Yahoo, разработав плагин Chrome, который должен был автоматически шифровать электронную почту между пользователями Gmail и Yahoo с помощью PGP. Вскоре после этого Google остановил эту затею сквозного шифрования для Gmail.
PGP привыкло к успеху
PGP было великим изобретением, и оно по-прежнему отлично подходит для людей, которые умеют им правильно пользоваться. И хотя технология PGP развивалась, удобство для пользователей осталось на прежнем уровне.
Самая большая проблема PGP по сей день - это ее сложность. «Это настоящая головная боль», - говорит эксперт в области криптографии Мэтью Грин. «Есть управление ключами: вы должны использовать его в существующем почтовом клиенте, затем нужно загрузить ключи, а потом у вас возникает третья проблема - убедиться, что это правильные ключи».
PGP не смотрит в будущее
Помимо этого, PGP имеет еще некоторые недостатки безопасности, которые нелегко исправить:
1. PGP не поддерживает прямую секретность (PFS).
Без прямой секретности утечка потенциально открывает все ваши старые сообщения (если вы, конечно, не меняете регулярно ключи). Ходят слухи, что АНБ копит зашифрованные сообщения в надежде в дальнейшем получить доступ к ключам.
Именно из-за этого риска Валсорда отказывается от PGP: «Ключ долговременного пользования так же безопасен, как минимальный общий знаменатель вашей практики безопасности за все время ее существования. Это слабое звено».
Добавление прямой секретности к асинхронной автономной электронной почте - это колоссальная проблема, которая вряд ли возникнет, потому что это потребует серьезных изменений в протоколе PGP и в клиентах.
2. PGP не шифрует тему.
Нет возможности добавить параметр для шифрования или скрытия метаданных (Входящие, Отправленные, Дата) с помощью протокола PGP.
3. PGP не всегда дружит с самим же собой.
Существует такое количество реализаций PGP, что совместимость не всегда очевидна. Кроме того, если вы обновите PGP-ключ, например, с RSA 2048 до RSA 4096, необходимо расшифровать все данные с помощью старого закрытого ключа и повторно зашифровать их новым закрытым ключом.
4. PGP можно использовать только для общения по электронной почте.
Метод шифрования нельзя перенести на другие системы, например, зашифрованные заметки, чат, календарь.
EFfail, а что дальше?
В 2018 году исследователи из Мюнстерского университета прикладных наук опубликовали информацию об уязвимости EFail в технологиях сквозного шифрования OpenPGP и S/MIME, которые приводят к утечке открытого текста зашифрованных электронных писем. Эксплойт использует фрагмент HTML-кода, чтобы перехитрить определенные почтовые клиенты - Apple Mail, Outlook 2007 и Thunderbird - для раскрытия зашифрованных сообщений.
Хотя проблема не в самом протоколе PGP, а в том, как он реализован, все же это показывает сложность правильного обеспечения безопасности. В то время как электронную почту и PGP в этом отношении хвалят за универсальную совместимость, EFail доказывает, что они вместе представляют собой серьезную угрозу безопасности. Один человек в разговоре может использовать независимое внедрение PGP, другой - нет.
Несмотря на то, что обычно уязвимости обнаруживаются и исправляются довольно быстро, никто не знает, какую версию использует ваш коллега - обновленное, исправленное программное обеспечение или устаревшее.
Все это не помогает убедить людей начать использовать сквозное шифрование электронной почты. Что нам необходимо в будущем, так это простое в использовании сквозное шифрование, решение, которое не подвергает пользователя риску из-за своей сложности, что-то, что заботится о безопасности пользователя – независимо от того, где, когда и с кем вы общаетесь. Новый подход должен быть таким же простым, поскольку он уже реализован во многих приложениях для обмена сообщениями, например, Signal и даже WhatsApp.
Будущие потребности в шифровании электронной почты
Чтобы шифрование электронной почты было простым и безопасным для каждого, модель будущего не может зависеть от PGP по нескольким причинам:
- Должно быть автоматизировано управление ключами.
- Должна существовать возможность автоматического обновления алгоритмов шифрования (например, чтобы сделать шифрование устойчивым к воздействию квантовых компьютеров) без необходимости привлечения пользователя.
- Необходимо устранить обратную совместимость. Вместо этого все системы должны обновляться в кратчайшие сроки.
- К протоколу необходимо добавить прямую секретность.
- Метаданные должны быть зашифрованы или, по крайней мере, скрыты.
Вот над чем работали последние два года в Tutanota: над простым в использовании почтовым клиентом со встроенным в ПО шифрованием, который с легкостью позволяет пользователям установить сквозное шифрование для любой электронной почты.
Когда Tutanota только начинала свою деятельность, уже тогда она осознанно отказалась от использования PGP. Было выбрано подмножество PGP алгоритмов - AES 128 и RSA 2048 - но со своей собственной реализацией - с открытым исходным кодом. Это позволяет зашифровать тему письма, модернизировать алгоритмы и добавить секретность Переадресации. Это дает огромное преимущество в том, что способны исправить в Tutanota - и они уже частично сделали это - исправили упомянутые недоработки PGP.
- Tutanota уже научилось зашифровывать тему письма. В будущем планируется скрытие метаданных.
- У Tutanota автоматизированы управление ключами и аутентификация ключей, что делает их очень простыми в использовании.
- Tutanota шифрует и расшифровывает закрытый ключ пользователя с помощью пароля. Это позволяет пользователю получить доступ к своему зашифрованному почтовому ящику и отправлять зашифрованные электронные письма на любое устройство. Независимо от того, используют ли пользователи свой зашифрованный почтовый ящик с Web-клиентом, с приложениями с открытым исходным кодом или с безопасными клиентами для настольных ПК, Tutanota гарантирует, что все данные всегда хранятся в зашифрованном виде.
- Tutanota обновляет алгоритмы шифрования. В ближайшем будущем планируется обновление используемых алгоритмов до квантово-безопасных.
- Планируется добавление секретности переадресации.
- Алгоритмы шифрования, используемые Tutanota, могут применяться ко всем видам данных. Почтовый ящик Tutanota теперь способен зашифровывать все хранящиеся в нем данные, включая адресную книгу. Будут также добавлены зашифрованные календарь, заметки и диск - все это будет под защитой одних и тех же алгоритмов.
Стало доступно простое шифрование электронной почты. Теперь лишь осталось распространить информацию о том, что больше нет необходимости позволять Google, Yahoo и другим ресурсам собирать наши данные. Мы можем просто использовать зашифрованные электронные письма, чтобы больше никто не мог шпионить за нашими личными данными.
