Ученые из университета штата Вашингтон анонсировали новую технологию
шифрования, позволяющую создавать и обмениваться самоуничтожающимися
электронными сообщениями в любом публичном веб-сервисе. Разработчики
предлагают таким образом защитить свою переписку от атак, отсроченных
по времени.
Исследователи из университета штата Вашингтон в Сиэтле объявили о
том, что разработали специальную технологию под названием Vanish,
позволяющую шифровать и затем автоматически удалять электронные письма
или сообщения после истечения установленного периода времени. Сейчас
«срок жизни» сообщений составляет 8-9 часов, причем изменить его
самостоятельно отправитель не может. «Сегодня онлайн-коммуникации становятся все более и более
популярными, но многие все еще предпочитают использовать телефон для
важных разговоров. Vanish создан, чтобы давать людям в Сети такую же
конфиденциальность, как и при телефонном разговоре», - заявил Тадайоси Коно (Tadayoshi Kohno), один из ученых, разработавших данную технологию.
Получателю сообщения вместе с зашифрованным текстом передается
ключ. Для хранения данных Vanish сейчас использует структуру
собственной пиринговой сети Vuze (DHT-сеть функционирования Vanish).
Компьютеры сети очищают память каждые 8 часов - ключ изменяется, и
сообщение больше не поддается расшифровке. В Сети уже размещена демо-версия
технологии Vanish и показано, как она работает в почтовых службах
Hotmail, Gmail, а также в Facebook и Google Docs. Кроме того, установив
специальный Vanish-плагин для браузера Firefox, можно уже сейчас
обмениваться самоуничтожающимися сообщениями. Размещать и читать
зашифрованные с помощью Vanish тексты можно в любом веб-сервисе – при
условии, что плагин будет установлен и у получателя, и у отправителя.
Через 8-9 часов восстановить сообщение нельзя будет даже при наличии
плагина.
 Тадайоси Коно надеется, что его программа повысит конфиденциальность электронной переписки
С помощью новой технологии создатели Vanish предлагают защитить
конфиденциальную переписку от атак, отсроченных по времени. Тем не
менее, если есть вероятность, что злоумышленник сможет получить доступ
к данным в течение срока жизни сообщения, разработчики советуют
дополнительно использовать криптографию с открытым ключом (PGP/GPG).
В то же время, эксперты предупреждают, что использовать Vanish
в связке с PGP не всегда возможно. «Для таких веб-сервисов, как
социальные сети, информация должна быть доступна всем на время действия
срока давности, а ПО для шифровки и дешифровки достаточно редко
встречаются у рядовых пользователей, - отмечает Александр Шахлевич,
специалист компании «Информзащита». - Что касается обмена почтой —
процесс будет обременяться необходимостью иметь дополнительное ПО как
для работы Vanish, так и для PGP-шифрации. При том, что при должной
длине ключа то же PGP-шифрование приближает вероятность взлома к нулю».
«Данная технология всего лишь имеет возможность ограничить
время, в течение которого можно получить ключ для расшифровки
сообщения», – комментирует Валерий Ледовской, аналитик компании
«Доктор Веб». По его словам, с одной стороны, это повышает приватность
переписки, так как ограничивается время возможного получения письма.
Также требуется авторизация как для получения сообщения, так и для
доступа к пиринговой сети для получения ключа. С другой стороны, как отмечает эксперт, созданная специально
пиринговая сеть может быть тоже уязвима для атак злоумышленников. Кроме
того, таким способом шифрования будет сложно воспользоваться в
общественных местах доступа в интернет, например, в интернет-кафе, так
как для функционирования этого метода необходимо использовать
дополнительное ПО в виде плагина к браузеру, которое не всегда возможно
установить, если пользователю нужно получить почту не со своего
компьютера.
«Шифрование сообщений не дает 100-процентной гарантии
конфиденциальности переписки, но точно сделает ее на порядок более
приватной, - отмечает Илья Шабанов, руководитель проекта
Anti-Malware.ru. - Возможно, технология Vanish найдет своих
пользователей, которым периодически требуется шифровать важные
сообщения». Специалисты «Информзащиты», в свою очередь,
полагают, что проект мог бы быть интересен с точки зрения уменьшения
требований к стойкости алгоритмов шифрования: если сначала информация
кодируется Vanish, а поверх – методами симметричного\ассиметричного
шифрования. Тогда гарантированное уничтожение ключа Vanish означает
невозможность расшифровки кода уже через 8 часов, а значит, отпадёт
потребность в криптоалгоритмах, стойких в течении 10-летий, позволит
уменьшить длину ключа и увеличить производительность шифровальных
комплексов.
«Технология, безусловно интересная, но не без недостатков, - считает Виталий Камлюк,
ведущий антивирусный эксперт «Лаборатории Касперского». - Судя по
всему, временный ключ всё же существует и предоставляется пользователю
или приложениям, которые используются на компьютере, для расшифровки
сообщений. Это значит, что в этот момент ключ может быть скопирован и
использован позже даже после истечения срока его действия, поскольку на
компьютере физически остается зашифрованное сообщение. Если же
расшифровка происходит на сервере и ключ не передаётся клиенту, то в
таком случае это ничем не отличается от простого управления сообщениями
и удаления их с сервера по истечении «срока годности».
Ожидается, что команда создателей Vanish официально представит
свою технологию на конференции USENIX Security, которая состоится в
августе 2009 г. в Канаде. Пока же они предлагают общественности
ознакомиться с новой технологией и оценить возможные преимущества от ее
использования, особенно при работе в «облаке». «Конфиденциальная
информация передается по всему интернету, и мы не имеем возможности
контролировать жизненный цикл этих данных. А в будущем, с переходом к
облачным сервисам, когда огромные объемы данных будут храниться в
неизвестных дата-центрах, контролировать информацию станет еще
сложнее», - отметил Хэнк Ливай (Hank Levy), еще один разработчик Vanish.
Адрес новости: http://www.cnews.ru/news/top/index.shtml?2009/07/22/354936
|
