Dojcsák Dániel

Phil Zimmermann: a maffia is PGP titkosítást használ

Az 2006-os IDC konferencia központi témája a mostanság oly sokat hangoztatott IT security, az internetes technológiák biztonsága volt. Az előadók sztárja a PGP titkosítás atyja, Phil Zimmermann volt, éppen ezért szerkesztőségünk hosszas beszélgetést folytatott vele a PGP és a készülő VoIP titkosítás különböző aspektusairól.

A PGP mozaikszó a Pretty Good Privacy rövidítése. A programot sok millióan használják világszerte, nemcsak magánszemélyek hanem a multinacionális vállalatok is PGP szoftverrel védik szigorúan bizalmas anyagaikat. A program összetett matematikai eljárások segítségével kódolja a fájlokat. A feladó később a válaszadó által megadott számsor, az úgynevezett publikus kulcs segítségével férhet hozzá az eredeti tartalomhoz.

Elsőként arra voltam kíváncsi, hogy kik használják a PGP-t, és vajon kik fogják használni a VoIP titkosítást. A PGP kitalálójának válasza meglepő módon az volt, hogy terméke főként a vállalatok számára nyújt érdekes megoldást, de használják kormányok és különböző országok titkosszolgálatai is. Csak utolsóként említette az otthoni felhasználókat, akik számára számos vélemény szerint érdektelen az ilyesfajta védelem.

Phil egyszerű példákon keresztül szemléltette, hogy minden réteg számára fontos lehet az internetes titkosítás. Ezek közül talán a legjellemzőbb ha egy cégvezető laptopját ellopják, vagy betörnek a gépére, akkor e-mailjeiből számtalan dolgot megtudhatnak, akár a vállalatok egymás közti ipari kémkedését is ki lehet védeni. A ma létező spyware programok képesek arra, hogy egy 100 gépes hálózatban működő vállalati rendszerben ha csak egy gépre is bejutnak, akkor megfigyeljék, hogy ki kit hív fel VoIP-n keresztül és akár az is lehetséges, hogy ezek közül bizonyos hívásokat rögzítsenek.

Természetesen egyik cég sem szeretné, ha a vetélytársak tudnák, hogy a vezérigazgató éppen miről tárgyal, vagy akár azt, hogy kivel. Az egyszeri felhasználó mondhatná, hogy teljesen felesleges, mert aki kíváncsi arra, hogy a barátainkkal megbeszéljük mikor és hol találkozunk és mi történt velünk aznap, hát tessék. Phil szerint viszont itt bonyolultabb a helyzet. Az Egyesült Államokban, mielőtt életbiztosítást kötnek valakivel, meggyőződnek róla, hogy nincs semmilyen betegsége, és akár kémkednek is utána kicsit, tehát érdemes az orvosunkkal folytatott beszélgetést titkosítani, de arra kérdésre sem tudtam igennel felelni, hogy szeretném-e, ha egy szerelmes beszélgetésemet bárki hallgatná.


Phil Zimmermann

Rendben, tehát szükség van arra, hogy védekezzünk, de vajon kiktől? Képesek-e a kormányok Európában megfigyelni az internetes adatforgalmakat, mint mondjuk a tengerentúlon? Gondoljunk csak arra, hogy hazánkban a telefon lehallgatáshoz is bírói engedély kell. Phil erre a konkrét választ ugyan nem tudta, de úgy látja, hogy a legnagyobb veszély nem az, hogy a kormányok megfigyelnek, hanem a bűnözők, cégek részéről lát kockázatot. Szerinte a Big Brother nem az állam ebben a szituációban, hanem a technikailag, informatikailag felkészült emberek, akik képesek arra, hogy bejussanak rendszerekbe és egyben rosszindulatúak is hozzá. Ez a metszet manapság még keskeny, de benne van a levegőben, hogy ez megváltozik.

Ennél a pontnál vissza kellett kérdeznem, hogy rendben van, hogy a bűnözők ellen védekezni kell, de vajon nem fordítva van-e a dolog? Az átlagembernek nincs szüksége titkosításra, viszont éppen a bűnözők azok, akiknek nagy szüksége van a titok erejére. A PGP atyja ezt nagyon jól tudja, tisztában van azzal, hogy bűnözők és terroristák is használják technológiáját. Kifejtette, hogy épp nemrégiben volt Oroszországban, ahol a helyi maffia előszeretettel titkosít PGP-vel, sőt, az arab terroristák is ezt használják. Ez véleménye szerint teljesen normális, emiatt nem kell betiltani a terméket, hiszen a terroristák mobilon is beszélnek, azt sem kell engedélyhez kötni, sőt a Boeing 747-eseket sem tiltották be 2001 után. Annak ellenére, hogy ő is mélyen elítéli ezeket az embereket az a véleménye, hogy ha korlátozni kellene a titkosítást akkor a fürdővízzel együtt a gyereket is kiöntenénk.

Kíváncsiskodtam afelől is, hogy vajon fel lehet-e törni a PGP-t. Erre Phil rázta a fejét, de némi erősködés után végül is abban egyeztünk meg, hogy persze fel lehet törni, csak annyi év/évtized szükséges hozzá, hogy nem nagyon éri meg nekiállni. Mosolyogva kérdezte vissza tőlem, hogy szerintem ha könnyen fel lehetne törni, akkor vajon titkosszolgálatok használnák-e? Nyilván, ha ki lehetne kódolni azonnal megcsinálnák hozzá a megfelelő kulcsokat, de erre eleddig nem volt precedens. Ezt alátámasztotta a konferencia másik meghívott előadója Sebastian Schreiber, volt hacker is - nem tudja feltörni ő sem, bár azért vannak módszerek a tartalom gyorsabb megismerésére.

Napjainkban egyre terjed az interneten keresztüli hangkommunikáció , ezért is fordult a figyelem a VoIP titkosítása felé, amit Phil Zimmermann ZFone-nak nevezett el. A PGP a '90-es évek legelterjedtebb netes kommunikációs formáját, az e-mailt védte, ahol nem volt igazi kapcsolat a két fél között és napi néhány alkalomnyi védelmet igényelt. Az internetes telefónia esetében viszont folyamatos adatfolyamról van szó, ahol a két fél összekapcsolódik és onnantól kezdve bárki hozzáférhet a beszélgetéshez.

Éppen ezért a spyware programok és egyéb megoldások főleg a vállalati szférát veszélyeztetik, akik mind több és több hanghívási igényüket elégítik ki VoIP-n keresztül, mivel az lényegesen olcsóbb a hagyományos vezetékes telefonrendszernél. A különbség annyi, hogy azt lehallgatni oda kellett menni, és a kábelbe, készülékbe építeni lehallgatót, itt pedig boldog-boldogtalan képes a világ bármely pontjáról elkapni a beszélgetést. A ZFone fejlesztése már beta fázisban van, Mac OS platformra már elérhető a próbaváltozat. Márciusban PC-re is kijön egy ingyenes beta, arról viszont, hogy mikor lesz végleges, Phil nem tudott nyilatkozni, mivel nem tudja megbecsülni mennyi időre van szüksége a teszteléshez.

Ezzel kapcsolatos hírünkben a fórumozók furcsának találták, hogy miért Macre hozta ki az első bétát. A találgatás közeli volt, hiszen valóban az a prózai ok, hogy ez a kedvenc operációs rendszere, ezt használja otthon. A végleges változat megjelenésével nem zárul le a folyamat, hiszen Phil nemcsak a puszta terméket kívánja piacra dobni, hanem vele együtt ideológiát is terjeszt. A biztonságtudatosság megteremtése számára fontos harc, emiatt a PGP után a VoIP titkosítását is szeretné szabványként elfogadtatni. Véleménye szerint ha sokan kezdik el használni, akkor egy idő után az emberek számára érthető lesz, hogy az internet egy veszélyes dzsungelhez hasonlít, ahová nem szabad védtelenül bemenni.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • h4x0r #38
    De az ellenkezoje sem. Ez a szep az NP-teljes problemakban... :)
  • xnorbix #37
    Na most én úgy tudom, hogy még nincs bebizonyíva, hogy a PGP feltörésére nem létezik normális időben elvégezhető módszer.
  • RealPhoenixx #36
    Haxor: tudnank talalkozni, vagy emailben beszelgetni???

    Amugy win alatt egy elore forditottal 30mp alatt van.
    Amugy pedig elegseges feltetel az, hogy relativ primek legyenek azok az un. primek.

    Email cimemre dobj pls 1 emailt, ox??
    [email protected]

    Amugy egy ismerosom nem sokkal regebben megcsinalta hogy leforditotta a nyilt kodu RSA cuccat aszem az opensource cuccnak, ami PGP volt, s ott kiba sokara generalta le egy elegge jo server gepen, s tokre orult a srac, hogy atirt nehany kissebb dolgot, es 20%-ot javitott rajta, s az is joval tobb ideig tartott, mint az en RSA progimmal.

    De a lenyeg, hogy 30mp az iszonyuan keves ahoz kepest, amennyit o mondott, aszem az ove 20% javitassal 45 perc kornyeken volt.

    NB: probald ki 4000 bitessel is pls, es az email cimemre irj, koszi
  • h4x0r #35
    [email protected] ~/keys $ time openssl req -x509 -newkey rsa:4096 -out valami.key
    Generating a 4096 bit RSA private key
    writing new private key to 'privkey.pem'
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [HU]:
    State or Province Name (full name) [********]:
    Locality Name (eg, city) [******]:
    Organization Name (eg, company) [***************]:
    Organizational Unit Name (eg, section) [************************]:
    Common Name (eg, YOUR name) []:
    Email Address []:

    real 0m39.072s
    user 0m23.724s
    sys 0m0.028s

    Ebbol 6-7 mp a passphrase beadasa, valamint a cuccok leenterelese.
    Tehat ha forditod, akkor 30 mp. A nem elore forditottat nem probaltam, de sztem az Windowson is ugyanannyi, szoval azt probald te, engem is erdekelne.

  • RealPhoenixx #34
    Jah

    Haxor: bocsi, a hasonlitast azert kerem, mert ld korabbi allitasomat: az elore leforditottak erdekes modon nagysagrendekkel kevesebb ido alatt generalnak, mint a sajat magunk alltal leforditott forras.

    S ha nincs igazam, akkor ird meg, ha meg igazam van akkor magyarazd meg, hogy mi ez a kulonbseg

    koszi
  • RealPhoenixx #33
    Szia Haxor

    Hat igen, es ha te magad forditod le rendesen futtathatora?? Akkor mennyi ido alatt generalja??

    Nezd meg legyszives, es azt is ird ide oke??
    -had hasonlitsuk mar ossze a 2ot-

    Koszi
  • Cat #32
    http://www.sg.hu/webbolt.php?status=termek&termekid=463
  • h4x0r #31
    Bocs, relativ primet akartam mondani, de az sem jo. :)
    Mindenesetre nem hiszem, hogy gazos lenne a GPG, eleg sokan hasznaljak, de meg nem volt belole kulonosebb gondja senkinek. De pl. openssl is csak 10-20 masodpercig generalja a kulcsot, de akar az ssh is. Ott is az ido nagy resze az, amig az entropia osszegyulik.
  • noss #30
    úúhh, a lecke fel van adva...
    THX
  • RealPhoenixx #29
    Noss: elegge sok konyv van, mondhatni tul sok, de a legjobb alapok az olyan matek konyvekben vannak, amelyekben szerepel mondjuk az RSA eljaras, amugy pedig elegge speci konyvek vannak, s sajnos nem minden konyv hibamentes, illetve mondhatnam ugy is hogy elegge sok konyv van ami felrevezeto is egyben valamilyen tekintetben, a lenyeg, sokat kell olvass, es neked kell leszurni a dolgokat, de csak azok alapjan hogy mar erted oket, mert maskulonben atvagnak, lattam mar ilyen algoritmikus konyvben annyira felrevezeto dolgot is, hogy csak lestem mi a szosz, es hogy mindenki mas azt veszi alapul, meg csak utana sem neznek, bar ilyen durva hibakbol nem jellemzoen szokott lenni.

    Szval a lenyeg: ertsed meg a cuccost, es olvasgass minnel tobbet, es akkor a matek alapjaid ha meg is tanulod azokat, meglesznek.

    Caro: koszi, mar le is toltom, es meg is nezem :)