Фонд Electronic Frontier поставил перед собой цель шифрования всего сетевого трафика. Как он хочет это сделать?
Содержание
Шифрование от слежки Три новые технологии шифрования Еще одно шифрование на ходу
Шифрование является одной из лучших технологий для защиты от хакеров, мошенников и шпионажа со стороны властей. Интернет находится в фазе широкого перехода от небезопасного протокола HTTP к HTTPS , который обеспечивает зашифрованную связь между браузером и веб-сайтом. Несколько организаций делают все возможное для усиления интернет-шифрования. Они работают под управлением Electronic Frontier Foundation (EFF). Д-р Джереми Джилла, технический директор EFF, говорит: «Десять лет назад в сети не было шифрования».
Шифрование от слежки
26 января 2006 года Марк Кляйн, инженер телекоммуникационной компании AT & T , пришел в офис EFF . Он сообщил фонду, что АНБ создало секретную комнату в одной из штаб-квартир AT & T для захвата сетевого трафика, проходящего через компанию. Это позволило здесь собирать данные в виде текста — то есть Агентство получало содержимое электронных писем и сообщений, отправленных через мессенджеры. Эта информация побудила EFF сотрудничать с создателями Tor Browser, и в 2011 году был запущен проект HTTPS Everywhere, чтобы предоставить пользователям браузер, который сам шифрует сетевой трафик. Когда проект начался, только 1000 сайтов использовали HTTPS или зашифрованную версию протокола HTTP для аутентификации сайтов и защиты конфиденциальности и целостности передаваемых данных. Но к августу 2018 года его уже использовали более 50% веб-сайтов, составляющих миллион самых популярных сайтов по рейтингу Alexa.
Задачей EFF было создать лучшее шифрование, чем раньше. Мотивацией были откровения, раскрытые в 2013 году Эдвардом Сноуденом, который объявил, что АНБ видит все, что пользователи делают в сети. Как вспоминает Джилла: «Мы работали с компаниями, чтобы определить, как они шифруют и на основе наилучших результатов создать метод сравнительного анализа сбалансированной системы показателей, обеспечивающий хорошее шифрование. Некоторые из них достигли очень хороших результатов с помощью своих методов и стали основой для дальнейших действий. ». Но, несмотря на все усилия, «длинные хвосты» страниц сайта все еще не были должным образом зашифрованы. TLS не был доступен везде, и в 2015 году даже Google ссылался на незашифрованные сайты. А если бы Google поступил так же, как обычный пользователь мог бы понять это? Многие владельцы веб-сайтов не внедрили TLS из-за технических проблем и сложности этой операции — это особенно касается небольших компаний, у которых не было средств для оплаты экспертов за выполнение задачи и приобретения соответствующих сертификатов.
Вот почему EFF в сотрудничестве с Mozilla и Мичиганским университетом создали бесплатный сертификат Let’s Encrypt . Он был предназначен для устранения затрат, связанных с переходом на HTTPS, и для облегчения внедрения протокола на существующих сайтах.
Три новые технологии шифрования
Джилула с удовлетворением вспоминает: «Мы тогда качались. Но мы не были полностью удовлетворены. Мы хотели перейти с отдельных сайтов на весь Интернет». С этой целью EFF сосредоточился на разработке трех новых методов шифрования.
Первый — идентификация имени сервера ( SNI ). Это расширение TLS, которое позволяет нескольким зашифрованным страницам работать на одном сервере через один IP-адрес, на котором могут быть установлены несколько SSL-сертификатов. Шифрование SNI позволяет клиенту создавать зашифрованный ключ для клиента и сервера пользователя, что делает невозможным определение, к какому сайту пользователь хочет подключиться. Но даже с зашифрованным SNI хакер может просматривать незашифрованное доменное имя DNS . Так что ты должен делать? Конечно, шифровать DNS. Для этого используются два решения: DNS через HTTPS (DoH) и DNS через TLS (DoT) . DNS over HTTPS — это протокол, который создает удаленный DNS через HTTPS. DNS over TLS — это метод шифрования, который защищает конфиденциальность передаваемых запросов и ответов от DNS по протоколу TLS. DoH практически невозможно заподозрить, однако, как отмечает Gillula, его также можно использовать для защиты от вредоносной деятельности. DoT наоборот — администратору легче обнаружить вредоносную активность, но пользователь с большей вероятностью будет заподозрен.
Зашифрованные SNI и DNS значительно повышают безопасность веб-сайтов, но как насчет не всегда защищенных электронных писем? Здесь решение STARTTLS . Устанавливает шифрование TLS в сетевом соединении . Это обеспечивает конфиденциальность данных (защита от возможности чтения данных третьими лицами) и защиту целостности данных (защита данных от модификации). Но STARTTLS уязвим для атак с понижением рейтинга, и очень легко обнаружить заголовки электронной почты. Большинство агентов передачи почты не проверяют сертификаты. Вот почему хакер «человек посередине» может подписать свой собственный сертификат, который сообщает серверу: «Я — Google, и у вас есть зашифрованное соединение со мной», — объясняет Джилла. — «Это не просто теория. В некоторых странах уровень раскрытия заголовков STARTTLS является гигантским, например, в Тунисе он составляет 96%».
Решение — SMTP MTA-STS ( агент передачи почты Strict Transport Security ) — требует аутентификации по текущему общедоступному сертификату и имеет свое собственное шифрование. Внедрение этого нового протокола требует много шагов, включая обеспечение того, чтобы почтовые серверы поддерживали его, и использование certbots, которые гарантируют, что сервер получает сертификаты, а также облегчают жизнь администраторам. EFF начал еще одну акцию — « STARTTLS Везде ».
Еще одно шифрование на подходе
Как EFF хочет достичь следующих уровней шифрования? Джилла объясняет: «Мы стремимся создать еще одну систему показателей, обновить используемые сегодня криптографические инструменты и сделать их доступными для всего мира». Новая система показателей должна появиться в конце февраля и быть готова в этом году. Он будет содержать шифрование SNI, DNS и MTA-STS, но будет только его частью. «Существуют и другие технологии, в том числе TLS 1.3 и HSTS . Но я отмечаю, что мы еще не установили окончательные критерии, поэтому в конечном итоге их может и не быть, они также могут показывать новые».
План EFF для шифрования всего сетевого трафика очень амбициозен, но он представляет серьезные технические проблемы. Им занимаются восемь производителей технологических решений, которые тесно сотрудничают с фондом. Пока не известно, когда мы увидим результаты их работы.
