Enkriptovana elektronska pošta (4. deo)
Autor: Petar Simović
Šifrovanje pošte više nije bauk – znamo to da primenimo na više načina. Ono što nas sada zanima, jeste da unapredimo našu privatnost i da nekako prikrijemo naš identitet tokom razmene elektronske pošte, tj. da stranom posmatraču naše mreže (npr. ISP – internet service provider) što više otežamo da otkrije sa kime se dopisujemo. Nešto slično radi i Darkmail za mobilne telefone, koji je nedavno promenio svoje ime u DIME (Dark Internet mail environment) i predstavio je svoj istoimeni protokol za razmenu pošte na DEF CON-u.
Postoje u osnovi četiri načina da se dopisujete sa nekim putem elektronske pošte, a da treća strana ne zna sa kime zaista komunicirate. Primarni cilj ovakvih mreža i protokola jeste da prikriju identitet pošiljaoca i primaoca poruka, što nije bilo moguće upotrebom samog šifrovanja sadržaja poruke. Ovi načini su još poznati kao četiri tipa anonimnih „rimejlera” (eng. remailer). Rimejleri su prosleđivači poruka i služe da poruku od pošiljaoca prime i pošalju je primaocu, što je dovoljno da znamo o njima za sada.
Jedan način je putem pseudonimnih rimejlera (eng. pseudonymous remailer ili nym server), a ostala tri načina su putem tri tipa rimejlera. Prvi tip rimejlera je poznat i kao Sajferpank rimejler (eng. Cypherpunk remailer), drugi kao Miksmaster rimejler (eng. Mixmaster remailer) i treći kao Miksminion rimejler (eng. Mixminion remailer). Mi ćemo se uglavnom baviti Miksmaster rimejlerima, dok ćemo o ostalima reći samo po nešto.
Nym serveri, uopšteno govoreći, samo prikrivaju vaš pravi identitet tako što vam dodeljuju novo ime ili pseudonim (zato se zovu pseudonymous remailers) kako biste pod tim nadimkom mogli da pseudo-anonimno postujete poruke na Usenet-u (koriste se Usenet grupe za postovanje, a to je neka vrsta zajedničkog mejl sandučeta gde su sve poruke koje se postuju šifrovane), ili se dopisujete porukama. Nećemo ovde ulaziti u detalje funkcionisanja, samo ćemo reći da postoje i naprednije tehnike koje ovoj vrsti rimejlera daju (uslovno rečeno) prednost. Zamisao je da svako ko želi da pročita poštu namenjenu sebi sa, recimo Usenet grupe alt.anonymous.messages
(http://goo.gl/taVCi5), mora prethodno da preuzme sve poruke koje su ikada postavljene na grupu i proba da ih dešifruje jednu po jednu svojim privatnim ključem, a dešifrovaće onu koja je za njega namenjena tj. koja je šifrovana njegovim privatnim ključem. Na taj način prikriva informaciju o tome da li uopšte prima poruke kao i koliko ih je primio jer svaki put preuzima sve i sve poruke pokušava da dešifruje. Uputstva za kreiranje Nym servera možete naći na sledećim veb stranama http://goo.gl/A9yG5Bhttp://goo.gl/2EQMwI.
Sajferpank rimejler je prvi tip rimejlera koji radi sa mejlovima isto što i proxy server sa veb saobraćajem koji mu dolazi od korisnika. Naime, ovaj tip rimejlera preuzima hedere (eng. headers) mejl poruke koju je primio kako bi prikrio izvor tj. pošiljaoca. Hederi mejl poruka sadrže adresu pošiljaoca i razne druge metapodatke, zavisno od mejl protokola koji se koristi koji odaju informacije stranom posmatraču ko, sa kime i kad komunicira i u kojoj meri. Osim toga, korisnik prethodno odabere kroz koje će Sajferpank rimejlere poruka da se rutira i istu šifruje javnim ključevima redom onih računara koje je odabrao. Ovde se može uvideti analogija sa Tor mrežom, iako ste to pomislili i vi niste mnogo promašili, samo što je ovaj protokol/sistem namenjen isključivo za slanje poruka. Treba napomenuti da ovaj tip rimejlera ima mnoge mane koje su prevaziđene u drugoj i trećoj generaciji anonimnih rimejlera, te se praktično više ne koristi, niti se smatra dovoljno bezbednim.
Miksmaster pripada drugoj generaciji anonimnih rimejlera i većinom se koristi i danas. Koristi neke naprednije tehnike za izbegavanje deanonimizacije korisnika putem napada vremenskih i veličinskih korelacija i analiza korisničkih komunikacija unutar mreže. U prevodu, strani posmatrač mreže može nadgledati veličine poruka koje su poslate sa vašeg računara, veličine podataka koje primaju rimejleri i koje isti rimejleri šalju dalje do veličine poruka koje poslednji (izlazni) rimejler šalje i kome šalje, i na taj način shvatiti da se vi dopisujete sa određenom osobom, iako ne mogu pročitati sadržaj poruke jer je šifrovana. U osnovi je ideja da se poruka deli u pakete fiksne veličine (20480 bajtova, što omogućava upotrebu RSA-4096 šifrovanje za svaki paket). Svaki paket se pojedinačno šifruje ključevima Miksmaster servera kroz koje će se poruka rutirati. Miksmaster serveri koji primaju poruke, dešifruju jedan sloj šifrovanja, onda saznaju kome dalje treba da proslede poruku i tako sve do poslednjeg miksmaster servera koji poruku konačno šalje primaocu. Osim toga, Miksmaster serveri ne obrađuju poruke odmah nakon što ih prime, nego čekaju određenu količinu poruka da se nakupi, onda sve poruke izmešaju i pošalju sve odjednom ili jednu po jednu. Na taj način posmatrač ne može da poveže poruke jer sve imaju istu veličinu, a rimejleri ih ne šalju po primanju nego posle vremena uslovljenog samo količinom poruka koje kroz taj server prolaze. Ovako su izbegnuti vremenski i količinski napadi i analize mreže, ali i ovaj sistem ima mane i unapređenja koje primenjuje treća generacija rimejlera. Više na http://goo.gl/RjSZYl i http://goo.gl/tBVs70
Miksminion rimejleri uvode još neke novine u odnosu na Miksmaster. Jedna od najkorisnijih jeste da je osim poruka i sama komunikacija između rimejlera šifrovana (koristi se SSL) zajedno sa efemernom enkripcijom (za svaku komunikaciju generišu se i koriste posebni ključevi) koja u osnovi omogućava PFS (eng. Perfect Forward Secrecy) o kojoj je bilo reči u prošlom delu. Takođe, delimično se rešava problem rimejler servera kod Miksmastera i Sajferpanka koji rutiraju poruke, jer se rutiranje može vršiti samo kroz servere, dok Miksminion omogućava rutiranje kroz korisnike, ali je poslednji (izlazni) rimejler potrebno da bude posvećeni server.
Što se Miksmastera tiče, instalacija je veoma jednostavna:
sudo apt-get install mixmaster
Posle instalacije trebalo bi ga ažurirati i pokupiti javne ključeve Miksmaster servera komandom:
sudo mixmaster-update mixmaster-update --verbose
U toku instalacije bi trebalo da vam se pokrene i instalacija Postfiks programa na koji se Miksmaster oslanja za slanje poruka. Ukoliko se ovo pak ne desi, trebalo bi da Postfiks uklonite sa vašeg sistema i pustite da ga Miksmaster u toku instalacije sam instalira.
Na trećoj slici nije prikazano nikakvo ime za System mail name, a vi ovde ne menjajte ništa, samo ostavite ime kako vam ponudi i pritisnite Ok. Instalacija će se nastaviti i ubrzo završiti.
Sada je Miksmaster instaliran, a iz terminala se pokreće komandom:
mixmaster
Tada bi ekran trebalo da izgleda ovako:
Za početak je potrebna opcija m kako bismo započeli sastavljanje nove poruke za slanje. Unesite mejl adresu primaoca (pa pritisnite Enter), zatim unesite naslov poruke (pa opet Enter), nakon čega bi ekran interfejs trebalo da izgleda slično ovome:
Sada imate opciju edit message za sastavljanje teksta poruke, pa će se pritiskom na e dugme na tastaturi otvoriti predefinisan editor na vašem sistemu unutar terminala (u većini slučajeva to je vim). Sada bi trebalo da možete da ispišete sadržaj poruke (ukoliko vim odbija da piše tekst, prvo pritisnite i, pa počnite da kucate tekst). Po završetku pisanja teksta pritisnite Esc na tastaturi (vim se još neće zatvoriti), pa onda unesite komandu :wq da biste sačuvali ispisani tekst u vim-u i vratili se u prethodni meni (druga slika u ovom tekstu) gde bi trebalo da vam se sada pojavi još jedna opcija u levom donjem delu terminala, a to je mail message koju sada biramo i vraćamo se u prvobitni meni (prva slika u ovom tekstu). Pre nego što pritisnemo s i pošaljemo poruku, možemo primetiti da se u dnu terminala ispod opcija pojavio i tekst sličan ovom Chain: devurandom,fotonl1,inwtx,dizum. To je ustvari nasumično odabran put kroz druge rimejlere kroz koje će se poruka rutirati pre nego što dođe do odredišta tj. primaoca, čiju ste mejl adresu implicitno uneli pre pisanja teksta poruke. Sada možemo pritisnuti s da bismo poslali poruku, i izaći iz Miksmastera pritiskom na q opciju.
Poruke mogu da putuju dugo u zavisnosti koliki je protok kroz rimejlere, pa ih nemojte očekivati svakog časa ubrzo posle slanja. Može se dogoditi da u toku instalacije Miksmastera ne bude pokrenuta instalacija Postfiksa, što znači da je već instaliran, pa je onda potrebno podesiti ga da radi sa Miksmasterom ako znate, a ako ne, najbolje bi bilo da Postfiks prvo uklonite sa sistema komandom
sudo apt-get purge postfix
pa da tek onda instalirate Miksmaster koji će u toku svoje instalacije pokrenuti instalaciju Postfiksa.
Operativni sistemi koji akcenat stavljaju na anonimnost, sigurnost i privatnost poput Whonix-a i JonDo-a, podrazumevano dolaze sa prethodno instaliranim i podešenim Miksmaster rimejler programom spremnim za korišćenje.
Ukoliko želite da doprinesete maloj mreži Miksmaster ili Miksminion servera, možete posvetiti jedan Raspberry Pi u tu svrhu i na njemu podesiti rimejler server jer ovakvi serveri ne zahtevaju bolje računare.
Naravno, ništa nije 100% sigurno ni anonimno, pa tako ni anonimni rimejleri, ali umnogome povećavaju nivo bezbednosti, sigurnosti i anonimnosti za one koji to vole, ili imaju nešto da kriju. Osnovni problem kod rimejlera je mali broj korisnika što uzrokuje nizak nivo anonimnosti jer korisnici nemaju tu privilegiju kao kod Tor-a da se korišćenjem servisa stapaju sa ostalim korisnicima čiji se broj meri u milionima nasuprot rimejlerima koji zbog male popularnosti pate od problema „Malog sveta”.
Za dodatni softver autor preporučuje http://goo.gl/jLKlWU. Autor takođe preporučuje video sa **DEF CON*-a prošle godine na temu deanonimizacije anonimnih poruka http://goo.gl/gzhLo7
Naredni deo ovog serijala možete pročitati ovde.
Prethodni deo ovog serijala možete pročitati ovde.