петак, 26 априла, 2024
Интернет, мреже и комуникације

Шифровани чет (1. део) – Суброса

NZT

Аутор: Петар Симовић

Данас за међусобно брзо дописивање користимо много сервиса и апликација, али да ли бринемо о својој приватности користећи их?

Иако смо кроз претходне бројеве научили како да заштитимо своју електронску пошту, то можда не покрива цео спектар наших комуникација и свакојаких размена информација и података преко интернета. Па ако је тако, хајде да видимо како можемо да се дописујемо са другима, брзо, лако и сигурно.

Проблем је следећи: „Хоћемо да се инстант дописујемо, односно да четујемо са једном или више особа у реалном времену на сигуран начин. То значи да желимо сигурни групни чет. Онда бисмо желели да имамо могућност размене података-фајлова или аудио-видео комуникацију. Већином за ово користимо централизоване сервисе попут Фејсбука, и/или оне које нису отвореног кода попут Скаjпа (енг. Skype) или Вајбера (Viber), и не пружају скоро никакву приватност корисницима од администратора самог сервиса, па можда и државних безбедносних компанија.”

Међутим, почетак није једноставан јер смо погрешили у старту. Не би требало да користимо апликације и сервисе који нису направљени са идејом о приватности самих корисника нити томе служе. Ако нам је приватност важна, онда треба да потражимо алтернативе. Па, да ли оне уопште постоје? Наравно да постоје, а понекад су чак и боље.

У овом (првом) делу серијала поменућемо уједно и најновију међу њима. Суброса је заправо централизована апликација/платформа отвореног кода (http://goo.gl/fAyHev) која може да ради у два мода: клијент и сервер.

Да бисте је користили, потребно је да се региструјете, тј. да направите корисничко име (енг. username) и лозинку (енг. password), опцију за мејл можете да прескочите или да једноставно упишете лажни мејл да бисте заварали траг. Ни Суброса не зна наше тајне кључеве нити чува лозинке, стога ако заборавите лозинку, можете се поздравити са тим налогом.

Начин функционисања ове чет платформе је следећи:

1. При регистрацији уносите корисничко име и шифру. Шифра не напушта ваш претраживач.

2. Унета шифра се потом користи за генерисање јавног/тајног пара асиметричних кључева (RSA 2048 bits).

3. Јавни кључ се шаље Субросиним серверима, а тајни кључ се шифрован чува на рачунару.

Пошто су кључеви направљени, комуникација може да почне. Све што је потребно је да пронађете особу са којом желите да дискутујете. Оно што се потом дешава је да иницијатор комуникације добије од Субросиног сервера јавни кључ особе са којом жели да комуницира. Затим:

1. претраживач му генерише симетрични кључ (AES-GCM-256);

2. тај кључ се потом шифрује јавним кључем вашег будућег саговорника и затим се тако шифрован шаље њему;

3. саговорник дешифрује поруку, и надаље се тај кључ, који сада поседују обе стране, користи за шифровање и дешифровање порука, и уопште било ког типа података између две стране – тзв. енд-ту-енд (end-to-end) шифрована комуникација.

Суброса пружа могућност видео комуникације, аудио позива и дописивања (наравно, све је енд-ту-енд шифровано). Шифровање енд-ту-енд значи да када особе А и Б комуницирају, порука која је са једног краја (корисник А) шифрована, може бити дешифрована само на свом другом крају (корисник Б).

Суброса такође користи HSTS и PFS, што ,најпростије речено, значи да се за сваку комуникацију користи други пар кључева. Ово је само мера превенције против неких напада на шифровану комуникацију путем SSL-а (https/ /:) и односи се само на комуникацију са Суброса сервером, који, као што смо рекли, могу подићи и корисници на својим машинама.

Изворни кôд је проверен независно од стране немачке безбедносне компаније Curve53.

Суброса такође подржава и тзв. warrant cannary, што је заправо метод којим провајдер интернетских комуникационих услуга обавештава кориснике да није примио тајни налог или судски налог за достављање информација о својим корисницима властима у некој земљи (http://goo.gl/z5nSDG).

Дакле, да сумирамо: Суброса је отвореног кода, не захтева адресу мејла нити било какве личне податке; можете подићи сервер на свом рачунару; не чува логове (барем тако тврде – прим.аут.); покреће се директно из претраживача и не захтева преузимање било каквог софтвера; подржава HSTS (енг. HTTP Strict Transport Security), PFS (енг. Perfect Forward Secrecy) и подржава видео, аудио и текстуалну шифровану комуникацију.

Један од потенцијалних проблема, сматрају неки, је коришћење Јаваскрипта и извршавање кода са удаљеног рачунара, пошто ништа није потребно да се инсталира на рачунар. То значи да је платформа потенцијално рањива као већина других на XSS, разне врсте инџекшна и MITM од стране сервера. Да би избегли ове нападе, (параноични) корисници такође могу да хостују и сервер који ће користити у својој комуникацији.

Могуће је да се анонимност и приватност још више унапреде коришћењем проксија или повезивањем на неку виртуелну приватну мрежу или на Тор.