Nie daj się podsłuchać

• Usługodawcy, którzy szyfrują wiadomości, muszą mieć narzędzia do ich odszyfrowania.
• Zagraniczne firmy, które prowadzą interesy na terenie Stanów Zjednoczonych, muszą mieć lokalne biuro z narzędziami do przechwytywania komunikacji.
• Twórcy narzędzi do komunikacji bezpośredniej muszą przeprojektować swoje produkty, żeby umożliwić podsłuchiwanie.

Podsłuchy to jedno z ważniejszych źródeł informacji dla służb specjalnych. Jednak rozwój nowych usług komunikacyjnych utrudnił ten proceder, głównie ze względu na zabezpieczenia kryptograficzne. Służby szukają więc sposobów prawnych, by ułatwić sobie pracę.

Zabezpieczenia kryptograficzne stosowane podczas przesyłania danych ściągnęły kłopoty na firmę Research in Motion (RIM), producenta popularnego w kręgach biznesowych smartfonu Blackberry. E-maile wysyłane z Blackberry są tak zabezpieczone, że nie da się ich przechwycić. Rozsierdziło to służby specjalne wielu krajów. Zjednoczone Emiraty Arabskie zagroziły zakazem używania Blackberry, jeśli nie będzie skutecznej metody podglądania korespondencji.

odobne zastrzeżenia zgłaszała Arabia Saudyjska oraz Indie. Menedżerom z RIM udało się załagodzić spory. Choć nie podano szczegółów ugody, można podejrzewać, że służby wymienionych państw na żądanie będą otrzymywały zdekodowaną korespondencję inwigilowanych osób.

Jednak prawdziwa rewolucja, która z pewnością odciśnie piętno na całym internecie, szykuje się w Stanach Zjednoczonych.

Służby specjalne wielu krajów przechwytują treści usług komunikacyjnych, które nie są szyfrowane, tzn.:

• e-maile, wysyłane z popularnych programów pocztowych
• większość komunikatorów; niektóre sieci stosują szyfrowanie SSL (np. GG czy Google Talk), ale działa ono tylko wtedy, gdy programy klienckie u obu komunikujących się osób obsługują szyfrowane połączenia (w GG tylko wersja 10)
• rozmowy VoIP w popularnych pro tokołach SIP/RTP

Kiedy postulowane „tylne drzwi” w usługach komunikacyjnych zostaną prawnie zalegalizowane, służby specjalne będą mogły podsłuchiwać także usługi, które korzystają obecnie ze skutecznych zabezpieczeń:

• Skype
• e-maile szyfrowane w ramach rozwiązań korporacyjnych (np. Blackberry)
• komercyjne aplikacje do tworzenia sieci bezpiecznej komunikacji, bazujących na takich rozwiązaniach, jak np. Symantec PGP

Dziennikarze New York Timesa dotarli do projektu prawa, które powstaje na zamówienie amerykańskich agencji zajmujących się bezpieczeństwem wewnętrznym i wywiadem zagranicznym. Prawo to ma nałożyć na firmy oferujące narzędzia do komunikacji obowiązek udostępnienia władzom amerykańskim „tylnych drzwi” w swoich usługach. Za ich pośrednictwem służby specjalne będą mogły wygodnie podsłuchiwać każdego użytkownika, który korzysta z danego serwisu. Ponieważ w USA działa większość międzynarodowych firm zajmujących się komunikacją, zachodzi obawa, że podsłuchiwani będą nie tylko Amerykanie, których chroni lokalne prawo.

Co to znaczy dla przeciętnego użytkownika? Gdy wejdzie w życie nowe prawo, nie będzie można traktować usług komunikacyjnych, korzystających ze scentralizowanej struktury, jako poufnych. Wbudowane zabezpieczenia kryptograficzne nie będą już gwarantowały prywatności. Skype, który obecnie uchodzi za bezpieczną usługę, bo szyfruje rozmowy, stanie przed dylematem: umożliwić podsłuch czy opuścić USA.

Z komunikatorami sprawa wygląda tak: wprawdzie szyfrują przesyłane komunikaty, ale tylko na czas przesyłania przez sieć do centralnego serwera, więc podczas przejścia przez amerykańskie serwery będą łatwe do podsłuchu.

Polski GG, jako firma regionalna niedziałająca w USA, nie będzie się musiał podporządkować nowemu prawu. Rozmowy przez GG nie będą monitorowane przez USA, ale teoretycznie mogą być podsłuchane przez polskie służby, bo przechodzą przez centralny serwer.

Internauci, którzy chcą zapewnić sobie prywatność w sieci, będą musieli zadbać o to sami. Jest to możliwe dzięki darmowym i skutecznym narzędziom kryptograficznym.

Program GnuP pozwala skutecznie zabezpieczyć pocztę elektroniczną. Po wygenerowaniu pary kluczy: publicznego i prywatnego, internauta będzie mógł zaszyfrować e-mail (kluczem publicznym), który tylko odbiorca będzie mógł odczytać (dzięki kluczowi prywatnemu).

Metodą Off-The-Record (OTR) można zaszyfrować interaktywną komunikację i bezpiecznie rozmawiać przez dowolny komunikator internetowy, ponieważ jest niezależny od protokołu IM (Instant Messaging). Zaletą tego rozwiązania jest to, że klucze są generowane na potrzeby danej sesji, niezauważalnie dla użytkownika, który musi jedynie nawiązać połączenie i aktywować wtyczkę kryptograficzną.

Podobne rozwiązanie powstaje na potrzeby telefonii VoIP. Projekt Zfone szyfruje pakiety VoIP z różnych programów i w różnych standardach. Jest niepodatny na podsłuch, bo uzgadnianie kluczy kryptograficznych odbywa się między dwoma klientami, z pominięciem centralnego serwera. Niestety, w Skypie Zfone nie zadziała.

Aby zapewnić poufność wymiany informacji e-mailem, skorzystaj z bezpłatnego pakietu GnuPG, który cieszy się doskonałą opinią wśród speców od kryptografii. Najwygodniej jest użyć wtyczki Enigmail, dostępnej dla programu Thunderbird. To samo narzędzie powinien zastosować odbiorca twojej korespondencji.

Po uruchomieniu Thunderbirda kliknij w menu Narzędzia opcję Dodatki. W oknie Dodatki wpisz w pole wyszukiwania Enigmail i naciśnij klawisz [Enter]. Gdy system znajdzie dodatek, naciśnij znajdujący się obok przycisk Dodaj do programu Thunderbird, a w następnym oknie Zainstaluj. Po zakończeniu instalacji zrestartuj Thunderbirda. Wtyczka wymaga także instalacji programu GnuPG w wersji do Windows, który znajdziesz na stronie www.gnupg.org/download, w sekcji Binaries.

Po ponownym uruchomieniu Thunderbirda w menu pojawi się nowa pozycja – OpenPGP, zawierająca narzędzia niezbędne go obsługi szyfrowanej komunikacji pocztą elektroniczną. W konfiguracji funkcji szyfrowania pomaga kreator – uruchom go, klikając OpenPGP i Asystent konfiguracji.

W kolejnych krokach kreatora klikaj Dalej. W pierwszych krokach potwierdzaj domyślnie wybrane ustawienia. W piątym kroku, w oknie Wybór klucza, zaznacz opcję: Chcę utworzyć nową parę kluczy do podpisywania i szyfrowania. W kolejnym kroku wpisz hasło zabezpieczające klucz prywatny. Program wygeneruje parę kluczy. Na końcu spyta o wygenerowanie certyfikatu do unieważniania klucza. Kliknij Generuj certyfikat, wpisz hasło do klucza i zapisz plik w bezpiecznym miejscu.

Zanim rozpoczniesz bezpieczną wymianę e-maili, musisz wymienić się kluczami publicznymi z odbiorcą. Aby wysłać odbiorcy klucz publiczny, kliknij OpenPGP i Zarzadzanie kluczami. W oknie Zarządzanie kluczami OpenPGP kliknij prawym klawiszem myszy swój klucz i z menu wybierz Wyślij klucz publiczny w wiadomości. W oknie edycji listu wpisz adres odbiorcy i wyślij list z prośbą o wysłanie jego klucza publicznego w e-mailu zwrotnym. Pojawi się okienko Wprowadź dane OpenPGP z pytaniem, pozostaw opcje bez zmian, zaznacz pole Używaj wybranej metody dla wszystkich przyszłych załączników i kliknij OK. W okienku, które się pojawi, wprowadź hasło swojego klucza.

Kiedy już otrzymasz e-mail z kluczem publicznym osoby, z którą planujesz korespondować, kliknij dwukrotnie plik z rozszerzeniem .asc w załączniku, a w oknie Potwierdzenie OpenPGP kliknij przycisk Importuj. Od tej chwili możesz już szyfrować wiadomości, które będą wysyłane do tego odbiorcy.

Aby wysłać bezpieczną wiadomość, po wpisaniu adresu odbiorcy, od którego dostałeś klucz publiczny, kliknij ikonę OpenPGP na pasku narzędzi. W oknie, które się wyświetli, zaznacz opcję Szyfruj wiadomość i potwierdź, klikając OK. Wyślij wiadomość. Program wyświetli jeszcze prośbę o wpisanie hasła. Jest ono potrzebne do podpisania listu sygnaturą, która gwarantuje, że e-mail rzeczywiście pochodzi od ciebie.

Odbieranie zaszyfrowanej poczty jest proste. Jeśli program wykryje, że wiadomość jest zaszyfrowana, po kliknięciu jej pojawi się okno: Wprowadź dane OpenPGP, w którym musisz wpisać hasło podane podczas generowania pary kluczy i kliknąć OK.

Do stworzenia bezpiecznego kanału wymiany informacji przez komunikator użyjemy rozwiązania Off-The-Record Messaging (OTR). Nie można zainstalować go w Gadu-Gadu, ale posłużymy się multikomunikatorem Pidgin, który obsługuje Gadu-Gadu i kilkanaście innych komunikatorów.

Komunikator Pidgin w wersji do Windows znajdziesz na stronie www.pidgin.im. Wtyczkę, która dodaje obsługę szyfrowania OTR, znajdziesz na stronie www.cypherpunks.ca/otr, w zakładce Downloads. Po zainstalowaniu obu programów uruchom komunikator Pidgin.

W oknie Pidgina kliknij kolejno Narzędzia i Wtyczki. Następnie w oknie Wtyczki8 zaznacz na liście wtyczkę: Off-the-Record Messaging i kliknij przycisk Skonfiguruj wtyczkę.

W oknie Off-the-Record Messaging z listy Key for account wybierz konto komunikatora, w którym chcesz korzystać z szyfrowania OTR, i kliknij przycisk Generate, by wygenerować klucz szyfrujący, zwany w OTR odciskiem palca. W polu Fingerprint pojawi się klucz szyfrujący przypisany do danego konta. Możesz zamknąć okno konfiguracji OTR.

Aby rozpocząć szyfrowaną konwersację, wybierz znajomego, który ma zainstalowaną wtyczkę OTR lub używa komunikatora z wbudowaną obsługą OTR, i otwórz konwersację, klikając dwukrotnie jego nick. Następnie z menu OTR, które znajdziesz w oknie rozmowy, wybierz opcję Start private conversation. Jeśli odbiorca nie korzysta z OTR, otrzyma nieczytelne ciągi znaków wraz z informacją o konieczności zainstalowana wtyczki OTR.

Gdy aktywujesz prywatną konwersację, rozmówca zobaczy okno z informacją o początku bezpiecznej rozmowy oraz prośbą o akceptację twojego klucza OTR. Jeśli wyrazi na to zgodę, od tej chwili komunikacja będzie szyfrowana. Ale w oknie rozmowy będzie widniał status Unverified, co oznacza, że program OTR szyfruje rozmowę, ale nie gwarantuje, kto jest po drugiej stronie. Do tego niezbędne jest uwierzytelnienie.

Aby rozpocząć uwierzytelnianie, kliknij w menu OTR opcję Authenticate buddy. Program obsługuje trzy sposoby weryfikacji odbiorcy: przez sekretne pytanie i odpowiedź, sekretną frazę, ręczne poświadczenie klucza szyfrującego, którym posługuje się znajomy. Najprostszy i skuteczny jest drugi sposób.

Wymyślcie z rozmówcą słowo albo zdanie i wymieńcie tę informację osobiście albo za pomocą szyfrowanego e-maila. Następnie w oknie Atuhenticate Buddy wybierz z rozwijanej listy opcję Shared secret i w polu Enter secret here wpisz dowolną frazę, np. Warszawa. Potwierdź, klikając przycisk Authenticate.

Po poprawnej weryfikacji rozmówcy pojawi się okno z informacją: Authentication successful. Zamknij je, klikając OK. Wróć do okna rozmowy. Zwróć uwagę, że status rozmowy zmienił się na zielony napis Private. Aby zakończyć szyfrowaną rozmowę, kliknij w oknie rozmowy w menu OTR pozycję End private conversation.