Χρήση Pretty Good Privacy στο macosx, το πρώτο μου επίσημο Public Key, λίγο πιο secure επικοινωνία.

Το ερέθισμα

Όλοι παρακολουθούμε τις εξελίξεις αλλά και τις αποκαλύψεις μέσα απ το Snowden-gate , διαβάζουμε καθημερινά όλο και νέα πράγματα για το πως η NSA μπορεί και παρακολουθεί, από τις πιο απλές επικοινωνίες ( px email), πως μπορεί να επιτεθεί με ειδικό εξοπλισμό σε encrypted δεδομένα , πως προσπαθεί να σπάσει τα μαθηματικά όρια γνωστών μηχανισμών κρυπτογράφησης, αλλά και να μεταβάλει την συμπεριφορά ειδικευμένων μηχανημάτων μέσα από firmware ιους. Προσωπικά δε μου κάνει εντύπωση, παρόλα αυτά όλη αυτή η φασαρία και οι αποκαλύψεις, ήταν το ερέθισμα (κακός που έφτασα μέχρι εδώ) να ενδιαφερθώ λίγο παραπάνω, ίσως και να κινηθώ λίγο πιο κοντά σε υπάρχουσες λύσεις. Αυτές τις μέρες που είχα λίγο παραπάνω ελεύθερο χρόνο, αποφάσισα να επενδύσω στο να 'φρεσκάρω΄ στις όποιες γνώσεις έχω πάνω σε θέματα κρυπτογραφίας, σαν προγραμματιστής. Ήταν μια εποικοδομητική επανάληψη πάνω σε μαθηματικά, α λγορίθμους αλλά και διαθέσιμες υλοποιήσεις.

Θα παραθέσω μερικά αρκετά απλά και πολύ ενδιαφέροντα documentary στο youtube, τα οποία εξηγούν τα βασικά έτσι ώστε ο καθένας να μπορεί να καταλάβει για το μέγεθος (ή μη) της πολύπλοκότητας. Πραγματικά δεν θέλει τεράστιες γνώσεις, δοκιμάστε τα!

• Gabling with Secrets (8 parts)

• Cryptography 101 - The basics

• The RSA Algorithm

• Public Key Cryptography: RSA Encryption Algorithm

• Diffie Helman Key Exchange

Pretty Good Privacy (GNU)

Μπορείτε να διαβάσετε τι είναι ο PGP και πως μπορούμε με τα κατάλληλα εργαλεία στο μηχάνημα/λειτουργικό μας να χρησιμοποιήσουμε τα καλά του public key encyrption για να αποστέλλουμε με ασφάλεια email αλλά κάθε λογής ηλεκτρονική πληροφορία. Ορίστε ακόμα ένα ενημερωτικό video. Για να το χρησιμοποιήσεις πρέπει να δημιουργήσεις το δικό σου, public key και να το ανεβάσεις σε σχετικούς server έτσι ώστε να μπορούν να το βρουν όσοι θέλουν να σου στείλουν encrypted δεδομένα (αρκεί να έχουν και εκείνοι αντίστοιχα). Πρωτού φτάσουμε εκεί, καταρχήν το σημαντικό είναι να κατεβάσεις το λογισμικό το οποίο θα δώσει αυτές τις extra λειτουργίες βασισμένες στην τεχνολογία του PGP. Μια απο τις διαδομένες υλοποιήσεις είναι το GNU PGP.

Αν είσαι χρήστης MacOSX, θα πας στο GPGtools.org και θα κατεβάσεις το σχετικό installer. Αν είσαι χρήστης Windows εδώ, αν είσαι χρήστης linux εδώ.

Μετά την εγκατάσταση στο λειτουργικό το software (GPG Suite) θα σου ζητήσεις να φιάξεις το προσωπικό σου Public Key. Αυτό είναι κάτι πάρα πολύ σημαντικό, πόσο μάλλον, γιατί θα βρίσκεται σε public server για να σε ψάχνουν άλλοι ή μπορείς να το μοιράζεις και μονος σου. Κάτι σαν μια secure ηλεκτρονική ταυτότητα/ υπογραφή. Πρόσεχε στο τι θα βάλεις σαν όνομα ή comment, αν θέλεις σοβαρά να το χρησιμοποιήσεις.

Δημιούργησα το δικό μου, μέσα από το GPG KeyChain.

Το ανέβασα και στους key-server που είχε ήδη η εφαρμογή (μια λίστα από διαθέσιμους) αλλά για να μην περιμένω 24-48 ώρες έτσι ώστε να συγχρονιστούν μεταξύ τους, ανέβασα το public key μου και σε ένα πιο κεντρικό σημείο, το PGP Global Directory. Εκεί μπορεί ο καθένας σας να κατεβάσει το public key μου. Μπορείτε να ψάξετε με contains το όνομα μου ή το email μου. Direct link μπορείς να βρεις και εδώ αλλά και στα δεξιά του blog αν κλικ άρεις στην εικόνα :) .

Για να στείλω σε κάποιον email θα πρέπει να υποστηρίζει και ο ίδιος τον μηχανισμό αυτό, άρα να έχει το δικό του public key. Μπορώ να υπογράφω μόνο τα email μου με την επίσημο public key μου, αλλά αν η άλλη πλευρά έχει την ίδια δυνατότητα μπορώ να υπογράψω και να κρυπτογραφήσω το email για να μιλήσουμε με ασφάλεια΄μόνο.

Αν ανοίξεις το Mail.App τότε στο _New Message; Παράθυρο βλέπεις το OpenPGP menu, αλλά και τους δείκτες για το αν μπορείς να υπογράψεις απλά το email σου ή να το κρυπτογραφήσεις επίσης.

Σε γενικές γραμμές αυτά. δε λύσαμε το θέμα της ασφάλειας, αλλά το γεγονός οτι υπάρχουν εύκολα πια εργαλεία τα οποία συνεργάζονται με τα προγράμματα που χρησιμοποιούμε καθημερινά και μπορούν να μας δώσουν μια πρώτην προστασία όταν θέλουμε να επικοινωνήσουμε με κάποια ασφάλεια' είναι καλό να ξεκινήσουμε να τα βάζουμε στη ζωή μας. Εγώ άργησα εξαιρετικά και είναι ντροπή η αλήθεια είναι μιας και βρίσκομαι μέσα στον χώρο, επίσης δεν είναι λίγες οι φορές που χρησιμοποιήσα βιβλιοθήκες και εργαλεία απο τον χώρο στα project για τα οποία έγραψα κώδικα, αλλά ποτέ δεν έκατσα σοβαρά να σκεφτώ την προσωπική μου ασφάλεια΄ σε αυτό το επίπεδο. Ένα πρώιμο new year resolution ίσως, ποτέ δεν είναι αργά.

Καλές ασφαλείς επικοινωνίες για το 2014 ή μάλλον, όσο το δυνατό πιο ασφαλείς!