EFF ma plan zaszyfrowania całego internetu

Electronic Frontier Foundation postawiło sobie za cel zaszyfrowanie całego ruchu sieciowego. W jaki sposób chce to zrobić?


Szyfrowanie jest jedną z najlepszych technologii chroniących przed hakerami, scammerami oraz szpiegowaniem przez władze. Internet jest w fazie powszechnego przechodzenia z mało bezpiecznego protkołu HTTP na HTTPS, który zapewnia szyfrowaną komunikację pomiędzy przeglądarką a stroną internetową. Kilka organizacji robi wszystko, aby wzmocnić szyfrowanie internetu. Działają w ramach Electronic Frontier Foundation (EFF). Dr. Jeremy Gillula, dyrektor techniczny EFF, mówi: "Dziesięć lat temu nie było szyfrowania w sieci".

Szyfrowanie przeciwko inwigilacji

26 stycznia 2006 roku do biura EFF przyszedł Mark Klein, inżynier firmy telekomunikacyjnej AT&T. Przekazał fundacji informację, że NSA stworzyła w jednej z siedzib AT&T tajny pokój w celu przechwytywania ruchu sieciowego, który przechodzi przez firmę. Pozwalało tu na przechwytywaniu danych w postaci tekstu - czyli w ręce Agencji dostawała się treść maili i wiadomości wysyłanych poprzez komunikatory sieciowe. Informacje te skłoniły EFF do nawiązania współpracy z twórcami Tor Browser i w 2011 ruszył projekt HTTPS Everywhere, mający na celu dostarczenie użytkownikom przeglądarki, która sama w sobie szyfruje ruch sieciowy. Gdy projekt wystartował, tylko 1000 witryn używało HTTPS, czyli szyfrowanej wersji protokołu HTTP, w celu uwierzytelniania witryn oraz ochrony prywatności i integralności przesyłanych danych. Ale do sierpnia 2018 stosowało go już ponad 50% stron tworzących milion najpopularniejszych witryn wg rankingu Alexa.

Zadaniem dla EFF było stworzenie lepszego niż dotychczas szyfrowania. Motywacją były rewelacje ujawnione w 2013 roku przez Edwarda Snowdena, który ogłosił, że NSA widzi wszystko, co użytkownicy robią w sieci. Jak wspomina Gillula: "Współpracowaliśmy z firmami, aby ustalić, w jaki sposób szyfrują i stworzyć na podstawie najlepszych rezultatów wzorcową charakterystykę techniką zrównoważonej karty wyników, która zapewniłaby dobre szyfrowane. Kilka z nich osiągnęło swoimi metodami bardzo dobre rezultaty i stało się podstawą do dalszych działań". Ale mimo wysiłków, wciąż "długie ogony" stron witryn nie były należycie szyfrowane. TLS nie było dostępne wszędzie i w 2015 roku nawet Google kierowało do nieszyfrowanych witryn. A skoro robiło tak samo Google, jak zwykły użytkownik mógł się w tym zorientować? Wielu właścicieli witryn nie wprowadzało TLS ze względy na problemy techniczne i trudność tej operacji - dotyczy to zwłaszcza mniejszych, które nie miały środków na opłacenie ekspertów do wykonania zadania i zakupu stosownych certyfikatów.

Dlatego EFF we współpracy z Mozillą i Uniwersytetem Michigan, stworzyło darmowy certyfikat o nazwie Let’s Encrypt. Miał on na celu usunięcie kosztów związanych z przejściem na HTTPS oraz umożliwić łatwiejsze wprowadzenie protokołu na już istniejących witrynach.

Trzy nowe technologie szyfrowania

Gillula wspomina z satysfakcją: "Daliśmy wtedy czadu. Ale nie byliśmy do końca zadowoleni. Chcieliśmy przejść z pojedynczych witryn na cały internet". W tym celu EFF skupiło się na rozwijaniu trzech nowych metod szyfrowania.

Pierwsza to server name identification (SNI). To rozszerzenie TLS, umożliwiające wielu szyfrowanym stron działanie na tym samym serwerze poprzez jeden adres IP, który może mieć zainstalowanych wiele certyfikatów SSL. Szyfrowanie SNI umożliwia klientowi stworzenie zaszyfrowanego klucza dla klienta użytkownika i serwera, co uniemożliwia wykrycie, z jaką witryną chce się połączyć użytkownik. Ale nawet z zaszyfrowanym SNI haker może podejrzeć niezaszyfrowaną nazwę domeny w DNS. Co więc należy zrobić? Oczywiście zaszyfrować DNS. W tym celu stosuje się dwa rozwiązania: DNS over HTTPS (DoH) i DNS over TLS (DoT). DNS over HTTPS jest protokołem, który tworzy zdalne DNS poprzez protokół HTTPS. DNS over TLS to metoda szyfrowania chroniąca prywatność przesyłanych zapytań i odpowiedzi z systemu DNS poprzez protokół TLS. DoH jest praktycznie niemożliwe do podejrzenia, jednak - jak zauważa Gillula - równocześnie może posłużyć do ochrony złośliwej aktywności. DoT odwrotnie - adminowi łatwiej wykryć złośliwą aktywność, ale z kolei użytkownik jest bardziej narażony na podejrzenie.

Szyfrowane SNI i DNS znacząco zwiększają bezpieczeństwo witryn internetowych, ale co z nie zawsze bezpiecznymi e-mailami? Tutaj rozwiązaniem jest STARTTLS. Ustanawia szyfrowanie TLS w połączeniu sieciowym. Zapewnia to poufność danych (zabezpieczenie przed możliwością odczytania danych przez osoby trzecie) oraz ochronę integralności danych (zabezpieczenie danych przed ich modyfikacją). Ale STARTTLS jest podatny na ataki typu downgrade i bardzo łatwo odsłonić nagłówki e-maili. Większość serwerów poczty elektronicznej (Mail Transfer Agent) nie przeprowadza walidacji certyfikatów. Dlatego haker atakujący metodą man-in-the-middle może podpisać własny certyfikat, który powie serwerowi: "Jestem Google i masz ze mną szyfrowane połączenie" - wyjaśnia Gillula. - "To nie tylko teoria. W niektórych krajach poziom ujawniania nagłówków STARTTLS jest gigantyczny, np. w Tunezji wynosi 96%".

Rozwiązaniem jest SMTP MTA-STS (Mail Transfer Agent Strict Transport Security) - wymaga uwierzytelnienia przez aktualny certyfikat publiczny i ma własne szyfrowanie. Wprowadzenie tego nowego protokołu wymaga wielu czynności, w tym upewnienia się, że serwery pocztowe będą go wspierać i użycia certbotów, co pozwoli upewnić się, że serwer otrzyma certyfikaty, a zarazem ułatwi życie adminom. EFF rozpoczęło zatem kolejną akcję - "STARTTLS Everywhere".

Kolejne szyfrowanie w drodze

Jak EFF chce osiągnąć kolejne poziomy szyfrowania? Gillula wyjaśnia: "Dążymy do tego, aby stworzyć kolejną kartę wyników, zaktualizować współcześnie używane narzędzia kryptograficzne oraz udostępnić je światu." Nowa karta wyników powinna pojawić się pod koniec lutego i być gotowa w tym roku. Znajdą się w niej szyfrowane SNI, DNS i MTA-STS, ale będą tylko częścią. "Są inne technologie, która będzie zawierać, jak TLS 1.3 i HSTS. Ale zaznaczam, że nie ustaliliśmy jeszcze ostatecznych kryteriów, a więc ostatecznie może ich nie być, mogą także pokazać się nowe".

Plan EFF dotyczący zaszyfrowania całego ruchu sieciowego jest bardzo ambitny, stawia jednak duże wyzwania techniczne. Zajmuje się nimi ośmiu producentów rozwiązań technologicznych, którzy ściśle współpracują z fundacją. Nie wiadomo jeszcze, kiedy zobaczymy efekty ich prac.