Intervju med en legend: Phil Zimmermann, skapare av PGP

ProPrivacy.com hedras för att kryptgeni och den trevliga killen Phil Zimmermann har tagit tiden från sitt hektiska schema för att prata med oss ​​om sin världsberömda e-postkrypteringsteknologi, PGP; hans nya jobb på Startpage.com och hans åsikter om digital integritet.Phil Zimmermann

Phil är mest känd för att ha uppfunnit Pretty Good Privacy (PGP), som efter nästan 30 år fortfarande betraktas som guldstandarden för säker e-postkryptering.

Han är också känd för sitt arbete med Internet-telefoni (VoIP) krypteringsprotokoll och var skapare av det högt respekterade ZRTP-krypteringsprotokollet. Som om det inte räckte var han medstifter och huvudforskare av Silent Circle. Han är helt enkelt en legend.

Tack för att du pratade med oss ​​Phil. Du har nyligen anslutit dig till sökmotorföretaget Startpage.com. Vill du förklara hur och varför detta kom till?

Jag arbetar i samma byggnad. Jag vet att det är lite flippant svar, men det finns ett antal olika företag som arbetar i samma Haig Security Delta-byggnad i Nederländerna. Jag turnerade på platsen och märkte Startsidan. Jag såg att de använde PGP i sina produkter, så jag började prata med dem.

Startpage använder redan PGP, särskilt i sin StartMail-krypterade e-posttjänst. De håller för närvarande på att skriva om sin kod för att göra den till två separata produkter, och jag gick med på att komma ombord för att ge råd om hur man kan göra den nya säkrare. Det är fortfarande mycket under utveckling och kommer att ta ett tag att släppa.

Jag gillar det faktum att Startpage också driver en sekretesssökmotor. Det verkar mycket zeitgeist. StartPage verkar verkligen vara bekymrad över sekretess, så jag tycker att det är fantastiskt att de erbjuder ett alternativ till Google.

Enligt ett nyligen pressmeddelande kommer ditt huvudfokus att vara "utveckling av företagets nästa generations PGP-krypterade e-posttjänst". Det låter väldigt intressant! Kan du berätta mer om den här tjänsten och vad som skiljer den från andra sekretess-e-posttjänster som ProtonMail?

Jag har förts in för att hjälpa till med olika implementeringar av PGP-protokollet. Mitt jobb är specifikt att se till att tjänsten är säker. Jag kan inte kommentera hur den jämförs med andra tjänster eftersom den nya e-postprodukten Startpage fortfarande är under utveckling.

Prz Medium Sm

PGP har varit i nyheterna nyligen tack vare några kritiska sårbarheter som upptäckts av säkerhetsforskare (EFAIL). Det är vår förståelse att dessa sårbarheter inte är ett problem med själva PGP-protokollet, men med hur det vanligtvis implementeras. Är detta rätt?

Det är rätt. Den 29 juni ska jag till ett möte i Tyskland för att diskutera protokollet. Hur man gör det mer modernt och hur man förbättrar e-postklienter för att få bättre resultat.

Problemet med e-post är att det har en stor attackyta, och det är där EFAIL hade problem. E-posten i sig har en stor attackyta och hotmodellen vi står inför har utvecklats under de nästan tre decennierna sedan jag först uppfann PGP.

Är det säkert att anta att alla PGP-e-postprodukter som utvecklats av Startpage kommer att mildra mot sådana problem?

Ja.

Återigen är det vår uppfattning att även om det är väldigt bekvämt är webmailtjänster i sig osäkra. Håller du med denna bedömning, och i så fall har du planer för att mildra den i Startpages kommande produkter?

Ja. För närvarande finns det svagheter i både serversidan och klientsidan kryptering. Om du är orolig för serverns pålitlighet ska du råda att alla som styr servern också kontrollerar det serverföljande JavaScript som körs i webbläsaren.

Om någon som driver en webbaserad e-posttjänst får ett domstolsbeslut kan de tvingas att injicera en "special" version av JavaScript som kan filtrera krypteringsnycklarna från en användares webbläsare. Dessa kan sedan användas för att dekryptera avlyssnad trafik.

Detta är ett problem med att göra kryptografi i webbläsaren. End-to-end-kryptering är allt rasande för tillfället, men om kryptografi görs i webbläsaren är det inte säkrare än om det görs på servern. Om en server äventyras kan den bara mata skadlig JavaScript till webbläsaren ändå!

Just nu gör StartMail krypto på sina servrar; men jag hjälper den att utveckla ett hybridschema som använder en kombination av server och webbläsare för att skydda nycklarna. Jag arbetar på ett sätt som nycklarna kan skyddas även om servern komprometteras.

Var och en av de två platserna har sina egna sårbarheter, även om webbläsaren har en större attackyta.

Kommer tekniken du arbetar med för Startsida att vara öppen källkod? Varför?

Jag är en stark förespråkare för att publicera kryptokällkod, och jag skulle råda någon att göra det. Men detta är en produkt som fortfarande är under utveckling så vi har inte diskuterat hur detta skulle hända.

Skapandet av PGP har gjort dig till en legend i tekniska kretsar, men vilka andra professionella prestationer är du särskilt stolt över?

Jag tillbringade många år på VoIP. Tekniken är roligare än att arbeta med säker e-post. Att faktiskt kunna prata med människor är mycket mer intressant än att skriva e-post.

En viktig anledning som du har gett dig för att gå med på Startpage är att de är "ideologiskt anpassade till integritetsfrågor". Varför tycker du att integritet är så viktigt i modern modern tid?

Eftersom vi hemorrhaging vår integritet. Det är fruktansvärt vad som händer. Jag pratar inte bara om integritet som sådan. Företag som Facebook och Google är ett stort hot mot vårt demokratiska samhälle på grund av hur de fungerar.

Det amerikanska samhället har skadats av sociala nätverk som är utformade för att vinna genom att maximera engagemanget, och ingenting driver engagemang som upprörelse. Det är denna upprörelse som sliter samhället isär.

Att bortse från användarnas integritet är därför bara en del av problemet. Det är denna krets av upprörelse som matas av själva naturen på sociala medieplattformar som undergräver samhälleliga normer.

Som en tillväxtegenskap i en inkomstmodell som maximerar engagemanget får du upprörelse och klyvning i kroppspolitiken.Prz Closeup Sm

Det är därför jag gillar startsidan. De gör något för att mildra problemet genom att tillhandahålla en sökmotor där resultaten inte är personligt anpassade till individen. Sådana personliga sökresultat av det slag som returneras av Google är farliga eftersom de skapar ekokamrar som endast tjänar till att stärka människors felinformation och fördomar.

Vi behöver också en ersättning för Facebook som är byggd för människors bästa snarare än för företagens vinst. Något som ger fördelarna med sociala nätverk utan de destruktiva delarna av Facebook.

Får jag föreslå att din publikation kör en funktion som tittar på Openbook. Jag har en vän som just börjat utveckla för det. Det är bra att se bra människor göra något positivt med situationen, så jag hjälper också på deltid. Kolla in det.

Vilket anser du vara det största hotet mot vanliga internetanvändares integritet - övervakning av den offentliga regeringen av den typ som utförs av NSA och GCHQ, eller företagsövervakning av den typ som utförs av Facebook och Google?

Jag tror att det är viktigt att förstå att de två är nära besläktade eftersom övervakningen som utförs av företag kan göras tillgänglig för regeringar.

Tror du att massövervakningslandskapet har förbättrats sedan Edward Snowdens chockerande NSA-avslöjningar tillbaka 2013?

Tja, kryptoprotokoll och kryptoprodukter har förbättrats. Medan vissa saker har blivit bättre har vissa saker blivit värre. Tekniska företags våldsamma aptit efter kunddata för sina intäktsmodeller har förvärrat.

Som jag sa tidigare, dessa intäktsmodeller som optimerar engagemanget sätter igång en kedja av orsak och verkan som leder till erosion av liberala demokratier.

Om du var strandad på en öde ö, vad är en artikel skulle du helst vilja tvättas i land med dig?

antibiotika.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me