Intervista con una leggenda: Phil Zimmermann, creatore di PGP

ProPrivacy.com è onorato che il simpaticissimo cripto-genio e tuttofare Phil Zimmermann si sia preso il tempo del suo frenetico programma per parlarci della sua rinomata tecnologia di crittografia e-mail, PGP; il suo nuovo lavoro su Startpage.com e le sue opinioni sulla privacy digitale.Phil Zimmermann


Phil è noto per aver inventato Pretty Good Privacy (PGP), che dopo quasi 30 anni è ancora considerato lo standard di riferimento per la crittografia sicura della posta elettronica.

È anche noto per il suo lavoro sui protocolli di crittografia della telefonia via Internet (VoIP) ed è stato il creatore del rispettato protocollo di crittografia ZRTP. Come se ciò non bastasse, era il co-fondatore e capo scienziato del Silent Circle. Molto semplicemente, è una leggenda.

Grazie per aver parlato con noi Phil. Di recente sei entrato a far parte della società di motori di ricerca sulla privacy Startpage.com. Vorresti spiegare come e perché ciò è avvenuto?

Lavoro nello stesso edificio. So che è una risposta un po 'irriverente, ma ci sono diverse aziende che lavorano nello stesso edificio del Delta della Sicurezza di Haig nei Paesi Bassi. Stavo visitando il posto e ho notato Startpage. Ho visto che hanno usato PGP nei loro prodotti, quindi ho iniziato a parlare con loro.

Startpage utilizza già PGP, soprattutto nel suo servizio di posta elettronica crittografato StartMail. Sono attualmente in procinto di riscrivere il loro codice per trasformarlo in due prodotti separati, e ho accettato di venire a bordo per fornire consigli su come rendere il nuovo più sicuro. È ancora molto in fase di sviluppo e impiegherà un po 'di tempo per essere rilasciato.

Mi piace il fatto che Startpage gestisca anche un motore di ricerca sulla privacy. Sembra molto zeitgeist. StartPage sembra essere sinceramente preoccupato per la privacy, quindi penso che sia fantastico che stiano offrendo un'alternativa a Google.

Secondo un recente comunicato stampa, il tuo obiettivo principale sarà il "sviluppo del servizio di posta elettronica con crittografia PGP di prossima generazione dell'azienda". Sembra molto interessante! Puoi dirci di più su questo servizio e su cosa lo renderà diverso dagli altri servizi di posta elettronica sulla privacy come ProtonMail?

Sono stato chiamato per aiutare con varie implementazioni del protocollo PGP. Il mio compito è specificamente quello di garantire che il servizio sia sicuro. Non posso commentare come si confronta con altri servizi perché il nuovo prodotto di posta elettronica Startpage è ancora in fase di sviluppo.

Prz Medium Sm

PGP è stato recentemente nelle notizie grazie ad alcune vulnerabilità critiche scoperte dai ricercatori sulla sicurezza (EFAIL). Comprendiamo che queste vulnerabilità non sono un problema con il protocollo PGP stesso, ma con come viene comunemente implementato. È corretto?

Giusto. Il 29 giugno andrò a una riunione in Germania per discutere del protocollo. Come renderlo più moderno e come migliorare i client di posta elettronica per ottenere risultati migliori.

Il problema con l'email è che ha una grande superficie di attacco, ed è qui che EFAIL ha avuto problemi. L'email stessa ha una vasta superficie di attacco e il modello di minaccia che affrontiamo si è evoluto nel corso dei quasi tre decenni da quando ho inventato PGP.

È sicuro supporre che qualsiasi prodotto di posta elettronica PGP sviluppato da Startpage possa mitigare tali problemi?

sì.

Ancora una volta, riteniamo che, sebbene molto convenienti, i servizi di webmail sono intrinsecamente insicuri. Sei d'accordo con questa valutazione e, in tal caso, hai piani per mitigarla nei prossimi prodotti di Startpage?

Sì. Attualmente ci sono punti deboli nella crittografia lato server e lato client. Se sei preoccupato per l'affidabilità del server, tieni presente che chiunque controlla il server controlla anche il JavaScript fornito dal server che viene eseguito nel browser.

Se qualcuno che gestisce un servizio di posta elettronica basato sul Web viene colpito da un ordine del tribunale, potrebbe essere costretto a iniettare una versione "speciale" di JavaScript che potrebbe esfiltrare le chiavi di crittografia dal browser di un utente. Questi potrebbero quindi essere utilizzati per decrittografare il traffico intercettato.

Questo è un problema con la crittografia nel browser. La crittografia end-to-end è di gran moda in questo momento, ma se la crittografia viene eseguita nel browser, allora non è più sicura di se eseguita sul server. Se un server è compromesso, può comunque solo inviare JavaScript dannoso al browser!

In questo momento, StartMail esegue la crittografia sui suoi server; ma lo sto aiutando a sviluppare uno schema ibrido che utilizza una combinazione di server e browser per proteggere le chiavi. Sto lavorando per proteggere le chiavi anche se il server viene compromesso.

Ognuno dei due luoghi ha le proprie vulnerabilità, sebbene il browser abbia una superficie di attacco più ampia.

Le tecnologie su cui stai lavorando per Startpage saranno open source? Perché?

Sono un forte sostenitore della pubblicazione del codice sorgente crittografico e consiglierei a chiunque di farlo. Ma questo è un prodotto ancora in fase di sviluppo, quindi non abbiamo discusso di come ciò potrebbe accadere.

La creazione di PGP ti ha reso una leggenda nei circoli tecnologici, ma di quali altri risultati professionali sei particolarmente orgoglioso?

Ho trascorso molti anni nel VoIP. La tecnologia è più divertente che lavorare su e-mail sicura. Essere in grado di parlare effettivamente con le persone è molto più interessante che scrivere e-mail.

Uno dei motivi principali che hai dato per aderire a Startpage è che sono "ideologicamente allineati su questioni di privacy". Perché pensi che la privacy sia così importante nella moderna era digitale?

Perché stiamo emorragiando la nostra privacy. È terribile quello che sta succedendo. Non sto solo parlando della privacy in quanto tale. Aziende come Facebook e Google rappresentano una grave minaccia per la nostra società democratica a causa del modo in cui funzionano.

La società americana è stata danneggiata dai social network che sono progettati per trarre profitto massimizzando l'impegno, e nulla guida l'impegno come l'indignazione. È questo oltraggio che fa a pezzi la società.

Il mancato rispetto della privacy degli utenti è quindi solo una parte del problema. È questo ciclo di indignazione alimentato dalla natura stessa delle piattaforme di social media che sta minando le norme sociali.

Come proprietà emergente di un modello di entrate che massimizza l'impegno, si ottiene indignazione e divisione nel corpo politico.Prz Closeup Sm

Ecco perché mi piace Startpage. Stanno facendo qualcosa per mitigare il problema fornendo un motore di ricerca in cui i risultati non sono personalizzati per l'individuo. Tali risultati di ricerca personalizzati del tipo restituito da Google sono pericolosi perché creano camere di eco che servono solo a rafforzare la disinformazione e i pregiudizi delle persone.

Abbiamo anche bisogno di un sostituto per Facebook, che è costruito per il bene delle persone piuttosto che per il profitto aziendale. Qualcosa che offre i vantaggi dei social network senza gli elementi distruttivi di Facebook.

Posso suggerire che la tua pubblicazione esegua una funzione guardando Openbook. Ho un amico che ha appena iniziato a svilupparlo. È bello vedere brave persone che fanno qualcosa di positivo sulla situazione, quindi aiuto anche a tempo parziale. Controlla.

Quale ritieni sia la più grande minaccia alla privacy degli utenti comuni di Internet: la sorveglianza del governo di massa del tipo effettuata da NSA e GCHQ o la sorveglianza aziendale del tipo effettuata da Facebook e Google?

Penso che sia importante capire che i due sono strettamente correlati perché la sorveglianza effettuata dalle aziende può essere messa a disposizione dei governi.

Pensi che il panorama della sorveglianza di massa sia migliorato da quando le scioccanti rivelazioni della NSA di Edward Snowden nel 2013?

Bene, i protocolli crittografici e i prodotti crittografici sono migliorati. Mentre alcune cose sono migliorate, alcune cose sono peggiorate. Il vorace appetito delle aziende tecnologiche per i dati dei clienti per i loro modelli di entrate ha peggiorato le cose.

Come ho detto prima, questi modelli di entrate che ottimizzano l'impegno innescano una catena di cause ed effetti che porta all'erosione delle democrazie liberali.

Se fossi bloccato su un'isola deserta, qual è un oggetto che ti piacerebbe di più essere lavato a terra con te?

antibiotici.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me