Interview med en legende: Phil Zimmermann, skaberen af ​​PGP

ProPrivacy.com hæder sig over, at kryptogeniet og den allierede dejlige fyr Phil Zimmermann har taget tiden ud af sin hektiske tidsplan for at tale med os om sin verdenskendte e-mail-krypteringsteknologi, PGP; hans nye job hos Startpage.com og hans synspunkter på digitalt privatliv.Phil Zimmermann

Phil er bedst kendt for at opfinde Pretty Good Privacy (PGP), der efter næsten 30 år stadig betragtes som guldstandarden for sikker e-mail-kryptering.

Han er også kendt for sit arbejde med internet-telefoni-krypteringsprotokoller og var skaberen af ​​den meget respekterede ZRTP-krypteringsprotokol. Som om det ikke var nok, var han medstifter og chefforsker af Silent Circle. Han er ganske enkelt en legende.

Tak for at tale med os Phil. Du har for nylig tilsluttet dig søgemaskinefirmaet Startpage.com. Vil du gerne forklare, hvordan og hvorfor dette skete?

Jeg arbejder i samme bygning. Jeg ved, det er lidt af et flippant svar, men der er en række forskellige virksomheder, der arbejder i den samme Haig Security Delta-bygning i Holland. Jeg turnerede stedet og bemærkede startsiden. Jeg så, at de brugte PGP i deres produkter, så jeg begyndte at tale med dem.

Startpage bruger allerede PGP, især i sin StartMail-krypterede e-mail-tjeneste. De er i øjeblikket i færd med at omskrive deres kode for at gøre det til to separate produkter, og jeg blev enig om at komme om bord for at give råd om, hvordan man gør den nye mere sikker. Det er stadig meget under udvikling og det vil tage et stykke tid at frigive.

Jeg kan godt lide det faktum, at Startpage også kører en privat søgemaskine. Det virker meget zeitgeist. StartPage ser ud til at være virkelig bekymret for privatlivets fred, så jeg synes, det er dejligt, at de tilbyder et alternativ til Google.

I henhold til en nylig pressemeddelelse vil dit hovedfokus være "udvikling af virksomhedens næste generation af PGP-krypterede e-mail-tjenester". Dette lyder meget interessant! Kan du fortælle os mere om denne service, og hvad der gør den forskellig fra andre e-mail-tjenester til beskyttelse af personlige oplysninger, såsom ProtonMail?

Jeg er hentet ind for at hjælpe med forskellige implementeringer af PGP-protokollen. Mit job er specifikt at sikre, at tjenesten er sikker. Jeg kan ikke kommentere, hvordan det sammenlignes med andre tjenester, fordi det nye e-mail-produkt fra Startpage stadig er under udvikling.

Prz Medium Sm

PGP har været i nyheden for nylig takket være nogle kritiske sårbarheder opdaget af sikkerhedsforskere (EFAIL). Det er vores forståelse, at disse sårbarheder ikke er et problem med selve PGP-protokollen, men med, hvordan de ofte implementeres. Er dette korrekt?

Det er rigtigt. Den 29. juni skal jeg til et møde i Tyskland for at diskutere protokollen. Hvordan man gør det mere moderne, og hvordan man forbedrer e-mail-klienter for at få bedre resultater.

Problemet med e-mail er, at det har en stor angrebsflade, og det er her EFAIL havde problemer. E-mailen i sig selv har en stor angrebsoverflade, og trusselmodellen, vi står over for, har udviklet sig i de næsten tre årtier, siden jeg første gang opfandt PGP.

Er det sikkert at antage, at PGP-e-mail-produkter, der er udviklet af Startpage, formildes mod sådanne problemer?

Ja.

Igen er det vores overbevisning, at selvom det er meget praktisk, er webmail-tjenester iboende usikre. Er du enig i denne vurdering, og hvis ja, har du planer om at afbøde den i Startpages kommende produkter?

Ja. I øjeblikket er der svagheder i både serversiden og klientsiden kryptering. Hvis du er bekymret for serverens troværdighed, skal du være opmærksom på, at enhver, der kontrollerer serveren, også kontrollerer den serverforsynede JavaScript, der udføres i browseren.

Hvis en person, der driver en webbaseret e-mailtjeneste, bliver ramt af en retsafgørelse, kan de tvinges til at indsprøjte en "speciel" version af JavaScript, der kan udfiltrere krypteringsnøglerne fra en brugers browser. Disse kunne derefter bruges til at dekryptere aflyttet trafik.

Dette er et problem med kryptografi i browseren. Ende-til-ende-kryptering er alt det vrede i øjeblikket, men hvis kryptografi udføres i browseren, er det ikke mere sikkert, end hvis det gøres på serveren. Hvis en server kompromitteres, kan den alligevel bare tilføje ondsindet JavaScript til browseren!

Lige nu gør StartMail krypto på sine servere; men jeg hjælper det med at udvikle et hybridskema, der bruger en kombination af server og browser til at beskytte nøglerne. Jeg arbejder på en måde, nøglerne kan beskyttes, selvom serveren bliver kompromitteret.

Hvert af de to steder har deres egne sårbarheder, selvom browseren har en større angrebsflade.

Vil de teknologier, du arbejder på for Startpage, være open source? Hvorfor?

Jeg er en stærk fortaler for at offentliggøre kryptokildekode, og jeg vil råde enhver til at gøre det. Men dette er et produkt, der stadig er under udvikling, så vi har ikke drøftet, hvordan dette ville ske.

Oprettelsen af ​​PGP har gjort dig til en legende i tech-kredse, men hvilke andre professionelle resultater er du især stolt af?

Jeg tilbragte mange år på VoIP. Teknologien er sjovere end at arbejde på sikker e-mail. At være i stand til faktisk at tale med folk er meget mere interessant end at skrive e-mails.

En væsentlig årsag til, at du tilmelder dig Startpage, er, at de er "ideologisk tilpasset fortrolighedspolitiske spørgsmål". Hvorfor tror du, at privatlivets fred er så vigtigt i den moderne digitale tidsalder?

Fordi vi hemorrhaging vores privatliv. Det er forfærdeligt, hvad der sker. Jeg taler ikke kun om privatlivets fred som sådan. Virksomheder som Facebook og Google er en stor trussel mod vores demokratiske samfund på grund af den måde, de fungerer på.

Det amerikanske samfund er blevet skadet af sociale netværk, der er designet til at tjene til profit ved at maksimere engagement, og intet driver engagement som forargelse. Det er denne forargelse, der river samfundet fra hinanden.

Ignorering af brugernes privatliv er derfor kun en del af problemet. Det er denne foruroligelsescyklus, der fødes af selve social media platforme, der undergraver samfundsmæssige normer.

Som en fremtrædende egenskab ved en indtægtsmodel, der maksimerer engagement, får du skandal og splittelse i kropspolitikken.Prz Closeup Sm

Derfor kan jeg godt lide Startside. De gør noget for at afbøde problemet ved at tilvejebringe en søgemaskine, hvor resultaterne ikke er personligt tilpasset den enkelte. Sådanne personaliserede søgeresultater af den slags, der er returneret af Google, er farlige, fordi de skaber ekkokamre, der kun tjener til at styrke folks forkert information og fordomme.

Vi har også brug for en erstatning for Facebook, der er bygget til gavn for folket snarere end for virksomhedsgevinst. Noget, der giver fordelene ved sociale netværk uden de destruktive elementer af Facebook.

Må jeg foreslå, at din publikation kører en funktion, der kigger på Openbook. Jeg har en ven, der lige er begyndt at udvikle sig til det. Det er godt at se gode mennesker gøre noget positivt ved situationen, så jeg hjælper også deltid. Tjek det ud.

Hvilket anser du for at være den største trussel mod almindelige internetbrugeres privatliv - masseovervågning af regeringen af ​​den art, der udføres af NSA og GCHQ, eller virksomhedsovervågning af den art, der udføres af Facebook og Google?

Jeg synes, det er vigtigt at forstå, at de to er tæt forbundet, fordi overvågningen udført af virksomheder kan stilles til rådighed for regeringerne.

Tror du, at landskabet til masseovervågning er forbedret siden Edward Snowdens chokerende NSA-afsløringer tilbage i 2013?

Nå, kryptoprotokoller og kryptoprodukter er forbedret. Mens nogle ting er blevet bedre, er nogle af dem blevet værre. Tekniske selskabers voldelige appetit på kundedata for deres indtægtsmodeller har gjort tingene værre.

Som jeg sagde tidligere, satte disse indtægtsmodeller, der optimerer engagement, en kæde af årsag og virkning, der fører til erosion af liberale demokratier.

Hvis du var strandet på en ørkenø, hvad er et element, ville du mest gerne blive vasket i land med dig?

Antibiotika.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me