Intervju med en legende: Phil Zimmermann, skaperen av PGP

ProPrivacy.com får æren av at kryptogjennom og den hyggelige fyren Phil Zimmermann har tatt seg tid ut av sin hektiske plan for å snakke med oss ​​om sin verdenskjente e-krypteringsteknologi, PGP; hans nye jobb på Startpage.com og hans syn på digital personvern.Phil Zimmermann


Phil er mest kjent for å finne opp Pretty Good Privacy (PGP), som etter nesten 30 år fremdeles blir sett på som gullstandarden for sikker e-postkryptering.

Han er også kjent for sitt arbeid med Internett-telefoni (VoIP) krypteringsprotokoller, og var skaper av den høyt respekterte ZRTP-krypteringsprotokollen. Som om det ikke var nok, var han medgründer og sjefforsker av Silent Circle. Han er ganske enkelt en legende.

Takk for at du snakket med oss ​​Phil. Du har nylig blitt medlem av personvernselskapsfirmaet Startpage.com. Vil du forklare hvordan og hvorfor dette skjedde?

Jeg jobber i samme bygning. Jeg vet at det er litt av et flippant svar, men det er en rekke forskjellige selskaper som jobber i samme Haig Security Delta-bygning i Nederland. Jeg turnerte stedet og la merke til startsiden. Jeg så at de brukte PGP i produktene sine, så jeg begynte å snakke med dem.

Startpage bruker allerede PGP, spesielt i sin StartMail-krypterte e-posttjeneste. De er for tiden i gang med å omskrive koden sin for å gjøre den til to separate produkter, og jeg ble enige om å komme om bord for å gi råd om hvordan du kan gjøre den nye sikrere. Det er fortsatt veldig mye i utvikling og kommer til å ta en stund å slippe.

Jeg liker at Startpage også driver en søkemotor for personvern. Det virker veldig zeitgeist. StartPage ser ut til å være opptatt av personvern, så jeg synes det er flott at de tilbyr et alternativ til Google.

I følge en fersk pressemelding vil hovedfokuset ditt være "utvikling av selskapets neste generasjon PGP-krypterte e-posttjeneste". Dette høres veldig interessant ut! Kan du fortelle oss mer om denne tjenesten, og hva som vil gjøre den forskjellig fra andre e-posttjenester for personvern som ProtonMail?

Jeg er hentet inn for å hjelpe til med ulike implementeringer av PGP-protokollen. Jobben min er spesielt å sikre at tjenesten er sikker. Jeg kan ikke kommentere hvordan det sammenlignes med andre tjenester fordi det nye e-postproduktet Startpage fortsatt er i utvikling.

Prz Medium Sm

PGP har vært i nyhetene nylig takket være noen kritiske sårbarheter oppdaget av sikkerhetsforskere (EFAIL). Det er vår forståelse at disse sårbarhetene ikke er et problem med selve PGP-protokollen, men med hvordan de ofte implementeres. Er dette riktig?

Det er riktig. 29. juni skal jeg til et møte i Tyskland for å diskutere protokollen. Hvordan gjøre det mer moderne, og hvordan forbedre e-postklienter for å få bedre resultater.

Problemet med e-post er at den har en stor angrepsflate, og det er her EFAIL hadde problemer. E-posten i seg selv har en stor angrepsflate og trusselmodellen vi står overfor har utviklet seg i løpet av de nesten tre tiårene siden jeg første oppfant PGP.

Er det trygt å anta at alle PGP-e-postprodukter utviklet av Startpage vil avbøte mot slike problemer?

Ja.

Igjen er det vår tro at selv om det er veldig praktisk, er e-posttjenester iboende usikre. Er du enig i denne vurderingen, og har du i så fall planer for å avbøte den i Startpages kommende produkter?

Ja. For øyeblikket er det svakheter i både serversiden og klientsiden kryptering. Hvis du er bekymret for serverens pålitelighet, må du være oppmerksom på at alle som kontrollerer serveren også kontrollerer det serverleverte JavaScript som kjøres i nettleseren..

Hvis noen som driver en nettbasert e-posttjeneste blir rammet av en rettskjennelse, kan de tvinges til å injisere en "spesiell" versjon av JavaScript som kan filtrere krypteringsnøklene fra en brukers nettleser. Disse kan deretter brukes til å dekryptere avlyttet trafikk.

Dette er et problem med å gjøre kryptografi i nettleseren. Ende-til-ende-kryptering er alle raseri for øyeblikket, men hvis kryptografi gjøres i nettleseren, er det ikke sikrere enn hvis det gjøres på serveren. Hvis en server er kompromittert, kan den bare mate ondsinnet JavaScript til nettleseren uansett!

Akkurat nå gjør StartMail krypto på serverne sine; men jeg hjelper det med å utvikle et hybridskjema som bruker en kombinasjon av server og nettleser for å beskytte tastene. Jeg jobber på en måte nøklene kan beskyttes selv om serveren blir kompromittert.

Hver av de to stedene har sine egne sårbarheter, selv om nettleseren har en større angrepsflate.

Vil teknologiene du jobber med for Startpage være åpen kildekode? Hvorfor?

Jeg er en sterk talsmann for å publisere kryptokildekode, og jeg vil råde alle til å gjøre det. Men dette er et produkt som fortsatt er under utvikling, så vi har ikke diskutert hvordan dette skulle skje.

Opprettelsen av PGP har gjort deg til en legende i teknologikretser, men hvilke andre profesjonelle prestasjoner er du spesielt stolt av?

Jeg har brukt mange år på VoIP. Teknologien er morsommere enn å jobbe med sikker e-post. Det å være i stand til å faktisk snakke med folk er mye mer interessant enn å skrive e-post.

En av de viktigste grunnene du har gitt for å bli med på Startpage, er at de er "ideologisk tilpasset personvernspørsmål". Hvorfor tror du personvern er så viktig i den moderne digitale tidsalder?

Fordi vi hemorrhaging vårt privatliv. Det er forferdelig hva som skjer. Jeg snakker ikke bare om personvern som sådan. Selskaper som Facebook og Google er en stor trussel mot vårt demokratiske samfunn på grunn av måten de fungerer på.

Det amerikanske samfunnet har blitt skadet av sosiale nettverk som er designet for å tjene på å maksimere engasjement, og ingenting driver engasjement som forargelse. Det er denne forargelsen som river samfunnet fra hverandre.

Se bort fra brukernes personvern er derfor bare en del av problemet. Det er denne forstyrrelsessyklusen som blir matet av selve plattformen til sosiale medier som undergraver samfunnsnormer.

Som en fremtredende egenskap til en inntektsmodell som maksimerer engasjement, får du skandal og splittelse i kroppspolitikken.Prz Closeup Sm

Derfor liker jeg startsiden. De gjør noe for å dempe problemet ved å tilby en søkemotor der resultatene ikke er personlig tilpasset den enkelte. Slike personaliserte søkeresultater av den typen som returneres av Google er farlige fordi de lager ekkokammer som bare tjener til å forsterke folks feilinformasjon og fordommer.

Vi trenger også en erstatning for Facebook som er bygget til beste for folket snarere enn for bedriftsgevinst. Noe som gir fordelene ved sosiale nettverk uten de ødeleggende elementene i Facebook.

Kan jeg foreslå at publikasjonen din kjører en funksjon som ser på Openbook. Jeg har en venn som nettopp har begynt å utvikle seg for det. Det er bra å se gode mennesker som gjør noe positivt ved situasjonen, så jeg hjelper også på deltid. Sjekk det ut.

Hvilket anser du for å være den største trusselen mot vanlige Internett-brukeres personvern - masseovervåkning fra myndighetene av den typen som er utført av NSA og GCHQ, eller bedriftsovervåking av den typen utført av Facebook og Google?

Jeg tror det er viktig å forstå at de to er nært beslektede fordi overvåkningen som foretas av selskaper kan gjøres tilgjengelig for myndigheter.

Tror du masseovervåkingslandskapet har blitt bedre siden Edward Snowdens sjokkerende NSA-avsløringer tilbake i 2013?

Vel, kryptoprotokoller og kryptoprodukter har blitt bedre. Noen ting har blitt bedre, men noen ting har blitt verre. Tekniske selskapers glupske appetitt på kundedata for inntektsmodellene har gjort ting verre.

Som jeg sa tidligere satte disse inntektsmodellene som optimaliserer engasjement en kjede av årsak og virkning som fører til erosjon av liberale demokratier.

Hvis du var strandet på en øde øy, hva er det du vil mest om å bli vasket i land med deg?

antibiotika.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me