導(dǎo)讀:開源Pretty Easy Privacy項(xiàng)目是一個(gè)用戶界面,可幫助用戶保護(hù)通信渠道的隱私。專家Michael Cobb在這篇文章中概述了其工作原理。
一個(gè)可用于在線通信的新開源加密工具“Pretty Easy Privacy”(簡稱“pEp”)推出了。大家會(huì)提出疑問:它是如何工作的?企業(yè)都可以使用這個(gè)嗎?它和其它同類加密工具比較有什么區(qū)別呢?
為了響應(yīng)群眾監(jiān)督的關(guān)注,業(yè)內(nèi)已經(jīng)推出了一些開源項(xiàng)目來幫助更好地保護(hù)網(wǎng)上通信的隱私。然而,安全工具最大的問題就是其易用性弱,強(qiáng)大的安全協(xié)議和技術(shù)使其實(shí)用性較差。例如,一般用戶并不想了解為發(fā)送加密電子郵件而使用的密鑰管理方法。同樣,人們想要繼續(xù)使用他們喜歡的應(yīng)用程序,但并不想讓所有的朋友和同事來安裝一個(gè)插件甚至另一個(gè)應(yīng)用程序來進(jìn)行安全通信。
Pretty Easy Privacy(pEp)是一個(gè)開源項(xiàng)目,希望能夠更簡單地讓人們知道他們的文本通信渠道是如何保護(hù)的,以及讓他們擁有更安全的通信而只需具備極少相關(guān)知識(shí)。pEp不是一個(gè)標(biāo)準(zhǔn),而是一個(gè)用戶界面,是微軟Outlook電子郵件客戶端的插件,目前幾個(gè)大公司正在試用中。
在安裝時(shí),pEp為用戶自動(dòng)生成加密密鑰,或者從一個(gè)本地加密軟體(PGP)客戶端導(dǎo)入密鑰。即使收件人不使用pEp插件,但是安裝了另一個(gè)加密軟體(PGP)或郵件安全協(xié)議(S/MIME)客戶端,pEp也可以加密通信。對(duì)于電子郵件聯(lián)系人,該插件使用顏色編碼信任指標(biāo)。有趣的是,“黃色級(jí)別”表示加密在技術(shù)上是安全的,需要至少2048比特的RSA密鑰,不依賴于一個(gè)公共證書授權(quán);這是因?yàn)镃A證書可能被黑客入侵。事實(shí)上,pEp希望避免任意形式上繼承集中式基礎(chǔ)設(shè)施的脆弱性,比如服務(wù)器和程序目錄,并使用對(duì)等網(wǎng)絡(luò)技術(shù)進(jìn)行匿名傳輸。最高級(jí)別的安全顏色是綠色,需要雙方用戶通過電話交換pEp生成的安全詞,以確認(rèn)沒有人執(zhí)行了中間人攻擊來窺視會(huì)話。
成功的眾籌活動(dòng)表明很多人認(rèn)為Pretty Easy Privacy是一個(gè)不錯(cuò)的主意。該計(jì)劃是為電子郵件平臺(tái)創(chuàng)建插件,來提供一個(gè)應(yīng)用程序接口(API),如此用戶仍然可以使用自己喜歡的應(yīng)用程序,只是具備了更高安全性。對(duì)于像iOS和Android這樣的移動(dòng)平臺(tái)來說,插件是不可行的。所以pEp正計(jì)劃為這些移動(dòng)平臺(tái)建立app,從移動(dòng)設(shè)備上的其他通信app(如WhatsApp, Facebook, Twitter)中獲取并集中信息。
Pretty Easy Privacy利用了已建立的開放式標(biāo)準(zhǔn),包括GnuPG和NetPGP,來提供終端到終端、元數(shù)據(jù)級(jí)別的對(duì)等式網(wǎng)絡(luò)通信。每次項(xiàng)目發(fā)布前,聘請(qǐng)的分析師會(huì)將代碼審查的結(jié)果公布。因?yàn)樵擁?xiàng)目是開源的,所以任何人都可以查看代碼。雖然大多數(shù)pEp軟件將是免費(fèi)的,而且基于GNU General Public License版本3發(fā)布,但是團(tuán)隊(duì)也會(huì)基于商業(yè)基礎(chǔ)開發(fā)售賣的商業(yè)產(chǎn)品。pEp的目標(biāo)是讓安全工具更簡單,所以對(duì)于那些想讓員工進(jìn)行安全通信的企業(yè)來說,應(yīng)該很值得研究。