Фонд Electronic Frontier поставил перед собой цель шифрования всего сетевого трафика. Как он хочет это сделать?
Шифрование является одной из лучших технологий для защиты от хакеров, мошенников и шпионажа со стороны властей. Интернет находится в фазе универсального перехода от менее безопасного протокола HTTP к HTTPS, который обеспечивает зашифрованную связь между браузером и веб-сайтом. Несколько организаций делают все возможное, чтобы усилить интернет-шифрование. Они работают под управлением Electronic Frontier Foundation (EFF). Технический директор EFF Джереми Джилла говорит: «Десять лет назад в сети не было шифрования».
Шифрование от слежки
26 января 2006 года Марк Кляйн, инженер телекоммуникационной компании AT & T, присоединился к EFF. Он сообщил фонду, что АНБ создало секретную комнату в одной из штаб-квартир AT & T для захвата сетевого трафика, проходящего через компанию. Это позволило собирать данные в форме текста, то есть содержимое электронных писем и сообщений, отправляемых через мессенджеры, и доставлять их в Агентство. Эта информация побудила EFF наладить сотрудничество с создателями Tor Browser, и в 2011 году был запущен проект HTTPS Everywhere, направленный на предоставление пользователям браузера, который сам шифрует сетевой трафик. Когда проект начался, только 1000 веб-сайтов использовали HTTPS, зашифрованную версию протокола HTTP, для аутентификации сайтов и защиты конфиденциальности и целостности передаваемых данных. Но к августу 2018 года его уже использовали более 50% веб-сайтов, составляющих миллион самых популярных сайтов согласно рейтингу Alexa.
Задачей EFF было создать лучшее шифрование, чем когда-либо прежде. Мотивация была получена в 2013 году Эдвардом Сноуденом, который объявил, что АНБ видит все, что пользователи делают онлайн. Как вспоминает Джилла: «Мы работали с компаниями, чтобы определить, как зашифровать и создать, основываясь на наилучших результатах, метод сравнительного анализа для сбалансированной системы показателей, которая обеспечит хорошее шифрование». Некоторые из них достигли очень хороших результатов с помощью своих методов и стали основой для дальнейших действий». Но, несмотря на все усилия, «длинные хвосты» страниц сайта не были должным образом зашифрованы. TLS не везде был доступен, и в 2015 году даже Google ссылался на незашифрованные сайты. Многие владельцы веб-сайтов не внедрили TLS из-за технических проблем и сложности этой операции, особенно для небольших компаний, у которых не было ресурсов для оплаты работы экспертов и выполнения соответствующих сертификатов.
Поэтому EFF в сотрудничестве с Mozilla и Мичиганским университетом создали бесплатный сертификат Let's Encrypt. Он был нацелен на устранение затрат, связанных с переходом на HTTPS, и облегчение доступа к протоколу на существующих сайтах.
Три новые технологии шифрования
Джилла с удовлетворением вспоминает: «Тогда мы сомневались, и мы не были полностью удовлетворены, мы хотели перейти с отдельных сайтов на весь Интернет». С этой целью EFF сосредоточился на разработке трех новых методов шифрования.
Первый - идентификация имени сервера (SNI). Это расширение TLS позволяет нескольким зашифрованным сайтам работать на одном сервере через один IP-адрес, на котором может быть установлено несколько SSL-сертификатов. Шифрование SNI позволяет владельцу сайта создать зашифрованный ключ для клиента пользователя и сервера, что делает невозможным определение того, к какому сайту пользователь хочет подключиться. Но даже с зашифрованным SNI хакер может видеть незашифрованное доменное имя в DNS. Так что тогда надо делать? Конечно, шифровать DNS. Для этой цели используются два решения: DNS через HTTPS (DoH) и DNS через TLS (DoT). DNS over HTTPS - это протокол, который создает удаленный DNS через HTTPS. DNS поверх TLS - это метод шифрования, который защищает конфиденциальность передаваемых запросов и ответов от DNS через протокол TLS. Однако отслеживать DoH практически невозможно - как отмечает Джилла - его можно использовать для одновременной защиты от вредоносных действий. DoT наоборот - администратору легче обнаруживать вредоносную активность, но пользователь с большей вероятностью будет опознан.
Зашифрованные SNI и DNS значительно повышают безопасность веб-сайтов, но как насчет не всегда защищенных электронных писем? Решение здесь - STARTTLS. Устанавливает шифрование TLS в сетевом соединении. Это обеспечивает конфиденциальность данных (защита от возможности чтения данных третьими лицами) и защиту целостности данных (защита данных от их изменения). Но STARTTLS уязвим для атак с пониженным рейтингом, и легко обнаружимы заголовки электронной почты. Большинство агентов пересылки почты не проверяют сертификаты. Вот почему злоумышленник, атакующий человека, может подписать свой собственный сертификат, который сообщает серверу: «Я - Google, и у вас есть зашифрованное соединение со мной», - объясняет Джилла. - «Это не просто теория. В некоторых странах уровень раскрытия заголовков STARTTLS является гигантским, например, в Тунисе он составляет 96%».
Решение - SMTP MTA-STS (агент передачи почты Strict Transport Security) - требует аутентификации по текущему общедоступному сертификату и имеет свое собственное шифрование. Внедрение этого нового протокола требует многих действий, включая обеспечение того, чтобы почтовые серверы поддерживали его, и использование certbots, что обеспечит получение сервером сертификатов и в то же время облегчит жизнь администраторам. EFF начал еще одну акцию - «STARTTLS - Везде».
Еще одно шифрование на подходе
Как EFF хочет достичь следующих уровней шифрования? Джилла объясняет: «Мы стремимся создать еще одну систему показателей, обновить наши инструменты шифрования, которые мы используем сегодня, и поделиться ими со всем миром». Новая система показателей должна появиться в конце февраля и быть готова в этом году. Она будет содержать зашифрованные SNI, DNS и MTA-STS, но они будут только его частью. «Существуют и другие технологии, которые будут содержать, например, TLS 1.3 и HSTS. Но я отмечаю, что мы еще не установили окончательные критерии, и поэтому в конечном итоге их может и не быть, и они также могут появиться».
План EFF для шифрования всего сетевого трафика очень амбициозен, но он создает серьезные технические проблемы. Им занимаются восемь производителей технологических решений, которые тесно сотрудничают с фондом. Пока неизвестно, когда мы увидим результаты их работы.