IT Security Enthusiast's Blog

IT & Computer Security Blog but NOT only…

Szyfrowanie PGP/GPG – nie tylko dla biznesu

encryption

Czym tak właściwie jest PGP i do czego służy?
PGP, czyli Całkiem Niezła Prywatność (ang. Pretty Good Privacy), to narzędzie opracowane w 1991 roku przez Philipa Zimmermana, specjalisty od spraw kryptografii.

GPG – GNU Strażnik Prywatności (ang. GNU Privacy Guard), bezpłatne oprogramowanie, odpowiednik komercyjnego PGP.

Głownym i najbardziej popularnym zastosowaniem PGP jest szyfrowanie poczty elektronicznej, przesyłanej przez kanały nie dające gwarancji poufności i integralności danych. Jednakże PGP pozwala nie tylko szyfrować wiadomości E-mail, ale również za jego pomocą możemy podpisywać wiadomości w celu potwierdzenia naszej autentyczności przez odbiorcę. Mechanizm ten gwarantuje jednocześnie możliwość zweryfikowania nadawcy oraz integralności przesłanej wiadomości – by mieć pewność, że wiadomość została faktycznie napisana przez osobę od której ją otrzymaliśmy oraz aby być pewnym, że w drodze do nas nie została zmodyfikowana przez osoby trzecie.

W takiej sytuacji przy próbie weryfikacji podpisu, zostaniemy poinformowani o tym, że w otrzymanym przez nas dokumencie, ktoś dokonał zmian ergo wiadomość nie jest oryginalna czyt. jest niewiarygodna.Przykład weryfikacji sygnatury dokumentu o zmienionej treści

No tak ale czy przypadkiem całe to szyfrowanie nie jest domeną szpiegów oraz wygląda na niemała paranoję? Mogłbyś również zapytać mnie czemu w ogóle warto i dlaczego miałbyś korzystać z szyfrowania? W jakim celu? Przecież nie robię nic złego/nielegalnego wiec co miałbym ukrywać?

Zamiast tych pytań postaw sobie tego typu pytanie:

“Czy musisz robić coś złego aby ucierpieć z powodu tego, że uwaga kogoś innego została skierowana właśnie na Ciebie?”

Jest całe mnóstwo różnych sytuacji, które są w stanie zaszkodzić Tobie i/lub Twoim bliskim, jeśli wrażliwa informacja, którą przekazałeś jednej osobie, została przechwycona i przeczytana przez osoby trzecie. Kilka przykładów:

  • Informacje dot. kart kredytowych – np. zakup produktów lub usług drogą email. Czy naprawdę chcesz, aby właściciel jakiegokolwiek komputera, znajdującego się na elektronicznej drodze komunikacji pomiędzy Tobą a odbiorcą, znał numer Twojej karty kredytowej?
  • Plany biznesowe. Europejska fima z branży przemysłu lotniczego “Airbus”, utraciła duże kontrakty z powodu przechwycenia elektronicznej komunikacji przez rząd Stanów Zjednoczonych w ramach projektu globalnej sieci zbierania informacji o nazwie Echelon – stawki I kwoty dotyczące umów firmy Airbus zostały przekazane konkurentowi – firmie Boeing.
  • Aspekty polityczne. Jak byś się czuł, będąc członkiem rządzu – gdyby partia przeciwna poznała Twoje strategie i plany? Podobna sytuacja miała miejsce w aferze Watergate. Richard Nixon, ówczesny prezydent Stanów Zjednoczonych, zatrudnił grupę specjalistów, którzy włamali się do biur Demokratycznego Komitetu Narodowego w Washington, w celu instalacji podsłuchów w telefonach. Zostali złapani przez ochronę, ale wyobraź sobie, że mogli by to zrobić zdalnie, bez wchodzenia do budynku. W dzisiejszych czasach znacząca ilość informacji przesyłana jest drogą elektroniczną I tego typu działanie w sytuacji, gdy treść komunikacji pozostaje niezaszyfrowana – jest bardzo realne.
  • Komunikacja w miejscu pracy. Coraz więcej firm stosuje monitoring wiadomości email wysyłanych przez pracowników, zdarzają się sytuacje zwolnień z powodu wyrażania drogą elektroniczą, osobistych opinii pracowników na temat pracodawcy. Wiadomości takie są przechwytywane, zapisywane I przekazywane kadrze zarządzającej. Podobnie wygląda sprawa z przypadkowym wysyłaniem poufnej wiadomości na grupę dyskusyjną firmy, bądź przy użyciu list mailingowych, gdzie jej odbiorcami stają się wszystkie osoby przypisane do danej listy. W ten sposób dochodzi do niekontrolowanego wycieku informacji, np. do konkurencji.
  • Pobieranie oprogramowania z Internetu. Również tutaj zastosowanie mają podpisy cyfrowe, które pozwalają zweryfikować czy program który chcemy pobrać jest faktycznie tym za który się podaje. Atakujący po włamaniu się na serwer firmy, podmienia pliki wykonywalne, na takie które mają taką samą nazwę, lecz różnią się zawartością I działaniem – ryzykujemy wtedy od trafienia na zupełnie inny program niż oczekiwaliśmy, poprzez poważną infekcję atakującą nasze dane lub zasoby systemowe, aż po działający po cichu w tle program typu trojan lub key/screenlogger, który przechwytuje to co piszemy I wysyła na zewnętrzny serwer.

Jedna z kilku lokalizacji sieci radarowej Echelon

Ale to nie koniec listy. Czy kiedykolwiek drogi czytelniku napisałeś jakiś bardzo osobisty list do znajomej Ci osoby I wysłałeś go drogą elektroniczną? Czy list ten zawierał jakieś ośmieszające Cię fakty lub najzywczajniej podałeś w nim dane teleadresowe, których nie chciałbyś pod żadnym pozorem ujawniać osobom trzecim? Czy naprawdę jest sens wystawiać wrażliwe dane na ryzyko przechwycenia I wykorzystania ich przeciwko Tobie w dowolny sposób w zależności od tego kim jest osoba która dokonuje ataku?

Nie tak dawno zaatakowany został pośrednik w płatnościach BTC, atakujący uzyskali dostęp do poczty zgromadzonej na serwerze. Na szczęście prawie wszystkie konta na licznych giełdach BTC były zabezpieczone za pomocą dwuskładniowego uwierzytelniania, co znacząco ograniczyło straty serwisu. Dzięki przechwyceniu poczty elektronicznej serwisu atakującemu udało się ukraść 333 BTC z konta na giełdzie VirWox. Jak twierdzą właściciele, nie została również ujawniona treść ich korespondencji, ponieważ korzystają z szyfrowania PGP.

Kiedy wysyłasz wiadomość email, może ona być z łatwością odczytana:

  • praktycznie przez każdego, kto pracuje dla Twojego dostawcy Internetu (ISP),
  • praktycznie przez każdego, kto pracuje dla dostawcy Internetu Twojego odbiorcy,
  • przez każdego, kto zarządza sprzętem (lub tylko prowadzi nasłuch Twojej sieci) do obsługi sieci, jeśli tylko Twoje pakiety danych przejdą przez jego urządzenia,
  • przez każdego z fizycznym dostępem do Twojej skrzynki pocztowej bądź komputera.

Kiedy otrzymujesz wiadomosc email z adresu, który należy do osoby, którą dobrze znasz – jaką masz pewność, że jej prawdziwym nadawcą jest właśnie ta osoba? Jak zweryfikujesz, że osoba A z którą korespondujesz na prywatne lub służbowe tematy jest faktycznie osobą A?

Rozwiązanie jest proste – szyfrowanie I sygnowanie z wykorzystaniem możliwości jakie daje PGP.

puis_0605Dzięki PGP otrzymujemy narzędzie do szyfrowania różnego rodzaju danych I informacji przechowywanych w formie elektronicznej tj. plików, archiwów, partycji z danymi, a nawet całych dysków.

Naturalnie można skorzystać np. z pliku, który skompresujemy, następnie zaszyfrujemy przy pomocy symetrycznego klucza I wyślemy, ale… No własnie, aby adresat takiej wiadomości miał z niej pożytek, musimy dostarczyć mu bezpiecznym kanałem hasło do tego pliku. W innym przypadku nie będzie w stanie go otworzyć. To właśnie szczególnie istotny z punktu widzenia użytkownika poczty elektronicznej fakt, że techniki szyfrowania oparte o metodę klucza publicznego (tak jak w przypadku PGP) nie wymagają wcześniejszego przekazania klucza kanałem bezpiecznym. Dzięki temu, używając PGP, mogą ze sobą korespondować osoby, dla których poczta elektroniczna jest np. jedyną formą kontaktu.

Linki:
http://www.pgpi.org/
http://www.gnupg.org/
http://www.gpg4win.org/
http://www.symantec.com/products-solutions/families/?fid=encryption


Piotr Pawelec (Creer)

Written by Creer

8 kwietnia, 2013 @ 18:33

Napisane w Artykuły, Computers and Internet

Tagged with , , , , , , , , , , , ,

«