仍然有隱私幻覺的疑慮。
首先,在現行的非對稱加密的設計,私鑰的流出是絕對禁止的。
目前一般人難以搞定加密,有一部分是沒有完全理解這個設計理念。
也就是說,假如這個私鑰不小心出現在中毒的電腦或者是顯示在螢幕上被拍下來,
那麼這組公私鑰應該被視為無效。
再來是另一個大問題,miniLock看起來是有解決這個問題,也就是公鑰交換的問題。
我怎麼知道這個公鑰是對方的公鑰,而不是攻擊者的?
通常是用另外的管道進行公鑰交換,雖然說和對稱加密可能會把密碼貼在螢幕旁邊有類似
的問題,但是公鑰基本上只怕被謊稱,不擔心被竊聽。
※ 引述《ggg12345 (ggg)》之銘言:
: 看來, 幹了再說似乎是創業的快速辦法.
: 這是加密儲存資料的簡單做法. 但被 key server 賣了就難說, 要自備一台 key
: serer 才行.
: ============================================================================
: 發信人: Cnews (chinanews), 信區: ScitechNews
: 標 題: [KJPT]人人都能加密﹕超簡易加密程序將問世
: 發信站: BBS 未名空間站 (Thu Jul 3 21:35:11 2014, 美東)
: 編者按﹕7月4日消息﹐加密並不容易。美國國家安全局爆料者愛德華‧斯諾登(Edward
: Snowden)此前想與記者格倫‧格林沃爾德(Glenn Greenwald)通過加密電子郵件通信﹐
: 但後者在觀看了斯諾登制作的12分鐘教程視頻後﹐仍然搞不清如何使用著名的加密程序
: PGP。
: 納迪姆‧科貝西(Nadim Kobeissi)希望清除這種學習障礙。在本月晚些時候於紐約召
: 開的HOPE黑客大會上﹐他將公布一款名為miniLock的多用途文件加密程序的beta版﹔該
: 程序是一個免費、開源的瀏覽器插件﹐其設計目的是通過實際上無法破解的密碼保護讓
: 用戶在幾秒內加密和解密文件。
: 科貝西表示﹕“我們的口號是這是一款花小錢辦大事的文件加密程序。它非常簡單、容
: 易上手﹐使用的時候幾乎不可能會讓人感到迷惑。”
: 這位年僅23歲的程序員和安全顧問稱﹐他的程序還處於試驗階段﹐還不能用於安全度要
: 求較高的文件。他表示﹐自己的創造實際上可能是最簡單的加密軟件。WIRED雜志對該
: 軟件的谷歌Chrome瀏覽器插件早期版本進行了測試﹐能夠在數秒內將文件拖放到程序中
: ﹐將數據打亂﹐使得隻有接收者才能使其恢復原狀和進行閱讀。miniLock可以用於加密
: 從視頻郵件附件到儲存於U盤的照片等各種文件﹐或者加密文件以用於在Dropbox或
: Google Drive上進行安全保存。
: 和PGP一樣﹐miniLock提供所謂的“公開密鑰”加密。在公開密鑰加密系統裡﹐用戶有
: 兩組密鑰﹐一組是公開的﹐一組是私人的。他們可以與任何希望安全地向他們發送文件
: 的人士分享公開密鑰﹐任何由該密鑰加密的文件都隻能由私人密鑰解密。
: 科貝西版本的公開密鑰加密去除了所有復雜的過程。每一次miniLock啟動的時候﹐用戶
: 甚至不需要注冊或者登錄﹐隻需要輸入一段通行碼──不過miniLock要求該通行碼包括
: 最多30個字符或者多個符號及數字。輸入通行碼後﹐該程序將獲得一個公開密鑰﹐被稱
: 為miniLock ID﹐以及一個私人密鑰。但是用戶從不會看到私人密鑰而且在程序關閉的
: 時候﹐私人密鑰會被抹除。當用戶輸入同樣的通行碼後﹐將獲得相同的公開密鑰和私人
: 密鑰。這種做法意味著任何人都可以在任何計算機上使用該程序﹐並且無需擔心是否安
: 全地儲存或移動敏感的私人密鑰。
: “無需登錄﹐也不用管理私人密鑰。兩者都被取消了。這就是特別之處﹐”科貝西說。
: “在任何安裝miniLock的計算機上﹐用戶都可以使用自己的ID發送和接收文件﹐無需像
: 網絡服務那樣設立賬戶﹐也無需像PGP那樣管理密鑰。”
: 盡管具有如此多特色功能﹐miniLock或許不會在加密社區獲得熱烈歡迎。科貝西之前最
: 出名的作品是安全聊天程序Cryptocat﹐該程序與miniLock相同﹐將加密程序變得非常
: 簡單﹐讓即使5歲小孩也能使用。不過該程序也具有幾個嚴重的安全漏洞﹐使安全社區
: 很多人批評其為無用﹐或者(更糟糕的是)一個為用戶提供隱私幻覺的圈套。
: 不過科貝西指出﹐這些漏洞已經被修復。現在﹐該程序的下載量接近75萬次﹐並且在德
: 國安全公司PSW Group上個月公布的安全程序排名中﹐Cryptocat位列榜首。
: 約翰霍普金斯大學密碼學教授馬修‧格林(Matthew Green)表示﹐盡管Cryptocat推出
: 初期存在漏洞﹐但miniLock不應該被否定。他之前曾指出Cryptocat的漏洞﹐現在也已
: 經檢查過miniLock的設計參數。
: 格林對於minilock持謹慎樂觀的態度。“現在我還不會用它來加密國家安全局的文件﹐”
: 他說。“不過它具有漂亮和簡單的密碼設計﹐出錯的可能性並不是很大……這款軟件可
: 能還需要更多評測﹐不過有可能是非常安全的。”
: 科貝西稱﹐他也從 Cryptocat的失敗中吸取了教訓﹕miniLock一開始不會在Chrome Web
: Store發布。相反﹐他將在GitHub上公布該程序的代碼供評測﹐並且特別花心思去詳細
: 記錄該程序的運作原理。他表示﹕“minilock的開放行為是專門為了展示合理的編程做
: 法、慎重的密碼設計決定﹐並且使評估miniLock的潛在漏洞變得簡單。”
: 如果miniLock成為首款真的是傻子都能用的公開密鑰加密程序﹐復雜的加密世界將迎來
: 更多新用戶。約翰霍普金斯大學的格林表示﹕“PGP太麻煩了。這種能夠讓普通人加密
: 文件的能力是寶貴的……科貝西消除了復雜性﹐使我們隨心所欲地做想要做的事情。”