Проект "Перспективы безопасности"

Конфиденциальность и защищенность - это цели любой защиты. На сегодняшний день мы ежедневно общаемся с доброй сотней сетевых сервисов с наших компьютеров, смартфонов, планшетов и других гаджетов - зачастую даже не подозревая об этом. Но - как и в любой битве - в битве за персональные и конфиденциальные данные слишком много игроков, большинство из которых невидимы даже искушенному взгляду. Мы добровольно передаем наши данные социальным сетям, бесплатным почтовым сервисам и даже браузерам и операционным системам. И это для нас стало давно уже нормой - в принципе, в этом нет ничего плохого, но.... "По дороге" от Вас к доверенному Вами сервису расположен целый пруд с пираньями, которые спят и видят у себя в базе как Ваши пароли и явки на данные сервисы, так и возможность действовать от Вашего имени, удалять не угодное им содержимое и добавлять нужное им. Парадокс заключается в том, что сами эти сервисы, увидев Ваши пароли и имя пользователя в запросе на действие ( удаление неугодного содержимого, добавление пропаганды, на редактирование уже опубликованного поста ) - собственно должны его выполнить, другим способом они Вас удостоверить и проверить, что это именно Вы, не могут. Не питайте иллюзий по поводу проверок почты, и - особенно - телефона. Операторы связи обязуются по законодательству внедрять средства слежки от спецслужб, и могут фильтровать Вашу корреспонденцию. Особенно это касается подтверждающих SMS. Автор данной статьи так и не получил за полгода подтверждающую смску от одного из сервисов мгновенного обмена сообщениями, хотя другие ее получали за секунды после отсылки с сайта. Но - это не единичный случай. Поэтому мы сейчас поговорим о таком виде краудсорсинга, как совместная безопасность. Суть атак "по середине" в том, что кто-то встает между Вами и конечной точкой, которой Вы доверяете, а затем подделывает для обоих сторон их цифровые подписи : то есть, например, для gmail.com он - это Вы, а для Вас он - gmail.com, хотя при этом вы напрямую не виделись ни разу! Как с этим побороться? Одним из пионеров был проект Convergence, но также заслуживает внимания и "Проект перспектив", о котором мы поговорим в этой статье. Принцип прост : распределенные как географически, так и организационно "цифровые нотариусы" получают запросы на контрольные суммы цифровых подписей, и - если они их видели - говорят их, если нет - добавляют в список. Если кто-то захочет подменить подписи "по дороге", то - при достаточном количестве нотариусов - это ему не удастся. Также безопасность обращения к нотариусу можно в значительной степени поднять, используя многослойную("луковичную") маршрутизацию Tor. Данный конкретный проект был основан и ведется в лаборатории компьютерных наук университета Карнеги-Меллона, студентом докторантуры Дэном Вэндландтом совместно с профессорами Дэйвом Эндерснонм и Эдрианом Перригом. Он продолжается и по сей день, все его исходные коды открыты, так что то, что там нет никаких закладок, Вы можете проверить сами. Для простого пользователя необходимо и достаточно установить расширение для браузера Firefox, и внести в него в дополнение к уже известным дополнительные адреса и публичные ключи нотариусов. Можете внести и наш ключ - мы вносим свою лепту в зещиту персональных данных, прав и свобод человека в сети :


crowdcourse.net:8080
-----BEGIN PUBLIC KEY-----
MIHKMA0GCSqGSIb3DQEBAQUAA4G4ADCBtAKBrAGG5qAoxnLOsoHGG3zJs+W5Yn3+
AOMUzxhZqZsGbIxL46lw1wfgXJQ9MUbdzRjZjpd5TBInbNJbqQiQ0axD01MEgIgf
rCiG+ok7P85iKHdY2vHOnQ12AHDFODGJ/dICSVmLnaCsuoeG66pbNWs9JKTge32I
TJ3dULqzc04hO71j+QVZ3fpkuW49/xXzqz7iPvcGTIosc4S68pffd9dqACXw0KxW
DeYQnjW744sCAwEAAQ==
-----END PUBLIC KEY-----



Их официальный сайт находится по адресу http://perspectives-project.org/ - там Вы найдете более подробное описание проекта. Если Вы хотите тоже поучаствовать в нем, то пишите в комментариях к данной статье, мы можем выложить более подробные описания и инструкции.

В настоящий момент ( 12 мая 2015 года ) дополнение не поддерживало русский язык. Нами была сделана локализация(перевод) на русский, код ответвления на GitHub https://github.com/netsafe/Perspectives, также мы направили авторам уведомление, чтобы они включили перевод в дистрибутив. Пока что мы включили адрес нашего нотариуса в список по умолчанию и сделали свою сборку, Вы можете получить ее по адресу http://crowdcourse.net/sites/crowdcourse.net/files/Perspectives.xpi на нашем сайте. Мы будем обновлять ее до тех пор, пока наши изменения не включат в основной дистрибутив.

Русский