tiistai 2. kesäkuuta 2015

Facebookin tuki PGP:lle on iso periaatteellinen askel

Eilen 1.6. tuli kuluneeksi kaksi vuotta siitä, kun Guardianin toimittajat saapuivat Hongkongiin tapaamaan Edward Snowdenia. Sattumaa tai ei, Facebook kertoi uudesta ominaisuudesta, joka mahdollistaa PGP-salausavaimen käytön yhteisöpalvelussa.

Julkinen PGP-avain lisätään FB-profiilitietoihin.
Kahden vuoden ajan Microsoft, Google, Facebook ja muut jenkkipalvelut ovat kertoneet parantavansa tietosuojaa NSA-urkintaa vastaan. Toimet ovat olleet melko vaatimattomia, eikä tiedetä onko esimerkiksi Googlen https-käytöllä oikeasti merkitystä. Jos NSA edelleen pääsee Googlen sisäverkkoon tai suoraan palvelimille, tietoliikenteen salaamisesta ei ole paljon hyötyä. Tai on siitä hyötyä, mutta lähinnä muiden maiden tiedustelupalveluita ja paikallisia urkkijoita vastaan.

Niinpä Facebookin ilmoitus PGP:n tukemisesta on iso periaatteellinen askel. Jo 1990-luvun puolivälistä lähtien PGP on ollut sähköpostin salausstandardi. Avoimena ja julkisena sitä voidaan pitää yhtenä harvoista oikeasti turvallisista salausohjelmista.

Jostain syystä yksikään suuri nettipalvelu ei ole aiemmin tukenut PGP:tä. Mistähän syystä? Tarvitseeko edes arvata, miksei Microsoft tarjoa Outlookissa PGP-toimintoa?

Facebookin tuki PGP:lle on minimaalinen. Kun käyttäjä lisää palveluun oman julkisen avaimensa, hän saa Facebookin lähettämät ilmoitukset salattuina omaan sähköpostiinsa. Ei mikään iso juttu. Kaikki Facebookin sisällä tapahtuva viestintä on edelleen yhtiön urkittavissa. Vain Facebookista ulos lähtevät viestit ovat suojassa.

Mutta asiassa on toinen, isompikin juttu: PGP-käyttöä on tähän asti rajoittanut kattavan avainhakemiston puuttuminen. Jos kaikki lisäisivät avaimensa FB-profiiliin, vastaanottajan avaimen löytäminen helpottuisi huomattavasti. Lisäksi pitkään käytössä ollut ja monen ystävän vahvistama FB-profiili takaa henkilöllisyyden vähintään yhtä hyvin kuin PGP:n oma, kömpelö avainten allekirjoitustekniikka.

Jo se, että Facebook tunnustaa PGP:n olemassaolon (sekä tarpeen vahvalle salaukselle), on iso askel. Parhaassa tapauksessa Facebook laajentaa tukea muuhunkin käyttöön ja alkaa tarjota rajapintoja PGP-avainten käytölle muista sovelluksista käsin.

Kaikkein parasta olisi, jos PGP-tuki leviäisi Facebookin esimerkin innostamana muihinkin suuriin palveluihin. En tosin pidätä henkeäni sitä odottaessa. On epärealistista odottaa, että Gmail joskus sallisi salatun sähköpostiviestinnän. Yrityksen koko liiketoimintamalli perustuu viestinnän (vähintäänkin) tilastolliseen seurantaan, jonka toimiva salaus estäisi. 

2 kommenttia:

Jari kirjoitti...


-----BEGIN PGP MESSAGE-----
Version: BCPG C# v1.6.1.0
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=eR7L
-----END PGP MESSAGE-----

Anonyymi kirjoitti...

Kovin on vähään jäänyt PGP.

Cerniltä löytyy Protonmail joka pitäisi olla salattu. TED on puhuttu mutta aika vähän olen muuten kuullut.

Sattuuko joku tuntemaan paremmin?
Lieneekö mahdollisuuksia laajentua?

Website Security Test