V roce 1993 byl kvůli volnému zveřejnění svého šifrovacího programu PGP (Pretty Good Privacy) obviněn z nelegálního vývozu zakázaných zbraní (pokročilé technologie šifrování patřily na seznam vojenských technologií, jejichž vývoz mimo USA je zakázán), tři roky vyšetřován FBI a nakonec osvobozen.
Na počátku letošního roku oznámil nový projekt zvaný Zfone, který chrání uživatele VoIP před odposloucháváním. Phil Zimmermann se zúčastnil letošní bezpečnostní konference IDC IT Security Roadshow 2006, kde obdržel cenu Big Brother Awards. Při této příležitosti jsme s ním měli možnost hovořit.
n Co je vlastně Zfone?
Zfone je bezpečný způsob šifrování VoIP hovorů. VoIP je stále populárnější a v budoucnu nahradí běžné telefonování po pevné lince, takže je třeba, aby se uživatelé mohli ochránit před odposloucháváním svých hovorů na internetu. Všemožné formy internetové kriminality, jak je známe dnes, se časem obrátí i na VoIP komunikaci. Cílem mohou být firemní hovory obsahující důležité obchodní informace, stejně jako soukromé hovory. Je tedy třeba nějak tento způsob komunikace zabezpečit.
n Jak Zfone pracuje?
Kryptografický protokol je přenášen po
médiu, tedy v tomto případě hlasem. Uživatel jednoduše spustí VoIP hovor a během něj se přenesou potřebné klíče. Poté se objeví krátká autentizační zpráva, kterou přečtete nahlas a zkontrolujete proti zprávě druhé osoby. Pokud kontrola proběhne, můžete si být jisti, že vás nikdo třetí neodposlouchává. Klíče jsou vytvořeny na počátku hovoru a na jeho konci jsou zničeny, takže není potřeba žádná infrastruktura veřejných klíčů a nehrozí, že by váš klíč někdo mohl odhalit a zneužít později, protože po skončení hovoru přestane existovat. Je to vlastně trochu složitější, protože klíč sice zmizí, ale předtím jej tato metoda rozseká na kousky a uloží v cache, takže při dalším hovoru je klíč obnoven, což zajišťuje jeho kontinuitu.
n Jak to ale vypadá v praxi?
Uživatelé se vlastně nemusí o šifrování vůbec starat, pracuje samostatně. Pracovalo by i v případě, že se vykašlou na vzájemnou autentizaci, ale pokud ji chtějí provést, stačí, když přečtou pár znaků a čísel, které se jim objeví. Pokud se tyto řady shodují, je komunikace čistá a nikdo neodposlouchává. Výhodou je, že když si je navzájem přečtou, budou se cítit bezpečněji. Může dokonce nastat situace, kdy si budete chtít být úplně jistí, že určitý hovor nikdo neodposlouchává, a tak tyto znaky přečtete.
Nejen, že si můžete být jistí, že tato komunikace je bezpečná, ale zároveň se přesvědčíte, že i všechny předchozí hovory byly zabezpečeny. Pokud však znaky nebudou odpovídat, zjistíte, že vás pravděpodobně odposlouchávali od začátku, takže je lepší to učinit vždy.
n Co ale v případě, že vás bude chtít odposlouchávat policie?
Oficiální odposlechy většinou probíhají na úrovni telefonních operátorů. V případě VoIP to může být na úrovni ISP. V tomto případě je možné, že váš ISP předá data někomu jinému, ale tato data budou stejně šifrovaná. S VoIP je to tak, že lze učinit hovor přímo formou peer-to-peer, takže v tomto případě nebude zřejmě ani ISP schopen někomu předat zašifrovaná data. V každém případě bude hovor šifrován a nedostane se k nepovolaným uším.
n Lze Zfone použít přes Skype?
Při tvorbě Zfone jsem dodržoval průmyslové standardy, ale Skype používá proprietární protokol, který nezveřejňuje - takže bohužel ne.
n Na jakých platformách lze Zfone používat?
Na mých stráneách (www.philzimmermann.com) si můžete stáhnout betaverze Zfone pro Linux a MacOS X. Verze pro Windows je dostupná od přelomu května a června.
n Angažujete se v ochraně soukromí. Píšete šifrovací programy a chráníte uživatele VoIP před odposlechem. Proč to všechno děláte?
Myslím, že vláda Spojených států nepřiměřeně zneužívá situace, která nastala po 11. září, k zesílení kontroly obyvatelstva a posílení vlivu bezpečnostních orgánů. I tak jsem však s uvedením Zfone váhal. Rozhodl jsem se jej zveřejnit poté, co jsem na vlastní uši slyšel autora Patriot Actu, jak si libuje, že se mu díky teroristickým útokům podařilo tento zákon prosadit. Přitom z mnoha bodů, které tento zákon obsahuje, se jich jen několik přímo vztahuje k terorismu, většina je zaměřena na posílení možností státu při sledování a kontrole vlastních občanů.