Špehovací kauza kolem NSA a Edwarda Snowdena měla i ten efekt, že si nebezpečí úniku citlivých dat začali uvědomovat i řadoví uživatelé. Ano, někteří sice stále vesele ukládají soukromé dokumenty na Ulož.to bez jakékoliv ochrany. Ale je tu i skupina, která už ví, že freemail není neprostupný trezor na uchovávání dat. Právě na ty se zaměřuje nástroj miniLock, který si v článku představíme.
Prvně bychom si měli ujasnit, co miniLock je a co není. MiniLock není určen pro hromadné šifrování lokálních dat. To už je dnes poměrně jednoduchá záležitost, zvládne ji například známý program TrueCrypt. MiniLock slouží primárně k ochraně dat při přenosu mezi uživateli. Posílající soubor zašifruje a veřejným klíčem specifikuje, kdo ho bude moci rozšifrovat. A to je v podstatě jediná úloha nástroje. Jak druhému uživateli zpřístupníte zašifrovaný soubor, už je na vás. Můžete ho poslat e-mailem, vložit na některé úložiště atd. Pokud někdo takto zašifrovaný soubor přece jen ukořistí, bude mu k ničemu.
V bezpečí webového prohlížeče
MiniLock je distribuován jako rozšíření, resp. aplikace, pro prohlížeč Chrome. Ten však aplikace dobře integruje do řady desktopových prostředí, takže Chrome jako takový při užívání aplikace vůbec nevidíte. Proč byl pro běh aplikace vybrán právě webový prohlížeč? Vzhledem k tomu, že uživatelé tráví čím dál více času v prostředí prohlížeče, je kladen čím dál větší důraz na jejich bezpečnost. Z webových prohlížečů se tak pomalu stává (s nadsázkou řečeno) operační systém v operačním systému. Pro Chrome to platí dvojnásob, však je kolem něj postaven celý operační systém (Chrome OS).
Integrace aplikace v Unity (Ubuntu)
„Myslím si, že Chrome je jedním z nejbezpečnějších ekosystémů, které máme k dispozici,“ říká Nadim Kobeissi, třiadvacetiletý autor nástroje. Kobeissi pro svět bezpečnosti není neznámé jméno, v minulosti se blýskl například šifrovaným komunikátorem Cryptocat. Další výhodou Chromu je bezesporu fakt, že běží ve všech důležitých operačních systémech. Zvykejme si, že i klasicky desktopové aplikace se častěji budou objevovat jako aplikace pro webový prohlížeč.
Prověřený zdrojový kód
Zdrojové kódy miniLocku jsou samozřejmě k dispozici, jako tradičně na GitHubu. Ještě důležitější však je, že prošly bezpečnostním auditem. Za podpory Open Technology Fund jej v červeni provedla skupina Cure53. MiniLock obstál, našlo se jen pár drobných nedostatků, které nebyly bezpečnostního rázu. „Kód je jasný a čistý, dobře strukturovaný, minimalistický a neobsahuje zneužitelné mezery,“ píše se mimo jiné ve třináctistránkové zprávě (PDF).
Kryptografickou stránku miniLocku zde nebudeme dlouze rozebírat, podrobnosti jsou velmi dobře popsány v samotném readme. Použito je asymetrické šifrování pomocí eliptických křivek, konkrétně oblíbená varianta Curve25519. Její výhodou je zejména fakt, že při zachování síly šifrování dokáže derivovat poměrně krátký veřejný klíč. Ten má v případě miniLocku pouze 46 znaků, takže lze mnohem snadněji šířit než klasické klíče čítající tisíce znaků. Jak sám autor s oblibou zdůrazňuje, klidně ho můžete i tweetnout.
Průvodce použitím
Vytvoření identity
Při každém spuštění miniLocku budete vyzváni k vytvoření identity, resp. miniLock ID. To je odvozeno ze zadané kombinace e-mailové adresy a hesla (musí být velmi silné, jinak vás program dál nepustí). Oboje je třeba si pamatovat, případně nějak zaznamenat, neboť z této kombinace je odvozen soukromý i veřejný klíč. Pokud tyto údaje znáte, můžete svůj miniLock zprovoznit na neomezeném množství počítačů. Soukromý klíč z bezpečnostních důvodů není nikde ukládán, právě proto je nutné údaje zadávat při každém spuštění nástroje.
Poté získáte tzv. miniLock ID, což není nic jiného než veřejný klíč. Tento 46znakový alfanumerický řetězec musí znát ten, kdo pro vás chce zašifrovat soubor. Jak už z názvu vyplývá, veřejný klíč není nic tajného. Klidně ho můžete vyvěsit na web, načmárat na fasádu apod. Na bezpečnost dat to nebude mít žádný vliv.
Zašifrování souboru
Po vybrání souboru k zašifrování se vám zobrazí nabídka, ve které můžete specifikovat, kdo bude mít možnost soubor rozšifrovat. Tyto osoby určíte právě zadáním jejich miniLock ID. Vždy je předvyplněno i vaše vlastní miniLock ID. Mějte na vědomí, že pokud ho ze seznamu smažete, nebudete moci soubor rozšifrovat, přestože jste jej sami zašifrovali.
Poté přijde na řadu samotné šifrování. To, jak dlouho bude trvat, pochopitelně závisí na velikosti souboru. Není však o moc pomalejší než běžné kopírování. Kliknutím na název zašifrovaný soubor uložíte s příponou minilock. Takto zašifrovaný soubor můžete někde archivovat pro vlastní použití, případně ho někomu poslat. To už je na vás. Také počítejte s tím, že soubor již nemůžete nijak upravit či přenastavit. Pokud například budete chtít přidat dalšího příjemce prostřednictvím miniLock ID, musíte původní soubor zkrátka zašifrovat znovu.
Rozšifrování souboru
Soubor pro rozšifrování se vybere naprosto stejným způsobem jako soubor pro zašifrování. Nástroj už podle přípony minilock pozná, že tentokrát chcete soubor rozšifrovat. Díky soukromému klíči, který se vypočítá z příslušné kombinace vámi vložených údajů, bude umožněno rozšifrování souboru. Samozřejmě jen pokud byl adresován vašemu miniLock ID.
Poznámka: Pokud patříte mezi ty běžné uživatele a některé pasáže textu vám přijdou složité, nevěšte hlavu. Používání nástroje je jednodušší, než se podle popisu může zdát. Nejprve si vyzkoušejte miniLock nanečisto a uvidíte.
Takové to domácí šifrování
MiniLock je ideální nástroj pro občasné šifrování menšího množství dat, a to zejména pro účely přenosu. S trochou cviku ho ovládne každý i bez toho aby tušil, jak to v nitru funguje. Bohužel však není k dispozici mobilní verze a zdá se, že ani není v plánu. Možná to ale nebude tak dlouho trvat a aplikace začne podporovat i mobilní Chrome. Autor zvažuje přidání malého adresáře, který by práci ještě urychlil. S ním už by ale nástroj nebyl absolutně přenosný.
Dále uživatelé hlásí selhání programu při šifrování velkých souborů (nad 1 GB). Podle všeho se však jedná o chybu Chromu, která už ve vývojové verzi prohlížeče byla opravena. Jinak miniLocku není co vytknout, zvlášť když prošel i bezpečnostním auditem. Příjemné používání!
