Ochrona prywatności i bezpieczeństwa online
Protokoły kryptograficzne są podstawą naszej aktywności online, chroniąc prywatność i bezpieczeństwo komunikacji, transakcji finansowych i aktywności obywatelskich, takich jak głosowanie. Jednak wielu użytkowników łączy się z siecią za pomocą urządzeń, które są niedostatecznie zabezpieczone lub których zabezpieczenia zostały naruszone, co utrudnia utrzymanie odpowiedniego poziomu ochrony. Finansowany przez Europejską Radę ds. Badań Naukowych projekt SPOOC miał na celu opracowanie ram teoretycznych i praktycznych narzędzi umożliwiających weryfikację bezpieczeństwa i prywatności wymiany danych w internecie, nawet w przypadku niezaufanych platform. „Naszym celem jest zabezpieczenie każdego rodzaju komunikacji cyfrowej – czy to w internecie czy w sieci komórkowej”, wyjaśnia Steve Kremer, koordynator projektu i badacz z francuskiego Narodowego Instytutu Badań nad Informatyką i Automatyką. „Chcemy zagwarantować poufność i zapewnić, że każdy korzystający z internetu będzie łączyć się z właściwymi witrynami i faktycznie komunikować się z osobami, z którymi chce się porozumiewać”.
Wybory w Szwajcarii
Według Kremera kluczem do kontroli prywatności i bezpieczeństwa komunikacji online jest koncepcja „równoważności programów”. Opisuje ona własność, dzięki której dwa programy wydają się działać w ten sam sposób z punktu widzenia zewnętrznego obserwatora. Na bazie tej koncepcji Kremer założył, że by komunikacja online mogła być poufna i anonimowa, przesyłane komunikaty muszą być w podobny sposób nierozróżnialne. „Jeśli przechwycimy dwa komunikaty, nie powinniśmy być w stanie stwierdzić, czy pochodzą z jednego czy z dwóch różnych telefonów”, dodaje. Głównym celem projektu SPOOC było opracowanie oprogramowania, które umożliwi analizę dwóch programów, a następnie ocenę, czy są one równoważne. Wyniki tych prac wdrożono w Szwajcarii w związku z przeprowadzanymi online wyborami, w czasie których operatorzy byli zobowiązani udowodnić bezpieczeństwo używanego systemu. Projekt SPOOC skupił się także na projektowaniu narzędzi, które mogłyby zapewnić bezpieczeństwo, prywatność i transparentność protokołów obsługujących głosowanie online. „Nadal istnieje wiele nie do końca rozwiązanych kwestii”, zauważa Kremer. „Jednak nowoczesne protokoły mogą obecnie zagwarantować prywatność i transparentność, nawet gdy serwer zbierający głosy działa nierzetelnie lub gdy jego zabezpieczenia zostały naruszone”. Zauważa też, że jeśli stawka wyborów jest bardzo wysoka, może to skłonić atakujących do opracowania specjalistycznego złośliwego oprogramowania, co znacznie utrudni zagwarantowanie bezpieczeństwa głosowania. „Cyfryzacja jakiegoś procesu oznacza, że dużo łatwiej przeprowadzić na niego atak na dużą skalę”, mówi Kremer. „Komputery przecież świetnie sobie radzą z bardzo szybkim i bardzo częstym powtarzaniem tej samej czynności”.
Uwierzytelnianie wieloskładnikowe
Ostatni aspekt projektu dotyczył częściowo niezabezpieczonych urządzeń. Uwierzytelnianie dwuskładnikowe to metoda uwzględniająca udział człowieka, stosowana zwykle w celu zapewnienia autentyczności transakcji online. W ramach projektu SPOOC przeprowadzono kompleksową analizę tego systemu, używając tysięcy scenariuszy ataków, by dokładnie ocenić ograniczenia uwierzytelniania dwuskładnikowego. „Jestem zadowolony z wyników”, mówi Kremer, dodając, że narzędzie wymaga jeszcze sporo pracy, zanim stanie się wydajne. Kremer i jego zespół uzyskali wsparcie finansowe francuskiej Narodowej Agencji Badawczej, które pozwoli im dalej rozwijać opracowane do tej pory narzędzia weryfikacyjne. „Planujemy przyspieszyć działanie tych narzędzi i lepiej dostosować je do używanych obecnie protokołów”, podsumowuje. „W tej chwili próbujemy przełożyć wypracowane przez nas założenia teoretyczne na kolejne praktyczne rozwiązania”.
Słowa kluczowe
SPOOC, kryptograficzne, zautomatyzowane, bezpieczeństwo, dowody, protokoły, mobilne, telefony, komunikacja
