仍然有隐私幻觉的疑虑。
首先,在现行的非对称加密的设计,私钥的流出是绝对禁止的。
目前一般人难以搞定加密,有一部分是没有完全理解这个设计理念。
也就是说,假如这个私钥不小心出现在中毒的电脑或者是显示在萤幕上被拍下来,
那么这组公私钥应该被视为无效。
再来是另一个大问题,miniLock看起来是有解决这个问题,也就是公钥交换的问题。
我怎么知道这个公钥是对方的公钥,而不是攻击者的?
通常是用另外的管道进行公钥交换,虽然说和对称加密可能会把密码贴在萤幕旁边有类似
的问题,但是公钥基本上只怕被谎称,不担心被窃听。
※ 引述《ggg12345 (ggg)》之铭言:
: 看来, 干了再说似乎是创业的快速办法.
: 这是加密储存资料的简单做法. 但被 key server 卖了就难说, 要自备一台 key
: serer 才行.
: ============================================================================
: 发信人: Cnews (chinanews), 信区: ScitechNews
: 标 题: [KJPT]人人都能加密﹕超简易加密程序将问世
: 发信站: BBS 未名空间站 (Thu Jul 3 21:35:11 2014, 美东)
: 编者按﹕7月4日消息﹐加密并不容易。美国国家安全局爆料者爱德华‧斯诺登(Edward
: Snowden)此前想与记者格伦‧格林沃尔德(Glenn Greenwald)通过加密电子邮件通信﹐
: 但后者在观看了斯诺登制作的12分钟教程视频后﹐仍然搞不清如何使用著名的加密程序
: PGP。
: 纳迪姆‧科贝西(Nadim Kobeissi)希望清除这种学习障碍。在本月晚些时候于纽约召
: 开的HOPE黑客大会上﹐他将公布一款名为miniLock的多用途文件加密程序的beta版﹔该
: 程序是一个免费、开源的浏览器插件﹐其设计目的是通过实际上无法破解的密码保护让
: 用户在几秒内加密和解密文件。
: 科贝西表示﹕“我们的口号是这是一款花小钱办大事的文件加密程序。它非常简单、容
: 易上手﹐使用的时候几乎不可能会让人感到迷惑。”
: 这位年仅23岁的程序员和安全顾问称﹐他的程序还处于试验阶段﹐还不能用于安全度要
: 求较高的文件。他表示﹐自己的创造实际上可能是最简单的加密软件。WIRED杂志对该
: 软件的谷歌Chrome浏览器插件早期版本进行了测试﹐能够在数秒内将文件拖放到程序中
: ﹐将数据打乱﹐使得只有接收者才能使其恢复原状和进行阅读。miniLock可以用于加密
: 从视频邮件附件到储存于U盘的照片等各种文件﹐或者加密文件以用于在Dropbox或
: Google Drive上进行安全保存。
: 和PGP一样﹐miniLock提供所谓的“公开密钥”加密。在公开密钥加密系统里﹐用户有
: 两组密钥﹐一组是公开的﹐一组是私人的。他们可以与任何希望安全地向他们发送文件
: 的人士分享公开密钥﹐任何由该密钥加密的文件都只能由私人密钥解密。
: 科贝西版本的公开密钥加密去除了所有复杂的过程。每一次miniLock启动的时候﹐用户
: 甚至不需要注册或者登录﹐只需要输入一段通行码──不过miniLock要求该通行码包括
: 最多30个字符或者多个符号及数字。输入通行码后﹐该程序将获得一个公开密钥﹐被称
: 为miniLock ID﹐以及一个私人密钥。但是用户从不会看到私人密钥而且在程序关闭的
: 时候﹐私人密钥会被抹除。当用户输入同样的通行码后﹐将获得相同的公开密钥和私人
: 密钥。这种做法意味着任何人都可以在任何计算机上使用该程序﹐并且无需担心是否安
: 全地储存或移动敏感的私人密钥。
: “无需登录﹐也不用管理私人密钥。两者都被取消了。这就是特别之处﹐”科贝西说。
: “在任何安装miniLock的计算机上﹐用户都可以使用自己的ID发送和接收文件﹐无需像
: 网络服务那样设立账户﹐也无需像PGP那样管理密钥。”
: 尽管具有如此多特色功能﹐miniLock或许不会在加密社区获得热烈欢迎。科贝西之前最
: 出名的作品是安全聊天程序Cryptocat﹐该程序与miniLock相同﹐将加密程序变得非常
: 简单﹐让即使5岁小孩也能使用。不过该程序也具有几个严重的安全漏洞﹐使安全社区
: 很多人批评其为无用﹐或者(更糟糕的是)一个为用户提供隐私幻觉的圈套。
: 不过科贝西指出﹐这些漏洞已经被修复。现在﹐该程序的下载量接近75万次﹐并且在德
: 国安全公司PSW Group上个月公布的安全程序排名中﹐Cryptocat位列榜首。
: 约翰霍普金斯大学密码学教授马修‧格林(Matthew Green)表示﹐尽管Cryptocat推出
: 初期存在漏洞﹐但miniLock不应该被否定。他之前曾指出Cryptocat的漏洞﹐现在也已
: 经检查过miniLock的设计参数。
: 格林对于minilock持谨慎乐观的态度。“现在我还不会用它来加密国家安全局的文件﹐”
: 他说。“不过它具有漂亮和简单的密码设计﹐出错的可能性并不是很大……这款软件可
: 能还需要更多评测﹐不过有可能是非常安全的。”
: 科贝西称﹐他也从 Cryptocat的失败中吸取了教训﹕miniLock一开始不会在Chrome Web
: Store发布。相反﹐他将在GitHub上公布该程序的代码供评测﹐并且特别花心思去详细
: 记录该程序的运作原理。他表示﹕“minilock的开放行为是专门为了展示合理的编程做
: 法、慎重的密码设计决定﹐并且使评估miniLock的潜在漏洞变得简单。”
: 如果miniLock成为首款真的是傻子都能用的公开密钥加密程序﹐复杂的加密世界将迎来
: 更多新用户。约翰霍普金斯大学的格林表示﹕“PGP太麻烦了。这种能够让普通人加密
: 文件的能力是宝贵的……科贝西消除了复杂性﹐使我们随心所欲地做想要做的事情。”