Ciphire mail - budoucnost šifrování pošty?

Tento program se jmenuje Ciphire mail a klade si za cíl transparentním způsobem šifrovat a dešifrovat veškerou poštu, kterou posíláte. Musím přiznat, že jeho instalace a používání už jednodušší opravdu být nemůže. Stáhnete si program, spustíte a zadáte e-mailovou adresu a heslo. Pak běžně posíláte a přijímáte e-maily ve svém oblíbeném poštovním programu, jako jste to dělali doposud. Pokud posíláte e-mail někomu, kdo Ciphire používá, tak se automaticky zakóduje. Zakódované příchozí e-maily jsou naopak automaticky dekódovány.

Když k tomu připočteme, že popisovaný systém je zatím zdarma a i nadále má být zdarma pro nekomerční použití, a že funguje pod Windows, Linuxem i MacOS, je to opravdu úctyhodný výkon. Jediným mínusem je fakt, že heslo musíte zadávat po každém přihlášení. Nicméně tato vlastnost bude, podle vyjádření firmy, odstraněna v další verzi. Respektive do programu bude doplněna volba „pamatovat heslo“. (Toto heslo je ve skutečnosti passfráze, používaná na zakódování soukromých klíčů.)

Jak celý systém funguje? Poněkud netradičně. Program se totiž „pověsí“ na systémová volání a sleduje, filtruje a modifikuje komunikaci po síti. Na Linuxu toho dosahuje pomocí sdílené knihovny, modifikující systémová volání pro práci se sockety, jejíž použití se zajistí pomocí LD_PRELOAD. Na Windows je toto implementováno jako LSP (Layered Service Provider) knihovna. Mac OS zřejmě nic podobného neumožňuje, neboť tam se přesměrovávají až samotné TCP packety. Způsob napojení systému je tedy poněkud nečistý, ale zase na druhou stranu zajišťuje bezproblémovou kooperaci s prakticky všemi e-mailovými klienty (MUA).

Když je e-mail posílán přes SMTP, Ciphire jej „odchytí“, zjistí, zda je příjemce registrován v databázích Ciphire, a případně zašifruje a/nebo podepíše. Celé je to samozřejmě implementováno tak, že e-mail je korektně zakódován i pro více příjemců (s různými klíči) a/nebo poslán nezakódováný pro příjemce, jejichž e-mail v systému Ciphire registrován není.

Nastavení v jednoduchém módu je docela jednoduché…

Při příjmu pošty naopak Ciphire odchytí POP3/IMAP spojení (možná umí odchytávat i příchozí SMTP), a pokud je e-mail zašifrován, dešifruje jej a případně ověří podpis. Podepisovat je možné i nezašifrované e-maily, které odchází příjemcům neregistrovaným u Ciphire. Ti mohou podpis ověřit alternativní cestou. K podpisu se přikládá datové razítko, takže je ověřitelný nejen obsah zprávy, ale i čas, kdy byla odeslána.

K uživatelům, registrovaným v systému, přidává procesor příchozích e-mailů [c], a k mailům, které byly dešifrovány, [ciphired]. Šifry používá systém standardní, viz seznam šifer, nicméně formát e-mailů není kompatibilní s PGP ani s S-MIME. To je škoda. Autoři to zdůvodňují tím, že jim tyto zavedené formáty nedovolily naimplementovat všechny funkce, které od systému chtěli.

…zato v expertním módu toho můžete ovlivnit opravdu hodně

Ještě větší škoda je, že formát používaný Ciphirem není zveřejněn a ani nebyl oznámen úmysl jej zveřejnit. Nicméně společnost Ciphire Labs oznámila, že má v úmyslu v průběhu roku 2005 zveřejnit zdrojový kód k celému systému, takže formát bude možné poměrně jednoduše vyluštit a případně standardizovat.

Celý systém má však jednu slabinu, která, alespoň v mých očích, kazí jinak docela dobrý dojem. Je závislý na databázích Ciphire, které používá pro zašifrování e-mailu (veřejným klíčem příjemce) a pro ověření podpisu. A samozřejmě také pro zjištění, zda je daná adresa v systému vůbec registrována.

Celý databázový systém budí poměrně solidní dojem, přistupuje se k němu přes proxy a výsledky jsou ještě lokálně cachovány (doba, po kterou jsou odpovědi uloženy, je dokonce konfigurovatelná). Přesto je to dosti slabé místo. Dále mi nepřijde vhodné, aby funkčnost takovéhoto systému závisela na jediné firmě. Pokud by se databázi klíčů podařilo nějak distribuovat, bylo by to dobře. Rovněž není zveřejněno, zda se na systém nebo některé jeho komponenty vztahují nějaké patenty.

Ještě bych rád něco uvedl k účelu takového systému. Neoddiskutovatelným faktem je zvýšení soukromí a bezpečnosti šifrováním pošty. Přínos k omezení podvodných dopisů (phishingu) a spamu je diskutabilní. Podvody se dají páchat i z domén, které jsou podobné původnímu názvu. Ciphire vám rád potvrdí, že e-mail byl odeslán z adresy admin@e-bay.com, ale už neřekne, že ta doména vůbec nepatří společnosti eBay. I když je pravda, že by to mohlo vést alespoň k lepší vystopovatelnosti pachatelů.

Přijatý zašifrovaný mail

Na druhou stranu se e-mail dešifruje až těsně před přijetím do MUA, takže na něj není možno na serveru aplikovat ani antispam, ani antivir(!). Proto asi tato verze zřejmě nedojde ve firmách příliš velkého rozšíření. Nicméně Ciphire Labs chystají další verze, které nejspíš uvedené problémy budou řešit.

Nakonec bych ještě napsal něco o svých zkušenostech. Zkoušel jsem Ciphire nejprve nainstalovat na svůj Debian (stable – woody). Instalace se sice povedla, nicméně Ciphire si stále stěžoval, že se nespouští v rámci X session.

Stejně tak aktivační e-mail (používaný systémem pro ověření adresy a podepsání klíče) mi nedošel. Nainstaloval jsem jej tedy pod Windows. Tam fungoval bez problémů.

Celý systém se mi opravdu líbí tím, že při minimálních nárocích na uživatele poskytuje slušnou úroveň bezpečnosti. Má však i několik slabých míst, o kterých jsem se zmínil výše. Z nich za největší považuji „one-company-show“. Nicméně celý počin rozhodně hodnotím jako krok směrem k bezpečnější poš­tě.