开源Pretty Easy Privacy项目是一个用户界面,可帮助用户保护通信渠道的隐私。专家Michael Cobb在这篇文章中概述了其工作原理。
一个可用于在线通信的新开源加密工具“Pretty Easy Privacy”(简称“pEp”)推出了。大家会提出疑问:它是如何工作的?企业都可以使用这个吗?它和其它同类加密工具比较有什么区别呢?
为了响应群众监督的关注,业内已经推出了一些开源项目来帮助更好地保护网上通信的隐私。然而,安全工具最大的问题就是其易用性弱,强大的安全协议和技术使其实用性较差。例如,一般用户并不想了解为发送加密电子邮件而使用的密钥管理方法。同样,人们想要继续使用他们喜欢的应用程序,但并不想让所有的朋友和同事来安装一个插件甚至另一个应用程序来进行安全通信。
Pretty Easy Privacy(pEp)是一个开源项目,希望能够更简单地让人们知道他们的文本通信渠道是如何保护的,以及让他们拥有更安全的通信而只需具备极少相关知识。pEp不是一个标准,而是一个用户界面,是微软Outlook电子邮件客户端的插件,目前几个大公司正在试用中。
在安装时,pEp为用户自动生成加密密钥,或者从一个本地加密软体(PGP)客户端导入密钥。即使收件人不使用pEp插件,但是安装了另一个加密软体(PGP)或邮件安全协议(S/MIME)客户端,pEp也可以加密通信。对于电子邮件联系人,该插件使用颜色编码信任指标。有趣的是,“黄色级别”表示加密在技术上是安全的,需要至少2048比特的RSA密钥,不依赖于一个公共证书授权;这是因为CA证书可能被黑客入侵。事实上,pEp希望避免任意形式上继承集中式基础设施的脆弱性,比如服务器和程序目录,并使用对等网络技术进行匿名传输。最高级别的安全颜色是绿色,需要双方用户通过电话交换pEp生成的安全词,以确认没有人执行了中间人攻击来窥视会话。
成功的众筹活动表明很多人认为Pretty Easy Privacy是一个不错的主意。该计划是为电子邮件平台创建插件,来提供一个应用程序接口(API),如此用户仍然可以使用自己喜欢的应用程序,只是具备了更高安全性。对于像iOS和Android这样的移动平台来说,插件是不可行的。所以pEp正计划为这些移动平台建立app,从移动设备上的其他通信app(如WhatsApp, Facebook, Twitter)中获取并集中信息。
Pretty Easy Privacy利用了已建立的开放式标准,包括GnuPG和NetPGP,来提供终端到终端、元数据级别的对等式网络通信。每次项目发布前,聘请的分析师会将代码审查的结果公布。因为该项目是开源的,所以任何人都可以查看代码。虽然大多数pEp软件将是免费的,而且基于GNU General Public License版本3发布,但是团队也会基于商业基础开发售卖的商业产品。pEp的目标是让安全工具更简单,所以对于那些想让员工进行安全通信的企业来说,应该很值得研究。
作者:Michael Cobb
来源:51CTO