PGP 다이하자


안전한 이메일 가이드를 게시 한 이후, Tutanota 직원과 암호화 된 이메일 및 관련 문제에 대한 고유 한 솔루션에 대해 흥미로운 교류를 해왔습니다. Tutanota의 공동 창업자 인 Matthias Pfau는 PGP를 사용하지 않는다는 Tutanota의 이론적 근거를보다 명확히하기 위해이 문서를 Restore Privacy 독자를 위해 독점적으로 작성했습니다..

가장 널리 사용되는 이메일 암호화 소프트웨어 인 PGP는 여전히 틈새 제품입니다. 매일 전송되는 수십억 개의 이메일 중 일부만이 PGP 암호화로 보호됩니다. 전 세계 보안 전문가가 수십 년 동안 모든 종류의 전자 메일 응용 프로그램에 PGP 지원을 추가하기 위해 최선을 다했지만 PGP가 주류 채택에 비해 너무 복잡하다는 것을 깨달아야합니다..

PGP가 죽어야하는 3 가지 이유

1. PGP는 Phil Zimmermann이 거의 30 년 전에 발명했습니다. 그러나 PGP의 발명가 인 Phil Zimmermann조차도 그것을 사용하지 않습니다. 이유 : 데스크톱 클라이언트, 웹 클라이언트, 모바일 클라이언트 등 모든 전자 메일 응용 프로그램에 PGP 플러그인을 설치하기가 너무 복잡합니다. 데스크톱 및 웹 클라이언트에서 PGP를 계속 사용할 수는 있지만 대부분의 사람들은 모바일 세계에 액세스 할 수 없습니다. 이것은 또한 Phil Zimmermann을 막 았던 것입니다. 오늘날 그는 주로 휴대 전화에서 이메일을 사용합니다. PGP 암호화는 실제로 얻기가 어렵습니다..

2. Bruce Schneier와 같은 암호 전문가는 사용자가 실수없이 시스템을 사용할 수있는 경우에만 가장 안전한 시스템을 안전하게 사용할 수 있다는 것을 알고 있습니다. 불행히도 PGP의 경우에는 그렇지 않습니다. 많은 전자 메일 클라이언트에서 사용자는 암호화를 해제 한 상태에서 기밀 전자 메일을 보내므로 암호화를 설정 한 상태에서 중요하지 않은 전자 메일을 보내거나 실수로 잘못된 키를 사용하여 암호화 된 전자 메일을 보내는 것이 매우 쉽습니다. 보안 전문가 Bruce Schneier는 다음과 같이 결론을 내립니다.

나는 PGP가 가치가있는 것보다 더 큰 문제라고 오랫동안 믿고있다. 올바르게 사용하기 어렵고 잘못되기 쉽습니다. 보다 일반적으로, 전자 메일은 우리가 요구하는 모든 다른 것들 때문에 본질적으로 보안이 어렵습니다..

Filippo Valsorda는 PGP의 유용성 약점에 대해 매우 잘 설명합니다.

공식적인 연구를 수행하지는 않았지만 PGP를 사용하여 저에게 연락 한 모든 사람이 다음 중 하나를 수행했거나 수행했거나 (필요한 경우) 수행 한 것이 거의 긍정적입니다.

  • 키 서버에서 가장 잘 보이는 키를 가져 왔습니다.
  • "이것은 내 새 키입니다"라고 대답 한 경우 다른 키를 사용했습니다.
  • 내가 여행하는 것과 같은 변명을 한 경우에는 암호화되지 않은 이메일을 다시 보냈습니다.”

삼. OpenPGP 프로젝트 (Gmail, Yahoo)가 파멸되었고 이제 죽었습니다

2 년 전 Gmail은 개인 정보 보호에 도움이되는 악대를 뛰어 넘 으려고 노력했으며 Yahoo는 PGP를 사용하여 Gmail 사용자와 Yahoo 사용자 간의 전자 메일을 자동으로 암호화해야하는 Chrome 플러그인을 개발하여 나중에 참여했습니다. 얼마 지나지 않아 Google은 Gmail에 대한이 엔드 투 엔드 암호화 프로젝트를 중단했습니다..

PGP는 대단했습니다

PGP는 훌륭한 발명품이며, 그것을 올바르게 사용할 수있는 사람들에게 여전히 좋습니다. PGP 기술은 발전했지만 사용자 친화 성은.

오늘날 PGP의 가장 큰 문제는 복잡성입니다. 암호화 전문가 인 매튜 그린 (Matthew Green)은 이렇게 말합니다. "키 관리가 있습니다. 기존 이메일 클라이언트에서 키를 사용해야하고 키를 다운로드 한 다음 키가 올바른 키인지 확인해야하는 세 번째 문제가 있습니다."

PGP가 미래에 적합하지 않습니다

그러나 PGP에는 몇 가지 고유 한 보안 취약점이 있으므로 쉽게 수정할 수 없습니다.

1. PGP는 순방향 비밀 (PFS)을 지원하지 않습니다.

사전 비밀이 없으면 키를 정기적으로 변경하지 않는 한 위반으로 인해 과거의 모든 의사 소통이 열릴 수 있습니다. NSA가 나중에 키에 액세스하기 위해 암호화 된 메시지를 비축한다는 소문이 있습니다..

Valsorda가 PGP를 포기한 이유는 바로이 위험 때문입니다.“장기 키는 수명 기간 동안 보안 관행의 최소 공통 분모만큼 안전합니다.. 약한 연결이야."

비동기 오프라인 전자 메일에 앞으로 비밀을 추가하는 것은 PGP 프로토콜 및 클라이언트에 대한 변경을 중단해야하기 때문에 발생하기 어려운 큰 과제입니다..

2. PGP는 주제를 암호화하지 않습니다.

PGP 프로토콜을 사용하여 메타 데이터 (보낸 날짜, 보낸 날짜, 날짜)를 암호화하거나 숨기는 옵션을 추가 할 수 없습니다..

3. PGP가 PGP와 항상 호환되는 것은 아닙니다.

상호 운용성이 항상 주어지지는 않는 PGP 구현이 너무 많습니다. 또한 PGP 키를 업데이트하는 경우 (예 : RSA 2048에서 RSA 4096까지 이전 개인 키로 전체 데이터를 해독하고 새 개인 키로 다시 암호화해야합니다..

4. PGP는 이메일 통신에만 사용할 수 있습니다.

암호화 방법은 암호화 된 메모, 채팅, 캘린더와 같은 다른 시스템으로 전송할 수 없습니다.

EFfail과 다음에 오는 것

2018 년 뮌스터 응용 과학 대학의 연구원들은 이페 일 암호화 된 전자 메일의 일반 텍스트를 유출하는 종단 간 암호화 기술 OpenPGP 및 S / MIME의 취약점. 이 악용은 HTML 코드를 사용하여 Apple Mail, Outlook 2007 및 Thunderbird를 포함한 특정 이메일 클라이언트가 암호화 된 메시지를 공개하도록 속입니다.

문제는 PGP 프로토콜 자체가 아니라 구현 방식과 관련이 있지만 여전히 보안을 수행하는 고유의 복잡성을 보여줍니다. EFail은 전자 우편과 그 문제에 대한 PGP가 보편적으로 상호 운용이 가능하다는 점에서 칭찬을받는 반면, EFail은 이것이 심각한 보안 위협이되고 있음을 보여줍니다. 대화에서 한 사람이 영향을받지 않는 PGP 구현을 사용하고있을 수 있지만 다른 사람은 그렇지 않을 수 있습니다..

그럼에도 불구하고 취약점이 발견되고 패치됩니다 (보통 다소 빠름). 상대방이 업데이트되고 패치 된 소프트웨어 또는 오래된 오래된 버전을 사용하고 있다는 것을 알 수 없습니다.

이 모든 것이 사람들이 전자 메일에 엔드 투 엔드 암호화를 사용하도록 설득하는 데 도움이되지는 않습니다. 향후 필요한 것은 복잡성으로 인해 사용자를 위험에 빠뜨리지 않고 사용자의 보안을 관리하는 솔루션 인 사용하기 쉬운 엔드 투 엔드 암호화 버전입니다. 어디에서 언제 누구와 의사 소통하고 있는지.

새로운 접근 방식은 Signal 및 WhatsApp과 같은 많은 메시징 응용 프로그램에서 이미 구현 된 것처럼 쉬워야합니다..

이메일 암호화에 대한 향후 요구 사항

모든 사람에게 이메일 암호화를 쉽고 안전하게 유지하기 위해 미래의 모델은 여러 가지 이유로 PGP에 의존 할 수 없습니다.

  • 키 관리를 자동화해야합니다.
  • 사용자의 개입없이 암호화 알고리즘을 자동으로 업데이트 할 수 있어야합니다 (예 : 퀀텀 컴퓨터에 대한 암호화 방지).
  •  이전 버전과의 호환성을 중지해야합니다. 대신 모든 시스템이 매우 짧은 시간 내에 업데이트되어야합니다.
  • 프로토콜에 전달 비밀을 추가해야합니다.
  • 메타 데이터는 암호화되거나 최소한 숨겨져 있어야합니다.

Tutanota는 지난 몇 년 동안이 작업을 해왔습니다. 소프트웨어에 암호화를 적용하고 사용자가 모든 전자 메일을 쉽게 암호화 할 수있는 사용하기 쉬운 전자 메일 클라이언트.

우리가 Tutanota를 짓기 시작했을 때 PGP 사용을 고의로 선택했습니다. 우리는 PGP 알고리즘의 일부인 AES 128 및 RSA 2048을 선택했지만 자체 오픈 소스 구현을 사용했습니다. 이를 통해 제목 줄을 암호화하고 알고리즘을 업그레이드하며 앞으로 비밀을 추가 할 수 있습니다. 이를 통해 PGP에서 설명한 약점을 수정하고 이미 부분적으로 해결할 수 있다는 큰 이점을 얻을 수 있습니다..

  1.  Tutanota는 이미 제목을 암호화합니다. 향후 메타 데이터를 숨길 계획입니다..
  2. Tutanota에서는 키 관리 및 키 인증이 자동화되어 사용이 매우 쉽습니다..
  3. Tutanota는 사용자 비밀번호를 사용하여 사용자의 개인 키를 암호화 및 해독합니다. 이를 통해 사용자는 암호화 된 사서함에 액세스하고 모든 장치에서 암호화 된 전자 메일을 보낼 수 있습니다. 사람들이 웹 클라이언트, 오픈 소스 앱 또는 안전한 데스크톱 클라이언트에서 암호화 된 사서함을 사용하든, Tutanota는 모든 데이터가 항상 암호화되어 저장되도록합니다..
  4. Tutanota에서 암호화 알고리즘을 업데이트 할 수 있습니다. 가까운 시일 내에 양자 보안 알고리즘에 사용되는 알고리즘을 업데이트 할 계획입니다.
  5. 우리는 Tutanota에 앞으로 비밀을 추가 할 계획입니다.
  6. Tutanota에서 사용되는 암호화 알고리즘은 모든 종류의 데이터에 적용 할 수 있습니다. Tutanota 메일 함은 전체 주소록을 포함하여 저장된 모든 데이터를 이미 암호화합니다. 암호화 된 캘린더, 암호화 된 메모, 암호화 된 드라이브를 모두 같은 알고리즘으로 보호 할 계획입니다..

간편한 이메일 암호화가 이미 사용 가능합니다. 이제 우리는 구글, 야후 및 다른 사람들이 데이터를 수집 할 필요가 없다는 것을 모두가 이해하도록 단어를 전파해야합니다. 암호화 된 이메일을 사용하여 개인 정보를 염탐 할 수 없습니다..

Tutanota에 대한 귀하의 의견과 암호화 된 이메일 클라이언트에 포함 된 내용에 대해 기꺼이 도와 드리겠습니다..

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me