A titkos email sem titkos, ha nem nálad van a kulcs

ProtonMail

“Ginny!” said Mr. Weasley, flabbergasted. “Haven’t I taught you anything? What have I always told you? Never trust anything that can think for itself if you can’t see where it keeps its brain?”
― J.K. Rowling, Harry Potter and the Chamber of Secrets

Ezt az idézetet mindig Dumbledore szájába adtam, s lám, Mr. Weasley mondta…

Elszomorít, ha a TED-en eladott innováció nem más, mint parasztvakítás, mint az alábbi “titkos svájci emailkontó” esete is.

Andy Yen “meglepő” TED beszédében arra “világít rá”, hogy az emailedet – mint egy levelezőlapot – bárki elolvashatja. Mint azt az aktuális Clinton balhéból tudhatjuk, ez nem csak ciki, de adott esetben veszélyes is lehet. Yen a CERN-i kollégáival egy olyan online email klienst alkottak meg, ami az egész levelezést titkosítja. Ez a protonMail.

Jól hangzik? Ugye igen? De ha Te is belegondolsz, akkor ez a világ legnagyobb átverése. Átverés, mert hamis biztonságérzetet ad.

Nézzük a weboldalukat, itt van két nagyon hangzatos pont:

No private / public key management.

Swiss Based

Protected by Swiss Privacy Laws

ProtonMail is incorporated in Switzerland and our servers are located in Switzerland. We are outside of US and EU jurisdiction and user data is protected by strict Swiss data protection laws.

Nem kell kezelned a két kulcsú titkosításodnál a privát és nyilvános kulcsot? Remek! Akkor a szerver üzemeltetői bármikor belelátnak az összes emailedbe.

Svájci adatbiztonsági törvények vonatkoznak a szerverre? Remek! De ugye még a banktitoknál is elkezdtek amerikai nyomásra engedményeket tenni (pénzmosás, terrorizmussal való gyanú esetén), miért gondolnánk, hogy a következő Snowden ügynél nem tennének engedményeket? Hogy nincs már eleve beépítve az NSA-nek egy kis hátsó kapu? Avagy az NSA még nem tudott beszervezni a ProtonMail kódereiből senkit?

Ugyan kérem!

A két kulcsú titkosítás jó dolog, ehhez nem fér kétség. Még akkor is, ha a kétkulcsú email titkosítás nagyapjának, a PGP-nek már a halálhírét keltik, pont a kulcsok tárolásának nem teljesen biztonságos volta miatt. De ha a PGP-nél pont a publikus kulcsok adatbázisa a leggyengébb láncszem, akkor miért gondolnánk, hogy egy ismeretlen emberek által, nem nyilvános kódot használva tárolt két kulcsú titkosítás biztonság tud lenni? Miért kellene *nekem* (neked, nektek) Andy Yen-nek elhinni, hogy nem dolgoznak együtt semmilyen csoporttal, legyen az Anonymous, Wikileaks vagy NSA?