加密并不容易。美國國家安全局爆料者愛德華·斯諾登(Edward Snowden)此前想與記者格倫·格林沃爾德(Glenn Greenwald)通過加密電子郵件通信,但后者在觀看了斯諾登制作的12分鐘教程視頻后,仍然搞不清如何使用著名的加密程序PGP。
納迪姆·科貝西(Nadim Kobeissi)希望清除這種學習障礙。在本月晚些時候于紐約召開的HOPE黑客大會上,他將公布一款名為miniLock的多用途文件加密程序的beta版;該程序是一個免費、開源的瀏覽器插件,其設(shè)計目的是通過實際上無法破解的密碼保護讓用戶在幾秒內(nèi)加密和解密文件。
科貝西表示:“我們的口號是這是一款花小錢辦大事的文件加密程序。它非常簡單、容易上手,使用的時候幾乎不可能會讓人感到迷惑。”
這位年僅23歲的程序員和安全顧問稱,他的程序還處于試驗階段,還不能用于安全度要求較高的文件。他表示,自己的創(chuàng)造實際上可能是最簡單的加密軟件。WIRED雜志對該軟件的谷歌Chrome瀏覽器插件早期版本進行了測試,能夠在數(shù)秒內(nèi)將文件拖放到程序中,將數(shù)據(jù)打亂,使得只有接收者才能使其恢復原狀和進行閱讀。miniLock可以用于加密從視頻郵件附件到儲存于U盤的照片等各種文件,或者加密文件以用于在Dropbox或Google Drive上進行安全保存。
和PGP一樣,miniLock提供所謂的“公開密鑰”加密。在公開密鑰加密系統(tǒng)里,用戶有兩組密鑰,一組是公開的,一組是私人的。他們可以與任何希望安全地向他們發(fā)送文件的人士分享公開密鑰,任何由該密鑰加密的文件都只能由私人密鑰解密。
科貝西版本的公開密鑰加密去除了所有復雜的過程。每一次miniLock啟動的時候,用戶甚至不需要注冊或者登錄,只需要輸入一段通行碼——不過miniLock要求該通行碼包括最多30個字符或者多個符號及數(shù)字。輸入通行碼后,該程序?qū)@得一個公開密鑰,被稱為miniLock ID,以及一個私人密鑰。但是用戶從不會看到私人密鑰而且在程序關(guān)閉的時候,私人密鑰會被抹除。當用戶輸入同樣的通行碼后,將獲得相同的公開密鑰和私人密鑰。這種做法意味著任何人都可以在任何計算機上使用該程序,并且無需擔心是否安全地儲存或移動敏感的私人密鑰。
“無需登錄,也不用管理私人密鑰。兩者都被取消了。這就是特別之處,”科貝西說。“在任何安裝miniLock的計算機上,用戶都可以使用自己的ID發(fā)送和接收文件,無需像網(wǎng)絡(luò)服務(wù)那樣設(shè)立賬戶,也無需像PGP那樣管理密鑰。”
盡管具有如此多特色功能,miniLock或許不會在加密社區(qū)獲得熱烈歡迎??曝愇髦白畛雒淖髌肥前踩奶斐绦駽ryptocat,該程序與miniLock相同,將加密程序變得非常簡單,讓即使5歲小孩也能使用。不過該程序也具有幾個嚴重的安全漏洞,使安全社區(qū)很多人批評其為無用,或者(更糟糕的是)一個為用戶提供隱私幻覺的圈套。
不過科貝西指出,這些漏洞已經(jīng)被修復。現(xiàn)在,該程序的下載量接近75萬次,并且在德國安全公司PSW Group上個月公布的安全程序排名中,Cryptocat位列榜首。
約翰霍普金斯大學密碼學教授馬修·格林(Matthew Green)表示,盡管Cryptocat推出初期存在漏洞,但miniLock不應該被否定。他之前曾指出Cryptocat的漏洞,現(xiàn)在也已經(jīng)檢查過miniLock的設(shè)計參數(shù)。
格林對于minilock持謹慎樂觀的態(tài)度。“現(xiàn)在我還不會用它來加密國家安全局的文件,”他說。“不過它具有漂亮和簡單的密碼設(shè)計,出錯的可能性并不是很大……這款軟件可能還需要更多評測,不過有可能是非常安全的。”
科貝西稱,他也從 Cryptocat的失敗中吸取了教訓:miniLock一開始不會在Chrome Web Store發(fā)布。相反,他將在GitHub上公布該程序的代碼供評測,并且特別花心思去詳細記錄該程序的運作原理。他表示:“minilock的開放行為是專門為了展示合理的編程做法、慎重的密碼設(shè)計決定,并且使評估m(xù)iniLock的潛在漏洞變得簡單。”
如果miniLock成為首款真的是傻子都能用的公開密鑰加密程序,復雜的加密世界將迎來更多新用戶。約翰霍普金斯大學的格林表示:“PGP太麻煩了。這種能夠讓普通人加密文件的能力是寶貴的……科貝西消除了復雜性,使我們隨心所欲地做想要做的事情。”