Получившее широкую огласку противостояние между Apple и Минюстом США закономерно привело к росту интереса к главному оплоту цифровой защиты приватности, проекту Tor. Каковы шансы на то, что в результате технической диверсии или во исполнение постановлений суда проект может быть вынужден открыть критическую информацию, нарушающую анонимность его участников?
Скорее всего, эта неприбыльная организация ещё опубликует официальное разъяснение занимаемой позиции, а пока ведущий разработчик Tor Browser, Майк Перри (Mike Perry), в понедельник в своём блоге постарался доступно ответить на эти вопросы.
Ещё три года назад Перри выступил зачинателем инициативы, предоставляющей пользователям возможность создания из исходного кода собственных «детерминистских сборок», целостность которых и идентичность каноническому оригиналу проверяется с использованием публичных криптографических ключей этой организации и других публичных копий приложения.
«Даже если правительство или преступники получат наши криптографические ключи, распределённая сеть и её пользователи смогут обнаружить это и сообщить нам о проблеме безопасности, – пишет Перри. – С инженерной перспективы наши процессы обзора кода и открытой разработки делают возможным быстрое обнаружение такого «черного хода»».
Для того, чтобы распространять поддельную версию Tor Browser хотя бы без предварительных срабатываний защиты требуются два ключа: SSL/TLS, защищающий соединение между пользователем и серверами Tor Project и ключ для подписи программного обновления. Как указал Перри в разделе вопросов и ответов своего поста, эти ключи недоступны для одних и тех же людей и защищены разными способами.
Анонимный характер сети Tor не позволяет нацелить атаку на определённый сайт даже в маловероятном гипотетическом случае, когда в одни руки попали оба этих ключа. Поддельное обновление можно рассылать только случайным людям или всем сразу. Но в последнем случае (если, вдобавок к обладанию ключом взломали веб-сервер) велика вероятность обнаружения подделки теми, кто воспроизвёл сборку независимо. Добиться совпадения сигнатур сборок можно лишь заполучив инженерный ключ GPG.
Перри сообщил, что их организация ещё никогда не получала в законном порядке требования разместить «чёрный ход» в своих программах или исходном коде, либо предоставить средства для расшифровки.
Любые подобные посягательства Tor Project рассматривает лишь как ещё один из многих факторов риска, с которым её инженеры борются путём устранения критических слабых звеньев в системе, так чтобы распределённая сеть The Onion Router и её пользователи могли обнаружить факт взлома даже если хакер обладает всеми нужными ключами. Кроме того, ускорено создание программы поощрений за обнаружение уязвимостей, которая бы побуждала сторонних программистов сообщать о любых недоработках, имеющих отношение к основным программным продуктам Tor Project.