Война против конфиденциальности: почему Monetas работает за пределами США

Monetas-logo

Крис Одом (Chris Odom), технический директор компании Monetas, дал интервью Трэйсу Майеру (Trace Mayer) в одном из недавних эпизодов Bitcoin Knowledge Podcast. Разговор шел в основном о продуктах финансовой криптографии, находящихся в разработке Monetas. Первоначально Одом привлек внимание бикойн-сообщества созданием библиотеки финансовой криптографии Open Transactions. Многие энтузиасты в вопросах соблюдения финансовой тайны и безопасности восхищены тем, что эта швейцарская компания сможет предложить миру в ближайшем будущем.

Chris-Odom-300В какой-то момент разговора Майер решил спросить спросить Одома, почему компания Monetas была открыта в Швейцарии, а не в Нью-Йорке, который Майер обозначил как «Столицу финансового мира». Одом не замедлил заметить, что «Нью-Йорк определенно был финансовой столицей 20-го века, но насчет 21-го века это еще надо посмотреть». Затем технический директор Monetas привел три различных примера, чтобы показать, почему у компании не было другого выбора, кроме Швейцарии.

Почему Yahoo молчит о слежке АНБ?

Первый пример, приведенный Крисом, был о том, что Yahoo не могло рассказать о масштабах слежки АНБ за пользователями до того как некоторые документы АНБ не были обнародованы Эдвардом Сноуденом. В этом примере Крис ссылается на ответ исполнительного директора Yahoo Мариссы Майер (Marissa Mayer) на вопрос, заданный ей на конференции TechCrunch Disrupt в сентябре 2013, когда ее спросили, что же именно технический гигант делает, чтобы защитить пользователей от государственной слежки. И хотя Майер подтвердила, что Yahoo отклоняет запросы о данных клиентов, когда это только возможно, она также заявила, что «Если вы не соответствуете требованиям, то это государственная измена». Она продолжила мысль, «Разглашение секретной информации – это государственная измена, за это лишают свободы».

По мнению Одома, «Она не только обязана сотрудничать, но ей не было позволено говорить что-либо кому-либо о самом факте, что она обязана сотрудничать».

Скомпрометированное ПО для пользователей Hushmail

HushmailВ следующем примере Одом объяснил что произошло, когда правительственные агенты столкнулись с отсутствием контроля шифрования со стороны провайдера криптографически защищенной электронной почты Hushmail. Этот email-провайдер был известен как один из самых респектабельных сервисов защищенного емэйла. Они использовали шифрование на стороне клиента, встроенное в Java-апплет, исполняемый в браузере. Пользователи Биткойна, вероятно, знакомы с похожей концепцией, принятой Blockchain.info. Компания не имеет доступа к приватным ключам пользователей. Казалось, что Hushmail является вполне разумным выбором для приватной зашифрованной переписки, но Одом объяснил, что случилось, когда канадские сотрудники правоохранительных органов постучались к ним в дверь:

Если бы правительство пришло к Hushnmail и сказало: «Дайте-ка нам почитать переписку вооон того парня?», — вероятно, ответ Hushmail был бы: «Ну, вообще-то, вы не можете ее прочитать, потому что она зашифрована. Мы, конечно, дадим ее вам. Мы дадим вам эти зашифрованные сообщения, но мы не можем их открыть. И, скорее всего, вы тоже не сможете». И ответ, пришедший Hushmail от правительства, был: «Ну, хорошо, тогда вам придется установить пользователю шпионский софт и достать его приватный ключ».

Это ссылка на признание Hushmail того факта, что их способ реализации клиентской части не был абсолютно безопасен, поскольку пользователю все равно приходилось доверять Hushmail в части того, какой Java-апплет подсунет ему провайдер — с уязвимостью или без нее. Брайан Смит (Brian Smith), технический директор Hushmail, сказал в 2007:

«Дополнительная безопасность, которую обеспечивает Java-апплет, не имеет практического смысла, когда мы говорим о единичном аккаунте».

Емэйл-провайдер Эдварда Сноудена

lavabitТретьим и последним примером Одома был Lavabit, емэйл-провайдер, которым одно время пользовался Эдвард Сноуден. Lavabit попал в такую же ситауцию, как и Hushmail шестью годами ранее. Однако же, Ладар Левисон (Ladar Levison), владелец этой компании, в ответ на запросы спецслужб США о предоставлении клиентских данных, решил остановить сервис. Многие посчитали, что целью, которую преследовали спецслужбы, был Эдвард Сноуден. Хотя Левисон отметил, что, в конечном счете, запрос спецслужб США затронул бы всех пользователей.

Пример Monetas

В качестве последнего комментария к теме Одом привел пример, как плохо могли пойти дела, если бы компания Monetas решила обосноваться в США:

«Давайте предположим, что кто-то использует кошелек Monetas на своем компьютере, и у него есть приватный ключ. Кто бы не наложил руку на этот приватный ключ, он получит контроль над деньгами пользователя. Мы просто не можем позволить себе попасть в положение, когда нам к голове приставят пушку и заставят залить кому-нибудь скомпрометированную версию нашего софта, чтобы украсть его приватный ключ. И даже если предположить, что правительство делает это из лучших побуждений, это не означает, что какой-нибудь хакер не залезет туда точно так же, и точно так же сможет получить клиентские приватные ключи. Черный ход либо есть, либо его нет. Так что мы уже много раз видели, что в США частную компанию могут принудить — по-тихому — установить скомпрометированный софт на компьютеры клиентов, что дает правительственным структурам доступ к приватным ключам этих пользователей. И мы просто не хотим оказаться в такой ситуации».

Источник: insidebitcoins.com



Categories: Безопасность, Регулирование, Сервисы, США

Tags: , , ,

Leave a Reply

7 Комментарий на "Война против конфиденциальности: почему Monetas работает за пределами США"

Notify of
avatar
trackback
Почему люди так медленно принимают криптовалюты? | Bit•Новости

[…] но машину придется вернуть, и хорошо еще, если друг ни о чем не […]

Полинезиец
Гость
Спасибо. Я подумываю о таком сервисе, типа hushmail-a или s-mail.com (все еще работает, кстати), в котором невозможно было бы подсунуть ничего, тем не менее было бы так же удобно пользоваться. И, кроме невозможности подсунуть, должна быть даже невозможность заставить вложить backdoor в сам сервер, потому что сам сервер будет зашифрован и защищен от изменений извне — только сама система САМА может сама себя изменять, сравнивая все скачиваемые «updates с checksum-ами репозиториев (ну это один из потенциальных способов — может быть БРЕД но это все пока просто как пример) — что-то вроде того. И тем же способом, заодно, можно будет реализовать… Read more »
Полинезиец
Гость

что-то вроде того, чтоб как бы если бы спаять схему (электронное устройство) затем залить все эпоксидом — пускай попробуют незаметно встроить туда жучок.

Владимир
Гость

а где реклама и как Вы получаете прибыль?

Полинезиец
Гость

а как с этим делом обстоит у blockchain.info ? Тоже возможно подсунуть и получить доступ ?

arvicco
Администратор

Если пользоваться сервисом через вебсайт, такой шанс, действительно, есть. Однако, вместо этого можно пользоваться плагинами к браузеру или приложениями с открытым кодом, где провернуть такой трюк гораздо сложнее.

wpDiscuz