Соучредитель OKCupid Макс Крон считает, что люди готовы любить шифрование

  • 29-10-2020
  • комментариев

Серийный предприниматель Макс Крон, в настоящее время генеральный директор Manhattan's Keybase. Кейтлин Фланнаган для Observer

Во вторник стало известно, что генеральный директор Equifax Ричард Смит уходит в отставку после того, как его компания неверно сообщила о том, что киберпреступники украли чрезвычайно конфиденциальные данные о 143 миллионах человек. Для сравнения: по данным Бюро статистики труда, в Америке 152 миллиона работающих людей.

Обычные люди могут начать понимать, что есть причина, по которой мы должны беспокоиться о том, что так много информации о нашей жизни хранится на серверах крупных компаний. Два опытных предпринимателя запускают небольшой стартап, созданный для упрощения создания веб-приложений и мобильных приложений с первого дня, которые делают данные недоступными для чтения цифровыми злоумышленниками. Фактически, он шифрует данные таким образом, что даже если вы пользуетесь услугами какой-либо компании, эта компания не может видеть, что вы с ней делаете.

Эта новая компания называется Keybase. Его миссия: сделать шифрование популярным. После двух лет серьезных нарушений, завершенных Equifax, возможно, настало время для них громко заявить о блокировке данных.

Максвелл Крон и Крис Койн стали соучредителями компании. Раньше они были наиболее известны тем, что создали прорыв среди первых сайтов бесплатных знакомств, OKCupid (сооснователи Сэма Ягана и Кристиана Раддера). Они покинули сайт знакомств в 2012 году, после того как его приобрела Match, и не случайно они начали бизнес по шифрованию. Дуэт сказал Fortune, что этот проект - своего рода наказание после того, как миллионы людей использовали ультразвуковой TMI внутри своего продукта.

Вы написали этому чуваку сообщение о странных вещах, которые вы любите делать с силиконовыми поддонами для льда, и это признание навсегда останется в недрах Match Group.

Шифрование не ново. «Pretty Good Privacy» существует с 1991 года, и, насколько всем известно, никто не сломал ее. Шифрование тоже не новость для Крона. Он математик, который всегда был математиком. Хорошо известно, что OKCupid основан на математике. Будучи студентом, он изучал практические приложения математики. В качестве стажера он построил систему для прослушивания телефонных звонков, доказав необходимость шифрования. Затем он защитил докторскую диссертацию в Массачусетском технологическом институте по вопросам безопасности, создавая OKCupid, явно незашифрованный сайт, но очень основанный на математике.

Но хотя шифрование устарело, оно не особенно удобно для пользователя. Это то, над чем Keybase работает последние два года, системой, которая защищает людей, но ее нетрудно реализовать.

«Я думаю, что многие люди, работающие в сфере технологий, должны немного опасаться печатать некоторые вещи, которые они вводят в Slack»

Их следующее препятствие еще выше: убедить общественность в том, что она должна требовать продукты, защищающие их данные. Шифрование всегда было в цифровом мире эквивалентом употребления овощей в пищу. Keybase хочет превратить их в хорошо прожаренные овощи с легкой медовой глазурью.

«Возможно, четыре года назад никого бы это не волновало, но я думаю, что в настоящее время это действительно главное для всех», - сказал Крон в интервью Observer во время интервью в финансовом районе WeWork, где сейчас находится штаб-квартира компании. «Я думаю, люди действительно начали понимать, что все, что покидает ваш компьютер, прежде всего, невозможно удалить, это одна из самых страшных вещей».

«Каждый» может быть сильным термином. Спросите своих родителей, каковы их пароли электронной почты, чтобы увидеть, насколько глубоко проникло сознание безопасности.

«Моя мама никогда не понимала, над чем я работаю. Я пробовал миллион раз, так что это своего рода проблема, - признал Крон. Тем не менее, обычные люди начали принимать меры. У нас длинные и странные пароли. Мы загружаем Google Authenticator и используем его при входе в GMail и в наше приложение для паролей.

Но пароль и двухфакторная аутентификация - это всего лишь замок на двери в дом. Когда злоумышленник попадает в цифровой дом, сокровища, которые он хранит, даже не нужно забирать. Их можно просто скопировать. С невесомыми активами недостаточно запереть дверь. Товары также должны быть заперты внутри - они должны быть зашифрованы, чтобы этого было недостаточно, даже если кто-то пройдет через дверь.

Крис Койн вместе с Кроном стал соучредителем Keybase. Они также входили в состав команд-основателей OKCupid и SparkNotes. Кейтлин Фланнаган для Observer

«Стиль Facebook таков: просто доверяйте нам», - говорит Крон. Компания просто обещает своим пользователям, что они могут вести все эти частные разговоры на сервисе, создавать чрезвычайно показательные цепочки данных, а Цукерберг потратит столько денег на безопасность, что никто не сможет проникнуть внутрь и прочитать их в виде обычного текста (что не было) Это так хорошо работает для самых известных людей в Instagram, принадлежащем Facebook). Репортер, пишущий для The Guardian, столкнулась с огромным объемом своих данных в Tinder, когда она запросила и получила все свои данные от компании. Даже мысль о том, что какой-то рабочий в компании просматривает ее показания, когда они упаковывают их, унизила ее.

Большинство компаний сегодня стремятся заработать деньги на монетизации ваших данных, поэтому они, естественно, будут сопротивляться шифрованию, но давайте представим компанию, которая в теории нормально работает с шифрованием. Это другая проблема. С точки зрения пользователя, шифрование может сделать использование сервиса проблемой.

Самое сложное в шифровании - это ключи. Ключи - это фрагменты данных, которые позволяют людям обмениваться секретными сообщениями.

Один ключ - открытый, другой - частный. Лучше всего, чтобы этот закрытый ключ никогда не касался Интернета, так как же пользователь может перенести свой закрытый ключ с (скажем) своего ноутбука на свой мобильный без Интернета? Решение Keybase: не надо.

Keybase считает, что она улучшила взаимодействие с пользователем, создав пару открытого и закрытого ключей для каждого устройства, которое пользователь авторизует. Затем он создает базу данных открытых ключей, так что любой, кто хочет создавать приложения с сквозным шифрованием, может быстро найти ключи для нового пользователя. Вместо того, чтобы шифровать данные только одним закрытым ключом, он шифрует их на каждом устройстве, связанном с учетной записью пользователя.

Настольное и мобильное приложение Keybase теперь оснащено мессенджером и платформой для совместной работы в стиле Slack под названием Teams. Keybase

Чтобы вселить уверенность в том, что люди, указанные в Keybase, являются теми, кем они себя называют, Keybase призывает пользователей подтверждать свою личность криптографическим способом в социальных сетях. Keybase - это собственная социальная сеть, но она не для обмена фотографиями еды или печальных обновлений статуса. Это место, где Мэри может сказать: «Это действительно Билл», а Билл - «Это действительно Мэри». При достаточном количестве подобных аттестаций людям становится действительно сложно выдавать себя за того, кем они не являются.

В прошлом году Twitter подтвердил аккаунт (недавно умершего) суперзвезды рестлинга Бобби «Мозг» Хинана. С помощью такой системы, как Keybase, люди в сообществах подтверждают себя. Возможно, это не совсем похоже на корпоративную галочку Twitter, но было бы намного надежнее.

«Мы пытаемся решить проблему идентификации криптографически безопасным способом», - говорит Крон. «Мы хотим построить этот график, показывающий, кто такие все в мире».

Но чтобы доказать, что шифрование действительно помогает, Keybase должна дать людям возможность что-то с этим сделать, прежде чем разработчики придумают, что с этим делать. Он создал приложение для обмена сообщениями, но уже существует миллион приложений для обмена сообщениями. Это утомительно для масштабирования.

Итак, он выпустил альфа-версию Keybase Teams, которая представляет собой зашифрованный ответ Slack. Slack - это внутриофисная доска объявлений, построенная с использованием дополнительного дизайна TLC.

«Я думаю, что многие люди, работающие в сфере технологий, должны немного опасаться ввода некоторых вещей, которые они вводят в Slack», - сказал Крон. «Например, если вы работаете с другими инженерами, вы, вероятно, переносите много ключей API».

Ключи API в основном такие же, как и пароли. Это потенциально может позволить злоумышленнику проникнуть прямо внутрь продукта компании или одной из их критических учетных записей в другой компании, и все это будет храниться в виде обычного текста на серверах Slack, доступное для просмотра по крайней мере некоторым людям внутри компании. Это опасно.

Фактически, мы недавно рассказали, как разработчики, создающие Slack-ботов, случайно оставляли ключи API в своем коде на Github, потенциально давая хакерам ключи от учетных записей своей компании.

Старая школа безопасности, только закрытый ключ. Адам Джонс / Wikimedia Commons

Крон сказал: «Очень сложно удалить данные, когда они попадают в базу данных. И людям страшно думать, что все, что они пишут сегодня, будет бесконечно компромиссным ».

Эти данные резервируются, копируются и анализируются на всех серверах компании. Как пользователь может узнать, что он отключен, если он прекратил обслуживание? Показательный пример: кибер-активисты взломали Ashley Madison именно потому, что она не стирала данные, которые, как они сообщали пользователям, они стирали. Единственная уверенность в том, что компания никогда не получит доступа к конфиденциальным данным, если они никогда не будут иметь его.

Таким образом, Keybase считает, что у него есть преимущество для компаний, которые хотят использовать что-то вроде Slack, но не хотят, чтобы сотрудники Slack видели их болтовню. «Преимущество использования такой системы, как Keybase, состоит в том, что на наших серверах никогда не хранятся данные в виде открытого текста. Все, что у нас есть, зашифровано, поэтому мы не можем его прочитать », - сказал Крон.

По правде говоря, Keybase создала команды, чтобы убедить инженеров в том, что ее структура работает без сбоев. Затем они надеются, что разработчики будут использовать его для создания других зашифрованных продуктов.

«По сути, это утилита низкого уровня, на которой, как мы думаем, могут быть построены другие вещи», - сказал Крон. С большим хранилищем ключей другие продукты становятся проще. Зашифрованный Dropbox. Зашифрованный сшиватель. Зашифрованные карты.

Мы спросили его, есть ли способ проводить зашифрованные онлайн-свидания, и определенно казалось, что Крон был готов никогда больше не говорить об онлайн-свиданиях. Тем не менее, он сказал нам, что, хотя это сложно, кто-то решительный, вероятно, сможет его построить. Академические криптографы делают то, за чем он сейчас едва может уследить, но потенциал есть.

Keybase - не первая компания, которую мы рассмотрели, которая способствует лучшему пользовательскому опыту для услуг с сквозным шифрованием. Virgil Security - это шифрование как услуга. Blockstack убирает зашифрованные данные в существующую облачную инфраструктуру. Когда множество предпринимателей заинтересованы в строительстве для решения проблемы, это может быть ведущим индикатором того, что общественность близка к их решению, но кто-то должен быть готов рискнуть не только построить ключевую систему, но и построение действительно работающего продукта на основе этих ключей.

«Я думаю, что до вчерашнего дня, - сказал нам Крон на следующий день после публичного выпуска Teams, - мы действительно не чувствовали себя там. Мы чувствовали, что у нас еще много работы. Теперь мы чувствуем, что приближаемся к тому, что люди могли бы использовать ».

комментариев

Добавить комментарий