猎云网4月20日报道 (编译:圈圈)
猎云网注:这个时代,是智能手机与人们交好的时代,而消息应用是智能手机不可或缺的一部分。可是问题来了:现下流行的消息应用的保密性肿么样呢?会把手机里的私密信息泄露出去嘛?还有……停!!!这样一连串的问题,一个个回答起来头都要炸了。总之送你一句话:有了Zendo一次性乱码本加密技术,你就在也不用担心私密信息泄露的问题了。
我能告诉你一些事情吗?是一些很私密的事情哦?你会替我绝对保密嘛?
不要奇怪,我正在对我的新宠Zendo说话呢,它是我最喜欢的消息应用。
你也许会问,谁还想再安装一个消息应用呀,这不是很容易在跟朋友交流时造成困扰(消息应用太多)。但事实上,这个问题的答案很简单:那些在意隐私的人需要它。
如果你觉得隐私不重要的话,那么你问问自己是否愿意把网银密码、社会保险帐号、病历、居住地址告诉给陌生人,或者是把手机上的私人照片同他人分享。
人们通常会担心很多种数据的安全问题。即便是一些你不那么敏感的数据信息,比如你去过哪儿、你喜欢什么、你和谁说过话了、你买了什么之类的。事实上,很多主流社交媒体服务系统会将这些数据信息系统地整理出来,然后建立一个和你以及你生活息息相关的秘密档案,并把档案出售给广告商。
现在人们在浏览网页时,大量房贷、婴幼儿产品或者防脱发药膏的广告频频映入眼帘,可能你只会单纯地觉得这些广告很无聊;但事实上,这是很明显的侵犯隐私的行为,因为你在浏览网页时,你的浏览足迹被跟踪了。不过仔细想想,这不正是使用网上提供的一些免费服务所需要付出的代价嘛?
毫无疑问,这是一种商业模式。要是你在用Gmail和Facebook这一类的通讯产品时,你就会发现这种商业模式在其中占据了主导地位,因为它们的其中一项业务就是把用户的信息档案出售给广告商。但也不是所有的通讯产品都采用的是这种商业模式,像Wickr、Threema、TextSecure、Silent Circle公司的Silent这些消息应用就可以说是“另类”,它们有自己的商业模式。
现在,Zendo也加入了“另类”的行列,它刚刚在iOS操作系统和Android平台上发布。它要避免靠出售用户的数据信息来获利,志在开辟一条新的商业途径。
那么,“另类”消息应用的成员已经太多了,Zendo要怎样才能从它们之中脱颖而出呢?同类产品的加密技术都极其相似而且还相当繁琐无趣;而Zendo除了的操作超级简单外,还采用了一种不可能被破解的加密技术。
Zendo的加密技术,哪怕是中间人攻击都无法进入,这项技术被密码学家们遗忘了几十年。
一次性乱码本加密技术的再次崛起
Zendo的联合创始人Jack DeNeut(杰克·德纽特)在采访中说:“顾客应该是第一次使用这种一次性乱码本加密技术,它应该是密码学界唯一一种无法破解的加密技术。”DeNeut之前是一名投资银行家,但在上个世纪90年代掀起互联网热潮后,他就辞掉了华尔街的工作,加入电子商务创业公司。随后他又创办了旅游指南网站 Nelso.com(Nelso 应用的下载量达到 400 万次)。
Zendo的另一位联合创始人Tom Newbold(汤姆·纽博德)和DeNeut是多年的老朋友兼商业伙伴,他是一位捷克籍美国人,之前也是一位银行家。他们俩是在去年年初萌生了设计Zendo的想法,从那时开始他们就一直在想究竟要怎么做才能让Zendo在消息应用广泛使用的热潮中独占鳌头。有一天,当Nebold在阅读Neal Stephenson(尼尔·斯蒂芬森)的《编码宝典》时,他突然开玩笑的说可以用一次性乱码本加密技术来保护消息应用的安全。说到这儿的时候他们俩都不由地笑起来了。
一次性乱码本加密技术,在密码技术的发展史上并没有过多的记载,通常只有一些老派的间谍会使用。它是通过使用随机的数字(或字母)来组成密码,密码本的每一页只能使用一次。用过的密码页要么被烧掉,要么被吃掉,让间谍处于困境、不知所措,这些方法真是绝了。只要密码本不被别人看到,那么就只有使用随机组成的密码才能解密了,只有拥有密码本的人才能解开加密的消息,这就确保了加密消息的安全性。这正是业界所知的“完全前向保密”(用来产生密钥的元素一次一换,不能再产生其他的密钥)。
一次性乱码本加密技术存在着一个很大的问题,那就是不实用。因为一个乱码只能用一次,所以要是给新的文件加密时,你们就得和通讯另一端的小伙伴见面以达成一致意见,确定一个新密码。要是你每用一次就撕掉一页,那么很快就会用掉一本加密乱码本,这也正是这项加密技术不能流行起来的原因,这同时也注定了它不能像其它类型的加密技术那样成为网络安全的标准,而只能带着历史的印记成为一种过去。
一次性乱码本加密技术可以说是密码学上的一朵奇葩(“独角兽”)。大家都知道它的保密功能是无懈可击的,安全系数超级高;但是从它的历史发展史来看,它的可用系数着实不高啊,通常只有间谍和外交官会用到它。
在觉得把一次性乱码本加密技术用到消费者日常生活中的消息应用上很可笑之余,DeNeut仔细思考了这个想法。他觉得智能手机是解决这一加密技术不实用问题的最好设备,因为它有超强的处理能力、大量的存储空间、内置摄像头还运用了安全传输技术,所有的这些技术都能让一次性乱码本的传输和管理变得实际可行,让这一加密技术在普通消费群里得到全面推广。
“一次性乱码本加密技术可以说是密码学史上的“独角兽”。大家都知道它的加密效果是坚不可摧的,安全系数相当高;但一直以来,它都很不实用,通常只有间谍和外交官会用到这种加密技术。所以,它的可用性不强已经成了一种共识,在人们眼里它是不可能成为一种大众消费的。”DeNeut在接受采访时说道。
“人们最后一次见到这种加密技术是在20世纪90年代,那时笔记本电脑还是一种奢侈品。那个时候,你需要把你的电脑拿到我家,我们把两台电脑连接起来,相互交换重要的密码信息,然后你再把你的电脑抱回家,之后我们就还可以进行关键密码材料的交换了。但是现在不一样了,笔记本电脑可以说是一种必备品了,而且它自身的功能也相当强大,有超强的记忆能力、信息存储能力还能随机生成大量的数据。换句话说,这就为该加密技术的流行提供了便利。”他在采访中还说道。
当有人问DeNeut为什么在他们俩之前没有人想到把一次性乱码本加密技术用到智能手机的应用中的时候,他的回答是这样的:“这样的情况,在科技领域很常见;其实,很多时候我们都没有好好利用科技。如果有人想到了一个好点子,就应该立马把它付诸于行动,不要去顾虑一些陈旧的限制条件,在这个时代什么限制都不算是限制,我们完全有理由做我们自己想做的事。”
Zendo的一次性乱码本加密技术的唯一一个要求是:用户必须得亲自见面才能交换密码页。毫无疑问,这肯定是其一个巨大的局限性,但是这样还是很有好处的。Zendo消息应用对于那些呆在一起时间长、但又都想有自己的隐私空间的人来说就非常有用,比如亲密无间的朋友或其他重要的人。如今的社交网络可以说是越来越乱了,社交信用也是越来越离谱了,就连陌生人(有可能他还不是人)都可以随随便便给他人发送信息。Zendo和别的消息应用完全不一样,它有选择功能,能过滤掉一些没用的信息,所以有了Zendo,你不可能会收到垃圾邮件;当然,要是你的朋友们喜欢发垃圾邮件,那就另当别论了。如果你是一位家长,很担心自家孩子到底在网上跟谁聊天,那么你就可以让孩子通过Zendo只和同学、家人联系就好了。Zendo要求人们当面交换密码页,这就成为了人们与朋友见面的借口。名人们要是厌倦了每隔几周就需要更换电话号码、通讯 ID 的话,Zendo也是个不错的选择。因此,Zendo的卖点除了它的安全加密性极高以外,当然就是它能增强人们之间的联系,促进感情了。
现在公司的员工总会带着自己的办公设备上班,这也就是眼下流行的BYOD趋势(自带办公设备趋势)。要是公司的老总担心这样会威胁到公司业务的安全,那么Zendo对他们来说就太及时了。虽说Zendo的设计初衷是作为一款消费者应用,免费下载和使用;但Newbold建议要是公司想要把它用来辅助自己业务,管理自己的员工也是完全可以的;这就很可能成为前面提到的属于Zendo的获利新途径:向想要自行架设 Zendo 服务器的企业授权,这样公司就不是靠Zendo的服务器而是靠自己公司的服务器来管理员工,这肯定能让企业有更强控制力。
在应用内购买高级功能可能是Zendo另一条获利新途径。但是他们俩暂时还不急,在这方面没有做过多的打算。他们的初创企业得到了一位布拉格天使投资人七位数的投资,所以他们两人可以先全力专注于获得用户,之后再确定商业模式。商业交谈很重要,因为在交谈过程中,不管是谈话的人还是主题都会引起你的注意,恰好这些对建立何种商业模式很有意义。
Zendo是如何工作的呢?
你把Zendo下载下来过后,要和你想发送消息的人呆在一起,不管你们之间谁选择了应用内的QR二维码,另一个则需要用Zendo来扫描二维码,这样就可以实现密匙的交换了。iOS移动操作系统下的智能手机是通过Multipeer(新型网络框架使得就近设备互通互联)实现的上述操作的,Android系统下的则通过Wi-Fi Direct(Wi-Fi Direct标准是指允许无线网络中的设备无需通过无线路由器即可相互连接)实现的。你使用Zendo和任何一个人发送消息,都得重复上面所述的步骤,这就显得Zendo使用起来特别不方便;要是好友列表里的好友没了,你还得在下次见面时,重新加他一次。
“第一步与光学技术有关,首先是256位的AES(高级加密标准)密匙进行交换,另外还要输入验证密匙;这些都是使用一次性乱码本加密技术的关键,通过Multipeer或Wi-Fi Distict进行无线传输,同时还伴随着AES密匙的交换;所以就算是有人试图提取用户的数据包,或是直接提取Wi-Fi Direct、Multipeer的数据信息,他们得到也只是些毫无意义的东西罢了;因为密匙在交换时,相应的数据信息就被加密了。”Newbold在采访中说道。
“电子扫描也属于第一步,在这个过程中无线电波扫描不到任何数据信息,所以你嗅探不到数据包。如果有人在你扫描过程中进行干涉,那么他们必须得是趴在你在肩膀上看到了每个密匙的扫描过程,否则他们休想进行干扰。“Newbold补充说道。
扫描的过程只有几秒,交换的密匙也只有0.5MB,但这足以保证让用户之间可以交流上千条信息了。据Newbold保守估计,每条信息的长度超过3000字。你还可以交换更多的密码页,让以后的文件可以储存更多字节。(也就是说,如果用户把密码页用光了,这款应用的AES加密技术就不能使用了,之后你写的每条信息将不被加密,它的信息安全级别仅限于一般的行业水准)。
Zendo还可以发送图片,图片也有一个单独的256位的AES密匙和HMAC认证码,图片在被发送时用的又是另一个一次性密码,所以这些照片是通过动态命令保存起来的 ,发送它们不需要花费太多密码页。你发送视频、音频、文件时都可以采用这种加密方法;当然它也可以传输附件形式的文件;随着以后应用的不断更新,它的功能将会越来越强大。
还需要指出的一点是,使用Zendo所进行的一切活动都是匿名的。它里面没有任何注册数据信息(没有邮箱地址、没有电话号码等等与个人信息有关的数据)。它只是随机给用户分配几个标识符。“在我们眼里看似不可攻破的密匙,不过是附在一些随机抽取的名字上的字符罢了。”这是DeNeut在看到他们应用服务商中的数据信息后总结出来的一句话。
他们在数据信息中看到了Zendo的IP地址,但是他指出他们并没有将这些数据保留下来。“我们正在把与此相关的所有日志清理掉…我们不能不把相关的日志转交给第三方。”DeNeut在采访中继续说道,“我们认为但凡是消息应用,多会得到有关部门监察用户数据的要求,但他们在了解Zendo后,会知道他们无法那样做。”
“事实上,我们很担心它不能马上进入中国市场。”DeNeut在采访中还补充说道。
什么才算是安全中的安全呢?
Zendo现在还没有公开投入使用,所以它希望顾客能够给予信任,相信真实产品和其描述的保密效果毫无出入。他们把源代码公开给了一位个体安全评审(Geoffroy Couprie)以供审查,Newbold和DeNeut说Couprie对审查结果很满意,只给出了少数几条建议。
“我觉得Zendo并没有什么太大的问题,它的设计目的很明确。”Couprie在接受采访时点评道,“其实很多消息应用都存在远程信任问题,就是假如你有时想和别人聊些隐私问题,你就得先建立一个安全渠道,但是在某种程度上这个渠道很难被建立起来。Zendo刚好可以解决这个问题,因为用户必须要面对面交换密匙才能看到加密消息,这样一来的话安全渠道不就有了嘛,用户就不必担心它会像其它消息应用那样存在很大的安全隐患了。”
最后他还加了一句说:“一次性乱码本加密技术操作起来很容易,交换密匙也很简单;想必也正是如此,它用起来很方便,审查起来自然也很方便了。”
“用户没必要嗅探自己移动设备的数据包,因为在你使用该消息应用时我们没有可以记录你邮箱地址一类的密码、信息记录服务商。你只需要注意在使用Zendo时,密匙没有被泄露就好了。”DeNeut在采访中说道。
“从应用的内部特征来看,Zendo和其它消息应用的不同之处在于其它应用的聊天者想在中途加入聊天对象的话,他们就得通过网络交换密码,这样做存在着很大的安全隐患。因为任何一位在此方面有研究的研究人员都可以嗅探到数据包,获取设备之间传递的信息。”他在采访中提到。
随机抽取的密码字符会不会是彼此相连、相近的数字呢?如果是那样的话,不会降低一次性乱码本加密技术的稳健性嘛?DeNeut对此的回答是:“这的确存在一定的理论限制,如果随机挑选有一定的缺陷,你就得把系统中的十几亿的信息收集起来,因为它们都有可能是造成随机选取有缺陷的致命点。”
Newblod着重强调了一点,大多移动设备的消息简易传送方式也很有可能增加挑选出可利用型的随机字符的难度;如果真是这样的话,那么至少在一开始使用Zendo时,它没有一套系统的资源材料能引起解密高手的注意。
要是条形码中注入了恶意的编码信息,估计你就该担心QR二维码的安全性了;从光交换的角度来说,QR二维码是这款应用安全性能的折中点。所以,当你在和别人交换密码页时,扫描他Zendo应用上的QR二维码时,有一个潜在的前提:你对他的信任。因此,人们之间的信任能够减低与此相关的安全风险性。
还有一个很大问题是和喜欢网上聊天的人有关,就是他们是否相信并且愿意把一个新的消息应用下载到自己的主屏幕上,尤其是那些很了解消息应用的人。不考虑Zendo的动态口令特征,它就是一个极具抽象风格的消息应用;用户要是按自己的喜好出发,可能就会觉得它要么是界面不整洁,要么特征不明显了。它也不像刚发布的Meerkat,属于现下很流行的媒体直播应用。
如果你是个侦探小说迷,你肯定会觉得一次性乱码本加密技术很酷,这种加密技术给Zendo带来的好处已经淹没这个应用本身。他们想用最简单的方式跟人们介绍Zendo,就只作了一个很可爱的视频来宣传,但即使是这样也掩盖不住其采用的加密技术的光芒。
Zendo有一个独特的特征,它允许用户通过其它消息应用发送Zendo里的加密信息。所以,信息在被转换后再自动发到Zendo上后,用户看到的就是未被加密的信息了。
Newbold说这个特征的实用性非常强,如果Zendo应用内的服务器遭受了攻击,而它恰好又有用户重要的工作资料,那么用户就可以借此方法将重要的信息转出去。这个过程的重点在于:一旦你交换了密码页,加密信息很可能会以各种不同的途径传播开来,有些消息甚至会出现在Twitter以及报纸的分类板块信息栏上。收件人只需要对从Zendo上转出来的加密文本信息进行复制、粘贴,然后再用密码把文本信息返还到Zendo中就好了。传递消息的应用完全是用户根据自己喜好选择的,比如说iMessage。选好了消息应用后,Zendo里的加密信息就可以和它相连接起来,收件人收到信息后,只管点进iMessage去看好了。
“那么谁才是我们的竞争者呢?老实说,每个人都有可能成为我们的竞争者。我从来没有因为一次性乱码本加密技术很新颖,就认为我们就没有竞争者。某种程度上,像Wickr、Threema、TextSecure、iMessage、Silent Circle这些消息应用都是我们的竞争对手。”DeNeut在采访中说道。上述的这些在消息应用都是在信息加密方面做得很好前辈,都是我们强有力的竞争对手,他们一再地指出Zendo的一次性可编程专利。“据我们了解到信息来看,他们之中没有任何一款应用有面对面交换密匙的过程。”DeNeut说道。
私密短息应用Threema使用的是非对称加密方法,这种方法不仅有公共密匙还有公匙目录;实际上也是要求人们面对面进行QR二维码的扫描,但它不涉及加密匙的交换(这一步只是进行公共密匙确认)。鉴于它不是用的一次性乱码本加密技术,所以Threema不能宣称它是“加密技术的独角兽”。
Newbolt还提到:“上述的这些应用都遭受过中间人的袭击。对于我们来说,Zendo的光学组成部分(也就是QR二维码)是整个应用开发过程中很重要的一部分;但是有的用户却以为它是整个应用的全部。他们认为交换密匙是一件很炫酷的事,但实际上真正炫酷的是它是在两个人面对面的情况下,在两个不同的移动设备进行无形的交换。”
还有一件事需要提一下,Zendo并不是宣称它是一款“NSA proof”(国家安全局都不能介入)消息应用。它甚至都没有公开宣称过是完美前向安全,也就是Zendo同样会存在这一些不安全因素。“我不知道你在你的iPhone 上安装了什么存在风险的应用。”DeNeut在采访中说道。其实,这就指出了危险因素存在的原因;他还补充了一句说任何一个头脑清醒的人都不会宣称自己应用提供的数字服务是“NSA proof”。
用户自己安装的恶意软件并不是不安全因素存在的唯一原因,这还可能与手机本身通讯组建的硬件配置有关。手机硬件的安全方程式中的基带芯片至今还是个迷,它们管理着各自不同的专有软件,所以它们不可能去打开其它软件、看看它们里面的构造、扫描它们的内置秘密信息以检查其是否具有安全风险。
Zendo的一次性乱码本加密技术很完美,那要是写在纸上的秘密呢?这个就实在没必要将其转换成科技文本了,你自己把保密工作做好就对了。智能手机的确很方便,但是手机的安全性能并不完美。所以,Zendo的加入让智能手机集方便性和安全性一体,让二者达到一种平衡的状态。
Zendo是为谁而设计的?
Zendo作为一款简单好用的工具对人们还是很有吸引力的,它可以选择性地监管,比如监测这家网络公司有没有靠广告收取利润,有没有随意黑客想要盗取你的密码呀,或者搜索网的数据监测有没有不分青红皂白的进入因特网的主干网以获取大量的数据。用户进行离线密匙交换可以更好地提高传递加密信息的安全性。(“你可以让Zendo接近你,减少它的受攻击面;可能这样做让会你觉得很束缚,因为你不能用它做很多事,但是这样至少提高了它的安全性”,Couprie的原话是这样。)
“如果你是某次调查的目标,那我们就很难确保你的安全了。”DeNeut在采访中补充说道。
我们认为这款应用适合每个人,因为你在生活中没必要只用一款消息应用。
国家安全局的观察团成员在Zendo上找不到太多他们需要的东西,其实他们就不应该这么做,Zendo不是他们的目标。它只是一款适合普通网络用户的消息应用,用户要是厌倦了自己的数据活动信息老是不断地成为他人获利的工具,想要建立一个安全渠道让搜索网难以接近自己的数据信息,他们就可以选择Zendo;还有那些觉得主流数据服务上的社会噪音干扰了消息信号,使获得真正有用的信息都变得很困难的人们也可以选择Zendo。我们正在寻找一种能够促进亲密交流的办法,让人们在嘈杂的社会环境中也能轻松地进行交流。
“每个人有两、三款消息应用是件很正常事,要是收到了消息通知,你只需点进去查看道消内容就好了;你打开此应用,就能回复收到的各种消息。所以,拥有多款消息应用完全不碍事。”DeNeut在采访中说道。
“每个人都有私密聊天对象。”他在采访中还说道,“比如对你来说很重要的人、生意伙伴;甚至有时候你还得把密码、公寓的门编号给别人呢;这样做有利于加深朋友之间的感情。朋友之间亲自见面,交换密匙自然就不在话下了;只要你要确保给他们发送的消息, 不会出现在Facebook或其它的通讯应用上就好了,这样会影响到你的利益。”他还说道。
“社交媒体记录了千禧一代(1984-1995年出生,他们差不多与电脑同时诞生)从出生到现在的所有生活,他们对此超级敏感。”Newbold补充说道,“他们逐渐意识到Google的替代服务,你是用自己的数据信息换来的服务。” Snapchat(一款由斯坦福大学两位学生开发的一款“阅后即焚”照片分享应用)的存储功能是短暂的,它帮那些不想让自己的私人时刻成为永久记录的人解决了难题。”
一条消息如果通过多种消息应用和设备的传递,那么最后的数据信息就毫无完整性可言了。出现这样的情况,绝非偶然。这肯定和用户参考有关,也就是消息的数据传输介质。从这方面来看的话,Zendo的隐私功能、亲密程度绝对会让你觉得它独树一帜,它能找到懂得欣赏它的用户。想必,大家现在都很期待Zendo的加密技术吧!
Source:TC
想了解更多创业创新知识,快添加猎云网微信公众账号:ilieyun
