加密并不容易。美国国家安全局爆料者爱德华·斯诺登(Edward Snowden)此前想与记者格伦·格林沃尔德(Glenn Greenwald)通过加密电子邮件通信,但后者在观看了斯诺登制作的12分钟教程视频后,仍然搞不清如何使用著名的加密程序PGP。
纳迪姆·科贝西(Nadim Kobeissi)希望清除这种学习障碍。在本月晚些时候于纽约召开的HOPE黑客大会上,他将公布一款名为miniLock的多用途文件加密程序的beta版;该程序是一个免费、开源的浏览器插件,其设计目的是通过实际上无法破解的密码保护让用户在几秒内加密和解密文件。
科贝西表示:“我们的口号是这是一款花小钱办大事的文件加密程序。它非常简单、容易上手,使用的时候几乎不可能会让人感到迷惑。”
这位年仅23岁的程序员和安全顾问称,他的程序还处于试验阶段,还不能用于安全度要求较高的文件。他表示,自己的创造实际上可能是最简单的加密软件。WIRED杂志对该软件的谷歌Chrome浏览器插件早期版本进行了测试,能够在数秒内将文件拖放到程序中,将数据打乱,使得只有接收者才能使其恢复原状和进行阅读。miniLock可以用于加密从视频邮件附件到储存于U盘的照片等各种文件,或者加密文件以用于在Dropbox或Google Drive上进行安全保存。
和PGP一样,miniLock提供所谓的“公开密钥”加密。在公开密钥加密系统里,用户有两组密钥,一组是公开的,一组是私人的。他们可以与任何希望安全地向他们发送文件的人士分享公开密钥,任何由该密钥加密的文件都只能由私人密钥解密。
科贝西版本的公开密钥加密去除了所有复杂的过程。每一次miniLock启动的时候,用户甚至不需要注册或者登录,只需要输入一段通行码——不过miniLock要求该通行码包括最多30个字符或者多个符号及数字。输入通行码后,该程序将获得一个公开密钥,被称为miniLock ID,以及一个私人密钥。但是用户从不会看到私人密钥而且在程序关闭的时候,私人密钥会被抹除。当用户输入同样的通行码后,将获得相同的公开密钥和私人密钥。这种做法意味着任何人都可以在任何计算机上使用该程序,并且无需担心是否安全地储存或移动敏感的私人密钥。
“无需登录,也不用管理私人密钥。两者都被取消了。这就是特别之处,”科贝西说。“在任何安装miniLock的计算机上,用户都可以使用自己的ID发送和接收文件,无需像网络服务那样设立账户,也无需像PGP那样管理密钥。”
尽管具有如此多特色功能,miniLock或许不会在加密社区获得热烈欢迎。科贝西之前最出名的作品是安全聊天程序Cryptocat,该程序与miniLock相同,将加密程序变得非常简单,让即使5岁小孩也能使用。不过该程序也具有几个严重的安全漏洞,使安全社区很多人批评其为无用,或者(更糟糕的是)一个为用户提供隐私幻觉的圈套。
不过科贝西指出,这些漏洞已经被修复。现在,该程序的下载量接近75万次,并且在德国安全公司PSW Group上个月公布的安全程序排名中,Cryptocat位列榜首。
约翰霍普金斯大学密码学教授马修·格林(Matthew Green)表示,尽管Cryptocat推出初期存在漏洞,但miniLock不应该被否定。他之前曾指出Cryptocat的漏洞,现在也已经检查过miniLock的设计参数。
格林对于minilock持谨慎乐观的态度。“现在我还不会用它来加密国家安全局的文件,”他说。“不过它具有漂亮和简单的密码设计,出错的可能性并不是很大……这款软件可能还需要更多评测,不过有可能是非常安全的。”
科贝西称,他也从Cryptocat的失败中吸取了教训:miniLock一开始不会在Chrome Web Store发布。相反,他将在GitHub上公布该程序的代码供评测,并且特别花心思去详细记录该程序的运作原理。他表示:“minilock的开放行为是专门为了展示合理的编程做法、慎重的密码设计决定,并且使评估miniLock的潜在漏洞变得简单。”
如果miniLock成为首款真的是傻子都能用的公开密钥加密程序,复杂的加密世界将迎来更多新用户。约翰霍普金斯大学的格林表示:“PGP太麻烦了。这种能够让普通人加密文件的能力是宝贵的……科贝西消除了复杂性,使我们随心所欲地做想要做的事情。”