Danas gotovo svaka aplikacija za razmenu poruka obećava “bezbednost” i “šifrovanje”. Ali u stvarnosti, postoji ogromna razlika između “privatnog mesindžera” i stvarne nezavisnosti korisnika.
Većina modernih platformi i dalje je izgrađena oko poverenja u kompaniju. Od korisnika se očekuje da veruje da:
* servis ne čita poruke;* ključevi za šifrovanje su zaštićeni;* zaposleni nemaju pristup;* podaci neće biti deljeni sa trećim stranama;* bekapovi su sigurni.
Ali prava bezbednost ne počinje tamo gde kompanija kaže “ne gledamo”, već tamo gde sistem tehnički onemogućava bilo kakav pristup.
Upravo na toj ideji je izgrađen Verum Messenger.
Osnovni princip Veruma: pristup ima samo korisnik
U Verum Messenger-u ključevi za šifrovanje se generišu i čuvaju isključivo na uređaju korisnika.
To znači da:
* server ne čuva ključeve;* developeri nemaju pristup razgovorima;* poruke ne mogu biti “obnovljene” preko administracije;* čak ni tvorac sistema ne može pristupiti nalogu bez korisnikovog ključa.
Ključ pripada samo vlasniku.
Korisnik može:
* da ga čuva lokalno;* da ga prenosi ručno;* da pravi bekap gde god želi;* da u potpunosti kontroliše pristup svojim podacima.
Sistem nije zasnovan na poverenju u kompaniju. Zasnovan je na tome da poverenje uopšte nije potrebno.
Zašto je odsustvo pristupa važnije od obećanja
U mnogim popularnim servisima bezbednost se zasniva na izjavama poput: “Ne čitamo vaše poruke”.
Ali ako arhitektura platforme teoretski omogućava pristup korisničkim podacima, korisnik je i dalje primoran da veruje:
* vlasnicima kompanije;* zaposlenima;* internim politikama;* budućim izmenama servisa;* državnim pritiscima;* mogućim curenjima podataka.
Verum koristi drugačiji pristup: ako servis nema ključeve, fizički ne može da dešifruje korisničke podatke.
To je suštinska razlika između:
* “nećemo gledati” i* “ne možemo da gledamo”.
Zašto su brojevi telefona slaba tačka
Mnoge aplikacije za razmenu poruka zahtevaju broj telefona kao osnovu identifikacije. Ali broj telefona nije samo način registracije.
On:
* je povezan sa identitetom osobe;* može se koristiti za praćenje;* povezuje naloge između servisa;* ranjiv je na SIM-swap napade;* zavisi od mobilnog operatera.
Verum uklanja ovu zavisnost.
Bez SMS verifikacije i operatera, rizici od:
* gubitka anonimnosti;* preuzimanja naloga;* oporavka naloga od strane trećih lica
značajno se smanjuju.
Open source i auditi: zašto debata traje
U industriji sajber bezbednosti, open source kod i nezavisni auditi se često smatraju načinom za povećanje poverenja u sistem.
Argument je jednostavan: ako se kod može pregledati, lakše je otkriti skrivene mehanizme i ranjivosti.
Ali postoji i drugo gledište.
Neki smatraju da stalno otkrivanje interne arhitekture takođe stvara dodatne rizike:
* napadači dobijaju više informacija;* korisnici slepo veruju reči “auditirano”;* bezbednost postaje marketing.
Iz ove perspektive, prava zaštita ne zavisi od glasnih tvrdnji ili reputacije stručnjaka, već od same arhitekture sistema:ako servis ne čuva ključeve i nema tehničku mogućnost pristupa podacima, to već predstavlja osnovu privatnosti.
Privatnost nije obećanje, već ograničenje sistema
Osnovna ideja Verum Messengera je jednostavna:
najbolji način da se zaštite korisnički podaci je da niko osim samog korisnika ne može da ih kontroliše.
Čak ni vlasnik platforme.
Ovo u potpunosti menja model poverenja: korisnici ne moraju da veruju obećanjima kompanije, jer sistem od samog početka ograničava bilo kakvu centralizovanu kontrolu.
U ovom pristupu, privatnost prestaje da bude samo funkcija.
Postaje arhitektonski princip.