Wyobraźcie sobie, że wyszukujecie coś online, np. w serwisie aukcyjnym. Nie znajdujecie i przekierowujecie się do siostrzanej porównywarki cen. Tam się Wam udaje i przechodzicie bezpośrednio do sklepu. Tam jeszcze odpytujecie aplikację WWW o dostępność towaru i – hop! – na płatność online, a najlepiej jeszcze na stronę kuriera. Myślę, że z bardzo dużym prawdopodobieństwem można założyć, że dziennie robią tak dziesiątki tysięcy Polaków, oczywiście za każdym razem przy użyciu szyfrowanych witryn https. Pełen spokój? To teraz przeczytajcie ten akapit jeszcze raz od początku i zobaczcie w ilu miejscach nasze dane mogą wyciec?
Oczywiście nikomu nie zarzucam złej woli i wszelkie podobieństwo do faktycznych firm jest absolutnie nie zamierzone. Po prostu przedstawiłem tak długą drogę, żeby pokazać Wam, w ilu miejscach podczas procesu wyszukiwania nasze dane (wędrujące oczywiście w zaszyfrowanej postaci tunelem SSL) są odszyfrowywane po to, by różne systemy mogły je przetwarzać. Czulibyście się lepiej, gdyby nikt ich nie odszyfrowywał? Pytanie chyba retoryczne, nie tylko dlatego, że odpowiedź jest oczywista, ale dlatego – tak się przynajmniej wydaje – że nie ma sensu. Bo przecież trzeba odszyfrować, żeby pracować na danych! Prawda? PRAWDA?
Ano nie do końca, bowiem szyfry homomorficzne, nazywane „Świętym Graalem kryptografii” w założeniu mają pozwalać na operacje na materiale bez konieczności jego deszyfrowania. Specjaliści z IBM twierdzą, że im pierwszym udało się znaleźć Graala, co – w opinii moich kolegów z Centrum Certyfikacji Signet, którzy chyba nawet śnią w standardzie X.509 – od zawsze było olbrzymim wyzwaniem, bowiem źle stworzony algorytm homomorficzny (wytrwałym polecam zerknięcie na anglojęzyczną Wikipedię, może oni zrozumieją dokładnie w szczegółach) zamiast pomóc może jeszcze bardziej ułatwić przeprowadzanie ataków na zabezpieczone nim treści.
IBM zabezpieczył już swoje prawa w postępowaniu patentowym, co mogłoby wskazywać na to, że są bliżej niż dalej finalnego produkcyjnego rozwiązania? A co jego wejście w życie oznaczałoby dla nas, klientów? Na pewno to, że panowie z NSA i innych literowych agencji mogliby już zwijać swoje mniej lub bardziej tajne światłowody, bowiem informacje przetwarzane w systemach nigdy nie byłyby odszyfrowywane, powrócilibyśmy więc do starych dobrych pojedynków kryptolog-kryptoanalityk, zamiast wchodzenia „na bezczela” do serwerowni. Że przynajmniej niektórzy cyber-przestępcy mogliby zacząć szukać uczciwego zajęcia, bo takie numery jak atak na sieć sklepów Target już by się nie udały. Generalnie świat byłby trochę lepszy.
Graphic: encrypteverything.ca under Creative Commons licence
