אחרי האירועים החדשותיים של השבוע האחרון - ממעצר אנשי טלגראס ועד לדיווחים על פריצה לטלפון של בני גנץ - נראה כאילו התעורר עניין מחודש בהצפנה סלולרית. כי כשחברות מסחריות משתמשות במידע שלנו כדי לתפור לנו פרסומות, זה דבר אחד, אבל האיראנים ומשטרת ישראל? זו כבר חציית גבול! אז לפני שאתם הולכים לקבור את הטלפון בחולות מחשש שמישהו יגלה כי השתמשתם בטלגראס, הנה קצת מידע על הצפנה בכלל, והצפנת קצה-לקצה בפרט
בפשטות, הצפנה היא דרך לקחת מידע ולשנות אותו כך שיהיה בלתי מובן. זהו צד אחד של מטבע, שצידו השני הוא פענוח. אם להיות קטנוניים, אז אפשר להצפין מידע כך שאי אפשר יהיה לפענח אותו, אבל אלה לא התסריטים שעליהם אנחנו מדברים. למעשה, אם יש לכם תסריט הגיוני שבו צריך להצפין מידע כך שלא יפוענח על ידי אף אחד אף פעם, נא השאירו אותו בתגובות.
האנושות מצפינה מסרים כבר אלפי שנים, בין אם כדי שאויבים לא יוכלו לקרוא אותם במקרה שייורטו בדרך מהשולח למקבל, ובין אם כדי להעביר מידע רגיש. צופן אתב"ש הוא דוגמה טובה להצפנה עתיקה בשפה העברית.
עד שנות ה-70, ההצפנה שהאנושות ידעה הייתה סימטרית. זה אומר שנדרשה החלפה של מפתח הצפנה-פענוח סודי בין שני הצדדים. נגיד, אם מחליטים להסיט את כל האותיות במסר שלוש אותיות קדימה, זה סוג של מפתח. גם אם משתמשים במפתח חד-פעמי, כמו דף שמסביר איך להצפין ואיך לפענח מסר בודד, זו עדיין הצפנה סימטרית.
ואז הומצאו להן מספר שיטות להצפנה לא-סימטרית. זו הנקודה שבה מתמטיקאים ואנשי סייבר מתחילים להשחיז סכינים, כי עם כל הסבר לגבי הצפנה לא-סימטרית אפשר להתווכח, אז בואו נאמר בפשטות: מדובר בהצפנות שבהן יש מפתח ציבורי ומפתח פרטי. את המפתח הציבורי אפשר להפיץ לכל המעוניין, כי באמצעותו אפשר רק להצפין מסר - לא לפענח אותו. הפענוח נעשה רק באמצעות המפתח הפרטי.
והנה פרט טריוויה מעניין: לאורך שנים נחשבו הפרוטוקולים דיפי-הלמן (1976) ו-RSA שבא שנה אחריו לשיטות ההצפנה הלא-סימטריות המוקדמות. רק בסוף שנות ה-90 התברר כי עוד ב-1973 המציאו באחת מסוכנויות הביון של בריטניה, GCHQ, הצפנה דומה מאוד לזו של RSA. ההמצאה תועדה, סווגה כסוד צבאי ותויקה בארכיון מבלי שתתפרסם או תשמש את הבריטים.
כשאומרים לכם שהתקשורת שלכם מוצפנת, השאלה שצריכה להישאל היא "באיזה קטע?" - ולא כסלנג אלא תרתי משמע. חשבו על זה ככה - התעבורה בהודעה שנשלחת מכם לסוחרי הסמים שלכם עוברת דרך ארוכה מטלפון לטלפון. עד לא מכבר, נהוג היה להצפין את התעבורה עד לשרת של ספקית השירות שבו אתם משתמשים, ואז מהשרת למכשיר המקבל. באמצע, על השרת, ההודעה הייתה מפוענחת. זה היה קל יחסית, כי כל ענייני ההצפנה נוהלו בין כל משתמש לשירות.
אך מאז שלאנשים אכפת קצת יותר מהפרטיות שלהם, יותר ויותר שירותי הודעות עוברים להצפנת קצה-לקצה. זה אומר שאתם מנהלים תקשורת מאובטחת ישירות מול הנמען, וגם אנשי השירות עצמו לא יכולים לראות מה כתבתם, אפילו אם הם רוצים. אם היינו חיים בעולם מושלם, כאן הכתבה הזו הייתה כנראה נגמרת.
בואו נדבר קצת על טלגרם. קודם כל, ברוסיה פיתחו אפליקציית מסרים מיידיים עם דגש על פרטיות כשאין בכלל מילה ל"פרטיות" בשפה הרוסית. זה קצת משעשע! אבל אם להיות רציניים, לסיפור הפרטיות של טלגרם יש כמה בעיות.
קודם כל, בגלל הפונקציונליות של האפליקציה, כל מה שאינו מוגדר כ-Secret Chat אינו כולל הצפנה קצה-לקצה. בטלגרם אומרים שיש להם כלים אחרים להגן על הפרטיות של המשתמשים שלהם, כולל ביזור של שרתים שעליהם נמצאת היסטוריית ההודעות שלכם ומאבק עיקש בניסיונות להוציא את המידע באמצעות צווים משפטיים, אבל לא על זה אנחנו מדברים כאן.
שנית, ההצפנה של טלגרם פותחה בטלגרם, וזה החיסרון הגדול ביותר שלה מבחינת פרטיות. וואטסאפ אומנם שייכת לפייסבוק, אבל היא משתמשת בפרוטוקול הצפנה שנקרא Signal. הוא נבדק על ידי מומחים ונחשב לבטוח. אין לנו שום דרך לדעת עד כמה ההצפנה של טלגרם באמת בטוחה וחסינה מפני התקפות.
וגם אם תוכן השיחות שלכם הוא מידע מאובטח, המידע עליהן לאו דווקא. זה נקרה "מטא-דאטה" - מידע על מידע. כך, למשל, בפייסבוק לא יכולים לדעת על מה דיברתם עם אנשים אחרים בוואטסאפ, אבל הם יכולים לדעת שדיברתם איתם וכמה הודעות נשלחו. הם גם יכולים להשתמש במידע הזה כדי להבין יותר טוב עם מי אתם מתקשרים, ואז, נגיד, להציע לכם אותם כחברים בפייסבוק.
אתם סלבס, פוליטיקאים, אנשי עסקים שעשויים ליפול קורבן לריגול עסקי? אולי הגיע הזמן לעבור לתוכנת המסרים Signal, של אותם האנשים שפיתחו את פרוטוקול סיגנל. היא אמנם פחות כיפית (אין סטיקרים!) אבל נחשבת למאובטחת ביותר, בין השאר כי לאנשים שמאחוריה אין אינטרסים כלכליים הנוגעים למידע עליכם.
בטלגרם ובמסנג'ר עדיף לנהל את העניינים הפרטיים שלכם באמצעות שיחות סודיות, ולוודא שהן נמחקות לאחר מכן. בוואטסאפ, עשו מה שבא לכם מבחינת התוכן - אך הכירו בכך שעצם קיומה של השיחה עלול להיות חשוף לפייסבוק.
ולא משנה מה אתם עושים, זכרו שגם ליישומים המוצפנים ביותר יש מגבלות. עוד לא המציאו משהו שיגן עליכם מפני מישהו שמצלם את מסך הטלפון באמצעות טלפון אחר.