Příběh o Pretty Good Privacy

Píše se rok 1991 a Philip Zimmermann vytvořil PGP (Pretty Good Privacy), sadu nástrojů k šifrování. Tento software vypouští (sám za sebe, žádná firma) s licencí nevyžadující žádné poplatky pro nekomerční užití a každá kopie obsahovala i celý zdrojový kód. Tou dobou ještě netuší jak změní svět, především e-mailové komunikace, a odměnou mu bude 3 roky trvající federální vyšetřování.

Co je to PGP a k čemu to je?

Velice jednoduše PGP slouží jako sada nástrojů k šifrování, dešifrování souborů, digitálním podpisům a ověřování identity odesílatele. PGP je založeno na decentralizované síti "certifikačních autorit", kterou se může stát kdokoliv.

PGP se nejvíce rozšířilo v e-mailové komunikace a běžně se využívá PGP standardu především k ověřování odesílatele, ale i šifrování komunikace.

Certifikační autorita

Jedná se o subjekt, který ověřuje identitu vlastníků certifikátů a poskytuje tuto informaci ostatním uživatelům. Standardní centrální certifikační autorita vydává certifikáty, zatímco decentralizovaná autorita pouze "podepisuje" certifikáty, což umožňuje uživatelům vzájemně ověřit si své identity bez centrálního zprostředkovatele.

PGP Party

Setkání lidí, kde se lidé společně schází k výměně svých veřejných klíčů a ověření svých identit. Tyto události posilují důvěru v síť PGP tím, že umožňují uživatelům osobní ověření a potvrzení identity ostatních účastníků, což přispívá k celkové bezpečnosti a důvěryhodnosti sítě.

Vojenský materiál

Philip Zimmermann vypouští svůj šifrovací software volně do světa. Což přináší problém, protože si ho povšimnou federální úřady U.S.

Proč? Protože se bavíme o konci studené války a kontroluje se veškerý vojenský a bezpečnostní materiál. Existuje tedy seznam United States Munitions List, na kterém tou dobou jsou i šifrovací algoritmy. Podmínka pro omezení exportu byla stanovena příliš jednoduše na velikost klíče od 40 bitů. PGP pracuje nejméně se 128 bity a tak Zimmermann je od března roku 1993 vyšetřován pro "export výzbroje bez licence".

Velikost klíče

Můžeme si představit jako klasický klíč a zámek, kdy každý zoubek si představme jako jeden bit. Čím více bitů tím více kombinací a tedy složitěji prolomitelný klíč - je jich třeba více vyzkoušet než najdeme ten správný.

O tři roky později, je vyšetřování ukončeno a vůči Zimmermannovi ani nikomu jinému není vznešeno žádné obvinění. Na konci 90. let a přelomu tisíciletí se rozvolnili regulace ohledně šifer a podmínky se více upřesnili, od té doby PGP je nenaplňuje a je tedy možné ho volně exportovat.

Hold it, Buster!

Tento příběh není zajímavý jen příkladem nepružnosti státního aparátu v oblasti IT, ale i poměrně zajímavý krok ze strany Zimmermanna v roce 1995. Rozhodl se vydat zdrojový kód PGP knižně s myšlenkou, že na knihy se vztahuje jeden bod prvního dodatku ústavy - svoboda tisku. Tento krok nikdy nebyl posuzován u soudu.

Kniha Pgp: Source Code and Internals byla vydána prostřednictvím MIT Press a exportována do zahraničí. Plán byl takový, že se kniha dá rozebrat a naskenovat pomocí OCR (čtečka převádějící obraz na text), případně se dal obsah přepsat ručně.

Bonus na konec

Na konec přidám pár zajímavostí, protože tuto problematiku neřešil jen Zimmerman.

Munitions T-Shirt

"Munitions T-Shirt" bylo aktivistické tričko, na kterém byl skrze čárový kód zanesen příkaz ke zobrazení zdrojového kódu šifry RSA. Toto tričko tak nesmělo být svého času exportováno nebo ho nesměl ani vidět člověk bez občanství U.S.

Tričko obsahovalo mimo jiné i konkrétní sekce z regulace ITAR:

International Traffic in Arms Regulations
ITAR section 120.17 (4), verbatim:

Disclosing (including oral or visual disclosure) or transferring technical data to a foreign person, whether in the United States or abroad

ITAR section 121.1 (Category XIII)

lists tanks, heavy artillery, various other implements of mass destruction, and cryptographic software as export controlled defense articles

22 U.S.C 2778, 2779 says for violting ITAR

FINE of $1,000,000 and/or 10 years imprisonment per count

Netscape Navigator

V 90. letech byl populární Internetový prohlížeč Netscape Navigator od společnosti Netscape, který na instalační disketě měl poznámku že jde o verzi pouze pro U.S. a Kanadu, nebyla určena pro export z již očividných důvodů.