Začnemo s tem, kam NE gredo
Podrobnost Solo2, ki ob prvi uporabi ostane neopažena, vendar je največja razlika s sporočili, ki jih uporabljate vsak dan: vaša sporočila ne gredo prek naših strežnikov.
V danes najbolj razširjenih sporočilih, ko nekomu nekaj pošljete, to sporočilo potuje prek strežnikov podjetja, ki vam nudi storitev. Vsebina je običajno šifrirana, da, vendar je sporočilo fizično tam: potuje skoznje, se na poti kopira, včasih se za nekaj časa shrani, dokler se prejemnik ne poveže. V Solo2 ni tako. Tisto, kar napišete, potuje neposredno z naprave tistega, ki piše, na napravo tistega, ki bere. Brez vmesne postaje, brez kopije, brez vmesnega koraka.
Zakaj vas to že ščiti
Tisto, kar je na tujih strežnikih — četudi šifrirano — je nekaj, kar obstaja. Je tam. Pod zakonskim pritiskom se lahko zahteva, ob prihodnji varnostni luknji lahko pušča, s časom in viri se lahko analizira. V Solo2 nikomur ne moremo dati tistega, česar nikoli nismo imeli.
To je prva plast varnosti Solo2 in večini ljudi ta plast več kot zadostuje. Običajne grožnje — ogrožena storitev, sodni nalog proti podjetju, množično puščanje podatkov ponudnika — na nas ne vplivajo: ni informacij, ki bi jih lahko zahtevali, ki bi puščale ali bi jih analizirali.
In zakaj potem šifriramo?
Obstajajo scenariji, kjer arhitektura sama po sebi ni dovolj. Če v vaši lastni napravi prebiva program, ki nadzoruje odhajajoči promet, če je omrežje, po katerem potujete, pod nadzorom akterja z veliko viri, če ima kdo sposobnost analiziranja vzorcev prometa v industrijskem merilu — tam nastopijo plasti šifriranja.
Te niso za priložnostnega tatu niti za zaščito vas pred vami samimi. So za takrat, ko je tisto, kar pošiljate, dovolj pomembno, da bi nekdo s časom, viri in motivacijo to želel prebrati. Novinar z virom, odvetnik z občutljivim primerom, zdravnik s podatki o pacientu, pogajanje pod pogodbo o nerazkritju informacij. Za te scenarije — in za vse, ki bi se raje izognili razmišljanju o tem, ali je njihov pogovor eden tistih, ki so pomembni — Solo2 šifrira dve stvari: vsebino sporočila in podatke o pošiljanju.
Nov ključ za vsako razglednico
Predstavljajte si za trenutek, da bi bilo pošiljanje sporočila kot pošiljanje razglednice. Vsakič, ko jo napišete, jo Solo2 šifrira z edinstvenim ključem, ki se generira za to pošiljanje. Takoj ko ga uporabimo, se ključ uniči. Če bi komu uspelo ukrasti ključ ene razglednice, bi lahko prebral le to — nobene več, niti za nazaj niti za naprej. Kriptografi temu pravijo forward secrecy, "popolna pozaba", in je zlati standard sodobnega zasebnega sporočanja., "olvido perfecto", y es el estándar de oro de la mensajería privada moderna.
Nov ključ tudi za ovojnico
Razglednica nikoli ne potuje sama: gre znotraj ovojnice s svojimi podatki o pošiljanju — komu je namenjena, kdaj je bila poslana, v kakšnem vrstnem redu glede na prejšnje. Ta ovojnica gre seveda tudi šifrirana. Toda do zdaj, v prejšnjih različicah Solo2, je ključ ovojnice težil k temu, da je dlje časa ostajal enak. Kaj bi se dalo sklepati, če bi ga kdo pridobil? Vsebina bi še naprej ostala neberljiva, da, vendar bi se dalo izrisati profil: kolikokrat s kom govoriš, ob katerih urah, s kakšnim ritmom, v kakšnem vrstnem redu.
Z novo zasnovo, ki jo uvajamo v Solo2, se tudi ključi ovojnic redno obnavljajo. Tisto, kar smo že pazili pri vsebini, zdaj razširjamo tudi na podatke o pošiljanju. Prava zasebnost, tudi pri metapodatkih.
Pri tej besedi je primerno pojasnilo. Metapodatki Solo2 so tisti podatki o pošiljanju, ki potujejo znotraj šifriranega tunela med napravo pošiljatelja in prejemnika — nič več. To niso zapisi, ki jih nekatere storitve hranijo na svojih strežnikih o tem, s kom govorite, kdaj in od kod. Ti v Solo2 ne obstajajo: ni strežnika, prek katerega bi prehajali.
V enem stavku
Solo2 vas ščiti v dveh plasteh. Najprej s tem, kam vaša sporočila NE gredo; nato s tem, kako potuje tistih nekaj bajtov, ki dejansko zapustijo napravo. Za večino ljudi prva plast zadostuje. Za tiste, pri katerih je tisto, kar pošiljajo, posebej pomembno — občutljivi dokumenti, pogovori s pacientom, odprti primeri, predlogi s klavzulami o zaupnosti — druga obstaja in deluje v tišini.
Solo2 je narejen tako, da se ga ne opazi. O njem smo razmišljali z ljubeznijo in ga vzdržujemo z disciplino.