Začnemo s tem, kam NE gredo
Podrobnost Solo2, ki ob prvi uporabi ostane neopažena, vendar je največja razlika s sporočili, ki jih uporabljate vsak dan: vaša sporočila ne gredo prek naših strežnikov.
V danes najbolj razširjenih sporočilih, ko nekomu nekaj pošljete, to sporočilo potuje prek strežnikov podjetja, ki vam nudi storitev. Vsebina je običajno šifrirana, da, vendar je sporočilo fizično tam: potuje skoznje, se na poti kopira, včasih se za nekaj časa shrani, dokler se prejemnik ne poveže. V Solo2 ni tako. Tisto, kar napišete, potuje neposredno z naprave tistega, ki piše, na napravo tistega, ki bere. Brez vmesne postaje, brez kopije, brez vmesnega koraka.
Zakaj vas to že ščiti
Tisto, kar je na tujih strežnikih — četudi šifrirano — je nekaj, kar obstaja. Je tam. Pod zakonskim pritiskom se lahko zahteva, ob prihodnji varnostni luknji lahko pušča, s časom in viri se lahko analizira. V Solo2 nikomur ne moremo dati tistega, česar nikoli nismo imeli.
To je prva plast varnosti Solo2 in večini ljudi ta plast več kot zadostuje. Običajne grožnje — ogrožena storitev, sodni nalog proti podjetju, množično puščanje podatkov ponudnika — na nas ne vplivajo: ni informacij, ki bi jih lahko zahtevali, ki bi puščale ali bi jih analizirali.
In zakaj potem šifriramo?
Obstajajo scenariji, kjer arhitektura sama po sebi ni dovolj. Če v vaši lastni napravi prebiva program, ki nadzoruje odhajajoči promet, če je omrežje, po katerem potujete, pod nadzorom akterja z veliko viri, če ima kdo sposobnost analiziranja vzorcev prometa v industrijskem merilu — tam nastopijo plasti šifriranja.
Te niso za priložnostnega tatu niti za zaščito vas pred vami samimi. So za takrat, ko je tisto, kar pošiljate, dovolj pomembno, da bi nekdo s časom, viri in motivacijo to želel prebrati. Novinar z virom, odvetnik z občutljivim primerom, zdravnik s podatki o pacientu, pogajanje pod pogodbo o nerazkritju informacij. Za te scenarije — in za vse, ki bi se raje izognili razmišljanju o tem, ali je njihov pogovor eden tistih, ki so pomembni — Solo2 šifrira dve stvari: vsebino sporočila in podatke o pošiljanju.
Nov ključ za vsako razglednico
Predstavljajte si za trenutek, da bi bilo pošiljanje sporočila kot pošiljanje razglednice. Vsakič, ko jo napišete, jo Solo2 šifrira z edinstvenim ključem, ki se generira za to pošiljanje. Takoj ko ga uporabimo, se ključ uniči. Če bi komu uspelo ukrasti ključ ene razglednice, bi lahko prebral le to — nobene več, niti za nazaj niti za naprej. Kriptografi temu pravijo forward secrecy, "popolna pozaba", in je zlati standard sodobnega zasebnega sporočanja.
Nov ključ tudi za ovojnico
Razglednica nikoli ne potuje sama: gre znotraj ovojnice s svojimi podatki o pošiljanju — komu je namenjena, kdaj je bila poslana, v kakšnem vrstnem redu glede na prejšnje. Ta ovojnica gre seveda tudi šifrirana. Toda do zdaj, v prejšnjih različicah Solo2, je ključ ovojnice težil k temu, da je dlje časa ostajal enak. Kaj bi se dalo sklepati, če bi ga kdo pridobil? Vsebina bi še naprej ostala neberljiva, da, vendar bi se dalo izrisati profil: kolikokrat s kom govoriš, ob katerih urah, s kakšnim ritmom, v kakšnem vrstnem redu.
Z novo zasnovo, ki jo uvajamo v Solo2, se tudi ključi ovojnic redno obnavljajo. Tisto, kar smo že pazili pri vsebini, zdaj razširjamo tudi na podatke o pošiljanju. Prava zasebnost, tudi pri metapodatkih.
Pri tej besedi je primerno pojasnilo. Metapodatki Solo2 so tisti podatki o pošiljanju, ki potujejo znotraj šifriranega tunela med napravo pošiljatelja in prejemnika — nič več. To niso zapisi, ki jih nekatere storitve hranijo na svojih strežnikih o tem, s kom govorite, kdaj in od kod. Ti v Solo2 ne obstajajo: ni strežnika, prek katerega bi prehajali.
V enem stavku
Solo2 vas ščiti v dveh plasteh. Najprej s tem, kam vaša sporočila NE gredo; nato s tem, kako potuje tistih nekaj bajtov, ki dejansko zapustijo napravo. Za večino ljudi prva plast zadostuje. Za tiste, pri katerih je tisto, kar pošiljajo, posebej pomembno — občutljivi dokumenti, pogovori s pacientom, odprti primeri, predlogi s klavzulami o zaupnosti — druga obstaja in deluje v tišini.
Solo2 je narejen tako, da se ga ne opazi. O njem smo razmišljali z ljubeznijo in ga vzdržujemo z disciplino.