Великолепную техническую работу сделали разработчики нового сервиса ZeroBin. В условиях усиления цезуры на Pastebin, который начал удалять хакерские сообщения и конфиденциальные данные со своего сервера, они поставили целью сделать минималистический open source проект, аналогичный Pastebin, но с защитой опубликованной информации.
Гениальность ZeroBin заключается в том, что сервер, публикующий документы, не имеет никакого представления об их содержании. Шифрование документов осуществляется в браузере перед публикацией, а ключом для расшифровки является часть URI документа, точнее, fragment URI — ссылка на определённый фрагмент документа. Так вот, этот Fragment URI не передаётся серверу, то есть сервер не может расшифровать сообщение и проанализировать его содержание в автоматическом режиме.
На практике это выглядит так. Вставляем текст в веб-форму, нажимаем кнопку Send — и на этом этапе браузер выполняет шифрование сообщения ключом AES 256 бит, после чего отправляет документ на сервер.
URI документа состоит из двух частей, первая из которых известна серверу и указывает на сообщение. А вторая часть не передаётся на сервер, зато осуществляет расшифровку документа.
Для примера, вот URI документа: http://sebsauvage.net/paste/?7347c875ee96102b#jXqFHKMNN+rtrSH3N2WON8K3tCivfkoKM6Scp7kww50=. Здесь первая часть 7347c875ee96102b приходит с сервера, а вторая часть jXqFHKMNN+rtrSH3N2WON8K3tCivfkoKM6Scp7kww50= используется для дешифровки.
Такая схема гарантирует, что в случае изъятия серверов злоумышленник не получит доступа к публикации. Контент не виден со стороны и не индексируется поисковиками, если только не публиковать ключ дешифровки в открытом доступе, как это мы только что сделали для вышеупомянутого документа.
Как уже упоминалось, код системы открыт и её можно установить на любом сайте.
