Michael Fisher
0 
3752
613
“Jeśli wiesz, co wiem o e-mailu, możesz go również nie używać,” powiedział właściciel bezpiecznego serwisu e-mail Lavabit, gdy niedawno go zamknął. “Nie ma możliwości zrobienia zaszyfrowanej wiadomości e-mail, w której treść jest chroniona,” - powiedział Phil Zimmermann, gdy nagle zamknął bezpieczną usługę e-mailową Silent Circle. Rzeczywistość jest taka, że poczta e-mail jest zasadniczo niepewna i nigdy nie może być chroniona przed rządową inwigilacją w taki sam sposób, jak niektóre inne wiadomości.
Jasne, możesz używać innego zaszyfrowanego i “bezpieczne” usługa e-mail, która nie została jeszcze zamknięta. Są jednak narażeni na taką samą presję rządu USA, na jaką narodził się Lavabit - dlatego Silent Circle zamknął się, zanim rząd skontaktował się z nim. Niektóre mniej zasadnicze usługi zdecydują się raczej na współpracę z rządami niż na zamknięcie. Nie wiemy dokładnie, jakie były wymagania Lavabit, ponieważ nie wolno im ujawniać niczego, czego doświadczyli w wyniku rozkazów backdoor tajnego amerykańskiego sądu inwigilacyjnego, który umożliwia PRISM i inne programy nadzoru NSA Czym jest PRISM? Wszystko, co musisz wiedzieć, czym jest PRISM? Wszystko, co musisz wiedzieć Agencja Bezpieczeństwa Narodowego w USA ma dostęp do wszelkich danych, które przechowujesz u amerykańskich dostawców usług, takich jak Google Microsoft, Yahoo i Facebook. Prawdopodobnie monitorują też większość ruchu przepływającego przez… .
Teraz przyjrzyjmy się, dlaczego poczta e-mail jest złym wyborem dla bezpiecznej komunikacji i jak łatwo jest celem szpiegowania przez rząd.
Metadane nie mogą być szyfrowane, a XKEYSCORE może je przechwycić
Wiadomość e-mail nie jest tak naprawdę pojedynczą częścią danych. Składa się z wielu elementów: treść wiadomości, wiersz tematu, pole Od, pola Do / CC / BCC i inne metadane, które obejmują lokalizację, z której wysyłasz wiadomość e-mail.
Nawet jeśli używasz najlepszej możliwej technologii szyfrowania wiadomości e-mail, możesz szyfrować tylko treść wiadomości e-mail. Każdy, kto monitoruje używane połączenie, może zobaczyć temat wiadomości e-mail, z kim się komunikujesz i skąd piszesz. W ramach programu XKEYSCORE, który zasadniczo pozwala rządowi USA przechwytywać większość ruchu płynącego przez Internet, przechwytując go na dużych routerach szkieletowych i bramach, rząd może stworzyć całkiem niezły obraz tego, z kim się komunikujesz, kiedy jesteś komunikowanie się z nimi, skąd każdy się komunikuje i jakie są tematy linii e-maili, co daje im pojęcie o czym mówisz. Mogą oni uznać, że szyfrujesz zawartość wiadomości e-mail, i podejrzany o dalszą, bardziej szczegółową inwigilację wszystkiego, co robisz.
Rząd Stanów Zjednoczonych gromadził zbiorcze dane z USA do 2011 r. Według NSA program ten został przerwany, ponieważ nie był skuteczny - ale nadal gromadzą metadane w XKEYSCORE, więc prawdopodobnie przechwytują wszystkie metadane e-mail, które mogą weź ich w ręce. Otrzymają od ciebie wiele informacji, nawet jeśli szyfrujesz wiadomości e-mail.
Aby uzyskać więcej informacji, przeczytaj o tym, czego możesz się nauczyć z wiadomości e-mail “nagłówek”, lub metadane Czego można się nauczyć z nagłówka wiadomości e-mail (metadanych)? Czego możesz się nauczyć z nagłówka wiadomości e-mail (metadanych)? Czy dostałeś kiedyś e-mail i naprawdę zastanawiałeś się, skąd pochodzi? Kto to wysłał? Jak mogliby wiedzieć, kim jesteś? Zaskakujące jest to, że wiele z tych informacji pochodzi z… .
Wiele “Bezpieczne” Dostawcy poczty e-mail mają dla wygody klucze szyfrowania
Szyfrowanie i deszyfrowanie wiadomości e-mail jest skomplikowane. Teoretycznie użyłbyś na komputerze lokalnym czegoś takiego jak PGP lub GPG, aby odszyfrować wiadomości e-mail. Jak wysłać podpisaną i zaszyfrowaną wiadomość e-mail z Evolution [Linux] Jak wysłać podpisaną i zaszyfrowaną wiadomość e-mail z Evolution [Linux] W dzisiejszym świecie technologii wysyłanie zaszyfrowanych wiadomości e-mail wiadomości między ludźmi stają się coraz większym standardem. Aby zabezpieczyć komunikację e-mailową, musisz podpisać i / lub zaszyfrować wiadomości e-mail. W systemie Linux jest to łatwe…. W praktyce konfiguracja może być skomplikowana i myląca, nawet dla bardziej doświadczonych użytkowników. Uniemożliwia to również dostęp do zaszyfrowanych wiadomości e-mail za pośrednictwem przeglądarki lub lekkiego klienta mobilnego.
W praktyce wielu dostawców bezpiecznych wiadomości e-mail poradziło sobie z tym, trzymając klucze szyfrujące na swoich końcach i odszyfrowując wiadomości e-mail, gdy masz do nich dostęp. W ten sposób działała bezpieczna usługa e-mailowa Silent Circle - mieli klucze szyfrujące, dzięki czemu mogli z łatwością odszyfrować wiadomości e-mail i zapewnić dobrą obsługę. W praktyce oznacza to, że rząd może zażądać wszystkich kluczy szyfrowania - lub tylko tych, których potrzebują - i odszyfrować wszystkie wiadomości e-mail, które chcą. Jeśli dostawca ma klucze, może je przekazać. Jedynym sposobem bezpiecznego szyfrowania i deszyfrowania treści wiadomości e-mail jest skomplikowane oprogramowanie komputerowe. Nawet cały ten wysiłek naraża metadane na ujawnienie.
Rząd może żądać tylnych drzwi: patrz Hushmail
Kanadyjska usługa Hushmail jest jedną z najpopularniejszych i najbardziej znanych zaszyfrowanych usług e-mail. W 2007 r. Kanadyjskie sądy zmusiły Hushmaila do przekazania wiadomości e-mail jednego z ich użytkowników. E-maile zostały następnie przekazane sądom amerykańskim na mocy traktatu o wzajemnej pomocy prawnej między Kanadą a USA.
Hushmail teoretycznie nie mógł tego zrobić. Nie trzymali kluczy szyfrujących użytkowników na swoich serwerach. Zalecili użytkownikom używanie PGP lub podobnego oprogramowania do odszyfrowywania wiadomości e-mail na ich komputerach w celu zapewnienia maksymalnej prywatności. Jednak wiele osób uważało to za zbyt niewygodne, więc Hushmail zaoferował również do pobrania aplet Java umieszczony na stronie internetowej, który umożliwił ci dostęp do twojej poczty e-mail. Po uzyskaniu dostępu do strony internetowej najnowsza wersja apletu Java zostanie pobrana na komputer, wprowadzony zostanie klucz szyfrowania, a aplet pobierze i lokalnie odszyfruje wiadomość e-mail bez uzyskiwania przez Hushmail dostępu do klucza szyfrowania.
Hushmail został zmuszony do obsługi wersji Javy Czy Java jest niebezpieczna i czy należy ją wyłączyć? Czy Java jest niebezpieczna i czy należy ją wyłączyć? Wtyczka Java Oracle firmy Oracle jest coraz popularniejsza w Internecie, ale coraz częściej pojawia się w wiadomościach. Niezależnie od tego, czy Java pozwala na zainfekowanie ponad 600 000 komputerów Mac, czy Oracle jest… apletem z wbudowanym backdoorem dla danego użytkownika. Zmodyfikowany aplet Java wysłał klucz szyfrujący użytkownika do Hushmail po jego wprowadzeniu, a Hushmail uzyskał dostęp do wiadomości e-mail użytkownika, które przekazali sądom.
Jeśli korzystasz z bezpiecznej poczty e-mail, dostawca może zostać zmuszony do uzyskania klucza w jakikolwiek sposób. Nawet jeśli nie mogliby uzyskać dostępu do Twojego klucza, dostawca może osobiście przekazać zaszyfrowane wiadomości e-mail, co pokaże rządowi, z kim się komunikujesz, kiedy i o czym (za pośrednictwem tematu wiadomości e-mail).
Wiadomości e-mail są przechowywane na serwerze, wiadomości błyskawiczne nie są
Nawet jeśli rząd nie może uzyskać lub przechwycić klucza szyfrowania, może i tak być w stanie odszyfrować twoje e-maile. Twoje zaszyfrowane wiadomości e-mail są przechowywane na serwerze - tak właśnie działa poczta e-mail. Gdyby rząd zażądał tych danych, dostawca usług hostingowych musiałby je przekazać w postaci zaszyfrowanej. Rząd mógłby następnie spróbować przerwać szyfrowanie - nowy sprzęt regularnie osłabia obecne mechanizmy szyfrowania, a rząd USA może przechowywać taką zaszyfrowaną komunikację w nadziei na jej złamanie w przyszłości.
Natomiast komunikacja w stylu wiadomości błyskawicznych jest trudniejsza do archiwizacji. Zaszyfrowana wiadomość może zostać wysłana bezpośrednio do odbiorcy i nie może być przechowywana na serwerze, na którym można uzyskać do niej dostęp w przyszłości. Rząd musiałby zainstalować urządzenie monitorujące i przechwytywać całą komunikację w czasie rzeczywistym. Jeśli tego nie zrobią i nie będą mieli wszystkich zaszyfrowanych danych, nie będą mogli dostać się po latach - ale często mogą to zrobić za pomocą e-maila.
Inne rodzaje komunikacji mogą być zabezpieczone
E-mail po prostu nie został zaprojektowany z myślą o szyfrowaniu. Zostało przykręcone po fakcie i pokazuje. Nawet najbardziej ostrożni użytkownicy bezpiecznych usług e-mail nie mogą ukryć, z kim się komunikują i kiedy. Jeśli naprawdę chcesz uniknąć rządowej inwigilacji, lepiej korzystać z różnych bezpiecznych usług przesyłania wiadomości zamiast polegać na wiadomości e-mail.
Właśnie dlatego Silent Circle nadal oferuje bezpieczną usługę przesyłania wiadomości. 3 sposoby na lepszą komunikację ze smartfonem. 3 sposoby na bezpieczniejszą komunikację ze smartfonem. Pełna prywatność! A przynajmniej tak nam się wydaje, gdy nasze słowa i informacje leciały w powietrzu. Nie tak: najpierw chodzi o bezpodstawne podsłuchiwanie, a potem o gazety, prawników, ubezpieczycieli i jeszcze więcej hakerów… którzy są pewni bezpieczeństwa. To nie jedyna opcja - Cryptocat to kolejna opcja. Cryptocat miał niedawno opublikowaną lukę w zabezpieczeniach, a inne usługi mogą mieć własne problemy, o których dowiemy się w przyszłości, ale te usługi są na dobrej drodze - nie są zasadniczo niepewne z uwagi na sposób, w jaki e-mail jest.
Oczywiście zaszyfrowana wiadomość e-mail niekoniecznie jest bezwartościowa. Na przykład, jeśli chcesz zabezpieczyć ważną komunikację biznesową przed podsłuchem, może to być przydatne. Ale zaszyfrowana wiadomość e-mail nie spowolni bardzo rządu - nie jest to idealne narzędzie komunikacji, gdy próbujesz rozmawiać bez przesłuchania przez NSA.
Czy zgadzasz się z zasadami stojącymi za zamknięciem Lavabit i Silent Circle? Czy korzystasz z bezpiecznej usługi przesyłania wiadomości, aby rozmowa nie była przechowywana w ogromnej rządowej bazie danych? Zostaw komentarz i daj nam znać, która alternatywa e-mail preferujesz.
Kredyty obrazu: wykrywacz metalu za pośrednictwem Shutterstock