De ce e-mailul nu poate fi protejat de supravegherea guvernului
“Dacă știți ce știu despre e-mail, este posibil să nu-l utilizați,” a declarat proprietarul serviciului securizat de e-mail Lavabit, după ce a închis-o recent. “Nu există nici o modalitate de a face e-mail criptat în cazul în care conținutul este protejat,” a declarat Phil Zimmermann, în timp ce închide brusc serviciul de e-mail securizat al Silent Circle. Realitatea este că e-mailul este fundamental nesigur și nu poate fi niciodată protejat de supravegherea guvernamentală în același mod în care pot fi folosite și alte comunicări.
Sigur, este posibil să folosiți un alt tip de codare și “sigur” serviciul de e-mail care nu sa oprit încă. Dar sunt vulnerabili față de aceeași presiune a guvernului american cu care se confruntă Lavabit - de aceea Silent Circle sa oprit înainte de a fi contactat de către guvern. Unele servicii mai puțin principiale vor opta să coopereze cu guvernele în loc să închidă. Nu știm cu exactitate ce solicită Lavabit, deoarece le este interzis să dezvăluie tot ce au experimentat ca urmare a ordinelor de backdoor de la instanța secretă de supraveghere americană care permite programelor PRISM și altor programe de supraveghere ale ANS-ului. Ce este PRISM? Tot ce trebuie să știți Ce este PRISM? Tot ce trebuie să știți Agenția Națională de Securitate din SUA are acces la orice date pe care le stocați cu furnizorii de servicii americani cum ar fi Google Microsoft, Yahoo și Facebook. De asemenea, ei probabil monitorizează cea mai mare parte a traficului care curge peste ... Read More .
Acum, haideți să ne uităm la ce e-mail este o alegere proastă pentru comunicațiile sigure și cum este o țintă ușoară pentru guvernul snooping.
Metadatele nu pot fi criptate și XKEYSCORE poate intercepta
Un e-mail nu este într-adevăr o singură bucată de date. Sunt mai multe fragmente de date: Există corpul mesajului, linia subiectului, câmpul De la, câmpurile To / CC / BCC și alte metadate care includ locația la care trimiteți e-mailul de la.
Chiar dacă utilizați cea mai bună tehnologie de criptare a e-mailurilor, puteți cripta numai corpul mesajului din e-mail. Oricine monitorizează conexiunea pe care o utilizați poate vizualiza subiectul mesajului de e-mail, cu care comunicați și de unde vă trimiteți e-mailuri. În cadrul programului XKEYSCORE, care permite în mod esențial guvernului SUA să capteze cea mai mare parte a traficului care circulă pe Internet prin interceptarea ruterelor rutiere și a gateway-urilor mari, guvernul poate construi destul de o imagine cu cine comunicați, atunci când sunteți comunicând cu aceștia, de unde comunicați fiecare dintre ele și care sunt subiectele e-mailurilor dvs., ceea ce le oferă o idee despre ceea ce vorbești. Acestea pot găsi faptul că criptați conținutul mesajelor dvs. de e-mail suspecte și că v-ați vizat pentru o supraveghere mai aprofundată și mai aprofundată a tot ceea ce faceți.
Guvernul Statelor Unite a colectat înregistrările electronice din SUA în bloc până în 2011. Potrivit ANS, acest program a fost întrerupt pentru că nu a fost eficace - dar încă colectează metadate în cadrul XKEYSCORE, astfel încât este probabil să intercepteze toate metadatele de e-mail pe care le pot pune mâna pe ele. Ei vor primi o mulțime de informații de la dvs., chiar dacă vă criptați e-mailurile.
Pentru mai multe informații, citiți despre lucrurile pe care le puteți învăța de la un e-mail “antet”, sau metadate Ce puteți afla de la o antet de e-mail (metadate)? Ce puteți afla de la o antet de e-mail (metadate)? Ați primit vreodată un e-mail și v-ați întrebat de unde provine? Cine la trimis? Cum ar fi putut ei să știe cine ești? În mod surprinzător, o mulțime de informații pot fi de la ... Citește mai mult .
Mulți “Sigur” Furnizorii de e-mail au cheile de criptare pentru confort
E-mailurile de criptare și decriptare sunt complicate. Teoretic, ai folosi ceva de genul PGP sau GPG pe calculatorul tău local pentru a decripta e-mailuri Cum să trimită un e-mail semnat și criptat cu evoluția [Linux] Cum să trimită un e-mail semnat și criptat cu evoluție [Linux] În lumea tehnologică din ziua de astăzi, mesajele dintre oameni au devenit un standard în creștere. Pentru a vă asigura comunicările prin e-mail, trebuie să semnați și / sau să criptați e-mailurile. În Linux, acest lucru este ușor ... Citește mai mult. În practică, configurarea poate fi complicată și confuză, chiar și pentru utilizatorii mai avansați în tehnologie. Acest lucru face de asemenea imposibilă accesarea emailurilor criptate printr-un browser sau un client mobil ușor.
În practică, mulți furnizori sigure de e-mail s-au ocupat de acest lucru ținând cheile de criptare la sfârșitul lor, decriptarea e-mailurilor atunci când le accesați. Acesta este modul în care a funcționat serviciul de e-mail securizat al Silent Circle - aveau cheile de criptare, astfel încât acestea să poată decripta cu ușurință e-mailurile și să ofere o experiență bună pentru utilizatori. În practică, aceasta înseamnă că guvernul ar putea cere toate cheile de criptare - sau doar cele de care au nevoie - și să decripteze toate e-mailurile pe care le-au dorit. În cazul în care furnizorul are cheile, le-ar putea înmâna. Singura modalitate de criptare și decriptare sigură a corpurilor de e-mail este cu software-ul desktop complicat. Chiar și acest efort lasă metadatele expuse.
Guvernul poate solicita spate: consultați Hushmail
Hushmail din Canada este unul dintre cele mai populare și cunoscute servicii de e-mail criptate. În 2007, instanțele canadiene au obligat Hushmail să predea e-mailurile unui utilizator. E-mailurile au fost apoi transmise instanțelor din SUA în baza unui tratat de asistență juridică reciprocă între Canada și SUA.
Hushmail teoretic nu a putut face asta. Nu păstrau cheile de criptare ale utilizatorilor pe serverele lor. Ei au recomandat utilizatorilor să utilizeze PGP sau software similar pentru a decripta e-mailurile de pe computerele lor pentru a păstra confidențialitatea maximă. Cu toate acestea, mulți oameni au crezut că acest lucru a fost prea incomod, așa că Hushmail a oferit de asemenea un applet Java descărcabil, aflat pe o pagină web, care vă permite să accesați e-mailul. Când ați accesat pagina web, cea mai recentă versiune a applet-ului Java se va descărca pe computer, ați introduce cheia de criptare și aplicația va descărca și va decripta e-mail-ul dvs. local, fără ca Hushmail să aibă acces la cheia dvs. de criptare.
Hushmail a fost obligat să servească o versiune Java Java Unsafe și ar trebui să o dezactivezi? Java este nesigur și ar trebui să-l dezactivezi? Plugin-ul Java de la Oracle a devenit din ce în ce mai puțin obișnuit pe Web, dar devine din ce în ce mai obișnuit în știri. Indiferent dacă Java permite mai mult de 600.000 de Mac-uri să fie infectate sau Oracle este ... Citiți mai mult applet cu încorporat backdoor pentru utilizatorul în cauză. Aplicația Java modificată a trimis cheia de criptare a utilizatorului către Hushmail după ce a fost introdusă și Hushmail a obținut acces la e-mailurile utilizatorului, pe care le-au înaintat instanțelor judecătorești.
Dacă utilizați un e-mail securizat, furnizorul poate fi forțat să vă achiziționeze cheia în orice mod posibil. Chiar dacă nu au putut obține acces la cheia dvs., furnizorul ar putea să vă transmită e-mailurile criptate, ceea ce ar arăta guvernul cu care comunicați, când și despre ce (prin linia subiectului de e-mail).
Mesajele de e-mail sunt stocate pe un server, mesajele instant nu sunt
Chiar dacă guvernul nu poate primi sau intercepta cheia de criptare, ei ar putea să vă decripteze e-mailurile oricum. Mesajele e-mail criptate sunt stocate pe un server - așa funcționează e-mailurile. Dacă guvernul ar solicita aceste date, furnizorul de gazde ar trebui să îl predea în formă criptată. Guvernul ar putea încerca apoi să spargă criptarea - noile componente hardware fac în mod regulat mecanismele actuale de criptare mult mai slabe, iar guvernul american ar putea să stocheze astfel de comunicații criptate în speranța de a le rupe în viitor.
În schimb, comunicațiile în stil instantaneu sunt mai greu de arhivat. Un mesaj criptat poate fi trimis direct către destinatar și nu este stocat pe un server unde acesta poate fi accesat în viitor. Guvernul ar trebui să instaleze un dispozitiv de monitorizare și să capteze toate comunicațiile în timp real. Dacă nu au reușit să facă acest lucru și nu au toate datele criptate, nu ar putea să meargă după câțiva ani mai târziu - dar pot face acest lucru adesea prin e-mail.
Alte tipuri de comunicare pot fi asigurate
Emailul nu a fost proiectat cu criptare în minte. Ea a fost întărită după fapte și arată. Chiar și cei mai atenți dintre utilizatorii de servicii de e-mail securizați nu pot ascunde cu cine comunică și când. Dacă într-adevăr doriți să evitați supravegherea guvernamentală, sunteți mai bine să utilizați diferite servicii de mesagerie securizată în loc să vă bazați pe e-mail.
De aceea, Silent Circle oferă în continuare un serviciu de mesagerie securizat 3 moduri de a face comunicările dvs. cu smartphone mai sigure 3 moduri de a face comunicările cu smartphone-uri mai sigure Intimitate totală! Sau așa ne gândim, deoarece cuvintele și informațiile noastre au zburat prin aer. Nu este așa: Mai întâi este vorba de convorbiri telefonice fără garanție, atunci este vorba de ziare, avocați, asigurători și mai multă hacking ... Citește mai mult că sunt încrezători în securitatea. Nu este singura opțiune - Cryptocat este altceva. Cryptocat a avut o vulnerabilitate publicată recent, iar alte servicii pot avea probleme proprii pe care le vom auzi în viitor, dar aceste servicii sunt pe drumul cel bun - nu sunt fundamental nesigure prin proiectarea modului în care e-mail-ul este.
Desigur, e-mailul criptat nu este neapărat lipsit de valoare. De exemplu, dacă doriți să asigurați comunicări de afaceri importante împotriva interceptărilor, aceasta poate fi utilă. Dar email-ul criptat nu va încetini foarte mult guvernul - nu este instrumentul ideal de comunicare atunci când încercați să vorbiți fără audierea ANS.
Sunteți de acord cu principiile care stau la baza închiderii lui Lavabit și Silent Circle? Utilizați un serviciu de mesagerie securizat pentru a comunica fără ca conversațiile dvs. să fie stocate într-o bază de date masivă a guvernului? Lăsați un comentariu și spuneți-ne ce e-mail preferați.
Credite de imagine: detector de metale prin Shutterstock
Explorați mai multe despre: sfaturi pentru e-mail, criptare, confidențialitate online, securitate online, supraveghere.