Почему электронная почта не может быть защищена от государственного надзора

«Если бы вы знали, что я знаю об электронной почте, вы могли бы и не использовать ее», — сказал владелец защищенного почтового сервиса Lavabit, когда недавно закрывал его. «Невозможно сделать зашифрованную электронную почту, если контент защищен», — сказал Фил Циммерманн, внезапно закрыв службу безопасности Silent Circle. Реальность такова, что электронная почта в основном небезопасна и никогда не может быть защищена от правительственного надзора так же, как некоторые другие коммуникации.

Несомненно, вы можете использовать другую зашифрованную и «безопасную» почтовую службу, которая еще не закрыта. Но они уязвимы перед тем же давлением со стороны правительства США, с которым столкнулся Лавабит, поэтому Silent Circle закрыли, прежде чем с ним связалось правительство. Некоторые менее принципиальные службы предпочтут сотрудничать с правительствами, а не закрываться. Мы не знаем точно, с какими требованиями столкнулся Lavabit, поскольку им запрещено разглашать все, что они испытывали в результате выполнения секретных судебных решений США, которые разрешают PRISM и другие программы наблюдения АНБ.

,

Теперь давайте посмотрим, почему электронная почта — плохой выбор для безопасной связи, и как она является легкой целью для отслеживания правительства.

Метаданные не могут быть зашифрованы, и XKEYSCORE может их перехватить

Электронная почта на самом деле не является отдельным фрагментом данных. Это несколько фрагментов данных: текст сообщения, строка темы, поле «От», поля «Кому», «Копия / ВСС» и другие метаданные, включающие местоположение, из которого отправляется электронное письмо.

Даже если вы используете лучшую возможную технологию шифрования электронной почты, вы можете зашифровать только текст сообщения электронной почты. Любой, кто отслеживает используемое вами соединение, может просмотреть тему электронного письма, с кем вы общаетесь, и откуда вы отправляете электронное письмо. В рамках программы XKEYSCORE, которая, по сути, позволяет правительству США перехватывать большую часть трафика, проходящего через Интернет, перехватывая его на крупных магистральных маршрутизаторах и шлюзах, правительство может составить довольно точную картину того, с кем вы общаетесь, когда вы общение с ними, откуда вы все общаетесь, и каковы сюжетные линии ваших писем, что дает им представление о том, о чем вы говорите. Они могут найти подозрительным тот факт, что вы шифруете содержимое своих электронных писем, и нацелить вас на дальнейшее, более глубокое наблюдение за всем, что вы делаете.

Правительство США собирало записи электронной почты США до 2011 года. По данным АНБ, эта программа была прекращена, потому что она не была эффективной — но они все еще собирают метаданные в XKEYSCORE, поэтому они, вероятно, перехватывают все метаданные электронной почты, которые могут получить в свои руки. Они получат много информации от вас, даже если вы зашифруете свою электронную почту.

Для получения дополнительной информации, прочитайте о том, что вы можете узнать из «заголовка» электронной почты или метаданных

,

xkeyscore-метаданные-слайд

Многие «безопасные» поставщики электронной почты имеют ключи шифрования для удобства

Шифрование и дешифрование электронных писем сложно. Теоретически, вы будете использовать что-то вроде PGP или GPG на локальном компьютере для расшифровки электронной почты

, На практике настройка может быть сложной и запутанной, даже для более опытных пользователей. Это также делает невозможным доступ к зашифрованным письмам через браузер или облегченный мобильный клиент.

На практике многие поставщики защищенной электронной почты справляются с этим, удерживая ключи шифрования на своих концах, расшифровывая электронные письма при доступе к ним. Именно так работала служба безопасной электронной почты Silent Circle — у них были ключи шифрования, чтобы они могли легко расшифровывать электронные письма и предлагать хороший пользовательский опыт. На практике это означает, что правительство может потребовать все ключи шифрования — или только те, которые им нужны — и расшифровать все электронные письма, которые они хотели. Если у провайдера есть ключи, они могут передать их. Единственный способ надежно зашифровать и расшифровать тела электронной почты — это сложное программное обеспечение для настольных ПК. Даже все эти усилия оставляют метаданные открытыми.

Правительство может потребовать бэкдоры: см. Hushmail

Канадская Hushmail — одна из самых популярных и широко известных служб шифрованной электронной почты. В 2007 году канадские суды вынудили Hushmail передать электронные письма одного из своих пользователей. Затем электронные письма были переданы в суды США в соответствии с договором о взаимной правовой помощи между Канадой и США.

Hushmail теоретически не мог этого сделать. Они не хранили ключи шифрования пользователей на своих серверах. Они рекомендовали пользователям использовать PGP или подобное программное обеспечение для расшифровки электронной почты на своих компьютерах для обеспечения максимальной конфиденциальности. Однако многие думали, что это слишком неудобно, поэтому Hushmail также предложил загружаемый Java-апплет, расположенный на веб-странице, который позволял вам получить доступ к вашей электронной почте. Когда вы заходите на веб-страницу, последняя версия Java-апплета загружается на ваш компьютер, вы вводите свой ключ шифрования, а апплет загружает и локально дешифрует вашу электронную почту без получения Hushmail доступа к вашему ключу шифрования.

Hushmail был вынужден обслуживать версию Java

апплет со встроенным бэкдором для данного пользователя. Модифицированный Java-апплет отправил ключ шифрования пользователя в Hushmail после того, как он был введен, и Hushmail получил доступ к электронным письмам пользователя, которые они передали в суд.

Если вы используете безопасную электронную почту, поставщик может быть вынужден получить ваш ключ любым возможным способом. Даже если они не могут получить доступ к вашему ключу, провайдер может сам передать ваши зашифрованные электронные письма, которые покажут правительству, с кем вы общаетесь, когда и о чем (через строку темы электронного письма).

HushMail-правовое предупреждение

Сообщения электронной почты хранятся на сервере, мгновенные сообщения — нет

Даже если правительство не может получить или перехватить ключ шифрования, оно все равно сможет расшифровать ваши электронные письма. Ваши зашифрованные сообщения электронной почты хранятся на сервере — так работает электронная почта. Если правительство потребует эти данные, хостинг-провайдер должен будет передать их в зашифрованном виде. Тогда правительство может попытаться сломать шифрование — новое оборудование регулярно делает существующие механизмы шифрования намного слабее, и правительство США может хранить такие зашифрованные сообщения в надежде взломать их в будущем.

Напротив, обмен мгновенными сообщениями сложнее архивировать. Зашифрованное сообщение может быть отправлено непосредственно получателю и не храниться на сервере, к которому оно может быть получено в будущем. Правительству придется установить устройство мониторинга и фиксировать все коммуникации в режиме реального времени. Если им не удастся сделать это и у них не будет всех зашифрованных данных, они не смогут получить их спустя годы — но часто они могут сделать это с помощью электронной почты.

Другие виды связи могут быть защищены

Электронная почта просто не была разработана с учетом шифрования. Это было заперто после факта, и это показывает. Даже самые осторожные пользователи службы безопасности электронной почты не могут скрыть, с кем они общаются и когда. Если вы действительно хотите избежать надзора со стороны правительства, вам лучше использовать различные службы безопасного обмена сообщениями, а не полагаться на электронную почту.

Вот почему Silent Circle по-прежнему предлагает безопасную службу обмена сообщениями

что они уверены в безопасности. Это не единственный вариант — Cryptocat — другой. В Cryptocat недавно была опубликована уязвимость, и у других сервисов могут быть свои проблемы, о которых мы узнаем в будущем, но эти сервисы находятся на правильном пути — они не являются принципиально небезопасными, если спроектировать так, как работает электронная почта.

Конечно, зашифрованная электронная почта не обязательно бесполезна. Например, если вы хотите защитить важные деловые коммуникации от перехвата, это может быть полезно. Но зашифрованная электронная почта не сильно замедлит работу правительства — это не идеальный инструмент связи, когда вы пытаетесь говорить без слушания АНБ.

зашифровать ваши данные

Согласны ли вы с принципами закрытия Lavabit и Silent Circle? Используете ли вы безопасную службу обмена сообщениями для общения без сохранения ваших разговоров в огромной правительственной базе данных? Оставьте комментарий и сообщите нам, какой адрес электронной почты вы предпочитаете.

Кредиты изображений: Металлоискатель Via Shutterstock

Ссылка на основную публикацию
Adblock
detector