Ако сте един от 1,6 милиарда потребители на WhatsApp, вече използвате криптиране от край до край (E2EE). Тази сигурна форма на комуникация означава, че всяко съобщение, което изпращате на някого, може да бъде прочетено само от получателите такива съобщения в чата не могат да бъдат прихващани от трети страни, включително правителства и престъпници.
За съжаление престъпниците също използват криптиране, за да скрият следите си, когато правят злонамерени неща, правейки приложенията за сигурни съобщения основна цел за правителственото регулиране. В последните новини, Съветът на Европа изготви резолюция за регулиране на E2EE, тъй като се отправя към Европейската комисия за окончателната му форма.
Въпросът е дали сме на ръба да загубим поверителността си в приложенията за съобщения?
Terror Spike тласка Gears на ЕС в движение
След скорошните атаки във Франция и Австрия, министър-председателите на двете страни, съответно Еманюел Макрон и Себастиан Курц, представиха Съвет на Европейския съюз (СЕ)
проект на резолюция на 6 ноември, насочена към регулиране на практиките за шифроване от край до край.Съюзът за сътрудничество е органът за предложения, който определя посоката на политиките, докато Европейската комисия ще изготви действащо законодателство от него. За щастие, като законодателно откритие, проекторезолюцията не е толкова проблематична за неприкосновеността на личния живот, колкото се очаква:
- Резолюцията не съдържа конкретни предложения за забрана на E2EE.
- Той не предлага прилагане на бекдори за протоколи за криптиране.
- Той потвърждава придържането на ЕС към строги права за криптиране и поверителност.
- Той служи като покана за експерти да проучат изцяло мерките за сигурност в рамките на „сигурността въпреки криптирането“.
Резолюцията обаче предлага целенасочен подход:
„Компетентните органи трябва да имат достъп до данни по законен и целенасочен начин, при пълно зачитане на основните права и режима за защита на данните, като същевременно поддържат киберсигурността.“
Предвид тенденцията правителствата да разширяват обхвата на валидните цели, това може да включва и законни протести. В случая с Франция това може да е движението „Жълтите жилетки“, което бе принудено да излезе от Facebook на защитено приложение Telegram.
Интересното е, че Telegram беше същото приложение, което Русия забрани, тъй като екипът на разработчиците отказа да създаде задна врата за правителството. Европейският съд по правата на човека (ЕСПЧ) постанови такава забрана като явно нарушение на свободата на изразяване. Решението даде плод като Русия отмени двугодишната забрана на Telegram.
Решението на ЕКПЧ за телеграмите служи ли като бъдеща защита?
За съжаление изглежда не е така. През 2019 г. ЕСПЧ постанови, че свободата на изразяване около темата за Холокоста не представлява човешко право. В същото време съдът постанови, че същият свободен израз по темата за арменския геноцид наистина представлява човешко право на свобода на словото. Тези несъгласувани решения разкриват, че ЕСПЧ не спазва универсалните стандарти.
Засяга ли ви проекторезолюцията на ЕС?
Ако се притеснявате, че WhatsApp, Telegram, Viber и други приложения E2EE внезапно ще ви изложат на хакери и миньори за данни, не бъдете. В рамките на ЕС вероятно имаме работа с хибридно решение, при което правоприлагащите органи трябва да предоставят на съдилищата достатъчно мотиви, за да нарушат неприкосновеността на личния живот.
От друга страна, в сферата на Петте очи изглежда, че има огромна тласък за законодателно регулиране на задните врати в приложения за пратеник на E2EE. Отдръпването от страна на гражданите и неправителствените организации като Electronic Frontier Foundation ще бъде от решаващо значение за предотвратяване на такова ограничително законодателство в областта на криптографията.
Свързани: Какво представлява наблюдението "Пет очи"?
Ако смятате, че VPN ви предпазват от държавно наблюдение, може да сбъркате. Всъщност зависи от това къде се хоства вашата VPN.
Хлъзгавият склон на правителствата, регулиращи криптографията
Не е тайна, че нациите по целия свят са готови да подкопаят личния живот на гражданите в името на предполагаемата национална сигурност. Тази такса обикновено е воден от Петте очи разузнавателен съюз. Те се стремят да приложат най-широкия подход, насочващ разработчиците на софтуер към интегрират бекдори в своите приложения. Това би позволило на правителствата и технологичните компании да получат достъп до всякакви лични данни по желание.
Въпреки че правителствата риторично заявяват, че разполагат с предпазни мерки срещу злоупотреби, техният опит е по-малък от звезден. Като Разкрити течове на Сноудън, те изглеждат безскрупулни в начина, по който възприемат правото на гражданите на личен живот и избягване на злоупотреби. Нещо повече, задните врати лесно се експлоатират от киберпрестъпниците, което води до големи икономически щети и ерозия на доверието.
Задължителните бекдори все още не са реалност, но правителствата могат да използват мощен арсенал за убеждаване по всяко време, когато се случи престъпно / терористично действие. Следователно правителствата имат стабилен импулс да нарушават защитата на неприкосновеността на личния живот, като твърдят, че:
- Терористите / престъпниците имат същия достъп до криптирани комуникационни протоколи, както спазващите закона граждани.
- Следователно, шифрованите комуникационни протоколи трябва да бъдат подкопани в името на спазващото закона гражданство.
Опитът за постигане на баланс между двете е непрекъснат процес, за последно поставен в центъра на вниманието на държавите-членки на ЕС.
Защо е важно криптирането E2E?
Когато хората не искат да мислят за последиците от състоянието на наблюдение, те често прибягват до базовия аргумент:
"Няма какво да крия."
За съжаление, придържането към такава наивност не прави живота ви в безопасност от злоупотреба. Като Скандал с данни на Facebook-Cambridge Analytica демонстрирано, човек трябва да се отнася с личните си данни с толкова строгост, колкото би защитил собствеността в дома си. Когато сте лишени от протоколи за криптиране E2E, създавате среда, която възпитава:
- Автоцензурата като начин на мислене.
- Хакерство и изнудване.
- Неспособност да бъдеш ефективен политически дисидент или журналист.
- Корпорации и правителства, използващи вашия психологически профил срещу вас.
- Прави правителствата по-малко отговорни за своите негативни политики.
- Неспособност за ефективна защита на интелектуалната собственост.
Както престъпниците имат лесен достъп до огнестрелно оръжие, въпреки забраната и строгия контрол по целия свят, така и престъпниците биха набавили други методи за комуникация. Едновременно с това подкопаването на E2EE би направило предприятията и отделните граждани уязвими към широк спектър от злоупотреби.
Какви опции за E2EE имате на ваше разположение?
Бекдорите в приложенията за съобщения могат да се случат по три начина:
- Случайно от лошо кодиране, което по-късно се закърпва при откриване на уязвимостта.
- Умишлено от държавни агенции, упражняващи вътрешен натиск върху компаниите.
- Умишлено и открито от законодателството.
Все още не сме достигнали до третия сценарий. Междувременно се опитайте да следвате тези указания за сигурност, когато избирате защитено приложение за съобщения:
- Изберете приложения, които имат добър опит в съпротивлението и са високо оценени от потребителите.
- Ако имате възможност, изберете безплатен софтуер с отворен код - FOSS приложения. Това са приложения, ръководени от общността, така че внедряването на задната врата ще бъде бързо разкрито. Понякога ще намерите тези приложения и под съкращението FLOSS - безплатен / свободен софтуер с отворен код.
- Когато използвате имейл, опитайте се да използвате имейл платформи с протоколи за шифроване PGP или GPG.
Вземайки предвид тези фактори, ето няколко добри приложения за пратеници с отворен код E2EE:
Сигнал
Изображение 1 от 3
Изображение 2 от 3
Изображение 3 от 3
Signal се превърна в любим сред много потребители, които се грижат за поверителността и по основателни причини. Той използва Perfect Forward Secrecy (PFS) за всички видове съобщения: текстови, аудио и видео. Signal също не регистрира вашия IP адрес, като същевременно ви дава възможност да изпращате самоунищожаващи се съобщения. На устройства с Android можете дори да го направите приложение по подразбиране за вашите SMS текстови съобщения.
Въпреки това Signal изисква регистрация на телефонен номер, освен че не осигурява двуфакторно удостоверяване (2FA). Като цяло това съвместимо с GDPR приложение за съобщения, достъпно за всички платформи, все още не е допълнено.
Изтегли: Сигнал за Android | iOS | Windows (Безплатно)
Сесия
Изображение 1 от 3
Изображение 2 от 3
Изображение 3 от 3
Издънка от Signal (вилица), Session има за цел да има дори по-страховити функции за сигурност от Signal. За тази цел той интегрира всички функции на сигнала, но изключи изискването да има телефонен номер или имейл за регистрация. Той не регистрира метаданни или IP адреси, но все още не поддържа 2FA.
Разработката му с отворен код все още продължава, така че може да имате грешки. Нещо повече, неговият протокол Onion Routing, използван от браузъра Tor, също е в процес на разработка.
Изтегли: Сесия за Android | iOS | Mac | Windows | Linux (Безплатно)
Брайър
Напълно децентрализираният Briar е едно от най-новите FOSS приложения с E2EE протоколи за съобщения. Изключително за платформата Android, Briar е решението за тези, които се притесняват от сървър, съхраняващ техните съобщения. Briar прави това невъзможно, като използва протоколи равнопоставени (P2P). Значи само вие и получателят можете да съхранявате съобщенията.
Освен това, Briar добавя допълнителен слой защита, използвайки Onion Protocol (Tor). Не е необходимо да предлагате никаква информация, за да започнете да използвате Briar, освен името на получателя. Ако обаче смените устройството, всичките ви съобщения ще станат недостъпни.
Изтегли: Briar за Android (Безплатно)
Тел
Изображение 1 от 3
Изображение 2 от 3
Изображение 3 от 3
Въпреки че все още остава с отворен код, Wire е насочен към групови съобщения и споделяне, което го прави идеален за бизнес среди. Той не е безплатен, освен за лични акаунти. Наред с протоколите E2EE, Wire използва Proteus и WebRTC с PFS, в допълнение към самоизтриващите се съобщения.
Wire изисква или телефонен номер / имейл, за да се регистрира, в допълнение към регистрирането на някои лични данни. Също така не поддържа 2FA. Независимо от това, спазването на GDPR, природата с отворен код и топ алгоритмите за криптиране го правят чудесен за корпоративни организации.
Изтегли: Тел за Android | iOS | Mac | Уеб | Linux (Безплатно)
Вие не сте беззащитни срещу обрата
В крайна сметка, дори ако правителствата напълно забранят E2EE или наредят задкулисни пътища, престъпниците ще намерят други методи. От друга страна, по-малко ангажираните граждани просто биха приели новото състояние на нещата: масовото наблюдение. Ето защо трябва да грешим от страна на предпазливостта и винаги да се стремим назад, за да запазим основното си човешко право на личен живот.
Оставяте много информация онлайн, без дори да знаете. Този цифров отпечатък риск ли е за вашата поверителност?
- Сигурност
- Поверителност онлайн
- Шифроване
- Поверителност на компютъра
- Закон
Рахул Намбиампурат започна кариерата си като счетоводител, но сега се превърна в работа на пълен работен ден в технологичното пространство. Той е пламенен фен на децентрализираните технологии с отворен код. Когато не пише, той обикновено е зает да прави вино, да се занимава с устройството си с Android или да се разхожда по планини.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.
