Почему электронная почта не может быть защищена от государственного надзора

“Если бы вы знали, что я знаю об электронной почте, вы бы тоже не использовали ее,” сказал владелец безопасного почтового сервиса Lavabit, как он недавно закрыл его. “Там нет никакого способа сделать зашифрованную электронную почту, где содержимое защищено,” - сказал Фил Циммерманн, внезапно отключив безопасный почтовый сервис Silent Circle. Реальность такова, что электронная почта в основном небезопасна и никогда не может быть защищена от государственного надзора так же, как некоторые другие сообщения могут.

Конечно, вы можете использовать другой зашифрованный и “безопасный” служба электронной почты, которая еще не закрылась. Но они уязвимы перед тем же давлением со стороны правительства США, с которым столкнулась Lavabit - поэтому Silent Circle закрыли, прежде чем с ним связалось правительство. Некоторые менее принципиальные службы предпочтут сотрудничать с правительствами, а не закрываться. Мы точно не знаем, с какими требованиями столкнулась Lavabit, поскольку им запрещено разглашать все, что они испытывали в результате закулисных распоряжений секретного суда США по надзору, который включает PRISM и другие программы надзора NSA. Что такое PRISM? Все, что нужно знать, что такое призма? Все, что вам нужно знать Агентство национальной безопасности в США имеет доступ к любым данным, которые вы храните у поставщиков услуг США, таких как Google Microsoft, Yahoo и Facebook. Они также, вероятно, отслеживают большую часть трафика, проходящего через ... .

Теперь давайте посмотрим, почему электронная почта - плохой выбор для защищенных коммуникаций, и как она является легкой целью для отслеживания правительства.

Метаданные не могут быть зашифрованы, и XKEYSCORE может их перехватить

Электронная почта - это на самом деле не один кусок данных. Это несколько фрагментов данных: тело сообщения, строка темы, поле «От», поля «Кому», «Копия / ВСС» и другие метаданные, которые включают местоположение, из которого отправляется электронное письмо..

Даже если вы используете самую лучшую технологию шифрования электронной почты, вы можете зашифровать только текст сообщения электронной почты. Любой, кто отслеживает используемое вами соединение, может просмотреть тему письма, с кем вы общаетесь, и откуда вы отправляете электронное письмо. В рамках программы XKEYSCORE, которая, по сути, позволяет правительству США перехватывать большую часть трафика, проходящего через Интернет, путем перехвата его на крупных магистральных маршрутизаторах и шлюзах, правительство может составить довольно точную картину того, с кем вы общаетесь, когда вы общение с ними, откуда каждый из вас общается, и каковы сюжетные линии ваших писем, что дает им представление о том, о чем вы говорите. Они могут посчитать подозрительным тот факт, что вы шифруете содержимое своих электронных писем, и нацелить вас на дальнейшее, более глубокое наблюдение за всем, что вы делаете.

Правительство США собирало записи электронной почты США до 2011 года. По данным АНБ, эта программа была прекращена, потому что она не была эффективной - но они все еще собирают метаданные в XKEYSCORE, поэтому они, вероятно, перехватывают все метаданные электронной почты, которые могут получить в свои руки. Они получат много информации от вас, даже если вы зашифруете свои электронные письма.

Для получения дополнительной информации читайте о том, что вы можете узнать из электронной почты “заголовок”, или метаданные Что вы можете узнать из заголовка письма (метаданные)? Что вы можете узнать из заголовка письма (метаданных)? Вы когда-нибудь получали электронное письмо и действительно задавались вопросом, откуда оно пришло? Кто это отправил? Как они могли узнать, кто вы? Удивительно много этой информации может быть из ... .

Много “Безопасный” У провайдеров электронной почты есть ключи шифрования для удобства

Шифрование и дешифрование электронных писем сложно. Теоретически, вы будете использовать что-то вроде PGP или GPG на своем локальном компьютере для расшифровки электронной почты. Как отправлять подписанную и зашифрованную электронную почту с помощью Evolution [Linux] Как отправлять подписанную и зашифрованную электронную почту с помощью Evolution [Linux] В современном технологическом мире отправка в зашифрованном виде сообщения между людьми стали все более распространенным стандартом. Для обеспечения безопасности вашей электронной почты вам необходимо подписать и / или зашифровать ваши электронные письма. В Linux это просто… На практике настройка может быть сложной и запутанной, даже для более опытных пользователей. Это также делает невозможным доступ к зашифрованным сообщениям через браузер или облегченный мобильный клиент.

На практике многие поставщики защищенной электронной почты справляются с этим, удерживая ключи шифрования на своих концах, расшифровывая электронные письма при доступе к ним. Так работала служба безопасной электронной почты Silent Circle - у них были ключи шифрования, чтобы они могли легко расшифровывать электронные письма и предлагать хороший пользовательский опыт. На практике это означает, что правительство может потребовать все ключи шифрования - или только те, которые им нужны - и расшифровать все электронные письма, которые они хотели. Если у провайдера есть ключи, они могут передать их. Единственный способ надежно зашифровать и расшифровать тела электронной почты - это сложное программное обеспечение для настольных ПК. Даже все эти усилия оставляют метаданные открытыми.

Правительство может потребовать бэкдоры: см. Hushmail

Канадская Hushmail - одна из самых популярных и широко известных служб шифрованной электронной почты. В 2007 году канадские суды вынудили Hushmail передать электронные письма одного из своих пользователей. Затем электронные письма были переданы в суды США в соответствии с договором о взаимной правовой помощи между Канадой и США..

Hushmail теоретически не мог этого сделать. Они не хранили ключи шифрования пользователей на своих серверах. Они рекомендовали пользователям использовать PGP или подобное программное обеспечение для расшифровки электронной почты на своих компьютерах для обеспечения максимальной конфиденциальности. Однако многие думали, что это слишком неудобно, поэтому Hushmail также предложил загружаемый Java-апплет, расположенный на веб-странице, который позволял вам получить доступ к вашей электронной почте. Когда вы заходите на веб-страницу, последняя версия Java-апплета загружается на ваш компьютер, вы вводите свой ключ шифрования, а апплет загружает и расшифровывает вашу электронную почту без получения доступа Hushmail к вашему ключу шифрования..

Hushmail был вынужден обслуживать версию Java. Является ли Java небезопасным и стоит ли его отключать? Является ли Java небезопасным и стоит ли его отключать? Java-плагин Oracle становится все менее популярным в Интернете, но в новостях он становится все более и более распространенным. Позволяет ли Java инфицировать более 600 000 компьютеров Mac или Oracle - это… апплет со встроенным бэкдором для данного пользователя. Модифицированный Java-апплет отправил ключ шифрования пользователя в Hushmail после его ввода, и Hushmail получил доступ к электронной почте пользователя, которую они передали в суд..

Если вы используете безопасную электронную почту, поставщик может быть вынужден получить ваш ключ любым возможным способом. Даже если они не могут получить доступ к вашему ключу, провайдер может передать ваши зашифрованные электронные письма самостоятельно, что покажет правительству, с кем вы общаетесь, когда и о чем (через строку темы электронного письма).

Сообщения электронной почты хранятся на сервере, мгновенные сообщения - нет

Даже если правительство не может получить или перехватить ключ шифрования, оно все равно сможет расшифровать ваши электронные письма. Ваши зашифрованные сообщения электронной почты хранятся на сервере - так работает электронная почта. Если бы правительство потребовало эти данные, хостинг-провайдер должен был бы передать их в зашифрованном виде. Тогда правительство может попытаться сломать шифрование - новое оборудование регулярно делает существующие механизмы шифрования намного слабее, и правительство США может хранить такие зашифрованные сообщения в надежде сломать их в будущем..

Напротив, обмен мгновенными сообщениями сложнее архивировать. Зашифрованное сообщение может быть отправлено непосредственно получателю и не храниться на сервере, к которому оно может быть получено в будущем. Правительству придется установить устройство мониторинга и фиксировать все коммуникации в режиме реального времени. Если им не удастся сделать это и у них не будет всех зашифрованных данных, они не смогут получить их спустя годы - но они часто могут сделать это с помощью электронной почты.

Другие виды связи могут быть защищены

Электронная почта просто не была разработана с учетом шифрования. Это заперто на заднем плане, и это показывает. Даже самые осторожные пользователи службы безопасности электронной почты не могут скрыть, с кем они общаются и когда. Если вы действительно хотите избежать надзора со стороны правительства, вам лучше использовать различные службы безопасного обмена сообщениями, а не полагаться на электронную почту.

Вот почему Silent Circle по-прежнему предлагает услугу безопасного обмена сообщениями. 3 способа сделать вашу связь на смартфоне более безопасной 3 способа сделать вашу связь на смартфоне более безопасной Полная конфиденциальность! Или так мы думаем, как наши слова и информация полетели по воздуху. Не так: сначала это слово о несанкционированном прослушивании телефонных разговоров, а затем о газетах, юристах, страховщиках и других хакерских компаниях, в которых они уверены в безопасности. Это не единственный вариант - Cryptocat - другой. В Cryptocat недавно была опубликована уязвимость, и у других сервисов могут быть свои проблемы, о которых мы узнаем в будущем, но эти сервисы находятся на правильном пути - они не являются принципиально небезопасными с точки зрения дизайна электронной почты..

Конечно, зашифрованная электронная почта не обязательно бесполезна. Например, если вы хотите защитить важные деловые коммуникации от перехвата, это может быть полезно. Но зашифрованная электронная почта не сильно замедлит работу правительства - это не идеальный инструмент связи, когда вы пытаетесь говорить без слушания АНБ..

Согласны ли вы с принципами закрытия Lavabit и Silent Circle? Используете ли вы безопасную службу обмена сообщениями для общения без сохранения ваших разговоров в огромной правительственной базе данных? Оставьте комментарий и сообщите нам, какой адрес электронной почты вы предпочитаете.

Кредиты изображений: Металлоискатель Via Shutterstock