Если вы один из 1,6 миллиарда пользователей WhatsApp, вы уже используете сквозное шифрование (E2EE). Эта безопасная форма связи означает, что любое сообщение, которое вы отправляете кому-либо, может быть прочитано только такие сообщения чата не могут быть перехвачены третьими сторонами, включая правительства и преступники.
К сожалению, преступники также используют шифрование, чтобы скрыть свои следы при выполнении злонамеренных действий, что делает приложения для безопасного обмена сообщениями главной целью государственного регулирования. В свежие новости, Совет Европы подготовил проект резолюции по регулированию E2EE, поскольку он направляется в Европейскую Комиссию для окончательной формы.
Вопрос в том, находимся ли мы на грани потери конфиденциальности в приложениях для обмена сообщениями?
Скачок террора толкает механизмы ЕС в движение
После недавних атак во Франции и Австрии премьер-министры обеих стран Эммануэль Макрон и Себастьян Курц соответственно представили Совет Европейского Союза (СЕЕ).
проект резолюции 6 ноября, направленный на регулирование практики сквозного шифрования.Совет ЕС - это орган, который определяет направление политики, в то время как Европейская комиссия разрабатывает на его основе законопроект, требующий принятия мер. К счастью, в качестве законодательного открытия проект резолюции не так проблематичен с точки зрения конфиденциальности, как можно было бы ожидать:
- В резолюции не содержится никаких конкретных предложений по запрету E2EE.
- Он не предлагает использовать бэкдоры для протоколов шифрования.
- Он подтверждает приверженность ЕС надежному шифрованию и правам на конфиденциальность.
- Он служит приглашением для экспертов полностью изучить меры безопасности в рамках концепции «безопасность, несмотря на шифрование».
Однако в резолюции предлагается целенаправленный подход:
«Компетентные органы должны иметь возможность получать доступ к данным законным и целевым образом, при полном соблюдении основных прав и режима защиты данных при соблюдении кибербезопасности».
Учитывая тенденцию правительств к расширению диапазона допустимых целей, это также может включать законные протесты. В случае Франции это могло быть движение «Желтые жилеты», которое было вытеснено из Facebook в безопасное приложение Telegram.
Интересно, что Telegram - это то же приложение, которое Россия запретила, поскольку команда разработчиков отказалась создавать бэкдор для правительства. Европейский суд по правам человека (ЕСПЧ) постановил, что такой запрет является явным нарушением свободы слова. Правление принесло плоды как Россия снял двухлетний запрет Telegram.
Служит ли постановление ЕСПЧ Telegram гарантией будущего?
К сожалению, похоже, что это не так. В 2019 году ЕСПЧ постановил, что свободное выражение мнения на тему Холокоста не является правом человека. В то же время суд постановил, что такое же свободное выражение мнения по теме Геноцида армян действительно составляет право человека на свободу слова. Эти непоследовательные постановления показывают, что ЕСПЧ не поддерживает универсальные стандарты.
Влияет ли на вас проект резолюции ЕС?
Если вы беспокоитесь, что WhatsApp, Telegram, Viber и другие приложения E2EE внезапно сделают вас уязвимыми для хакеров и майнеров данных, не беспокойтесь. В ЕС мы, вероятно, имеем дело с гибридным решением, при котором правоохранительные органы должны предоставить судам достаточные основания для вторжения в частную жизнь.
С другой стороны, в сфере Пяти Глаза, кажется, есть массивная настаивать на узаконивании бэкдоров в приложения для обмена сообщениями E2EE. Противодействие гражданам и неправительственным организациям, таким как Electronic Frontier Foundation, будет иметь решающее значение для предотвращения такого ограничительного законодательства в отношении криптографии.
Связанный: Что такое наблюдение "пятью глазами"?
Если вы думаете, что VPN защищают вас от государственного наблюдения, вы можете ошибаться. На самом деле это зависит от того, где размещен ваш VPN.
Склонность правительств, регулирующих криптографию
Ни для кого не секрет, что государства по всему миру стремятся подорвать частную жизнь граждан ради предполагаемой национальной безопасности. Эта плата обычно во главе с пятью глазами разведывательный альянс. Они стремятся реализовать самый широкий подход, обязывающий разработчиков программного обеспечения к интегрировать бэкдоры в свои приложения. Это позволит правительствам и технологическим компаниям получать доступ к любым личным данным по своему желанию.
Хотя правительства риторически заявляют, что у них есть гарантии против злоупотреблений, их послужной список менее чем безупречен. В качестве Обнаружены утечки Сноудена, они кажутся беспринципными в том, как они воспринимают право граждан на неприкосновенность частной жизни и недопущение злоупотреблений. Более того, бэкдоры легко используются киберпреступниками, что приводит к значительному экономическому ущербу и подрыву доверия.
Обязательные бэкдоры еще не стали реальностью, но правительства могут использовать мощный арсенал убеждения в любой момент, когда происходит преступный / террористический акт. Таким образом, у правительств есть устойчивый импульс ослабить защиту конфиденциальности, утверждая, что:
- Террористы / преступники имеют такой же доступ к зашифрованным протоколам связи, что и законопослушные граждане.
- Следовательно, протоколы зашифрованной связи должны быть подорваны ради законопослушных граждан.
Попытка достичь баланса между ними - это непрерывный процесс, совсем недавно ставший объектом общественного внимания со стороны государств-членов ЕС.
Почему важно шифрование E2E?
Когда люди не хотят думать о последствиях слежки, они часто прибегают к базовому аргументу:
"Мне нечего скрывать."
К сожалению, приверженность такой наивности не обезопасит вашу жизнь от злоупотреблений. Как Скандал с данными Facebook и Cambridge Analytica продемонстрировали, что к своим личным данным следует обращаться с такой же строгостью, как и к охране собственности в своем доме. Когда вы лишаетесь протоколов шифрования E2E, вы создаете среду, которая питает:
- Самоцензура как образ мышления.
- Взлом и шантаж.
- Неспособность быть эффективным политическим диссидентом или журналистом.
- Корпорации и правительства используют ваш психологический профиль против вас.
- Снижение ответственности правительств за их негативную политику.
- Неспособность эффективно защитить интеллектуальную собственность.
Подобно тому, как преступники имеют легкий доступ к огнестрельному оружию, несмотря на его запрет и жесткий контроль во всем мире, преступники также могут использовать другие способы связи. Одновременно подрыв E2EE сделает предприятия и отдельных граждан уязвимыми для широкого спектра злоупотреблений.
Какие варианты E2EE есть в вашем распоряжении?
Бэкдоры в приложениях для обмена сообщениями могут возникать тремя способами:
- Случайно из-за плохого кода, который позже исправляется при обнаружении уязвимости.
- Умышленно со стороны государственных органов, оказывающих внутреннее давление на компании.
- Умышленно и открыто законодательством.
Нам еще предстоит дойти до третьего сценария. А пока старайтесь следовать этим правилам безопасности при выборе безопасного приложения для обмена сообщениями:
- Выбирайте приложения, которые хорошо зарекомендовали себя в противостоянии давлению и высоко оценены пользователями.
- Если есть возможность, выберите бесплатное программное обеспечение с открытым исходным кодом - приложения FOSS. Это приложения, созданные сообществом, поэтому реализация бэкдора станет очевидной. Иногда вы также можете встретить эти приложения под аббревиатурой FLOSS - бесплатное / бесплатное программное обеспечение с открытым исходным кодом.
- При использовании электронной почты попробуйте использовать почтовые платформы с протоколами шифрования PGP или GPG.
Принимая во внимание эти факторы, вот несколько хороших приложений для обмена сообщениями E2EE с открытым исходным кодом:
Сигнал
Изображение 1 из 3
Изображение 2 из 3
Изображение 3 из 3
Signal стал фаворитом среди многих пользователей, заботящихся о конфиденциальности, и на то есть веские причины. Он использует Perfect Forward Secrecy (PFS) для всех типов сообщений: текстовых, аудио и видео. Signal также не регистрирует ваш IP-адрес, но дает вам возможность отправлять самоуничтожающиеся сообщения. На устройствах Android вы даже можете сделать его приложением по умолчанию для текстовых сообщений SMS.
Однако Signal требует регистрации по телефонному номеру, а также не обеспечивает двухфакторную аутентификацию (2FA). В целом, это совместимое с GDPR приложение для обмена сообщениями, доступное для всех платформ, еще не обновлено.
Скачать: Сигнал для Android | iOS | Окна (Свободный)
Сессия
Изображение 1 из 3
Изображение 2 из 3
Изображение 3 из 3
Ответвление от Signal (форк), Session стремится иметь еще более серьезные функции безопасности, чем Signal. С этой целью он интегрировал все функции Signal, но не требовал наличия номера телефона или электронной почты для регистрации. Он не регистрирует никаких метаданных или IP-адресов, но по-прежнему не поддерживает двухфакторную аутентификацию.
Его разработка с открытым исходным кодом все еще продолжается, поэтому вы можете столкнуться с ошибками. Кроме того, его протокол Onion Routing, используемый браузером Tor, также находится в стадии разработки.
Скачать: Сессия для Android | iOS | Mac | Окна | Linux (Свободный)
Шиповник
Полностью децентрализованный Briar - одно из последних приложений FOSS с протоколами обмена сообщениями E2EE. Исключительно для платформы Android, Briar - это идеальное решение для тех, кто беспокоится о сервере, хранящем их сообщения. Briar делает это невозможным, используя протоколы одноранговой сети (P2P). Это означает, что только вы и получатель можете хранить сообщения.
Более того, Briar добавляет дополнительный уровень защиты с помощью протокола Onion (Tor). Чтобы начать использовать Briar, не нужно сообщать никакой информации, кроме имени получателя. Однако, если вы смените устройство, все ваши сообщения станут недоступны.
Скачать: Шиповник для Android (Свободный)
Проволока
Изображение 1 из 3
Изображение 2 из 3
Изображение 3 из 3
Оставаясь открытым исходным кодом, Wire предназначен для группового обмена сообщениями и обмена сообщениями, что делает его идеальным для бизнес-сред. Это не бесплатно, за исключением личных аккаунтов. Наряду с протоколами E2EE, Wire использует Proteus и WebRTC с PFS, в дополнение к самочищающимся сообщениям.
Wire требует либо номер телефона / адрес электронной почты для регистрации, а также регистрации некоторых личных данных. Он также не поддерживает двухфакторную аутентификацию. Тем не менее, соответствие GDPR, открытый исходный код и передовые алгоритмы шифрования делают его отличным решением для корпоративных организаций.
Скачать: Провод для Android | iOS | Mac | Интернет | Linux (Свободный)
Вы не беззащитны перед поворотным моментом
В конце концов, даже если правительства полностью запретят E2EE или установят бэкдоры, преступники найдут другие методы. С другой стороны, менее заинтересованные граждане просто смирились бы с новым положением дел: массовой слежкой. Вот почему мы должны проявлять осторожность и всегда отступать, чтобы сохранить наше основное право человека на неприкосновенность частной жизни.
Вы оставляете много информации в сети, даже не подозревая об этом. Является ли этот цифровой след угрозой для вашей конфиденциальности?
- Безопасность
- Конфиденциальность в Интернете
- Шифрование
- Конфиденциальность компьютера
- Закон
Рахул Намбиампурат начал свою карьеру в качестве бухгалтера, но теперь перешел на полную занятость в сфере высоких технологий. Он страстный поклонник децентрализованных технологий с открытым исходным кодом. Когда он не пишет, он обычно занят изготовлением вина, возится со своим Android-устройством или путешествует по горам.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Еще один шаг…!
Пожалуйста, подтвердите свой адрес электронной почты в электронном письме, которое мы вам только что отправили.