Hvorfor e-post kan ikke beskyttes mot regjeringsovervåkning
“Hvis du visste hva jeg vet om e-post, kan du heller ikke bruke den,” sa eieren av sikker e-posttjeneste Lavabit som han nylig stengte den ned. “Det er ingen måte å gjøre kryptert e-post der innholdet er beskyttet,” sa Phil Zimmermann da han plutselig slo ned Silent Circle's sikre e-posttjeneste. Virkeligheten er at e-post er fundamentalt usikker og kan aldri beskyttes mot statlig overvåking på samme måte som en annen kommunikasjon kan.
Jo, du kan bruke en annen kryptert og “sikre” e-posttjeneste som ikke har stengt ennå. Men de er sårbare for det samme amerikanske regjeringstrykket Lavabit møtte - derfor sluttet Silent Circle før det ble kontaktet av regjeringen. Noen mindre prinsipielle tjenester vil velge å samarbeide med regjeringer i stedet for å slå ned. Vi vet ikke nøyaktig hva som krever Lavabit, da de er forbudt fra å avsløre noe de opplevde som følge av tilbakerdørsbeskrivelser fra den hemmelige amerikanske overvåkingsdomstolen som muliggjør PRISM og andre NSA overvåkingsprogrammer. Hva er PRISM? Alt du trenger å vite Hva er PRISM? Alt du trenger å vite Nasjonalt sikkerhetsbyrå i USA har tilgang til hvilke data du lagrer hos amerikanske tjenesteleverandører som Google Microsoft, Yahoo og Facebook. De overvåker også mesteparten av trafikken som strekker seg over ... Les mer .
La oss se på hvorfor e-post er et dårlig valg for sikker kommunikasjon, og hvordan det er et enkelt mål for regjeringens snooping.
Metadata kan ikke krypteres, og XKEYSCORE kan fange det
En e-post er egentlig ikke et eneste data. Det er flere datatyper: Det er meldingslegemet, emnelinjen, Fra-feltet, feltene Til / CC / BCC og andre metadata som inneholder plasseringen du sender e-posten fra.
Selv om du bruker den beste e-krypteringsteknologien mulig, kan du bare kryptere meldingslegemet til e-posten. Alle som overvåker forbindelsen du bruker, kan se emnet i e-posten, hvem du kommuniserer med, og hvor du sender fra. Under XKEYSCORE-programmet som i det vesentlige tillater den amerikanske regjeringen å fange det meste av trafikken som strømmer over Internett ved å fange det i store ryggradsledere og gateways, kan regjeringen bygge opp et godt bilde av hvem du kommuniserer med når du er kommunisere med dem, hvor du kommuniserer fra hverandre og hva emnelinjene i e-postene dine er, noe som gir dem en ide om hva du snakker om. De kan finne det faktum at du krypterer innholdet i e-postene dine mistenkelig og målretter deg mot ytterligere, mer grundig overvåking av alt du gjør.
Den amerikanske regjeringen samlet amerikanske e-postopptegnelser i bulk til 2011. Ifølge NSA ble dette programmet avviklet fordi det ikke var effektivt - men de samler fortsatt metadata under XKEYSCORE, slik at de sannsynligvis fanger opp alle de metadataene de kan få hendene på. De får mye informasjon fra deg selv om du krypterer e-postene dine.
For mer informasjon, les om de tingene du kan lære av en e-post “Overskrift”, eller metadata Hva kan du lære av en e-postadresse (metadata)? Hva kan du lære av en e-postadresse (metadata)? Har du noen gang fått en e-post og virkelig lurt på hvor det kom fra? Hvem sendte den? Hvordan kunne de ha kjent hvem du er? Overraskende mye av denne informasjonen kan være fra fra ... Les mer .
Mange “Sikre” E-postleverandører Har krypteringstastene for bekvemmelighet
Kryptering og dekryptering av e-post er komplisert. I teorien vil du bruke noe som PGP eller GPG på din lokale datamaskin for å dekryptere e-postmeldinger. Slik sender du signert og kryptert e-post med evolusjon [Linux] Slik sender du signert og kryptert e-post med evolusjon [Linux] I dagens teknologiske verden sender du kryptert meldinger mellom mennesker har blitt en økende standard. For å sikre din e-postkommunikasjon må du signere og / eller kryptere e-postene dine. På Linux er dette et enkelt ... Les mer. I praksis kan oppsettet være komplisert og forvirrende, selv for flere tech-savvy brukere. Dette gjør det også umulig å få tilgang til de krypterte e-postene via en nettleser eller lettvektsklient.
I praksis har mange sikre e-postleverandører håndtert dette ved å holde krypteringsnøklene til slutt, dekryptere e-postmeldinger når du får tilgang til dem. Slik virket Silent Circles sikre e-posttjeneste - de hadde krypteringsnøklene, slik at de enkelt kunne dekryptere e-postmeldinger og tilby en god brukeropplevelse. I praksis betyr dette at regjeringen kunne kreve alle krypteringsnøklene - eller bare de de trengte - og dekryptere alle e-postene de ønsket. Hvis leverandøren har nøklene, kan de overføre dem. Den eneste måten å sikre kryptering og dekryptering av e-postkropper, er med komplisert stasjonær programvare. Selv all denne innsatsen etterlater metadataene eksponert.
Regjeringen kan kreve bakdører: Se Hushmail
Canada-basert Hushmail er en av de mest populære og allment kjente krypterte e-posttjenestene. I 2007 tvang kanadiske domstoler Hushmail til å overlevere e-postene til en av sine brukere. E-postene ble deretter sendt til amerikanske domstoler i henhold til en gjensidig juridisk bistandstraktat mellom Canada og USA.
Hushmail teoretisk kunne ikke gjøre dette. De holdt ikke brukerens krypteringsnøkler på sine servere. De anbefalte brukere bruker PGP eller lignende programvare for å dekryptere e-postene på sine datamaskiner for maksimal privatliv. Men mange trodde dette var for ubeleilig, så Hushmail tilbød også en nedlastbar Java-applet som var plassert på en nettside som tillot deg tilgang til e-posten din. Når du åpnet nettsiden, vil den nyeste versjonen av Java-appleten lastes ned til datamaskinen din, du vil skrive inn krypteringsnøkkelen, og appleten vil laste ned og lokalt dekryptere e-posten din uten at Hushmail får tilgang til krypteringsnøkkelen din.
Hushmail ble tvunget til å betjene en versjon av Java Is Java Usikre, og bør du deaktivere den? Er Java usikre og bør du deaktivere den? Oracle's Java plug-in er blitt mindre og mindre vanlig på nettet, men det er blitt mer og mer vanlig i nyhetene. Om Java tillater over 600 000 Macer å bli infisert eller Oracle er ... Les mer Applet med en innebygd bakdør til brukeren i spørsmålet. Den modifiserte Java-appleten sendte brukerens krypteringsnøkkel til Hushmail etter at den ble skrevet inn og Hushmail fikk tilgang til brukerens e-post, som de overlevert til domstolene.
Hvis du bruker sikker e-post, kan leverandøren bli tvunget til å skaffe nøkkelen din på en mulig måte. Selv om de ikke kunne få tilgang til nøkkelen din, kunne leverandøren overføre dine krypterte e-postmeldinger selv, noe som ville vise regjeringen hvem du kommuniserer med, når og om hva (via e-postlinjen).
E-postmeldinger lagres på en server, det er ikke direktemeldinger
Selv om regjeringen ikke kan få eller fange opp krypteringsnøkkelen, kan de likevel kunne dekryptere e-postene dine uansett. Dine krypterte e-postmeldinger lagres på en server - det er bare hvordan e-post fungerer. Hvis regjeringen skulle kreve disse dataene, måtte vertsleverandøren overlate den i kryptert form. Regjeringen kan da prøve å bryte krypteringen - ny maskinvare gjør regelmessig krypteringsmekanismer mye svakere, og den amerikanske regjeringen kan lagre slik kryptert kommunikasjon i håp om å bryte dem i fremtiden.
I kontrast er kommunikasjon med direktemeldingsformat vanskeligere å arkivere. En kryptert melding kan sendes direkte til mottakeren og ikke lagres på en server der den kan nås i fremtiden. Regjeringen måtte installere en overvåkingsenhet og fange all kommunikasjon i sanntid. Hvis de ikke klarte å gjøre det og ikke hadde alle krypterte dataene, ville de ikke kunne få det år senere - men de kan ofte gjøre dette med e-post.
Andre typer kommunikasjon kan sikres
E-post var ikke bare designet med kryptering i tankene. Det er blitt skrudd på etterfaktor, og det viser. Selv de mest forsiktige med sikre e-posttjenestebrukere kan ikke skjule hvem de kommuniserer med og når. Hvis du virkelig vil unngå regjeringskontroll, er det bedre å bruke forskjellige sikre meldingstjenester i stedet for å stole på e-post.
Derfor tilbyr Silent Circle fortsatt en sikker meldingstjeneste. 3 måter å gjøre smarttelefonkommunikasjonen mer sikker 3 måter å gjøre smarttelefonkommunikasjonen mer sikker Total personvern! Eller så tror vi, da våre ord og informasjon gikk gjennom luften. Ikke så: For det første er det ord med ukjent wiretapping, så er det et ord av aviser, advokater, forsikringsselskaper og mer hacking din ... Les mer at de er sikre på sikkerheten til. Det er ikke det eneste alternativet heller - Cryptocat er en annen. Cryptocat hadde et nylig publisert sårbarhet, og andre tjenester kan ha sine egne problemer som vi vil høre om i fremtiden, men disse tjenestene er på rette spor - de er ikke fundamentalt usikre av design slik e-post er.
Selvfølgelig er kryptert e-post ikke nødvendigvis verdiløs. For eksempel, hvis du vil sikre viktig forretningskommunikasjon mot avlytting, kan det være nyttig. Men kryptert e-post kommer ikke til å senke regjeringen veldig mye - det er ikke det ideelle kommunikasjonsverktøyet når du prøver å snakke uten NSA-høringen.
Er du enig med prinsippene bak Lavabits og Silent Circles nedleggelse? Bruker du en sikker meldingstjeneste for å kommunisere uten at samtalene dine blir lagret i en massiv regjeringsdatabase? Legg igjen en kommentar og gi oss beskjed om hvilket e-postalternativ du foretrekker.
Bildekreditter: Metalldetektor Via Shutterstock
Utforsk mer om: E-posttips, kryptering, online personvern, nettverkssikkerhet, overvåking.