Hvorfor Email kan ikke beskyttes mod regeringsovervågning

"Hvis du vidste hvad jeg ved om e-mail, kan du heller ikke bruge det," sagde ejeren af ​​sikker e-mail-tjeneste Lavabit, da han for nylig lukkede det. Der er ingen måde at gøre krypteret e-mail, hvor indholdet er beskyttet, sagde Phil Zimmermann, da han pludselig lukkede Silent Circle's sikre e-mail-tjeneste.

"Hvis du vidste hvad jeg ved om e-mail, kan du heller ikke bruge det," sagde ejeren af ​​sikker e-mail-tjeneste Lavabit, da han for nylig lukkede det.  Der er ingen måde at gøre krypteret e-mail, hvor indholdet er beskyttet, sagde Phil Zimmermann, da han pludselig lukkede Silent Circle's sikre e-mail-tjeneste.
Reklame

"Hvis du vidste hvad jeg ved om e-mail, kan du heller ikke bruge det, " sagde ejeren af ​​sikker e-mail-tjeneste Lavabit, da han for nylig lukkede det. "Der er ingen måde at gøre krypteret e-mail, hvor indholdet er beskyttet, " sagde Phil Zimmermann, da han pludselig lukkede Silent Circle's sikre e-mail-tjeneste. Virkeligheden er, at e-mail er grundlæggende usikker og kan aldrig beskyttes mod regeringsovervågning på samme måde som andre kommunikationer kan.

Sikker på, at du muligvis bruger en anden krypteret og "sikker" e-mail-tjeneste, der ikke har lukket ned endnu. Men de er sårbare over for det samme amerikanske regeringstryk Lavabit står overfor - derfor blev Silent Circle lukket før den blev kontaktet af regeringen. Nogle mindre principielle tjenester vil vælge at samarbejde med regeringer snarere end at lukke. Vi ved ikke præcis, hvad der kræves Lavabit, da de er forbudt at afsløre alt, hvad de oplevede som følge af backdoor-ordrer fra den hemmelige amerikanske overvågningsdomstol, der muliggør PRISM og andre NSA-overvågningsprogrammer. Hvad er PRISM? Alt hvad du behøver at vide Hvad er PRISM? Alt du behøver at vide Det nationale sikkerhedsagentur i USA har adgang til de data, du opbevarer med amerikanske tjenesteudbydere som Google Microsoft, Yahoo og Facebook. De overvåger sandsynligvis også det meste af trafikken, der flyder over ... Læs mere.

Lad os nu se på, hvorfor e-mail er et dårligt valg til sikker kommunikation, og hvordan det er et let mål for regeringens snooping.

Metadata kan ikke krypteres, og XKEYSCORE kan afskære det

En e-mail er ikke rigtig et enkelt stykke data. Det er flere stykker data: Der er beskedlegemet, emnelinjen, Fra-feltet, feltet Til / CC / BCC og andre metadata, der indeholder placeringen, hvor du sender e-mailen fra.

Selvom du bruger den bedste e-mail-krypteringsteknologi mulig, kan du kun kryptere meddelelseslegemet af e-mailen. Enhver, der overvåger forbindelsen, du bruger, kan se emnet for e-mailen, hvem du kommunikerer med, og hvor du sender email fra. Under XKEYSCORE-programmet, som i det væsentlige tillader den amerikanske regering at opfange det meste af trafikken, der flyder over internettet ved at opfange det i store ryggradsledere og gateways, kan regeringen opbygge et ret billede af, hvem du kommunikerer med, når du er kommunikerer med dem, hvor du kommunikerer fra hinanden, og hvad emnelinjerne i dine e-mails er, hvilket giver dem en ide om, hvad du taler om. De kan finde det faktum, at du krypterer indholdet af dine e-mails mistænkeligt og målretter dig for yderligere, mere dybdegående overvågning af alt andet du gør.

Den amerikanske regering indsamlede amerikanske email-poster i bulk indtil 2011. Ifølge NSA blev programmet afbrudt, fordi det ikke var effektivt - men de samler stadig metadata under XKEYSCORE, så de sandsynligvis opfanger alle de e-mail-metadata, de kan få hænderne på. De får masser af information fra dig, selvom du krypterer dine e-mails.

Læs mere om de ting, du kan lære af en e-mails "header" eller metadata. Hvad kan du lære af en e-mail-overskrift (metadata)? Hvad kan du lære af en e-mail-overskrift (metadata)? Har du nogensinde fået en e-mail og virkelig spekuleret på, hvor den kom fra? Hvem sendte det? Hvordan kunne de have kendt, hvem du er? Overraskende mange af disse oplysninger kan være fra fra ... Læs mere.

xkeyscore-metadata-slide

Mange "sikre" e-mailleverandører Har krypteringstasterne til bekvemmelighed

Kryptering og dekryptering af e-mails er kompliceret. I teorien vil du bruge noget som PGP eller GPG på din lokale computer til at dekryptere e-mails. Sådan sendes signeret og krypteret email med evolution [Linux] Sådan sendes signeret og krypteret email med evolution [Linux] I dagens teknologiske verden sender du krypteret Meddelelser mellem mennesker er blevet en stigende standard. For at sikre din e-mail-kommunikation skal du underskrive og / eller kryptere dine e-mails. I Linux er dette en nem ... Læs mere. I praksis kan opsætningen være kompliceret og forvirrende, selv for mere tech-savvy brugere. Dette gør det også umuligt at få adgang til de krypterede e-mails via en browser eller letvægts mobilklient.

I praksis har mange sikre email-udbydere behandlet dette ved at holde krypteringsnøglerne ved deres ende, dekryptere e-mails, når du får adgang til dem. Sådan arbejdede Silent Circles sikre e-mail-tjeneste - de havde krypteringsnøglerne, så de nemt kunne dekryptere e-mails og tilbyde en god brugeroplevelse. I praksis betyder det, at regeringen kunne kræve alle krypteringsnøglerne - eller bare dem de havde brug for - og dekryptere alle de e-mails, de ønskede. Hvis udbyderen har nøglerne, kan de overdele dem. Den eneste måde at sikre kryptering og dekryptering af e-mail-kroppe er med kompliceret desktop software. Selv al denne indsats efterlader metadataene.

Regeringen kan efterspørge bagdøre: Se Hushmail

Canada-baserede Hushmail er en af ​​de mest populære og kendte krypterede email-tjenester. I 2007 tvang canadiske domstole Hushmail til at overdrage e-mails fra en af ​​deres brugere. E-mailsne blev derefter sendt til amerikanske domstole i henhold til en gensidig retshjælpstraktat mellem Canada og USA.

Hushmail kunne teoretisk ikke gøre dette. De holdt ikke brugerens krypteringsnøgler på deres servere. De anbefalede brugere bruger PGP eller lignende software til at dekryptere e-mails på deres computere for maksimal privatliv. Men mange syntes det var for ubelejligt, så Hushmail tilbød også en downloadbar Java-applet placeret på en webside, der gjorde det muligt for dig at få adgang til din email. Når du har adgang til websiden, downloades den nyeste version af Java-applet til din computer, du indtaster din krypteringsnøgle, og appleten vil downloade og lokalt dekryptere din email uden at Hushmail får adgang til din krypteringsnøgle.

Hushmail var tvunget til at betjene en version af Java Is Java Unsafe og skal du deaktivere den? Er Java Usikret og skal du deaktivere den? Oracle's Java plug-in er blevet mindre og mindre almindeligt på internettet, men det er blevet mere og mere almindeligt i nyhederne. Uanset om Java tillader over 600.000 Mac'er at blive smittet eller Oracle er ... Læs mere applet med en indbygget bagdør til den pågældende bruger. Den modificerede Java-applet sendte brugerens krypteringsnøgle til Hushmail, efter at den blev indtastet, og Hushmail fik adgang til brugerens e-mails, som de overleverede til domstolene.

Hvis du bruger sikker email, kan udbyderen blive tvunget til at erhverve din nøgle på enhver mulig måde. Selvom de ikke kunne få adgang til din nøgle, kunne udbyderen overdele dine krypterede e-mails selv, hvilket ville vise regeringen, hvem du kommunikerer med, hvornår og om hvad (via emnelinjen).

hushmail-legal-warning

E-mail-beskeder gemmes på en server, er ikke øjeblikkelige meddelelser

Selvom regeringen ikke kan få eller aflytte krypteringsnøglen, kan de muligvis dekryptere dine e-mails alligevel. Dine krypterede e-mail-meddelelser gemmes på en server - det er bare, hvordan e-mail fungerer. Hvis regeringen skulle kræve disse data, skal hosting-udbyderen overdrage den i krypteret form. Regeringen kan så forsøge at bryde krypteringen - ny hardware gør regelmæssigt krypteringsmekanismerne meget svagere, og den amerikanske regering kan oplagre sådan krypteret kommunikation i håb om at bryde dem i fremtiden.

I modsætning hertil er kommunikation med instant message-stil sværere at arkivere. En krypteret meddelelse kan sendes direkte til modtageren og ikke gemmes på en server, hvor den kan nås i fremtiden. Regeringen skulle installere en overvågningsenhed og fange al kommunikation i realtid. Hvis de undlod at gøre det og ikke havde alle de krypterede data, ville de ikke kunne få det år senere - men de kan ofte gøre det med e-mail.

Andre former for kommunikation kan sikres

Email var ikke designet med kryptering i tankerne. Det er blevet boltet efter det faktum, og det viser. Selv de mest forsigtige med sikre e-mail-brugere kan ikke skjule hvem de kommunikerer med og hvornår. Hvis du virkelig ønsker at undgå statsovervågning, er det bedre at bruge forskellige sikre messaging-tjenester i stedet for at stole på e-mail.

Derfor tilbyder Silent Circle stadig en sikker messaging service 3 måder at gøre din smartphone-kommunikation mere sikker 3 måder at gøre din smartphone-kommunikation mere sikker Total privatliv! Eller så tror vi, da vores ord og informationer gik gennem luften. Ikke så: For det første er det ord af ubestridelig wiretapping, så er det et ord af aviser, advokater, forsikringsselskaber og mere hacking din ... Læs mere at de er sikre på sikkerheden i. Det er heller ikke den eneste mulighed - Cryptocat er en anden. Cryptocat havde en nyligt offentliggjort sårbarhed, og andre tjenester kan have deres egne problemer, som vi vil høre om i fremtiden, men disse tjenester er på rette spor - de er ikke fundamentalt usikre ved design, hvordan e-mail er.

Selvfølgelig er krypteret email ikke nødvendigvis værdiløs. For eksempel, hvis du ønsker at sikre vigtig forretningskommunikation mod aflytning, kan det være nyttigt. Men krypteret e-mail vil ikke sætte regeringen meget i gang - det er ikke det ideelle kommunikationsværktøj, når du prøver at tale uden NSA-høringen.

krypter dine data

Er du enig i principperne bag Lavabit's og Silent Circle's shutdown? Bruger du en sikker messaging service til at kommunikere uden at dine samtaler gemmes i en massiv regerings database? Efterlad en kommentar, og lad os vide, hvilket e-mail-alternativ du foretrækker.

Billedkreditter: Metaldetektor Via Shutterstock

In this article