Perché l'e-mail non può essere protetta dalla sorveglianza governativa
“Se sapessi cosa so riguardo all'e-mail, potresti non usarlo neanche,” ha detto il proprietario del servizio di posta elettronica sicuro Lavabit mentre lo chiudeva di recente. “Non c'è modo di fare e-mail crittografate dove il contenuto è protetto,” ha detto Phil Zimmermann mentre improvvisamente ha interrotto il servizio di posta elettronica sicuro di Silent Circle. La realtà è che l'e-mail è fondamentalmente insicura e non può mai essere protetta dalla sorveglianza governativa allo stesso modo di altre comunicazioni.
Certo, potresti usare un diverso criptato e “sicuro” servizio di posta elettronica non ancora chiuso. Ma sono vulnerabili alle stesse pressioni del governo statunitense che Lavabit ha dovuto affrontare: ecco perché Silent Circle ha chiuso prima che venisse contattato dal governo. Alcuni servizi meno di principio opteranno per cooperare con i governi piuttosto che chiudere. Non sappiamo esattamente cosa esige Lavabit, poiché è vietato rivelare tutto ciò che hanno sperimentato a seguito di ordini arretrati da parte della corte segreta di sorveglianza degli Stati Uniti che abilita il PRISM e altri programmi di sorveglianza della NSA. Che cos'è PRISM? Tutto quello che c'è da sapere cos'è PRISM? Tutto quello che c'è da sapere L'Agenzia per la sicurezza nazionale negli Stati Uniti ha accesso ai dati che stai archiviando con fornitori di servizi statunitensi come Google, Yahoo e Facebook. Probabilmente controlleranno anche la maggior parte del traffico che fluisce attraverso il ... Per saperne di più .
Ora, diamo un'occhiata al motivo per cui l'e-mail è una scelta sbagliata per le comunicazioni sicure e come sia un obiettivo facile per lo snooping governativo.
I metadati non possono essere crittografati e XKEYSCORE può intercettarlo
Una email non è davvero un singolo dato. Sono più pezzi di dati: c'è il corpo del messaggio, la riga dell'oggetto, il campo Da, i campi To / CC / BCC e altri metadati che includono la posizione da cui stai inviando l'e-mail.
Anche se si utilizza la migliore tecnologia di crittografia e-mail possibile, è possibile crittografare solo il corpo del messaggio dell'e-mail. Chiunque stia monitorando la connessione in uso può visualizzare l'oggetto dell'email, con chi stai comunicando e da dove invii email. Sotto il programma XKEYSCORE, che consente essenzialmente al governo degli Stati Uniti di catturare la maggior parte del traffico che fluisce su Internet intercettandolo su grandi router e gateway di backbone, il governo può creare una bella foto di chi stai comunicando, quando sei comunicare con loro, da dove tutti voi comunicate, e quali sono le linee tematiche delle vostre e-mail, cosa che dà loro un'idea di cosa state parlando. Potrebbero scoprire il fatto che stai crittografando il contenuto delle tue e-mail in modo sospetto e miri a una sorveglianza più approfondita di tutto ciò che fai.
Il governo degli Stati Uniti ha raccolto i dati delle e-mail negli Stati Uniti in blocco fino al 2011. Secondo l'NSA, questo programma è stato interrotto perché non era efficace, ma stanno ancora raccogliendo i metadati con XKEYSCORE, quindi è probabile che intercettano tutti i metadati della posta elettronica che possono mettere le mani su Riceveranno molte informazioni da te anche se cifri le tue e-mail.
Per ulteriori informazioni, leggi le cose che puoi imparare da un'email “intestazione”, o metadati Cosa puoi imparare da un'intestazione email (metadati)? Cosa puoi imparare da un'intestazione email (metadati)? Hai mai ricevuto un'e-mail e ti sei davvero chiesto da dove venisse? Chi lo ha inviato? Come potevano sapere chi sei? Sorprendentemente molte di queste informazioni possono provenire dal ... Per saperne di più .
Molti “Sicuro” I provider di e-mail hanno le chiavi di crittografia per convenienza
La crittografia e la decrittografia delle email sono complicate. In teoria, dovresti usare qualcosa come PGP o GPG sul tuo computer locale per decrittografare le e-mail Come inviare e-mail cifrate e firmate con Evolution [Linux] Come inviare e-mail firmate e crittografate con Evolution [Linux] Nel mondo tecnologico di oggi, inviando crittografato i messaggi tra le persone sono diventati uno standard crescente. Per proteggere le tue comunicazioni e-mail, devi firmare e / o crittografare le tue e-mail. In Linux, questo è un facile ... Per saperne di più. In pratica, l'installazione può essere complicata e confusa, anche per gli utenti più esperti di tecnologia. Ciò rende inoltre impossibile accedere alle e-mail crittografate tramite un browser o un client mobile leggero.
In pratica, molti provider di posta elettronica sicuri si sono occupati di questo tenendo le chiavi di crittografia alla loro estremità e decifrando le email quando le si accede. È così che funziona il servizio di posta elettronica sicuro di Silent Circle: disponevano delle chiavi di crittografia in modo che potessero facilmente decodificare le email e offrire una buona esperienza utente. In pratica, ciò significa che il governo potrebbe richiedere tutte le chiavi di crittografia, o solo quelle necessarie, e decrittografare tutte le e-mail che volevano. Se il fornitore ha le chiavi, potrebbero consegnarle. L'unico modo per crittografare e decrittografare in modo sicuro i corpi delle e-mail è con un complicato software desktop. Anche tutto questo sforzo lascia scoperti i metadati.
Il governo può chiedere backdoor: vedi Hushmail
Hushmail con sede in Canada è uno dei servizi di posta elettronica crittografati più popolari e conosciuti. Nel 2007, i tribunali canadesi costrinsero Hushmail a consegnare le e-mail di uno dei loro utenti. Le e-mail sono state poi passate ai tribunali degli Stati Uniti nell'ambito di un trattato di mutua assistenza giudiziaria tra il Canada e gli Stati Uniti.
In teoria, Hushmail non poteva farlo. Non hanno mantenuto le chiavi di crittografia degli utenti sui loro server. Hanno raccomandato agli utenti di utilizzare PGP o software simile per decrittografare le e-mail sui loro computer per la massima privacy. Tuttavia, molte persone hanno pensato che fosse troppo scomodo, quindi Hushmail ha anche offerto un'applet Java scaricabile che si trova su una pagina web che ti ha permesso di accedere alla tua email. Quando si accede alla pagina Web, la versione più recente dell'applet Java verrà scaricata sul computer, si inserirà la chiave di crittografia e l'applet scaricherà e decodificherà localmente la propria posta elettronica senza che Hushmail acceda alla chiave di crittografia.
Hushmail è stato costretto a pubblicare una versione di Java È Java non sicuro e dovresti disabilitarlo? Java non è sicuro e dovresti disabilitarlo? Il plug-in Java di Oracle è diventato sempre meno comune sul Web, ma è diventato sempre più comune nelle notizie. Se Java consente di contagiare più di 600.000 Mac o Oracle è ... Leggi di più Applet con una backdoor integrata per l'utente in questione. L'applet Java modificata ha inviato la chiave di crittografia dell'utente a Hushmail dopo l'immissione e Hushmail ha ottenuto l'accesso alle e-mail dell'utente, che hanno consegnato ai tribunali.
Se si utilizza l'e-mail protetta, il fornitore può essere obbligato ad acquisire la chiave in qualsiasi modo possibile. Anche se non riuscissero ad accedere alla tua chiave, il provider potrebbe consegnare le tue e-mail crittografate, il che mostrerebbe al governo con chi stai comunicando, quando e su cosa (tramite l'oggetto dell'email).
I messaggi e-mail vengono memorizzati su un server, i messaggi istantanei no
Anche se il governo non è in grado di ottenere o intercettare la chiave di crittografia, potrebbero comunque essere in grado di decrittografare le tue e-mail. I tuoi messaggi e-mail crittografati sono archiviati su un server: è così che funziona la posta elettronica. Se il governo dovesse richiedere questi dati, il provider di hosting dovrebbe consegnarlo in forma crittografata. Il governo potrebbe quindi tentare di infrangere la crittografia - il nuovo hardware rende regolarmente molto più deboli i meccanismi di crittografia attuali e il governo statunitense potrebbe archiviare tali comunicazioni crittografate nella speranza di romperle in futuro.
Al contrario, le comunicazioni in stile messaggio immediato sono più difficili da archiviare. Un messaggio crittografato può essere inviato direttamente al destinatario e non memorizzato su un server a cui è possibile accedere in futuro. Il governo dovrebbe installare un dispositivo di monitoraggio e acquisire tutte le comunicazioni in tempo reale. Se non lo facessero e non avessero tutti i dati crittografati, non sarebbero in grado di ottenerlo dopo anni - ma possono farlo spesso con la posta elettronica.
Altri tipi di comunicazione possono essere protetti
L'email non è stata progettata per la crittografia. E 'stato imbullonato dopo il fatto, e mostra. Anche gli utenti più attenti del servizio di posta elettronica sicuro non possono nascondere con chi stanno comunicando e quando. Se vuoi davvero evitare la sorveglianza governativa, è meglio usare diversi servizi di messaggistica sicura invece di affidarsi alla posta elettronica.
Ecco perché Silent Circle offre ancora un servizio di messaggistica sicuro 3 modi per rendere le comunicazioni da smartphone più sicure 3 modi per rendere le comunicazioni da smartphone più sicure Total privacy! O così pensiamo, mentre le nostre parole e le nostre informazioni sono volate in aria. Non è così: in primo luogo è una parola di intercettazioni senza garanzia, quindi è la parola di giornali, avvocati, assicuratori e altri hackerare il tuo ... Leggi di più che sono fiduciosi nella sicurezza di. Non è l'unica opzione - Cryptocat è un altro. Cryptocat ha avuto una vulnerabilità recentemente pubblicizzata e altri servizi potrebbero avere i propri problemi di cui sentiremo parlare in futuro, ma questi servizi sono sulla strada giusta: non sono fondamentalmente insicuri dal design nel modo in cui l'email è.
Ovviamente, l'e-mail crittografata non è necessariamente inutile. Ad esempio, se si desidera proteggere comunicazioni aziendali importanti contro l'intercettazione, può essere utile. Ma l'e-mail crittografata non rallenterà molto il governo - non è lo strumento di comunicazione ideale quando stai cercando di parlare senza l'audizione della NSA.
Sei d'accordo con i principi alla base della chiusura di Lavabit e Silent Circle? Usi un servizio di messaggistica sicuro per comunicare senza che le tue conversazioni vengano archiviate in un enorme database governativo? Lascia un commento e facci sapere quale e-mail preferisci.
Crediti immagine: metal detector Via Shutterstock
Scopri di più su: Suggerimenti per e-mail, Cifratura, Privacy online, Sicurezza online, Sorveglianza.