Что Законодательный диск шифрования E2E ЕС означает для вашей конфиденциальности

Если вы один из 1,6 миллиарда пользователей WhatsApp, вы уже используете сквозное шифрование (E2EE). Эта безопасная форма связи означает, что любое сообщение, которое вы отправляете кому-либо, может быть прочитано только получателем – такие сообщения чата не могут быть перехвачены третьими сторонами, включая правительства и преступников.

К сожалению, преступники также используют шифрование, чтобы скрыть свои следы при совершении вредоносных действий, что делает приложения для безопасного обмена сообщениями главной целью государственного регулирования. В недавних новостях Совет Европы подготовил проект резолюции по регулированию E2EE, поскольку он направляется в Европейскую комиссию для окончательной формы.

Вопрос в том, находимся ли мы на грани потери конфиденциальности в мессенджерах?

Спайк террора подталкивает механизмы ЕС в движение

После недавних атак во Франции и Австрии премьер-министры обеих стран, Эммануэль Макрон и Себастьян Курц, соответственно, представили 6 ноября проект резолюции Совета Европейского Союза (СЕЕ), направленный на регулирование сквозного шифрования. практики.

Совет ЕС – это орган, который определяет направление политики, в то время как Европейская комиссия будет разрабатывать на его основе законопроекты. К счастью, в качестве законодательного открытия проект резолюции не так проблематичен с точки зрения конфиденциальности, как можно было бы ожидать:

  • В резолюции не содержится никаких конкретных предложений по запрету E2EE.
  • Он не предлагает использовать бэкдоры для протоколов шифрования.
  • Он подтверждает приверженность ЕС строгому шифрованию и правам на конфиденциальность.
  • Он служит приглашением для экспертов полностью изучить меры безопасности в рамках концепции «безопасность, несмотря на шифрование».

Однако в резолюции предлагается адресный подход:

«Компетентные органы должны иметь возможность получать доступ к данным законным и целевым образом, при полном соблюдении основных прав и режима защиты данных, обеспечивая при этом кибербезопасность».

Учитывая тенденцию к расширению правительством диапазона допустимых целей, это также может включать законные протесты. В случае Франции это могло быть движение «Желтые жилеты», которое было вытеснено из Facebook в безопасное приложение Telegram.

Интересно, что Telegram – это то же приложение, которое Россия запретила, поскольку команда разработчиков отказалась создавать бэкдор для правительства. Европейский суд по правам человека (ЕСПЧ) ЕС постановил, что такой запрет является явным нарушением свободы слова. Решение принесло свои плоды, поскольку Россия отменила двухлетний запрет Telegram .

Служит ли постановление ECHR Telegram залогом будущего?

К сожалению, похоже, что это не так. В 2019 году ЕСПЧ постановил, что свободное выражение мнений по теме Холокоста не является правом человека. В то же время суд постановил, что такое же свободное выражение мнения по теме Геноцида армян действительно составляет право человека на свободу слова. Эти непоследовательные постановления показывают, что ЕСПЧ не поддерживает универсальные стандарты.

Влияет ли на вас проект резолюции ЕС?

Если вы обеспокоены тем, что WhatsApp, Telegram, Viber и другие приложения E2EE внезапно сделают вас уязвимыми для хакеров и майнеров данных, не беспокойтесь. В ЕС мы, вероятно, имеем дело с гибридным решением, в котором правоохранительные органы должны предоставить судам достаточные основания для вторжения в частную жизнь.

С другой стороны, в сфере Five Eyes, похоже, наблюдается массовый толчок к законодательному закреплению бэкдоров в приложениях для обмена сообщениями E2EE. Противодействие гражданам и неправительственным организациям, таким как Electronic Frontier Foundation, будет иметь решающее значение для предотвращения такого ограничительного законодательства в отношении криптографии.

По теме: Что такое наблюдение "пятью глазами"?

Склонность правительств, регулирующих криптографию

Не секрет, что государства по всему миру стремятся подорвать частную жизнь граждан ради предполагаемой национальной безопасности. Это нападение обычно возглавляет разведывательный альянс Five Eyes . Они стремятся реализовать самый широкий подход – обязывая разработчиков программного обеспечения интегрировать бэкдоры в свои приложения . Это позволит правительствам и технологическим компаниям получать доступ к любым личным данным по своему желанию.

Хотя правительства риторически заявляют, что у них есть гарантии против злоупотреблений, их послужной список менее чем безупречен. Как показали утечки Сноудена , они кажутся недобросовестными в том, как они воспринимают право граждан на неприкосновенность частной жизни и недопущение злоупотреблений. Более того, бэкдоры легко используются киберпреступниками, что приводит к значительному экономическому ущербу и подрыву доверия.

Обязательные бэкдоры еще не стали реальностью, но правительства могут использовать мощный арсенал убеждения в любой момент, когда происходит преступный / террористический акт. Таким образом, у правительств есть постоянный импульс ослабить защиту конфиденциальности, утверждая, что:

  • Террористы / преступники имеют такой же доступ к зашифрованным протоколам связи, что и законопослушные граждане.
  • Следовательно, протоколы зашифрованной связи должны быть подорваны в интересах законопослушных граждан.

Попытка достичь баланса между ними – непрерывный процесс, совсем недавно ставший объектом общественного внимания со стороны государств-членов ЕС.

Почему важно шифрование E2E?

Когда люди не хотят думать о последствиях слежки, они часто прибегают к базовому аргументу:

"Мне нечего скрывать."

К сожалению, приверженность такой наивности не обезопасит вашу жизнь от злоупотреблений. Как продемонстрировалскандал с данными Facebook и Cambridge Analytica , нужно относиться к своим личным данным с такой же строгостью, как и к защите собственности в своем доме. Когда вы лишаетесь протоколов шифрования E2E, вы создаете среду, которая питает:

  • Самоцензура как образ мышления.
  • Взлом и шантаж.
  • Неспособность быть эффективным политическим диссидентом или журналистом.
  • Корпорации и правительства используют ваш психологический профиль против вас.
  • Снижение ответственности правительств за их негативную политику.
  • Неспособность эффективно защитить интеллектуальную собственность.

Подобно тому, как преступники имеют легкий доступ к огнестрельному оружию, несмотря на его запрет и жесткий контроль во всем мире, преступники также могут использовать другие способы связи. В то же время подрыв E2EE сделает предприятия и отдельных граждан уязвимыми для широкого спектра злоупотреблений.

Какие варианты E2EE есть в вашем распоряжении?

Бэкдоры в приложениях для обмена сообщениями могут возникать тремя способами:

  1. Случайно из-за некачественного кода, который позже исправляется при обнаружении уязвимости.
  2. Намеренно со стороны государственных органов, оказывающих внутреннее давление на компании.
  3. Умышленно и открыто законодательством.

Нам еще предстоит дойти до третьего сценария. А пока старайтесь следовать этим правилам безопасности при выборе безопасного приложения для обмена сообщениями:

  • Выбирайте приложения, которые хорошо зарекомендовали себя в противостоянии давлению и высоко оценены пользователями.
  • Если есть возможность, выберите бесплатное программное обеспечение с открытым исходным кодом – приложения FOSS. Это приложения, созданные сообществом, поэтому реализация бэкдора станет очевидной. Иногда вы также найдете эти приложения под аббревиатурой FLOSS – бесплатное / бесплатное программное обеспечение с открытым исходным кодом.
  • При использовании электронной почты попробуйте использовать почтовые платформы с протоколами шифрования PGP или GPG.

Принимая во внимание эти факторы, вот несколько хороших приложений для обмена сообщениями E2EE с открытым исходным кодом:

Сигнал

Галерея изображений (3 изображения)

Signal стал фаворитом среди многих пользователей, заботящихся о конфиденциальности, и на то есть веские причины. Он использует Perfect Forward Secrecy (PFS) для всех типов сообщений: текстовых, аудио и видео. Signal также не регистрирует ваш IP-адрес, но дает вам возможность отправлять самоуничтожающиеся сообщения. На устройствах Android вы даже можете сделать его приложением по умолчанию для текстовых сообщений SMS.

Однако Signal требует регистрации по телефонному номеру, а также не обеспечивает двухфакторную аутентификацию (2FA). В целом, это совместимое с GDPR приложение для обмена сообщениями, доступное для всех платформ, еще предстоит превзойти.

Скачать : Сигнал для Android | iOS | Windows (бесплатно)

Сессия

Галерея изображений (3 изображения)

Являясь ответвлением Signal (форк), Session стремится иметь еще более серьезные функции безопасности, чем Signal. С этой целью он интегрировал все функции Signal, но не требовал наличия номера телефона или электронной почты для регистрации. Он не регистрирует никаких метаданных или IP-адресов, но по-прежнему не поддерживает 2FA.

Его разработка с открытым исходным кодом все еще продолжается, поэтому вы можете столкнуться с ошибками. Кроме того, его протокол Onion Routing, используемый браузером Tor, также находится в стадии разработки.

Скачать : Сессия для Android | iOS | Mac | Windows | Linux (бесплатно)

Шиповник

Полностью децентрализованный Briar - одно из последних приложений FOSS с протоколами обмена сообщениями E2EE. Исключительно для платформы Android, Briar - это идеальное решение для тех, кто беспокоится о сервере, хранящем их сообщения. Briar делает это невозможным, используя протоколы одноранговой сети (P2P). Это означает, что только вы и получатель можете хранить сообщения.

Более того, Briar добавляет дополнительный уровень защиты с помощью протокола Onion (Tor). Вам не нужно предлагать никакой информации, чтобы начать использовать Briar, кроме имени получателя. Однако, если вы смените устройство, все ваши сообщения станут недоступны.

Скачать : Briar для Android (бесплатно)

провод

Галерея изображений (3 изображения)

Оставаясь по-прежнему открытым исходным кодом, Wire предназначен для группового обмена сообщениями и обмена сообщениями, что делает его идеальным для бизнес-сред. Это не бесплатно, за исключением личных аккаунтов. Наряду с протоколами E2EE, Wire использует Proteus и WebRTC с PFS, в дополнение к самочищающимся сообщениям.

Wire требует либо номер телефона / адрес электронной почты для регистрации, а также регистрации некоторых личных данных. Он также не поддерживает 2FA. Тем не менее, соответствие GDPR, открытый исходный код и передовые алгоритмы шифрования делают его отличным решением для корпоративных организаций.

Скачать : Wire для Android | iOS | Mac | Интернет | Linux (бесплатно)

Вы не беззащитны перед поворотом

В конце концов, даже если правительства полностью запретят E2EE или установят бэкдоры, преступники найдут другие методы. С другой стороны, менее заинтересованные граждане просто смирились бы с новым положением дел: массовой слежкой. Вот почему мы должны проявлять осторожность и всегда отступать, чтобы сохранить наше основное право человека на неприкосновенность частной жизни.