Nếu bạn là một trong 1,6 tỷ người dùng WhatsApp, bạn đang sử dụng mã hóa end-to-end (E2EE). Hình thức liên lạc an toàn này có nghĩa là bất kỳ tin nhắn nào bạn gửi cho ai đó chỉ người nhận mới có thể đọc được --- các tin nhắn trò chuyện như vậy không thể bị chặn bởi các bên thứ ba, bao gồm cả chính phủ và tội phạm.
Thật không may, bọn tội phạm cũng sử dụng mã hóa để che giấu dấu vết của chúng khi làm những việc xấu, khiến các ứng dụng nhắn tin an toàn trở thành mục tiêu chính cho quy định của chính phủ. Trong tin tức gần đây, Hội đồng châu Âu đã soạn thảo một nghị quyết để điều chỉnh E2EE, khi nó chuyển tới Ủy ban châu Âu để đưa ra hình thức cuối cùng.
Câu hỏi đặt ra là chúng ta có đang trên bờ vực mất quyền riêng tư trên các ứng dụng nhắn tin không?
Terror Spike thúc đẩy EU’s Gears vào chuyển động
Sau các cuộc tấn công gần đây ở Pháp và Áo, thủ tướng của cả hai nước, Emmanuel Macron và Sebastian Kurz, đã đưa ra dự thảo nghị quyết của Hội đồng Liên minh châu Âu (CoEU) vào ngày 6 tháng 11, nhằm điều chỉnh mã hóa đầu cuối. thực hành.
CoEU là cơ quan đề xuất đưa ra định hướng chính sách, trong khi Ủy ban châu Âu sẽ soạn thảo luật có thể hành động từ cơ quan này. May mắn thay, với tư cách là một cơ hội lập pháp, dự thảo nghị quyết không có vấn đề về quyền riêng tư như người ta mong đợi:
- Nghị quyết không đưa ra bất kỳ đề xuất cụ thể nào cho lệnh cấm E2EE.
- Nó không đề xuất triển khai các cửa hậu cho các giao thức mã hóa.
- Nó khẳng định sự tuân thủ của Liên minh Châu Âu đối với các quyền riêng tư và mã hóa mạnh mẽ.
- Đây là lời mời các chuyên gia khám phá đầy đủ các biện pháp bảo mật trong khuôn khổ "bảo mật bất chấp mã hóa".
Tuy nhiên, nghị quyết đề xuất một cách tiếp cận có mục tiêu:
“Các cơ quan có thẩm quyền phải có khả năng truy cập dữ liệu một cách hợp pháp và có mục tiêu, tôn trọng đầy đủ các quyền cơ bản và chế độ bảo vệ dữ liệu, đồng thời duy trì an ninh mạng.”
Với xu hướng các chính phủ mở rộng phạm vi các mục tiêu hợp lệ, điều này cũng có thể bao gồm các cuộc biểu tình hợp pháp. Trong trường hợp của Pháp, đây có thể là phong trào Áo vàng, đã bị buộc phải rời khỏi Facebook để chuyển sang một ứng dụng Telegram an toàn.
Điều thú vị là Telegram cũng là ứng dụng bị Nga cấm do nhóm phát triển từ chối tạo cửa hậu cho chính phủ. Tòa án Nhân quyền Châu Âu (ECHR) của EU đã phán quyết lệnh cấm như vậy là vi phạm rõ ràng quyền tự do ngôn luận. Phán quyết có kết quả khi Nga dỡ bỏ lệnh cấm Telegram kéo dài hai năm.
Quyền cai trị bằng điện tín của ECHR có hoạt động như một biện pháp bảo vệ trong tương lai không?
Thật không may, điều này dường như không phải là trường hợp. Vào năm 2019, ECHR đã phán quyết rằng quyền tự do ngôn luận xung quanh chủ đề Thảm sát không cấu thành nhân quyền. Đồng thời, tòa án phán quyết rằng cùng một quyền tự do ngôn luận về chủ đề Cuộc diệt chủng người Armenia không cấu thành quyền tự do ngôn luận của con người. Những phán quyết không mạch lạc này cho thấy rằng ECHR không duy trì các tiêu chuẩn chung.
Dự thảo Nghị quyết của Liên minh Châu Âu có ảnh hưởng đến bạn không?
Nếu bạn lo lắng rằng WhatsApp, Telegram, Viber và các ứng dụng E2EE khác sẽ đột nhiên khiến bạn bị tin tặc và những kẻ khai thác dữ liệu đưa ra ngoài. Trong phạm vi Liên minh Châu Âu, chúng tôi có khả năng xử lý một giải pháp kết hợp, trong đó các cơ quan thực thi pháp luật phải cung cấp cho các tòa án đủ lý do để xâm phạm quyền riêng tư.
Mặt khác, trong phạm vi Five Eyes, dường như có một sự thúc đẩy lớn để hợp pháp hóa các cửa hậu vào các ứng dụng nhắn tin E2EE. Phản hồi từ công dân và các tổ chức phi chính phủ như Electronic Frontier Foundation sẽ rất quan trọng để ngăn chặn luật hạn chế như vậy về mật mã.
Độ dốc trơn trượt của các chính phủ quản lý mật mã
Không có gì bí mật khi các quốc gia trên khắp thế giới đang mong muốn phá hoại quyền riêng tư của công dân vì lợi ích an ninh quốc gia bị cáo buộc. Phí này thường do liên minh tình báo Five Eyes đứng đầu. Họ tìm cách triển khai phương pháp tiếp cận rộng nhất --- yêu cầu các nhà phát triển phần mềm tích hợp các cửa hậu vào ứng dụng của họ. Điều này sẽ cho phép các chính phủ và các công ty công nghệ truy cập bất kỳ dữ liệu cá nhân nào theo ý muốn.
Mặc dù các chính phủ tuyên bố một cách khoa trương rằng họ có các biện pháp bảo vệ để chống lại lạm dụng, nhưng thành tích của họ ít hơn xuất sắc. Như những thông tin rò rỉ của Snowden tiết lộ, họ dường như vô đạo đức trong cách họ nhìn nhận quyền riêng tư và tránh lạm dụng của công dân. Hơn nữa, backdoor dễ dàng bị tội phạm mạng khai thác, gây thiệt hại lớn về kinh tế và xói mòn lòng tin.
Các backdoor bắt buộc vẫn chưa thành hiện thực, nhưng các chính phủ có thể sử dụng một kho vũ khí thuyết phục mạnh mẽ bất cứ lúc nào một hành động tội phạm / khủng bố xảy ra. Do đó, các chính phủ có động lực ổn định để làm xói mòn các biện pháp bảo vệ quyền riêng tư, lập luận rằng:
- Những kẻ khủng bố / tội phạm có cùng quyền truy cập vào các giao thức liên lạc được mã hóa với tư cách là công dân tuân thủ luật pháp.
- Do đó, các giao thức liên lạc được mã hóa phải được hủy bỏ vì lợi ích của công dân tuân thủ pháp luật.
Cố gắng đạt được sự cân bằng giữa hai yếu tố này là một quá trình liên tục, gần đây nhất đã được các nước thành viên EU chú ý đến.
Tại sao Mã hóa E2E lại quan trọng?
Khi mọi người không muốn nghĩ về hậu quả của trạng thái giám sát, họ thường sử dụng lập luận cơ bản:
“Tôi không có gì phải giấu.”
Thật không may, tuân thủ những điều ngây thơ như vậy không làm cho cuộc sống của bạn an toàn khỏi bị lạm dụng. Như vụ bê bối dữ liệu Facebook-Cambridge Analytica đã chứng minh, người ta nên xử lý dữ liệu cá nhân của họ nghiêm ngặt như người ta sẽ bảo vệ tài sản trong nhà của họ. Khi bạn bị tước bỏ các giao thức mã hóa E2E, bạn tạo ra một môi trường nuôi dưỡng:
- Tự kiểm duyệt như một tư duy.
- Lấy cắp dữ liệu và tống tiền.
- Không có khả năng trở thành một nhà bất đồng chính kiến hoặc một nhà báo hiệu quả.
- Các công ty và chính phủ sử dụng hồ sơ tâm lý của bạn để chống lại bạn.
- Làm cho các chính phủ ít chịu trách nhiệm hơn về các chính sách tiêu cực của họ.
- Không có khả năng bảo vệ hiệu quả tài sản trí tuệ.
Cũng giống như tội phạm có thể dễ dàng tiếp cận vũ khí, bất chấp lệnh cấm của nó và sự kiểm soát chặt chẽ trên toàn thế giới, bọn tội phạm cũng sẽ mua các phương thức liên lạc khác. Đồng thời, phá hoại E2EE sẽ khiến các doanh nghiệp và cá nhân công dân dễ bị lạm dụng.
Bạn có những lựa chọn E2EE nào khi xử lý?
Cửa hậu trong ứng dụng Messenger có thể xảy ra theo ba cách:
- Vô tình do mã hóa kém, sau này được vá khi lỗ hổng bảo mật được phát hiện.
- Do các cơ quan chính phủ cố ý gây áp lực nội bộ lên các công ty.
- Có chủ ý và công khai bởi pháp luật.
Chúng tôi vẫn chưa đạt được kịch bản thứ ba. Trong thời gian chờ đợi, hãy cố gắng tuân theo các nguyên tắc bảo mật sau khi chọn một ứng dụng nhắn tin an toàn:
- Chọn các ứng dụng có thành tích tốt về khả năng chịu áp lực và được người dùng đánh giá cao.
- Nếu được cung cấp tùy chọn, hãy chọn phần mềm nguồn mở miễn phí - ứng dụng FOSS. Đây là những ứng dụng hướng tới cộng đồng, vì vậy việc triển khai backdoor sẽ nhanh chóng được tiết lộ. Đôi khi, bạn cũng sẽ tìm thấy những ứng dụng này dưới từ viết tắt FLOSS - phần mềm mã nguồn mở miễn phí / libre.
- Khi sử dụng email, hãy cố gắng sử dụng các nền tảng email có giao thức mã hóa PGP hoặc GPG.
Có tính đến những yếu tố đó, đây là một số ứng dụng nhắn tin E2EE mã nguồn mở tốt:
Tín hiệu
Signal đã trở thành một yêu thích của nhiều người dùng quan tâm đến quyền riêng tư và vì những lý do chính đáng. Nó sử dụng Perfect Forward Secrecy (PFS) cho tất cả các loại tin nhắn:văn bản, âm thanh và video. Signal cũng không ghi địa chỉ IP của bạn, đồng thời cung cấp cho bạn tùy chọn gửi tin nhắn tự hủy. Trên thiết bị Android, bạn thậm chí có thể đặt ứng dụng này làm ứng dụng mặc định để nhắn tin SMS.
Tuy nhiên, Signal yêu cầu đăng ký số điện thoại, ngoài việc không cung cấp xác thực hai yếu tố (2FA). Nhìn chung, ứng dụng nhắn tin tuân thủ GDPR này có sẵn cho tất cả các nền tảng vẫn chưa được dẫn đầu.
Phiên
Một nhánh của Signal (một nhánh rẽ), Session nhằm mục đích có các tính năng bảo mật đáng gờm hơn Signal. Để đạt được điều đó, nó đã tích hợp tất cả các tính năng của Signal nhưng bỏ qua yêu cầu phải có số điện thoại hoặc email để đăng ký. Nó không ghi lại bất kỳ siêu dữ liệu hoặc địa chỉ IP nào, nhưng nó vẫn không hỗ trợ 2FA.
Quá trình phát triển mã nguồn mở của nó vẫn đang tiếp tục, vì vậy bạn có thể gặp lỗi. Hơn nữa, giao thức Định tuyến Onion của nó, đang được trình duyệt Tor sử dụng, cũng đang được phát triển.
Briar
Briar hoàn toàn phi tập trung là một trong những ứng dụng phần mềm nguồn mở mới nhất với giao thức nhắn tin E2EE. Dành riêng cho nền tảng Android, Briar là giải pháp phù hợp cho những ai lo lắng về máy chủ lưu trữ tin nhắn của họ. Briar biến điều này thành không thể bằng cách sử dụng các giao thức ngang hàng (P2P). Có nghĩa là, chỉ bạn và người nhận mới có thể lưu trữ các tin nhắn.
Hơn nữa, Briar bổ sung thêm một lớp bảo vệ bằng cách sử dụng Giao thức hành tây (Tor). Bạn không cần cung cấp bất kỳ thông tin nào để bắt đầu sử dụng Briar ngoại trừ tên của người nhận. Tuy nhiên, nếu bạn thay đổi thiết bị, tất cả tin nhắn của bạn sẽ không thể nhận được.
Dây
Mặc dù vẫn giữ nguyên mã nguồn mở, Wire nhắm đến việc nhắn tin và chia sẻ theo nhóm, lý tưởng cho môi trường kinh doanh. Nó không miễn phí ngoại trừ tài khoản cá nhân. Cùng với các giao thức E2EE, Wire sử dụng Proteus và WebRTC với PFS, ngoài việc nhắn tin tự xóa.
Wire yêu cầu số điện thoại / email để đăng ký, ngoài việc ghi nhật ký một số dữ liệu cá nhân. Nó cũng không hỗ trợ 2FA. Tuy nhiên, tuân thủ GDPR, bản chất nguồn mở và các thuật toán mã hóa hàng đầu làm cho nó trở nên tuyệt vời cho các tổ chức doanh nghiệp.
Bạn không phải là người không có khả năng phòng thủ trước sự thay đổi của triều đại
Cuối cùng, ngay cả khi các chính phủ cấm hoàn toàn E2EE hoặc bắt buộc các backdoor, bọn tội phạm sẽ tìm ra các phương pháp khác. Mặt khác, những công dân ít tham gia hơn sẽ đơn giản chấp nhận tình trạng mới:giám sát hàng loạt. Đây là lý do tại sao chúng ta phải thận trọng và luôn nỗ lực để bảo vệ quyền cơ bản của con người đối với quyền riêng tư.