“Nếu bạn biết những gì tôi biết về email, bạn có thể không sử dụng nó,” chủ sở hữu của dịch vụ email an toàn Lavabit cho biết khi gần đây ông đã đóng nó. Phil Zimmermann cho biết:“Không có cách nào để thực hiện e-mail được mã hóa trong đó nội dung được bảo vệ,” Phil Zimmermann nói khi anh đột ngột đóng cửa dịch vụ email an toàn của Silent Circle. Thực tế là email về cơ bản là không an toàn và không bao giờ có thể được bảo vệ khỏi sự giám sát của chính phủ giống như cách mà một số phương thức liên lạc khác có thể làm được.
Chắc chắn, bạn có thể đang sử dụng một dịch vụ email "bảo mật" và được mã hóa khác chưa đóng cửa. Nhưng họ dễ bị tổn thương trước áp lực tương tự của chính phủ Mỹ mà Lavabit phải đối mặt - đó là lý do tại sao Vòng tròn im lặng đóng cửa trước khi được chính phủ liên hệ. Một số dịch vụ ít nguyên tắc hơn sẽ chọn hợp tác với các chính phủ hơn là ngừng hoạt động. Chúng tôi không biết chính xác những yêu cầu mà Lavabit phải đối mặt, vì họ bị cấm tiết lộ bất cứ điều gì họ trải qua do lệnh cửa hậu từ tòa án giám sát bí mật của Hoa Kỳ cho phép PRISM và các chương trình giám sát khác của NSA.
Bây giờ, hãy xem lý do tại sao email là một lựa chọn tồi để liên lạc an toàn và nó là mục tiêu dễ dàng cho sự theo dõi của chính phủ.
Không thể mã hóa siêu dữ liệu và XKEYSCORE có thể chặn nó
Email thực sự không phải là một phần dữ liệu đơn lẻ. Đó là nhiều phần dữ liệu:Có nội dung thư, dòng chủ đề, trường Từ, trường Đến / CC / BCC và siêu dữ liệu khác bao gồm vị trí bạn đang gửi email.
Ngay cả khi bạn sử dụng công nghệ mã hóa email tốt nhất có thể, bạn cũng chỉ có thể mã hóa phần nội dung thư của email. Bất kỳ ai theo dõi kết nối bạn đang sử dụng đều có thể xem chủ đề của email, người bạn đang giao tiếp và bạn gửi email từ đâu. Theo chương trình XKEYSCORE về cơ bản cho phép chính phủ Hoa Kỳ nắm bắt phần lớn lưu lượng truy cập qua Internet bằng cách chặn nó tại các bộ định tuyến và cổng trục lớn, chính phủ có thể xây dựng một bức tranh khá rõ ràng về những người bạn đang giao tiếp, khi bạn giao tiếp với họ, mỗi người bạn đang giao tiếp từ đâu và dòng chủ đề của email của bạn là gì, giúp họ biết bạn đang nói về điều gì. Họ có thể nhận thấy thực tế là bạn đang mã hóa nội dung email của mình đáng ngờ và nhắm mục tiêu bạn để giám sát sâu hơn, sâu hơn về mọi thứ khác mà bạn làm.
Chính phủ Hoa Kỳ đã thu thập hàng loạt hồ sơ email của Hoa Kỳ cho đến năm 2011. Theo NSA, chương trình này đã bị ngừng vì nó không hiệu quả - nhưng họ vẫn đang thu thập siêu dữ liệu theo XKEYSCORE, vì vậy họ có khả năng chặn tất cả siêu dữ liệu email của họ. có thể có được bàn tay của họ. Họ sẽ nhận được nhiều thông tin từ bạn ngay cả khi bạn mã hóa email của mình.
Để biết thêm thông tin, hãy đọc về những điều bạn có thể học được từ "tiêu đề" hoặc siêu dữ liệu của email.
Nhiều Nhà cung cấp Email "Bảo mật" có Chìa khóa Mã hóa Để Thuận tiện
Mã hóa và giải mã email rất phức tạp. Về lý thuyết, bạn sẽ sử dụng một cái gì đó như PGP hoặc GPG trên máy tính cục bộ của mình để giải mã email. Trong thực tế, việc thiết lập có thể phức tạp và khó hiểu, ngay cả đối với những người dùng hiểu biết về công nghệ hơn. Điều này cũng khiến bạn không thể truy cập vào các email được mã hóa thông qua trình duyệt hoặc ứng dụng di động nhẹ.
Trên thực tế, nhiều nhà cung cấp email an toàn đã giải quyết vấn đề này bằng cách giữ các khóa mã hóa ở cuối, giải mã email khi bạn truy cập chúng. Đây là cách dịch vụ email bảo mật của Silent Circle hoạt động - họ có các khóa mã hóa để có thể dễ dàng giải mã email và mang lại trải nghiệm người dùng tốt. Trên thực tế, điều này có nghĩa là chính phủ có thể yêu cầu tất cả các khóa mã hóa - hoặc chỉ những khóa họ cần - và giải mã tất cả các email mà họ muốn. Nếu nhà cung cấp có chìa khóa, họ có thể giao chúng. Cách duy nhất để mã hóa và giải mã nội dung email một cách an toàn là sử dụng phần mềm máy tính để bàn phức tạp. Ngay cả nỗ lực này cũng khiến siêu dữ liệu bị lộ.
Chính phủ có thể yêu cầu các cửa hậu:Xem Hushmail
Hushmail có trụ sở tại Canada là một trong những dịch vụ email được mã hóa phổ biến nhất và được biết đến rộng rãi. Năm 2007, tòa án Canada buộc Hushmail giao nộp email của một trong những người dùng của họ. Các email sau đó đã được chuyển đến tòa án Hoa Kỳ theo hiệp ước tương trợ tư pháp giữa Canada và Hoa Kỳ.
Về mặt lý thuyết, Hushmail không thể làm được điều này. Họ đã không giữ các khóa mã hóa của người dùng trên máy chủ của họ. Họ khuyến nghị người dùng sử dụng PGP hoặc phần mềm tương tự để giải mã email trên máy tính của họ nhằm bảo vệ quyền riêng tư tối đa. Tuy nhiên, nhiều người cho rằng điều này quá bất tiện, vì vậy Hushmail cũng cung cấp một ứng dụng Java có thể tải xuống nằm trên một trang web cho phép bạn truy cập email của mình. Khi bạn truy cập trang web, phiên bản mới nhất của ứng dụng Java sẽ tải xuống máy tính của bạn, bạn nhập khóa mã hóa của mình và ứng dụng này sẽ tải xuống và giải mã cục bộ email của bạn mà không cần Hushmail có quyền truy cập vào khóa mã hóa của bạn.
Hushmail buộc phải cung cấp phiên bản của ứng dụng Java với một cửa hậu tích hợp cho người dùng được đề cập. Ứng dụng Java đã được sửa đổi đã gửi khóa mã hóa của người dùng đến Hushmail sau khi nó được nhập và Hushmail đã có quyền truy cập vào email của người dùng, mà họ đã giao nộp cho tòa án.
Nếu bạn sử dụng email bảo mật, nhà cung cấp có thể buộc phải lấy khóa của bạn theo bất kỳ cách nào có thể. Ngay cả khi họ không thể truy cập vào khóa của bạn, nhà cung cấp có thể tự giao các email được mã hóa của bạn, điều này sẽ cho chính phủ biết bạn đang liên lạc với ai, khi nào và về nội dung gì (thông qua dòng tiêu đề email).
Tin nhắn Email được Lưu trữ trên Máy chủ, Tin nhắn Tức thì Không
Ngay cả khi chính phủ không thể lấy hoặc chặn khóa mã hóa, họ vẫn có thể giải mã email của bạn. Thư email đã mã hóa của bạn được lưu trữ trên một máy chủ - đó chỉ là cách hoạt động của email. Nếu chính phủ yêu cầu dữ liệu này, nhà cung cấp dịch vụ lưu trữ sẽ phải giao nó ở dạng mã hóa. Sau đó, chính phủ có thể cố gắng phá vỡ mã hóa - phần cứng mới thường xuyên làm cho các cơ chế mã hóa hiện tại yếu hơn nhiều và chính phủ Hoa Kỳ có thể đang lưu trữ các thông tin liên lạc được mã hóa như vậy với hy vọng sẽ phá vỡ chúng trong tương lai.
Ngược lại, thông tin liên lạc kiểu tin nhắn tức thì khó lưu trữ hơn. Một tin nhắn được mã hóa có thể được gửi trực tiếp đến người nhận và không được lưu trữ trên máy chủ nơi nó có thể được truy cập trong tương lai. Chính phủ sẽ phải lắp đặt một thiết bị giám sát và nắm bắt tất cả các thông tin liên lạc trong thời gian thực. Nếu họ không làm như vậy và không có tất cả dữ liệu được mã hóa, họ sẽ không thể lấy nó nhiều năm sau - nhưng họ thường có thể làm điều này với email.
Các loại thông tin liên lạc khác có thể được bảo mật
Email không được thiết kế với mã hóa. Nó đã được củng cố sau khi thực tế, và nó cho thấy. Ngay cả những người dùng dịch vụ email an toàn cẩn thận nhất cũng không thể giấu họ đang giao tiếp với ai và khi nào. Nếu bạn thực sự muốn tránh sự giám sát của chính phủ, bạn nên sử dụng các dịch vụ nhắn tin an toàn khác thay vì dựa vào email.
Đó là lý do tại sao Silent Circle vẫn cung cấp một dịch vụ nhắn tin an toàn mà họ tin tưởng vào khả năng bảo mật. Đó cũng không phải là lựa chọn duy nhất - Cryptocat là một lựa chọn khác. Cryptocat đã có một lỗ hổng được công khai gần đây và các dịch vụ khác có thể có vấn đề riêng mà chúng tôi sẽ nghe nói trong tương lai, nhưng các dịch vụ này đang đi đúng hướng - về cơ bản chúng không không an toàn bằng cách thiết kế email.
Tất nhiên, email được mã hóa không nhất thiết là vô giá trị. Ví dụ:nếu bạn muốn bảo mật các thông tin liên lạc quan trọng của doanh nghiệp khỏi bị nghe trộm, nó có thể hữu ích. Nhưng email được mã hóa sẽ không làm chính phủ chậm lại nhiều - nó không phải là công cụ liên lạc lý tưởng khi bạn đang cố gắng nói chuyện mà không có phiên điều trần của NSA.
Bạn có đồng ý với các nguyên tắc đằng sau việc đóng cửa của Lavabit và Vòng tròn im lặng không? Bạn có sử dụng dịch vụ nhắn tin an toàn để liên lạc mà không cần lưu trữ các cuộc trò chuyện trong cơ sở dữ liệu lớn của chính phủ không? Hãy để lại nhận xét và cho chúng tôi biết bạn thích cách thay thế email nào hơn.