Varför E-post kan inte skyddas från regeringsövervakning

"Om du visste vad jag vet om e-post kan du inte heller använda det," sade ägaren av säker e-posttjänst Lavabit som han nyligen stängt av den. Det finns inget sätt att göra krypterat e-post där innehållet är skyddat, säger Phil Zimmermann när han plötsligt stänger av Silent Circles säkra e-posttjänst.

"Om du visste vad jag vet om e-post kan du inte heller använda det," sade ägaren av säker e-posttjänst Lavabit som han nyligen stängt av den.  Det finns inget sätt att göra krypterat e-post där innehållet är skyddat, säger Phil Zimmermann när han plötsligt stänger av Silent Circles säkra e-posttjänst.
Annons

"Om du visste vad jag vet om e-post kan du inte heller använda det, " sade ägaren av säker e-posttjänst Lavabit som han nyligen stängt av den. "Det finns inget sätt att göra krypterat e-post där innehållet är skyddat", sa Phil Zimmermann när han plötsligt stängde av Silent Circles säkra e-posttjänst. Verkligheten är att e-post är grundläggande osäker och kan aldrig skyddas mot statlig övervakning på samma sätt som annan kommunikation kan.

Visst kan du använda en annan krypterad och "säker" e-posttjänst som inte har stängts av ännu. Men de är sårbara för samma amerikanska regeringstryck Lavabit införde. Därför stängde Silent Circle innan den kontaktades av regeringen. Några mindre principiella tjänster kommer att välja att samarbeta med regeringarna istället för att stänga av. Vi vet inte exakt vad som ställer krav på Lavabit, eftersom de är förbjudna att avslöja någonting som de upplevde till följd av backdoor-order från den hemliga amerikanska övervakningsdomstolen som möjliggör PRISM och andra NSA-övervakningsprogram. Vad är PRISM? Allt du behöver veta Vad är PRISM? Allt du behöver veta National Security Agency i USA har tillgång till vilken data du lagrar med amerikanska tjänsteleverantörer som Google Microsoft, Yahoo och Facebook. De övervakar också mest trafikflödet över hela ... Läs mer.

Låt oss nu titta på varför e-post är ett dåligt val för säker kommunikation, och hur det är ett enkelt mål för regeringens snooping.

Metadata kan inte krypteras och XKEYSCORE kan avskilja det

Ett e-postmeddelande är egentligen inte en enda bit data. Det finns flera datatyper: Det finns meddelandekroppen, ämnesraden, Från-fältet, fälten Till / CC / BCC och andra metadata som innehåller den plats du skickar e-postmeddelandet från.

Även om du använder den bästa möjliga e-krypteringstekniken, kan du bara kryptera meddelandekroppen i e-postmeddelandet. Den som övervakar den anslutning du använder kan se ämnet för e-postmeddelandet, vem du kommunicerar med och var du skickar från. Under XKEYSCORE-programmet som väsentligen tillåter den amerikanska regeringen att fånga in det mesta av trafiken som flyter över Internet genom att avlyssna den vid stora backbone routrar och gateways, kan regeringen bygga upp en ganska bild av vem du kommunicerar med när du är kommunicera med dem, var du kommunicerar från och vad ämnesraden i dina e-postmeddelanden är, vilket ger dem en uppfattning om vad du pratar om. De kan upptäcka att du krypterar innehållet i dina e-postmeddelanden misstänkta och riktar dig till ytterligare, mer djupgående övervakning av allt annat du gör.

Den amerikanska regeringen samlade in amerikanska e-postposter i bulk fram till 2011. Enligt NSA upphörde detta program eftersom det inte var effektivt - men de samlar fortfarande metadata under XKEYSCORE, så de kommer sannolikt att fånga upp alla de metadata de kan få händerna på. De får mycket information från dig även om du krypterar dina e-postmeddelanden.

För mer information, läs om de saker du kan lära av från en e-posts rubrik eller metadata. Vad kan du lära av från en e-postrubrik (metadata)? Vad kan du lära av från en e-postrubrik (metadata)? Har du någonsin fått ett e-postmeddelande och funderat verkligen på var det kom ifrån? Vem skickade det? Hur kunde de ha vetat vem du är? Överraskande mycket av den informationen kan vara från från ... Läs mer.

xkeyscore-metadata-slide

Många "säkra" e-postleverantörer Har krypteringstangenterna till bekvämlighet

Kryptering och dekryptering av e-post är komplicerat. I teorin skulle du använda något som PGP eller GPG på din lokala dator för att dekryptera e-postmeddelanden. Så skickar du signerad och krypterad e-post med evolution [Linux] Så skickar du signerad och krypterad e-post med evolution [Linux] I dagens teknologiska värld skickar du krypterad meddelanden mellan människor har blivit en ökande standard. För att säkra din e-postkommunikation måste du signera och / eller kryptera dina e-postmeddelanden. På Linux är det här enkelt ... Läs mer. I praktiken kan installationen vara komplicerad och förvirrande, även för mer tekniskt kunniga användare. Detta gör det också omöjligt att få tillgång till krypterade e-postmeddelanden via en webbläsare eller lättvikts mobilklient.

I praktiken har många säkra e-postleverantörer tagit hand om detta genom att hålla krypteringsnycklarna i slutet, dekryptera e-postmeddelanden när du kommer åt dem. Så här fungerar Silent Circles säkra e-posttjänst - de hade krypteringsnycklarna, så att de enkelt kan dekryptera e-postmeddelanden och erbjuda en bra användarupplevelse. I praktiken innebär det att regeringen kan kräva alla krypteringsnycklar - eller bara de som behövs - och dekryptera alla e-postmeddelanden som de ville ha. Om leverantören har nycklarna kan de överlämna dem. Det enda sättet att säkert kryptera och dekryptera e-postkroppar är med komplicerad stationär programvara. Även all denna ansträngning lämnar metadata utsatta.

Regeringen kan kräva bakdörrar: Se Hushmail

Kanada-baserad Hushmail är en av de mest populära och allmänt kända krypterade e-posttjänsterna. År 2007 tvingade kanadensiska domstolar Hushmail att överlämna e-post till en av sina användare. E-postmeddelandena skickades sedan till amerikanska domstolar enligt ett gemensamt rättsligt biståndsavtal mellan Kanada och USA.

Hushmail teoretiskt kunde inte göra detta. De behöll inte användarnas krypteringsnycklar på sina servrar. De rekommenderade användare använder PGP eller liknande programvara för att dekryptera e-postmeddelandena på sina datorer för maximal integritet. Men många tyckte att detta var för besvärligt, så Hushmail erbjöd också en nedladdningsbar Java-applet som finns på en webbsida som gjorde det möjligt för dig att komma åt din email. När du öppnade webbsidan skulle den senaste versionen av Java-applet hämtas till din dator, du skulle ange din krypteringsnyckel och appletet skulle hämtas och dekryptera ditt e-postadress lokalt utan att Hushmail får tillgång till din krypteringsnyckel.

Hushmail var tvungen att betjäna en version av Java Is Java Unsafe och ska du inaktivera den? Är Java osäker och ska du inaktivera den? Oracles Java-plugin har blivit mindre och mindre vanligt på webben, men det har blivit allt vanligare i nyheterna. Om Java tillåter över 600 000 Mac-datorer att smittas eller Oracle är ... Läs mer Applet med inbyggd bakdörr till användaren i fråga. Den modifierade Java-appleten skickade användarens krypteringsnyckel till Hushmail efter att den var inmatad och Hushmail fick tillgång till användarens e-postmeddelanden, vilka de överlämnade till domstolarna.

Om du använder säkert e-post kan leverantören vara tvungen att skaffa din nyckel på något sätt som möjligt. Även om de inte kunde få tillgång till din nyckel, skulle leverantören kunna överlämna dina krypterade e-postmeddelanden, vilket skulle visa den regering som du kommunicerar med, när och om (via e-postadressen).

hushmail-legal-warning

E-postmeddelanden lagras på en server, direktmeddelanden är inte

Även om regeringen inte kan få eller avlyssna krypteringsnyckeln, kan de eventuellt kunna dekryptera dina e-postmeddelanden ändå. Dina krypterade e-postmeddelanden lagras på en server - det är bara hur e-post fungerar. Om regeringen skulle kräva dessa uppgifter skulle värdleverantören kunna överlämna den i krypterad form. Regeringen kan då försöka bryta krypteringen. Ny maskinvara gör regelbundet krypteringsmekanismer mycket svagare, och den amerikanska regeringen kan lagra sådan krypterad kommunikation i hopp om att bryta dem i framtiden.

I motsats är kommunikation med snabbmeddelandenstyp svårare att arkivera. Ett krypterat meddelande kan skickas direkt till mottagaren och inte lagras på en server där det kan nås i framtiden. Regeringen skulle behöva installera en övervakningsenhet och fånga all kommunikation i realtid. Om de misslyckades med att göra det och inte hade alla krypterade data skulle de inte kunna få det år senare - men de kan ofta göra det med e-post.

Andra typer av kommunikation kan säkras

E-post var inte bara utformad med kryptering i åtanke. Det har blivit bultat efter det faktum, och det visar. Även de mest försiktiga med säkra e-posttjänstemän kan inte dölja vem de kommunicerar med och när. Om du verkligen vill undvika statlig övervakning, är det bättre att du använder olika säkra meddelandetjänster istället för att förlita sig på e-post.

Därför erbjuder Silent Circle fortfarande en säker meddelandestjänst. 3 sätt att göra din smartphone-kommunikation mer säker 3 sätt att göra din smartphone-kommunikation mer säker Total integritet! Eller så tror vi, eftersom våra ord och information gick igenom luften. Inte så: För det första är det ett ord som ger upphov till en självklarhet, då är det ett ord av tidningar, advokater, försäkringsbolag och mer hacking din ... Läs mer att de är säkra på säkerheten för. Det är inte det enda alternativet heller - Cryptocat är en annan. Cryptocat hade en nyligen publicerad sårbarhet och andra tjänster kan ha sina egna problem som vi kommer att höra om i framtiden, men dessa tjänster är på rätt spår - de är inte grundläggande osäkra genom design hur e-post är.

Naturligtvis är krypterat e-post inte nödvändigtvis värdelöst. Om du till exempel vill säkra viktiga affärskommunikationer mot avlyssning kan det vara användbart. Men krypterad e-post kommer inte att sakta ner regeringen mycket - det är inte det perfekta kommunikationsverktyget när du försöker prata utan NSA-hörseln.

kryptera dina data

Håller du med principerna bakom Lavabits och Silent Circles avstängning? Använder du en säker meddelandeservice för att kommunicera utan att dina konversationer lagras i en massiv regeringsdatabas? Lämna en kommentar och meddela vilket e-postalternativ du föredrar.

Bildkrediter: Metalldetektor Via Shutterstock

In this article