"Als je wist wat ik weet over e-mail, zou je het misschien ook niet mogen gebruiken", zei de eigenaar van beveiligde e-mailservice Lavabit terwijl hij deze onlangs stopte. "Er is geen manier om versleutelde e-mail te doen waar de inhoud wordt beschermd", zegt Phil Zimmermann terwijl hij plotseling de beveiligde e-mailservice van Silent Circle afsluit. De realiteit is dat e-mail fundamenteel onveilig is en nooit kan worden beschermd tegen overheidssurveillance op dezelfde manier als sommige andere communicaties.
Natuurlijk, u gebruikt mogelijk een andere gecodeerde en "beveiligde" e-mailservice die nog niet is afgesloten. Maar ze zijn kwetsbaar voor dezelfde druk van de Amerikaanse regering als Lavabit - daarom werd Silent Circle gesloten voordat de regering contact met hem opnam. Sommige minder principiële diensten zullen ervoor kiezen om samen te werken met overheden in plaats van te stoppen. We weten niet precies waar Lavabit voor staat, omdat het haar verboden is om iets te onthullen wat ze hebben ervaren als gevolg van achterdeur orders van het geheime Amerikaanse toezichthof dat PRISM en andere NSA-bewakingsprogramma's mogelijk maakt. Wat is PRISM? Alles wat u moet weten Wat is PRISM? Alles wat u moet weten De National Security Agency in de VS heeft toegang tot alle gegevens die u opslaat bij Amerikaanse serviceproviders zoals Google Microsoft, Yahoo en Facebook. Ze controleren waarschijnlijk ook het grootste deel van het verkeer dat door de ... Meer lezen.
Laten we nu eens kijken waarom e-mail een slechte keuze is voor veilige communicatie en hoe het een gemakkelijk doelwit is voor overheidssnoekenning.
Metadata kunnen niet worden versleuteld en XKEYSCORE kan het onderscheppen
Een e-mail is niet echt een enkel gegeven. Het zijn meerdere stukjes data: de berichttekst, de onderwerpregel, het Van-veld, de Aan / CC / BCC-velden en andere metadata met de locatie van waaruit je de e-mail verzendt.
Zelfs als u de best mogelijke e-mailversleutelingstechnologie gebruikt, kunt u alleen de berichttekst van de e-mail coderen. Iedereen die de verbinding controleert die u gebruikt, kan het onderwerp van de e-mail bekijken, met wie u communiceert en waar u naartoe e-mailt. Onder het XKEYSCORE-programma dat de Amerikaanse regering in staat stelt om het grootste deel van het verkeer dat over het internet stroomt te vangen door het te onderscheppen bij grote backbone-routers en gateways, kan de overheid een vrij beeld vormen van met wie je communiceert, wanneer je communiceren met hen, waar jullie elk vanuit communiceren, en wat de onderwerpregels van jouw e-mails zijn, wat hen een idee geeft van waar je het over hebt. Ze zullen misschien het feit vinden dat je de inhoud van je e-mails verdacht versleutelt en je richten op verdere, meer diepgaande bewaking van al het andere wat je doet.
De Amerikaanse overheid verzamelde Amerikaanse e-mailrecords in bulk tot 2011. Volgens de NSA werd dit programma stopgezet omdat het niet effectief was - maar ze verzamelen nog steeds metadata onder XKEYSCORE, dus onderscheppen ze waarschijnlijk alle e-mailmetadata die ze kunnen hou je handen vast. Ze zullen veel informatie van je ontvangen, zelfs als je je e-mails versleutelt.
Lees voor meer informatie over de dingen die u kunt leren van de "koptekst" van een e-mail of metagegevens. Wat kunt u leren van een e-mailkoptekst (metagegevens)? Wat kun je leren van een e-mailheader (metadata)? Heb je ooit een e-mail gekregen en je echt afgevraagd waar het vandaan kwam? Wie heeft het verzonden? Hoe konden ze hebben geweten wie je bent? Verrassend veel van die informatie kan afkomstig zijn van de ... Lees meer.
Veel "veilige" e-mailproviders hebben de coderingssleutels voor het gemak
Versleutelen en decoderen van e-mails is gecompliceerd. In theorie zou je iets als PGP of GPG op je lokale computer gebruiken om e-mails te decoderen. Handgedrukte en gecodeerde e-mail met Evolutie verzenden [Linux] Hoe ondertekende en gecodeerde e-mail met Evolutie verzenden [Linux] In de huidige technologische wereld, versleuteld versturen berichten tussen mensen is een toenemende standaard geworden. Om uw e-mailcommunicatie te beveiligen, moet u uw e-mails ondertekenen en / of coderen. In Linux is dit een eenvoudige ... Lees meer. In de praktijk kan de installatie ingewikkeld en verwarrend zijn, zelfs voor gebruikers met meer technische kennis. Dit maakt het ook onmogelijk om toegang te krijgen tot de gecodeerde e-mails via een browser of een lichtgewicht mobiele client.
In de praktijk hebben veel beveiligde e-mailproviders dit afgehandeld door de coderingssleutels aan het einde te houden en e-mails te ontsleutelen wanneer u ze opent. Dit is hoe de beveiligde e-mailservice van Silent Circle werkte - ze hadden de coderingssleutels, zodat ze gemakkelijk e-mails konden decoderen en een goede gebruikerservaring konden bieden. In de praktijk betekent dit dat de overheid alle versleutelingscodes zou kunnen eisen - of alleen die die ze nodig hebben - en alle e-mails die ze wilden ontcijferen. Als de provider de sleutels heeft, kunnen ze deze overhandigen. De enige manier om e-mailinstellingen veilig te versleutelen en decoderen, is met gecompliceerde desktopsoftware. Zelfs al deze moeite laat de metadata bloot.
De overheid kan backdoors eisen: zie Hushmail
Hushmail, gebaseerd in Canada, is een van de meest populaire en meest bekende gecodeerde e-maildiensten. In 2007 dwongen Canadese rechtbanken Hushmail om de e-mails van een van hun gebruikers over te dragen. De e-mails werden vervolgens doorgegeven aan Amerikaanse rechtbanken in het kader van een wederzijds rechtsbijstandverdrag tussen Canada en de VS.
Hushmail kon dit theoretisch niet doen. Ze bewaarden de coderingssleutels van gebruikers niet op hun servers. Zij adviseerden gebruikers PGP of vergelijkbare software te gebruiken om de e-mails op hun computers te decoderen voor maximale privacy. Veel mensen vonden dit echter te onhandig, dus Hushmail bood ook een downloadbare Java-applet aan op een webpagina die toegang gaf tot je e-mail. Wanneer u de webpagina opende, zou de nieuwste versie van de Java-applet naar uw computer worden gedownload, zou u uw coderingssleutel invoeren en zou de applet uw e-mail downloaden en lokaal decoderen zonder dat Hushmail toegang heeft tot uw coderingssleutel.
Hushmail was gedwongen om een versie van Java te dienen Is Java Unsafe & Should You Disable It? Is Java onveilig en moet u dit uitschakelen? De Java-plug-in van Oracle is op het web steeds minder bekend geworden, maar komt steeds vaker voor in het nieuws. Of Java toestaat dat meer dan 600.000 Macs worden geïnfecteerd of Oracle is ... Lees meer applet met een ingebouwde backdoor voor de betreffende gebruiker. De aangepaste Java-applet stuurde de coderingssleutel van de gebruiker naar Hushmail nadat deze was ingevoerd en Hushmail kreeg toegang tot de e-mails van de gebruiker, die ze aan de rechtbank overhandigden.
Als u beveiligde e-mail gebruikt, kan de provider worden gedwongen uw sleutel op elke mogelijke manier te verkrijgen. Zelfs als ze geen toegang tot uw sleutel zouden kunnen krijgen, zou de provider uw gecodeerde e-mails zelf kunnen overhandigen, waarmee de overheid zou kunnen zien met wie u communiceert, wanneer en wat (via de onderwerpregel per e-mail).
E-mailberichten worden opgeslagen op een server, Instant Messages zijn dat niet
Zelfs als de overheid de coderingssleutel niet kan vinden of onderscheppen, kunnen ze uw e-mails toch sowieso decoderen. Uw gecodeerde e-mailberichten worden op een server opgeslagen - zo werkt e-mail. Als de overheid om deze gegevens zou vragen, zou de hostingprovider het in gecodeerde vorm moeten overhandigen. De overheid zou dan kunnen proberen de codering te doorbreken - nieuwe hardware maakt de huidige coderingsmechanismen regelmatig zwakker en de Amerikaanse overheid kan dergelijke gecodeerde communicatie opslaan in de hoop deze in de toekomst te kunnen breken.
Daarentegen is communicatie in instant-berichtstijl moeilijker te archiveren. Een gecodeerd bericht kan rechtstreeks naar de ontvanger worden verzonden en niet op een server worden opgeslagen waar het in de toekomst kan worden geopend. De overheid zou een bewakingsapparaat moeten installeren en alle communicatie in realtime moeten vastleggen. Als ze dit niet zouden doen en niet alle versleutelde gegevens hadden, zouden ze het jaren later niet kunnen halen - maar ze kunnen dit vaak doen met e-mail.
Andere soorten communicatie kunnen worden beveiligd
E-mail was gewoon niet ontworpen met codering in gedachten. Het is achteraf vastgeschroefd, en dat blijkt. Zelfs de meest zorgvuldige gebruikers van beveiligde e-mailservices kunnen niet verbergen met wie ze communiceren en wanneer. Als u overheidsbewaking echt wilt vermijden, kunt u beter verschillende beveiligde berichtenservices gebruiken in plaats van te vertrouwen op e-mail.
Daarom biedt Silent Circle nog steeds een veilige berichtenservice 3 manieren om uw smartphonecommunicatie veiliger te maken 3 manieren om uw smartphonecommunicaties veiliger te maken Totale privacy! Of zo denken we, terwijl onze woorden en informatie door de lucht vlogen. Niet zo: eerst is het woord van ongeldige aftappen, dan is het woord van kranten, advocaten, verzekeraars en meer hacken van uw ... Lees meer dat ze vertrouwen hebben in de beveiliging van. Het is ook niet de enige optie - Cryptocat is een andere. Cryptocat had een recentelijk bekend gemaakt beveiligingslek en andere services kunnen hun eigen problemen hebben waarover we in de toekomst zullen horen, maar deze services zijn op de goede weg - ze zijn niet fundamenteel onveilig door het ontwerp zoals e-mail.
Natuurlijk is gecodeerde e-mail niet noodzakelijkerwijs waardeloos. Als u bijvoorbeeld belangrijke zakelijke communicatie wilt beveiligen tegen afluisteren, kan dit handig zijn. Maar gecodeerde e-mail zal de overheid niet erg vertragen - het is niet het ideale communicatiemiddel wanneer u probeert te praten zonder de NSA-hoorzitting.
Bent u het eens met de principes achter de sluiting van Lavabit en Silent Circle? Gebruikt u een beveiligde berichtenservice om te communiceren zonder dat uw gesprekken worden opgeslagen in een enorme overheidsdatabase? Laat een reactie achter en laat ons weten welk e-mailalternatief jouw voorkeur heeft.
Beeldpunten: metaaldetector via Shutterstock