“ถ้าคุณรู้ว่าฉันรู้อะไรเกี่ยวกับอีเมล คุณก็อาจจะไม่ใช้มันเหมือนกัน” เจ้าของบริการอีเมลที่ปลอดภัย Lavabit กล่าวในขณะที่เขาเพิ่งปิดตัวลง “ไม่มีทางใดที่จะทำอีเมลเข้ารหัสที่มีการป้องกันเนื้อหา” ฟิล ซิมเมอร์มันน์กล่าวขณะที่เขาปิดบริการอีเมลที่ปลอดภัยของ Silent Circle อย่างกะทันหัน ความจริงก็คืออีเมลนั้นพื้นฐานไม่ปลอดภัยและไม่สามารถป้องกันจากการสอดส่องของรัฐบาลได้เช่นเดียวกับการสื่อสารอื่นๆ
แน่นอนว่าคุณอาจใช้บริการอีเมลอื่นที่เข้ารหัสและ "ปลอดภัย" ที่ยังไม่ได้ปิดตัวลง แต่พวกเขาก็เสี่ยงต่อแรงกดดันจากรัฐบาลสหรัฐฯ แบบเดียวกับที่ Lavabit ต้องเผชิญ นั่นคือสาเหตุที่ Silent Circle ปิดตัวลงก่อนที่รัฐบาลจะติดต่อกลับ บริการที่มีหลักการน้อยกว่าบางอย่างจะเลือกที่จะร่วมมือกับรัฐบาลแทนที่จะปิดตัวลง เราไม่รู้แน่ชัดว่าอะไรคือสิ่งที่เรียกร้องให้ Lavabit ต้องเผชิญ เนื่องจากพวกเขาถูกห้ามไม่ให้เปิดเผยสิ่งที่พวกเขาประสบอันเป็นผลมาจากคำสั่งลับๆ จากศาลลับของสหรัฐฯ ที่เปิดใช้งาน PRISM และโปรแกรมการเฝ้าระวัง NSA อื่นๆ
ตอนนี้ มาดูกันว่าทำไมอีเมลจึงเป็นทางเลือกที่ไม่ดีสำหรับการสื่อสารที่ปลอดภัย และเป็นเป้าหมายที่ง่ายสำหรับการสอดแนมของรัฐบาล
เข้ารหัสข้อมูลเมตาไม่ได้และ XKEYSCORE สามารถสกัดกั้นได้
อีเมลไม่ใช่ข้อมูลชิ้นเดียวจริงๆ เป็นข้อมูลหลายส่วน:มีเนื้อหาข้อความ หัวเรื่อง ช่องจาก ช่องถึง/สำเนาถึง/สำเนาลับถึง และข้อมูลเมตาอื่นๆ ที่มีตำแหน่งที่คุณส่งอีเมลมา
แม้ว่าคุณจะใช้เทคโนโลยีการเข้ารหัสอีเมลที่ดีที่สุดเท่าที่จะเป็นไปได้ คุณก็เข้ารหัสได้เฉพาะเนื้อหาข้อความของอีเมลเท่านั้น ใครก็ตามที่ตรวจสอบการเชื่อมต่อที่คุณกำลังใช้สามารถดูหัวเรื่องของอีเมล บุคคลที่คุณกำลังสื่อสารด้วย และที่ที่คุณส่งอีเมลถึง ภายใต้โครงการ XKEYSCORE ที่ยอมให้รัฐบาลสหรัฐฯ จับการรับส่งข้อมูลส่วนใหญ่ที่ไหลผ่านอินเทอร์เน็ตโดยการสกัดกั้นที่เราเตอร์และเกตเวย์แกนหลักขนาดใหญ่ รัฐบาลสามารถสร้างภาพที่คุณกำลังสื่อสารด้วยได้ค่อนข้างดี เมื่อคุณ สื่อสารกับพวกเขา ที่คุณแต่ละคนสื่อสารมาจากไหน และหัวเรื่องของอีเมลของคุณคืออะไร ซึ่งทำให้พวกเขาทราบว่าคุณกำลังพูดถึงอะไร พวกเขาอาจพบว่าคุณกำลังเข้ารหัสเนื้อหาในอีเมลที่น่าสงสัยและกำหนดเป้าหมายคุณเพื่อการเฝ้าระวังทุกอย่างที่คุณทำในเชิงลึกยิ่งขึ้น
รัฐบาลสหรัฐฯ ได้รวบรวมบันทึกอีเมลของสหรัฐฯ เป็นจำนวนมากจนถึงปี 2011 จากข้อมูลของ NSA โปรแกรมนี้ได้ถูกยกเลิกเนื่องจากไม่ได้ผล แต่ยังคงรวบรวมข้อมูลเมตาภายใต้ XKEYSCORE ดังนั้นพวกเขาจึงมีแนวโน้มว่าจะสกัดกั้นเมตาดาต้าของอีเมลทั้งหมด สามารถรับมือได้ พวกเขาจะได้รับข้อมูลมากมายจากคุณแม้ว่าคุณจะเข้ารหัสอีเมลก็ตาม
สำหรับข้อมูลเพิ่มเติม โปรดอ่านเกี่ยวกับสิ่งที่คุณเรียนรู้ได้จาก "ส่วนหัว" หรือข้อมูลเมตาของอีเมล
ผู้ให้บริการอีเมลที่ "ปลอดภัย" จำนวนมากมีคีย์การเข้ารหัสเพื่อความสะดวก
การเข้ารหัสและถอดรหัสอีเมลนั้นซับซ้อน ตามทฤษฎีแล้ว คุณจะใช้บางอย่างเช่น PGP หรือ GPG บนคอมพิวเตอร์ในพื้นที่ของคุณเพื่อถอดรหัสอีเมล ในทางปฏิบัติ การตั้งค่าอาจซับซ้อนและสับสน แม้กระทั่งสำหรับผู้ใช้ที่เชี่ยวชาญด้านเทคโนโลยีมากขึ้น นอกจากนี้ยังทำให้ไม่สามารถเข้าถึงอีเมลที่เข้ารหัสผ่านเบราว์เซอร์หรือไคลเอนต์มือถือขนาดเล็กได้
ในทางปฏิบัติ ผู้ให้บริการอีเมลที่ปลอดภัยจำนวนมากได้จัดการกับสิ่งนี้โดยถือคีย์เข้ารหัสไว้ที่ส่วนท้าย ถอดรหัสอีเมลเมื่อคุณเข้าถึง นี่คือวิธีการทำงานของบริการอีเมลที่ปลอดภัยของ Silent Circle - พวกเขามีคีย์การเข้ารหัสเพื่อให้สามารถถอดรหัสอีเมลได้อย่างง่ายดายและมอบประสบการณ์การใช้งานที่ดีแก่ผู้ใช้ ในทางปฏิบัติ นี่หมายความว่ารัฐบาลสามารถเรียกร้องคีย์การเข้ารหัสทั้งหมด หรือเฉพาะคีย์ที่พวกเขาต้องการ และถอดรหัสอีเมลทั้งหมดที่ต้องการได้ หากผู้ให้บริการมีกุญแจ พวกเขาสามารถส่งมอบได้ วิธีเดียวที่จะเข้ารหัสและถอดรหัสเนื้อหาอีเมลได้อย่างปลอดภัยคือการใช้ซอฟต์แวร์เดสก์ท็อปที่ซับซ้อน แม้ความพยายามทั้งหมดนี้จะทำให้ข้อมูลเมตาถูกเปิดเผย
รัฐบาลสามารถเรียกร้องแบ็คดอร์:ดู Hushmail
Hushmail ที่อยู่ในแคนาดาเป็นหนึ่งในบริการอีเมลเข้ารหัสที่ได้รับความนิยมและเป็นที่รู้จักกันอย่างแพร่หลาย ในปี 2550 ศาลของแคนาดาได้บังคับ Hushmail ให้ส่งอีเมลของผู้ใช้รายหนึ่งของตน จากนั้น อีเมลดังกล่าวจะถูกส่งไปยังศาลสหรัฐฯ ภายใต้สนธิสัญญาความช่วยเหลือทางกฎหมายร่วมกันระหว่างแคนาดาและสหรัฐอเมริกา
ในทางทฤษฎี Hushmail ไม่สามารถทำได้ พวกเขาไม่ได้เก็บคีย์การเข้ารหัสของผู้ใช้ไว้บนเซิร์ฟเวอร์ พวกเขาแนะนำให้ผู้ใช้ใช้ PGP หรือซอฟต์แวร์ที่คล้ายกันเพื่อถอดรหัสอีเมลในคอมพิวเตอร์เพื่อความเป็นส่วนตัวสูงสุด อย่างไรก็ตาม หลายคนคิดว่ามันไม่สะดวกเกินไป ดังนั้น Hushmail จึงเสนอ Java applet ที่สามารถดาวน์โหลดได้ซึ่งอยู่บนหน้าเว็บที่อนุญาตให้คุณเข้าถึงอีเมลของคุณได้ เมื่อคุณเข้าถึงหน้าเว็บ Java applet เวอร์ชันล่าสุดจะดาวน์โหลดลงในคอมพิวเตอร์ของคุณ คุณจะต้องป้อนคีย์การเข้ารหัส จากนั้นแอปเพล็ตจะดาวน์โหลดและถอดรหัสอีเมลของคุณในเครื่องโดยที่ Hushmail ไม่สามารถเข้าถึงคีย์การเข้ารหัสได้
Hushmail ถูกบังคับให้ให้บริการ Java applet เวอร์ชันที่มีแบ็คดอร์ในตัวสำหรับผู้ใช้ที่มีปัญหา แอปเพล็ต Java ที่แก้ไขได้ส่งคีย์การเข้ารหัสของผู้ใช้ไปที่ Hushmail หลังจากที่ป้อนเข้าไป และ Hushmail สามารถเข้าถึงอีเมลของผู้ใช้ได้ ซึ่งพวกเขาได้ส่งต่อไปยังศาล
หากคุณใช้อีเมลที่ปลอดภัย ผู้ให้บริการอาจถูกบังคับให้รับรหัสของคุณในทุกวิถีทางที่เป็นไปได้ แม้ว่าพวกเขาจะไม่สามารถเข้าถึงคีย์ของคุณได้ แต่ผู้ให้บริการก็สามารถมอบอีเมลที่เข้ารหัสของคุณด้วยตัวเองได้ ซึ่งจะแสดงให้รัฐบาลเห็นว่าคุณกำลังสื่อสารกับใคร เมื่อใด และเกี่ยวกับอะไร (ผ่านหัวเรื่องอีเมล)
ข้อความอีเมลถูกเก็บไว้ในเซิร์ฟเวอร์ ข้อความโต้ตอบแบบทันทีไม่ใช่
แม้ว่ารัฐบาลจะไม่สามารถรับหรือสกัดกั้นคีย์การเข้ารหัสได้ แต่พวกเขาก็สามารถถอดรหัสอีเมลของคุณได้อยู่ดี ข้อความอีเมลที่เข้ารหัสของคุณจะถูกเก็บไว้ในเซิร์ฟเวอร์ นั่นเป็นเพียงวิธีการทำงานของอีเมล หากรัฐบาลต้องการข้อมูลนี้ ผู้ให้บริการโฮสต์จะต้องส่งมอบในรูปแบบที่เข้ารหัส รัฐบาลสามารถพยายามทำลายการเข้ารหัส ฮาร์ดแวร์ใหม่มักทำให้กลไกการเข้ารหัสปัจจุบันอ่อนแอลงอย่างมาก และรัฐบาลสหรัฐฯ อาจจัดเก็บการสื่อสารที่เข้ารหัสไว้โดยหวังว่าจะทำลายมันในอนาคต
ในทางตรงกันข้าม การสื่อสารในรูปแบบข้อความโต้ตอบแบบทันทีนั้นยากต่อการเก็บถาวร ข้อความที่เข้ารหัสสามารถส่งไปยังผู้รับได้โดยตรงและไม่สามารถเก็บไว้ในเซิร์ฟเวอร์ที่สามารถเข้าถึงได้ในอนาคต รัฐบาลจะต้องติดตั้งอุปกรณ์ตรวจสอบและบันทึกการสื่อสารทั้งหมดแบบเรียลไทม์ หากพวกเขาล้มเหลวในการดำเนินการดังกล่าว และไม่มีข้อมูลที่เข้ารหัสไว้ทั้งหมด พวกเขาก็จะไม่สามารถไปรับได้อีกหลายปีต่อมา แต่มักจะทำได้ด้วยอีเมล
การสื่อสารประเภทอื่นๆ สามารถรักษาความปลอดภัยได้
อีเมลไม่ได้ออกแบบมาโดยคำนึงถึงการเข้ารหัส มันถูกยึดติดกับความจริงแล้ว และมันแสดงให้เห็น แม้แต่ผู้ใช้บริการอีเมลที่ปลอดภัยที่ระมัดระวังที่สุดก็ไม่สามารถซ่อนได้ว่าพวกเขากำลังสื่อสารกับใครและเมื่อใด หากคุณต้องการหลีกเลี่ยงการสอดส่องของรัฐบาลจริงๆ คุณควรใช้บริการส่งข้อความที่ปลอดภัยต่างๆ แทนการพึ่งพาอีเมล
นั่นคือเหตุผลที่ Silent Circle ยังคงให้บริการส่งข้อความที่ปลอดภัยซึ่งพวกเขามั่นใจในความปลอดภัยของ ไม่ใช่ตัวเลือกเดียว - Cryptocat เป็นอีกทางเลือกหนึ่ง Cryptocat มีช่องโหว่ที่ได้รับการเผยแพร่เมื่อเร็วๆ นี้ และบริการอื่นๆ อาจมีปัญหาของตัวเองซึ่งเราจะได้ยินเกี่ยวกับเรื่องนี้ในอนาคต แต่บริการเหล่านี้มาถูกทางแล้ว โดยพื้นฐานแล้วบริการเหล่านี้ไม่ปลอดภัยจากการออกแบบวิธีที่อีเมลเป็น
แน่นอน อีเมลที่เข้ารหัสไม่จำเป็นต้องไร้ค่าเสมอไป ตัวอย่างเช่น หากคุณต้องการรักษาความปลอดภัยให้กับการสื่อสารทางธุรกิจที่สำคัญจากการดักฟัง การสื่อสารนั้นก็มีประโยชน์ แต่อีเมลที่เข้ารหัสจะไม่ทำให้รัฐบาลช้าลงมากนัก มันไม่ใช่เครื่องมือสื่อสารในอุดมคติเมื่อคุณพยายามพูดโดยไม่ได้ยินจาก NSA
คุณเห็นด้วยกับหลักการเบื้องหลังการปิดตัวของ Lavabit และ Silent Circle หรือไม่? คุณใช้บริการส่งข้อความที่ปลอดภัยในการสื่อสารโดยที่การสนทนาของคุณไม่ถูกเก็บไว้ในฐานข้อมูลขนาดใหญ่ของรัฐบาลหรือไม่? แสดงความคิดเห็นและแจ้งให้เราทราบว่าคุณต้องการอีเมลทางเลือกใด
