Proton AG – perusahaan Swiss di balik Proton Mail, layanan email terenkripsi yang populer – mendapat kecaman pada bulan April karena memenuhi permintaan polisi Spanyol untuk mendapatkan informasi tentang salah satu penggunanya – seorang aktivis pro-kemerdekaan Catalan.

Jelas mengapa hal itu merupakan langkah yang kontroversial. Rasanya menjijikkan ketika “orang baik” “dijual habis” oleh perusahaan yang menjanjikan privasi. Namun jika Anda kesal pada Proton karena mematuhi permintaan hukum, Anda perlu menilai kembali fantasi Anda tentang teknologi privasi.

Kita semua menyukai enkripsi dan cita-cita yang melekat padanya. Namun enkripsi bukanlah obat mujarab, dan semakin sering kita mengenkripsi, semakin penting metadatanya. Dalam hal privasi, metadata adalah upaya untuk meminimalkan — tetapi layanan terpusat memiliki batasan alami mengenai seberapa kecil mereka dapat mengumpulkan metadata.

Terkait: Penambang besar menimbulkan ancaman eksistensial yang semakin besar terhadap Bitcoin

Proton telah melakukan pekerjaan luar biasa dalam membatasi akses ke metadata pengguna. Mereka harus mendapat dukungan dalam membangun sistem di mana yang dapat mereka berikan hanyalah email pemulihan opsional. (Dalam kasus ini, perusahaan memberikan alamat email pemulihan penggunanya, yang mengarahkan polisi ke akun Apple mereka.) Sebaliknya, mereka malah disambut dengan anon online yang mengacungkan tombol “Batal Berlangganan” dan berita utama tidak menyenangkan yang dimulai dengan “Apakah Proton…” dan diakhiri dengan tanda tanya.

Cita-cita Platonis tentang teknologi privasi

Fantasinya seperti ini: perusahaan privasi menerima permintaan hukum resmi dari pihak berwenang, perusahaan privasi mengabaikan otoritas, perusahaan privasi menyampaikan berita kemenangan yang disambut sorak-sorai para penggemarnya. Harapan ini telah muncul berkali-kali, termasuk kasus ProtonMail lainnya yang terjadi beberapa tahun lalu.

Tapi fantasi itu bersifat khayalan dan merusak diri sendiri.

Jika Proton mengambil cara ini, mereka akan menghadapi tekanan hukum yang melumpuhkan yang akan segera berdampak pada seluruh perusahaan — dan kita hanya tinggal beberapa penyedia email terenkripsi yang sudah mapan. Hal ini bukanlah hasil yang bermanfaat bagi Proton, pengguna Proton, atau privasi secara keseluruhan.

Editor FreedomTech SethForPrivacy membela Proton Mail dalam sebuah posting di X, menulis bahwa kasus tersebut telah "membuktikan" arsitektur Proton "meminimalkan jumlah data yang mereka miliki pada setiap pengguna."

Proton sangat menyadari hal ini, jadi kenyataannya mereka memenuhi hampir 6.000 permintaan hukum pada tahun 2023 saja. Ketika keterkejutan atas berita tersebut mereda dan tangan-tangan mantap seperti SethForPrivacy ikut ambil bagian, semakin banyak orang yang menerima bahwa kemarahan tidak benar-benar diperlukan dan juga tidak membantu.

Menyalahkan opsec adalah sebuah tindakan yang salah

Saat ceritanya mereda, para pembela Proton menunjukkan bahwa deanonimisasi hanya mungkin dilakukan dalam kasus ini karena email pemulihan keikutsertaan telah diberikan. Mereka mengatakan bahwa sebenarnya ini adalah kesalahan aktivis karena memiliki keamanan operasional (opsec) yang bocor – namun ini hanyalah pengulangan permainan saling menyalahkan yang tidak produktif.

Kita tidak bisa mengakhiri cerita ini hanya dengan, 'Baiklah, Anda hanya perlu memiliki opsec yang lebih baik dari itu.'

Pertanyaan intinya adalah: Bisakah kita berbuat lebih baik?

Enkripsi adalah dasar kami. Kita harus memanfaatkannya, kita harus mengadvokasinya, kita harus melindunginya. Proton memiliki koleksi metadata yang sangat sedikit, jadi kami memiliki dasar yang baik untuk digunakan di sini.

Selain itu, saran bijaknya adalah mengakses Proton dengan VPN/Tor (yang penting, bukan ProtonVPN) dan membayar langganan Anda menggunakan kripto. Pesan ini telah menyebar luas dalam beberapa minggu terakhir – namun ini bukanlah saran baru, dan kami masih melihat kasus-kasus seperti aktivis Catalan kami bermunculan. Orang-orang akan tertinggal jika layanan memerlukan pengerasan pengguna secara manual, dan terkadang mereka juga merupakan orang-orang berisiko yang ingin kita lindungi.

Dalam kasus Catalan, email yang diberikan untuk mendaftar aplikasi perpesanan E2EE, email pemulihan yang diberikan ke layanan email aman, dan email iCloud adalah potongan teka-teki yang diperlukan untuk deanonimisasi. Ini adalah kesalahan kecil yang bisa dilakukan siapa pun, namun jika digabungkan, kesalahan tersebut akan menciptakan jejak metadata yang dapat diikuti dengan relatif mudah.

Potensi desentralisasi dalam membatasi pengumpulan metadata

Tujuan kami adalah menciptakan peralatan yang canggih, dan memastikan setiap opsi yang mungkin membahayakan privasi dijelaskan dengan jelas di tempat.

Mungkin desentralisasi bagian dari sistem dapat membantu kita mengambil langkah lebih jauh dari Proton. Desentralisasi adalah cara yang berarti untuk mengurangi jumlah data yang sebenarnya perlu diproses oleh perusahaan terpusat untuk menawarkan layanan.

Terkait: Selamat datang di Inggris — Silakan serahkan kripto Anda

Misalnya, membangun aplikasi di atas jaringan terdesentralisasi yang mampu menyimpan atau merutekan data yang diperlukan untuk suatu layanan. Untuk layanan email, hal ini berarti menyimpan dan meneruskan email itu sendiri — termasuk metadata yang rentan seperti baris subjek dan stempel waktu email. Lapisan jaringan terdesentralisasi tersebut juga akan menggunakan teknik pelestarian privasi yang lebih canggih seperti perutean bawang. Dengan cara ini, IP pengguna akan lebih terlindungi meskipun mereka tidak menggunakan VPN. Sudah ada beberapa jaringan seperti ini — seperti Tor — tetapi kami memiliki jaringan serupa yang diamankan dan diberi insentif oleh blockchain, seperti mixnet Nym.

Jaringan seperti Nym dapat digeneralisasikan untuk kebutuhan perutean data, dan jaringan tersebut sudah menyediakan kit pengembangan perangkat lunak (SDK) untuk diintegrasikan ke dalam aplikasi pihak ketiga. Mixnet cukup lambat, jadi ini mungkin bukan solusi yang baik untuk layanan pesan instan atau konferensi, namun untuk email — ini mungkin berhasil.

Sisi penyimpanannya lebih rumit, jaringan khusus aplikasi, seperti Session Network (digunakan oleh aplikasi perpesanan yang saya kerjakan), menawarkan penyimpanan pesan singkat dengan cara yang terdesentralisasi, tetapi ini tidak cocok untuk email — yang merupakan de utilitas pencatatan facto untuk banyak orang.

Keterbatasan ini dikombinasikan dengan filter spam dan mafia email mungkin membuat layanan email terdesentralisasi dari atas ke bawah menjadi tidak praktis — meskipun hal ini tidak akan menghentikan orang untuk mencoba — namun kami benar-benar dapat membuat ini berfungsi untuk alat komunikasi lainnya, seperti perpesanan, video, dan konferensi suara, dan platform komunikasi tim (seperti Slack dan Discord).

Pada akhirnya, permintaan hukum akan terus berdatangan – dan perusahaan akan terus mematuhinya. Memang seharusnya begitu. Namun dalam kasus-kasus di mana keselamatan dan keamanan sangat penting, desentralisasi yang bertujuan dapat memberikan lapisan perlindungan tambahan yang sangat penting bagi masyarakat yang berisiko.

Proton — orang-orang telah merancang dan membangun solusi yang dapat berguna bagi Anda dan pengguna Anda. Kami dapat membantu, yang perlu Anda lakukan hanyalah menelepon (atau, saya kira, mengirim email).

Alexander Linton adalah direktur aplikasi perpesanan terenkripsi Session dan yayasan nirlaba OPTF. Ia memperoleh gelar sarjana jurnalisme dari RMIT University sebelum kuliah pascasarjana di University of Melbourne.

Artikel ini ditujukan untuk tujuan informasi umum dan tidak dimaksudkan dan tidak boleh dianggap sebagai nasihat hukum atau investasi. Pandangan, pemikiran, dan opini yang diungkapkan di sini adalah milik penulis sendiri dan tidak mencerminkan atau mewakili pandangan dan opini Cointelegraph.