Proton AG — Šveices uzņēmums, kas ir populārā šifrētā e-pasta pakalpojuma Proton Mail pamatā — aprīlī tika kritizēts par Spānijas policijas lūgumu sniegt informāciju par vienu no tā lietotājiem — katalāņu neatkarības atbalstītāju.

Ir skaidrs, kāpēc tas bija strīdīgs solis. Ir nepatīkami, ja uzņēmums, kas sola privātumu, “labos puišus” “izpārdod”. Bet, ja jūs sadusmot Proton par juridisko prasību izpildi, jums ir jāpārvērtē savas fantāzijas par privātuma tehnoloģiju.

Mums visiem patīk šifrēšana un ar to saistītie ideāli. Taču šifrēšana nav brīnumlīdzeklis, un jo vairāk mēs šifrējam, jo ​​lielāka nozīme ir metadatiem. Runājot par privātumu, metadati ir minimizēšanas vingrinājums, taču centralizētajiem pakalpojumiem ir dabiski ierobežojumi attiecībā uz to, cik maz viņi var apkopot metadatus.

Saistīts: lielie kalnrači rada arvien lielākus eksistenciālus draudus Bitcoin

Proton ir paveicis pārsteidzošu darbu, ierobežojot piekļuvi lietotāja metadatiem. Viņiem jāsaņem paglaudīšana par sistēmas izveidi, kurā viss, ko viņi var nodrošināt, ir neobligāts atkopšanas e-pasts. (Šajā gadījumā uzņēmums sniedza sava lietotāja atkopšanas e-pasta adresi, kas noveda policiju uz viņu Apple kontu.) Tā vietā viņi ir sastapušies ar tiešsaistes anoniem, kuri vicināja pogas “Atcelt abonementu” un draudīgiem virsrakstiem, kas sākas ar “Is Proton…”. un beidzas ar jautājuma zīmēm.

Platoniskais privātuma tehnoloģiju ideāls

Fantāzija ir šāda: privātuma uzņēmums saņem oficiālu juridisku pieprasījumu no iestādēm, privātuma uzņēmums atsakās no varas iestādēm, privātuma uzņēmums sniedz ziņas par triumfu savu fanu satracinātā gavilē. Šīs cerības ir pacēlušas galvu vairākas reizes, tostarp vēl viens ProtonMail gadījums tikai pirms pāris gadiem.

Bet fantāzija ir maldinoša un pašiznīcinoša.

Ja Proton izvēlētos šo ceļu, viņi tiktu pakļauti kropļojošam juridiskam spiedienam, kas diezgan ātri liktu saulei visam uzņēmumam — un tad mēs attiektos tikai uz dažiem šifrētu e-pasta pakalpojumu sniedzējiem. Tas nav noderīgs Proton, Proton lietotājiem vai privātumam kopumā.

FreedomTech redaktors SethForPrivacy aizstāvēja Proton Mail ziņojumā par X, rakstot, ka lieta ir "pierādījusi" Proton arhitektūra "minimizē datu apjomu, kas tiem ir par jebkuru lietotāju."

Proton to labi apzinās, tāpēc realitāte ir tāda, ka 2023. gadā vien viņi izpildīja gandrīz 6000 juridisku pieprasījumu. Kad ziņu šoks bija pagājis un kļuva stabilas, piemēram, SethForPrivacy, vairāk cilvēku atzina, ka sašutums nav īsti pamatots un nebija noderīgs.

Vainot opsec ir apkauts

Kad stāsts atdzisa, Proton aizstāvji norādīja, ka deanonimizācija bija iespējama tikai šajā gadījumā, jo tika nodrošināta izvēles atkopšanas e-pasta adrese. Viņi saka, ka patiesībā tā ir aktīvista vaina noplūdes darbības drošības (opsec) dēļ, taču šī ir tikai vēl viena neproduktīva vainošanas spēles atkārtošanās.

Mēs nevaram tikai beigt šo stāstu ar: "Nu, jums vienkārši ir jābūt labākam opsecam."

Galvenais jautājums ir: vai mēs varam darīt labāk?

Šifrēšana ir mūsu bāzes līnija. Mums tas ir jāizmanto, mums par to jāiestājas, mums tas ir jāaizsargā. Protonam ir šī un minimāla metadatu kolekcija, tāpēc mums ir labs pamats darbam.

Turklāt gudrais padoms ir piekļūt Proton, izmantojot VPN/Tor (svarīgi, nevis ProtonVPN) un samaksāt par abonementu, izmantojot kriptovalūtu. Šis ziņojums pēdējo pāris nedēļu laikā ir izplatījies tālu un plaši, taču tas nav jauns padoms, un mēs joprojām redzam tādus gadījumus kā mūsu katalāņu aktīvists. Cilvēki atpaliks, ja pakalpojumiem būs nepieciešama manuāla lietotāju nostiprināšana, un dažreiz viņi būs tie paši riska cilvēki, kurus mēs cenšamies aizsargāt.

Katalonijas gadījumā e-pasts, kas tika sniegts, lai reģistrētos E2EE ziņojumapmaiņas lietotnei, atkopšanas e-pasts, kas tika nodrošināts drošam e-pasta pakalpojumam, un iCloud e-pasts bija mīklas detaļas, kas nepieciešamas deanonimizācijai. Tās ir nelielas kļūdas, kuras var pieļaut ikviens, taču kopā tās izveido metadatu ceļmalas trasi, kurai var sekot samērā viegli.

Decentralizācijas potenciāls metadatu vākšanas ierobežošanā

Mūsu mērķim vajadzētu būt izveidot instrumentus, kas ir rūdīti no kastes, un pārliecināties, ka visas iespējas, kas varētu apdraudēt privātumu, ir skaidri aprakstītas in situ.

Iespējams, sistēmas daļu decentralizācija varētu mums palīdzēt spert soli tālāk nekā Proton. Decentralizācija ir jēgpilns veids, kā samazināt datu apjomu, kas centralizētam uzņēmumam faktiski ir jāapstrādā, lai piedāvātu pakalpojumu.

Saistīts: Laipni lūdzam Apvienotajā Karalistē — lūdzu, nododiet savu kriptovalūtu

Piemēram, lietojumprogrammu izveide papildus decentralizētiem tīkliem, kas spēj saglabāt vai maršrutēt pakalpojumam nepieciešamos datus. E-pasta pakalpojumam tas nozīmētu paša pasta glabāšanu un pārsūtīšanu, tostarp neaizsargātus metadatus, piemēram, temata rindiņas un pasta laikspiedolus. Šis decentralizētais tīkla slānis izmantotu arī uzlabotas privātuma saglabāšanas metodes, piemēram, sīpolu maršrutēšanu. Tādā veidā lietotāja IP būs labāk aizsargāts pat tad, ja viņš neizmanto VPN. Jau ir daži šādi tīkli, piemēram, Tor, taču mums ir līdzīgi tīkli, kurus nodrošina un stimulē blokķēde, piemēram, Nym mixnet.

Tādus tīklus kā Nym var vispārināt datu maršrutēšanas vajadzībām, un tie jau nodrošina programmatūras izstrādes komplektus (SDK) integrēšanai trešo pušu lietojumprogrammās. Mixnets ir diezgan lēns, tāpēc tas var nebūt labs risinājums tūlītējās ziņojumapmaiņas vai konferenču pakalpojumiem, taču e-pastam — tas varētu darboties.

Lietu uzglabāšanas puse ir sarežģītāka, lietojumprogrammām specifiski tīkli, piemēram, Session Network (ko izmanto ziņojumapmaiņas lietotne, kurā strādāju), piedāvā īslaicīgu ziņojumu glabāšanu decentralizētā veidā, taču tas nav piemērots e-pastam — tas ir Faktiski uzskaites lietderība daudziem cilvēkiem.

Šis ierobežojums apvienojumā ar surogātpasta filtriem un e-pasta mafiju var padarīt no augšas līdz apakšai decentralizētu e-pasta pakalpojumu nepraktisku — lai gan tas netraucēs cilvēkiem mēģināt —, taču mēs varam pilnībā nodrošināt, ka tas darbojas citiem saziņas rīkiem, piemēram, ziņojumapmaiņai, video un balss konferences un komandas saziņas platformas (piemēram, Slack un Discord).

Galu galā juridiski pieprasījumi turpinās saņemt, un uzņēmumi turpinās tos izpildīt. Tā tam ir jābūt. Bet gadījumos, kad drošība un drošība ir kritiska, mērķtiecīga decentralizācija varētu piedāvāt papildu aizsardzības līmeni, kas ir vitāli svarīgs riskam pakļautajiem cilvēkiem.

Proton — cilvēki jau ir izstrādājuši un izveidojuši risinājumus, kas varētu būt noderīgi jums un jūsu lietotājiem. Varam palīdzēt, atliek tikai piezvanīt (vai, manuprāt, nosūtīt e-pastu).

Aleksandrs Lintons ir šifrētās ziņojumapmaiņas lietotnes Session un tās bezpeļņas fonda OPTF direktors. Viņš ieguva bakalaura grādu žurnālistikā RMIT Universitātē, pirms viņš iestājās Melburnas Universitātē aspirantūrā.

Šis raksts ir paredzēts vispārīgai informācijai, un tas nav paredzēts un nav jāuzskata par juridisku vai ieguldījumu padomu. Šeit paustie viedokļi, domas un viedokļi ir tikai autora un ne vienmēr atspoguļo vai pārstāv Cointelegraph uzskatus un viedokļus.