Proton AG – compania elvețiană din spatele Proton Mail, popularul serviciu de e-mail criptat – a fost criticată în aprilie pentru că a respectat o solicitare a poliției spaniole de informații despre unul dintre utilizatorii săi – un activist catalan pro-independență.

Este evident de ce a fost o mișcare controversată. Se simte groaznic când „băieții buni” sunt „epuizați” de o companie care promite confidențialitate. Dar dacă ești supărat pe Proton pentru că ai respectat solicitările legale, trebuie să-ți reevaluezi fanteziile despre tehnologia de confidențialitate.

Cu toții iubim criptarea și idealurile ei atașate. Dar criptarea nu este un panaceu și cu cât criptăm mai mult, cu atât mai mult contează metadatele. Când vine vorba de confidențialitate, metadatele este un exercițiu de minimizare, dar serviciile centralizate au limite naturale în ceea ce privește modul în care mini își pot colecta metadate.

Înrudit: Minerii mari reprezintă o amenințare existențială în creștere pentru Bitcoin

Proton a făcut o treabă uimitoare limitând accesul la metadatele utilizatorilor. Ar trebui să primească o palmă pe spate pentru construirea unui sistem în care tot ce pot oferi este un e-mail opțional de recuperare. (În acest caz, compania a furnizat adresa de e-mail de recuperare a utilizatorului, ceea ce a condus poliția către contul lor Apple.) În schimb, ei au fost întâlniți cu anoni online care brandeau butoane „Anulează abonamentul” și titluri de rău augur care încep cu „Este Proton...” și se încheie cu semne de întrebare.

Idealul platonic al tehnologiei de confidențialitate

Fantezia este așa: compania de confidențialitate primește o cerere legală oficială de la autorități, compania de confidențialitate dă înapoi autorităților, compania de confidențialitate oferă vești de triumf uralelor frenetice ale fanilor lor. Această așteptare și-a ridicat capul de mai multe ori, inclusiv un alt caz ProtonMail de acum câțiva ani.

Dar fantezia este delirantă și autodistructivă.

Dacă Proton ar urma această cale, ar fi întâmpinați o presiune legală paralizantă, care ar pune soarele asupra întregii companii destul de repede - și atunci ne rămânem la doar câțiva furnizori de e-mail criptați consacrați. Acesta nu este un rezultat util pentru Proton, utilizatorii Proton sau confidențialitatea în general.

Editorul FreedomTech, SethForPrivacy, a apărat Proton Mail într-o postare pe X, scriind că cazul a „dovedit” că arhitectura lui Proton „minimizează cantitatea de date pe care o au despre orice utilizator”.

Proton știe bine acest lucru, așa că realitatea este că au respectat aproape 6.000 de solicitări legale doar în 2023. Odată ce șocul știrilor a dispărut și mâinile sigure precum SethForPrivacy au cântărit, mai mulți oameni au acceptat că indignarea nu era cu adevărat justificată și nici nu era de ajutor.

Învinovățirea opsec-ului este o respingere

Pe măsură ce povestea s-a răcit, apărătorii Proton au subliniat că deanonimizarea a fost posibilă numai în acest caz, deoarece a fost furnizat un e-mail de recuperare opt-in. Ei spun că de fapt este vina activistului pentru că are o securitate operațională nesigură (opsec) - dar aceasta este doar o altă iterație neproductivă a jocului blama.

Nu putem încheia această poveste cu: „Oh, trebuie doar să ai o opsec mai bună decât atât”.

Întrebarea de bază este: putem face mai bine?

Criptarea este baza noastră. Ar trebui să-l folosim, ar trebui să-l susținem, ar trebui să-l protejăm. Proton are aceasta și o colecție minimă de metadate, așa că avem o bază bună pentru a lucra aici.

În plus, sfatul înțelept este să accesați Proton cu un VPN/Tor (important, nu ProtonVPN) și să plătiți abonamentul folosind cripto. Acest mesaj s-a răspândit peste tot în ultimele două săptămâni – dar nu este un sfat nou și încă vedem că apar cazuri precum activistul nostru catalan. Oamenii vor rămâne în urmă dacă serviciile necesită întărire manuală a utilizatorului și, uneori, vor fi aceleași persoane expuse riscului pe care încercăm să îi protejăm.

În cazul catalan, un e-mail furnizat pentru înscrierea la o aplicație de mesagerie E2EE, un e-mail de recuperare furnizat unui serviciu de e-mail securizat și un e-mail iCloud au fost piesele de puzzle necesare pentru deanonymizare. Acestea sunt mici greșeli pe care oricine le-ar putea face, dar împreună creează o pistă a metadatelor care poate fi urmărită cu relativă ușurință.

Potențial de descentralizare în limitarea colectării metadatelor

Scopul nostru ar trebui să fie să creăm unelte care sunt întărite din cutie și să ne asigurăm că orice opțiune care ar putea pune în pericol confidențialitatea este descrisă clar in-situ.

Poate că descentralizarea unor părți ale sistemului ne-ar putea ajuta să ducem lucrurile cu un pas mai departe decât Proton. Descentralizarea este o modalitate semnificativă de a reduce cantitatea de date pe care o companie centralizată trebuie să le proceseze pentru a oferi un serviciu.

Înrudit: Bun venit în Regatul Unit — Vă rugăm să predați cripto-ul

De exemplu, construirea de aplicații deasupra rețelelor descentralizate capabile să stocheze sau să direcționeze datele necesare unui serviciu. Pentru un serviciu de e-mail, asta ar însemna stocarea și redirecționarea e-mailului în sine - inclusiv metadate vulnerabile, cum ar fi liniile de subiect și marcajele de timp ale e-mailului. Acest strat de rețea descentralizat ar folosi tehnici mai avansate de păstrare a confidențialității, cum ar fi rutarea ceapă, de asemenea. În acest fel, IP-ul unui utilizator ar fi mai bine protejat chiar dacă nu utilizează un VPN. Există deja unele rețele ca aceasta, cum ar fi Tor, dar avem rețele similare care sunt securizate și stimulate de blockchain, cum ar fi mixnetul Nym.

Rețele precum Nym sunt generalizabile pentru nevoile de rutare a datelor și oferă deja kituri de dezvoltare software (SDK) pentru integrarea în aplicații terțe. Mixnet-urile sunt destul de lente, așa că aceasta ar putea să nu fie o soluție bună pentru mesageria instantanee sau serviciile de conferințe, dar pentru e-mail - ar putea funcționa.

Partea de stocare a lucrurilor este mai complicată, rețelele specifice aplicației, cum ar fi Rețeaua de sesiune (folosită de aplicația de mesagerie la care lucrez), oferă stocare efemeră a mesajelor într-un mod descentralizat, dar acest lucru nu se potrivește e-mailului - care este un utilitate facto de păstrare a înregistrărilor pentru mulți oameni.

Această limitare, combinată cu filtrele de spam și mafia e-mailului, ar putea face ca un serviciu de e-mail descentralizat de sus în jos să nu fie practic - deși nu îi va împiedica pe oameni să încerce - dar putem face absolut acest lucru să funcționeze pentru alte instrumente de comunicare, cum ar fi mesageria, video și conferințe vocale și platforme de comunicare în echipă (cum ar fi Slack și Discord).

În cele din urmă, cererile legale vor continua să vină – iar companiile vor continua să se conformeze. Este așa cum trebuie să fie. Dar în cazurile în care siguranța și securitatea sunt esențiale, descentralizarea intenționată ar putea oferi un nivel suplimentar de protecție care este vital pentru persoanele expuse riscului.

Proton — oamenii au proiectat și construit deja soluții care ar putea fi utile pentru tine și utilizatorii tăi. Vă putem ajuta, tot ce trebuie să faceți este să suni (sau, presupun, să trimiți un e-mail).

Alexander Linton este director al aplicației de mesagerie criptată Session și al fundației sale nonprofit OPTF. El a obținut o diplomă de licență în jurnalism de la Universitatea RMIT înainte de a merge la Universitatea din Melbourne pentru o școală superioară.

Acest articol are scop informativ general și nu este destinat și nu ar trebui să fie luat drept sfaturi juridice sau de investiții. Părerile, gândurile și opiniile exprimate aici sunt exclusiv ale autorului și nu reflectă sau reprezintă neapărat punctele de vedere și opiniile Cointelegraph.