Новости о приватности

Самое громкое одобрение США: CISA призывает всех использовать шифрование!

После взлома "Соленого тайфуна" CISA рекомендует защищать онлайн-общение с помощью надежного сквозного шифрования и использовать приложения с нулевыми метаданными.

Privacy win: US agency CISA asks you to use end-to-end encryption

Недавняя кибератака Salt Typhoon, организованная китайскими злоумышленниками, наконец-то подтолкнула американских чиновников к тому, чтобы они начали поддерживать надежное сквозное шифрование, а не стремиться его подорвать! В ходе этого взлома китайцы проникли в крупнейшие американские телекоммуникационные сети, и, что хуже всего, они все еще находятся в системах и не могут быть удалены. Для американских чиновников это была не просто очередная кибератака, это был тревожный звонок.

Эксперты по кибербезопасности годами предупреждали о рисках, связанных с небезопасными и устаревшими системами связи, и разрушительные последствия “Соленого тайфуна” подчеркивают, насколько плачевной стала ситуация. Взлом Salt Typhoon, который также называют худшим взломом в истории США, привел к заметному и давно назревшему изменению политики в США.

Агентство по кибербезопасности и инфраструктурной безопасности (CISA) теперь рекомендует использовать для безопасных коммуникаций сервисы со сквозным шифрованием, и лучше всего те, которые не собирают и не хранят метаданные. Этот шаг важен не только потому, что он подтверждает то, о чем защитники конфиденциальности говорят уже много лет, но и потому, что впервые государственные чиновники США просят всех использовать шифрование . В своем “Руководстве по лучшей практике в области мобильных коммуникаций” CISA заявляет:

“1. Используйте только сквозное шифрование”.

CISA специально называет чат-приложение Signal в качестве безопасной альтернативы не только из-за его квантово-устойчивого сквозного шифрования, но и потому, что пользователи должны “оценить степень, в которой приложение и связанные с ним сервисы собирают и хранят метаданные” - что в случае с Signal очень мало.

Борьба против сквозного шифрования

Исторически сложилось так, что у правительства США были совсем другие отношения со сквозным шифрованием.

Политики и правительственные агентства часто представляли шифрование как препятствие для правоохранительных органов, а не как гарантию неприкосновенности частной жизни. Снова и снова политики пытались заставить технологические компании, предлагающие надежное шифрование, открыть черный ход - заявляя, что “доступ для хороших парней” должен быть возможен для предотвращения террористических атак или сексуальной эксплуатации детей.

Усилия, направленные на подрыв надежного шифрования, не прекращались до тех пор, пока существовало сквозное шифрование.

Криптографические войны 1990-х годов

На заре становления Интернета и вскоре после изобретения шифрования PGP, которое впервые позволило людям отправлять зашифрованные электронные письма через Интернет, правительство США выступило против экспорта такой технологии. Правительство США утверждало, что такая технология, как PGP, позволит любому человеку, включая иностранных противников, защитить свою переписку от посторонних глаз, в частности, от американских секретных служб.

Соответственно, экспортные правила правительства США запрещали экспорт криптографических систем со 128-битными ключами, таких как шифрование AES/RSA в PGP. Отношение к шифрованию в США разделилось: С одной стороны, военные эксперты по криптографии были полностью сосредоточены на предотвращении доступа противников к секретной информации, обязательно используя стойкое шифрование для такой информации. С другой стороны, чиновники хотели получить доступ к иностранным сообщениям.

Однако в PGP так и не появился “черный ход” к шифрованию, а стойкое сквозное шифрование используется и по сей день, теперь даже с квантоустойчивыми алгоритмами.

Apple против ФБР (2016)

Comic, der zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere in der Schlange stehen, um Zugriff auf die entschlüsselten Daten zu erhalten. Comic, der zeigt, wie Apple-CEO Tim Cook das iPhone entsperrt, während das FBI, Hacker, repressive Regime und andere in der Schlange stehen, um Zugriff auf die entschlüsselten Daten zu erhalten. Правительство США хотело получить от Apple доступ к iPhone через черный ход. Хакеры, репрессивные режимы и т. д. стоят в очереди, чтобы также получить доступ.

Требование ФБР к Apple создать бэкдор для разблокировки iPhone стрелка из Сан-Бернардино вызвало национальную дискуссию в США. Отказ Apple высветил фундаментальное противоречие между частной жизнью человека и правительственной слежкой.

По сей день Apple может предложить своим пользователям надежное сквозное шифрование.

Закон “EARN IT Act” (2020)

Под предлогом борьбы с эксплуатацией детей правительство США хотело заставить компании, предлагающие зашифрованные услуги, подорвать это шифрование, включив механизмы сканирования с помощью закона EARN IT Act. Критики предупреждали, что это фактически поставит сильное шифрование вне закона, и закон EARN IT так и не был принят.

Закон о законном доступе к зашифрованным данным” (2020)

Закон о законном досту пе к зашифрованным данным был представлен как мера, призванная обеспечить правоохранительным органам доступ к зашифрованным данным во время расследований, и требовал от компаний создания “черных ходов” в системах шифрования. Сторонники закона утверждали, что это необходимо для обеспечения общественной безопасности, но критики указывали на то, что такие черные ходы ослабят шифрование для всех, что подвергнет пользователей кибератакам и слежке. Предложение столкнулось со значительным противодействием со стороны защитников неприкосновенности частной жизни и технологической индустрии и в итоге не получило поддержки в Конгрессе.

Каждая попытка взломать шифрование неизменно приводила к весьма противоречивым дебатам о шифровании в США на протяжении последних нескольких десятилетий.

Но каждый раз, когда кто-то требует открыть черный доступ к шифрованию, одна вещь становится кристально ясной:

Любое преднамеренное ослабление шифрования не только ставит под угрозу конфиденциальность, но и подвергает пользователей атакам того же типа, которые продемонстрировал Salt Typhoon.

Salt Typhoon: Тревожный сигнал

Успех Salt Typhoon был основан на использовании слабых мест в (старых и устаревших) телекоммуникационных сетях. Хотя основное внимание было уделено масштабам взлома, его последствия еще более тревожны. Эта атака показала, что злоумышленники могут получить доступ к конфиденциальным коммуникациям, собрать обширные метаданные и потенциально вывести из строя критически важную инфраструктуру.

Взлом стал ярким напоминанием о том, что безопасная связь - это не само собой разумеющееся, и мы должны принимать разумные решения, чтобы обеспечить безопасность онлайн-общения, выбирая такие зашифрованные сервисы, как Signal и Tuta Mail, как это теперь рекомендовано CISA.

Победа в защиту конфиденциальности

Мы в Tuta очень приветствуем новую рекомендацию CISA - и не просто приветствуем, а называем ее долгожданной победой в защиту конфиденциальности.

Эта рекомендация CISA знаменует собой значительный и давно назревший сдвиг в политике США в сторону приоритета конфиденциальности и безопасности цифровых коммуникаций. На протяжении многих лет эксперты подчеркивали важность сквозного шифрования и минимального сохранения метаданных . Это единственный надежный способ убедиться в том, что наши коммуникации не могут быть отслежены. Отрадно видеть, что это наконец-то поняли на таком высоком правительственном уровне. Недавнее заявление CISA - это самое громкое одобрение шифрования, которое мы когда-либо слышали от агентства правительства США.

Наша цель в Tuta - предоставить пользователям полный контроль над их данными. Используя сильные, квантово-безопасные алгоритмы шифрования, применяя архитектуру с нулевым знанием и сохраняя как можно меньше метаданных о наших пользователях, мы обеспечиваем безопасность данных наших пользователей как в онлайне, так и в офлайне.

Почему конфиденциальность имеет значение

Конфиденциальность часто рассматривается как необходимость только для тех, кому “есть что скрывать”. Но такая трактовка игнорирует фундаментальную роль, которую конфиденциальность играет в демократическом обществе. Конфиденциальность важна, потому что без нее свобода слова, свобода выражения мнений и даже свобода мысли находятся под угрозой. Журналисты, активисты и разоблачители полагаются на безопасную связь, чтобы разоблачать коррупцию и несправедливость.

Но это только одна часть. Если мы сможем сохранить конфиденциальность наших данных, мы сможем защитить их от любых посторонних глаз - не только от политических, но и от экономических противников. Предприятия полагаются на конфиденциальность с помощью сквозного шифрования, чтобы защитить конфиденциальные данные от конкурентов, бизнес-шпионажа и злоумышленников.

Соляной тайфун” продемонстрировал, что может произойти, когда эти средства защиты отсутствуют. От этого взлома пострадали в основном политики - за ними шпионили китайские злоумышленники, - но жертвами взлома могут стать все: частные лица, компании, неправительственные организации, кто угодно. Взлом Salt Typhoon затрагивает национальную безопасность и глобальное доверие к критически важной коммуникационной инфраструктуре - и единственный метод, который может обеспечить нам безопасность, это сквозное шифрование .

Призыв к политикам прекратить криптовалютные войны

Рекомендация CISA об использовании сквозного шифрования - это шаг в правильном направлении, но за ним должны последовать действия. Политики должны противостоять будущим попыткам ослабить шифрование или подорвать его с помощью бэкдоров для “хороших парней”.

Криптовалютные войны должны наконец закончиться!

Вместо этого политики должны активно поддерживать сквозное шифрование и развитие безопасных технологий - в своих собственных интересах.

Давайте построим более безопасное цифровое будущее. Давайте бороться за конфиденциальность вместе!