Создатель Lavabit готовит более защищенный сервис обмена электронной почтой

image

Теги: электронная почта, сервис, слежка, АНБ

По словам Ладара Левинсона, необходимо обезопасить пользователей от тотальной слежки со стороны правительства наиболее эффективным способом.

Создатель зашифрованного сервиса электронной почты Lavabit сообщил о намерениях выпустить новый программный код, позволяющий обеспечить более высокий уровень защиты коммуникаций.

Ладар Левисон (Ladar Levison), которому пришлось закрыть свой проект после того, как суд принял решение о передаче криптографических ключей сервиса федеральным агентам, заявил, что работает с бывшими конкурентами и другими специалистами над созданием открытой службы обмена электронными письмами. По словам разработчика, новый сервис будет открытым и направленным на защиту обычного пользователя от действий спецслужб, внутренней коррупции и хакерских атак.

Помимо этого, представители Lavabit и групп, выступающих за защиту гражданских прав, обратились в апелляционный суд с просьбой пересмотреть решение суда, вынесенное в пользу федеральных структур, поскольку последние, как оказалось, использовали свои преимущества для поиска информации о бывшем подрядчике АНБ Эдварде Сноудене.

Как отмечает издание Reuters, создатель Lavabit заявил, что был настолько обеспокоен массовой слежкой, что решил не ждать, пока будет рассмотрена апелляция.

«Они подорвали доверие общества, и, как результат, мы решили, что пришло время разработать новое техническое решение, - отметил Левинсон. – Может, появится сотня других Lavabit, если я изменю код».

Стоит отметить, что с момента появления данных о тотальной слежке со стороны АНБ и рассекречивания документов Эдвардом Сноуденом, эксперты называют решение создателя Lavabit «наиболее яростным противостоянием действию властей».

Учитывая тот факт, что новые порции утечек от Сноудена сообщают о мониторинге спецслужбами трафика популярных сервисов электронной почты, почтовики предпринимают попытки обезопасить пользователей при помощи установки более надежных механизмов шифрования.


или введите имя

CAPTCHA
Bob
31-10-2013 17:26:12
Вопрос к знатокам. Разве использование PGP шифрования (с длиной ключа от 2048-bit и выше) в почтовой переписке, не является надёжной защитой от чтения спецслужбами личных писем? По крайней мере текст письма, насколько я понимаю, спецслужбам прочитать не удастся. Или предлагаемый Левинсоном сервис электронной почты призван скрыть сам факт шифрованной переписки, не исключая при этом дополнительно личного использования PGP?
0 |
Восход
02-11-2013 14:31:23
Хоть текст самой переписки недоступен, известно, кто, кому и когда отправлял сообщение. По IP-адресу, гугл-аккаунту и другим следам, оставляемых браузерами и прочим ПО можно отслеживать факты установления связи и некоторую другую статистику. Хоть PGP/GPG и скроет само содержимое писем, наши контакты, с которыми мы переписываемся, могут очень многое рассказать о наших привычках и интересах. Ведь известно и время переписки, и объём зашифрованного письма, даны отправитель и получатель... в общем, сам текст письма уже почти и не нужен для слежки. Пример. Когда на адрес эл.почты пропагандирующего самоубийства наркоторговца-педофила (вымышленная жертва слежки для примера) приходит письмо, отправленное с IP-адреса 37.27.181.73 (и по логам соответствующего провайдера видно, что адрес был выдан в это время абоненту Торцову Илью Петровичу), то мы можем сделать вывод, что либо подозреваемый знаком с нашим абонентом, либо он его клиент. Если они часто переписываются, то значит, что Илья -- его постянный клиент, если первый раз, то он -- новый покупатель. Другое дело, когда письмо приходит с внешнего IP, например, 8.8.8.8, относящегося к некой крупной корпорации (корпорация вымышленная), причём эта компания-корпорация отказывается давать логи с ФИО абонентов. В этом случае мы знаем лишь о факте переписки кого-то из клиентов этой компании с нашим вымышленным подозреваемым, но это уже будет не один абонент, а сотни и тысячи возможных отправителей. В результате, мы знаем о факте переписки вымышлегого подозреваемого с одним из тысяч клиентом вымышленной корпорации.
0 |
Зенит
02-11-2013 14:32:02
Усложним пример. Пусть оба человека пользуются защищённой почтой -- следить будет ещё сложнее за подозреваемым. В момент времени N с адреса 37.27.181.73 отправили 8 мегабайт на 8.8.8.8, а через несколько часов 15 мегабайт наш вымышленный подозреваемый загрузил себе (письма накопились в электроящике у подозреваемого). Теперь уже нет чёткой связи между отправителем и получателем, можно только кореляцию делать по объёмам трафика, но сработает это только, если письмо одно и почта проверяется постоянно, а не с часовой задержкой. В результате, мы можем отследить, что у подозреваемого бизнес по самоубийствам идёт полным ходом (15 мегабайт же!), но не знаем, кто его клиенты. Возможно, кто-то из других абонентов защищённой компании, а, может, кто-то с других адресов... В общем, тут уже и PGP не так сильно нужен, одного HTTPS уже хватит, чтобы переписка стала анонимной. Итак, сделаем вывод. PGP/GPG защищает нас только от чтения внутренней части писем, все контакты и времена фактов связи доступны. Популярная электропочта, не желающая с нами сотрудничать, пусть даже на одном HTTPS, делает слежку бесполезной, если переписка между клиентами одного и того же сайта. Если таких сайтов-сервисов несколько, и они обмениваются между собой по шифрованным каналам, а не открытому POP3/IMAP/SMTP, то опять ничего не отследить. Если же клиенты позаботились защифровать письма через PGP или GPG, то становится бесполезной отслеживание переписки, при условии, что отправитель или получатель пользуется защищённой почтой.
0 |
Закат
02-11-2013 14:32:32
Имеются два исключения. Во первых, если сервис защищённой почты непопулярен (т.е. имеет очень мало клиентов) и не общается с другими защищёнными сервисами, а только с подконтрльными нам сервисами эл.почты, то сам факт пользования данным сервисом даёт нам понять, кто -- клиент. Это касается в первую очередь самодельных персональных почтовых серверов. Во вторых, если получателей письма не один, а несколько, то есть вероятность, что не все получатели расположены на защищённых серверах электропочты, кто-то может пользоваться подконтрольным нам почтовиком. Хоть в случае PGP/GPG письмо мы не увидим, но традиционную статистику "кто,кому,когда" мы получим.
0 |
Bob
02-11-2013 14:37:32
Спасибо за развёрнутый ответ! Сейчас перечитаю ещё раз, может, задам тебе ещё вопросы.
0 |