如果您是16亿WhatsApp用户之一,则您已经在使用端到端加密(E2EE)。这种安全的通信方式意味着,您发送给某人的任何消息都只能由收件人读取-此类聊天消息不能被包括政府和罪犯在内的第三方截获。
不幸的是,犯罪分子在进行恶意操作时还使用加密来隐藏其踪迹,从而使安全的邮件应用程序成为政府监管的主要目标。在最近的新闻中,欧洲委员会已经起草了一项规范E2EE的决议,该决议将进入欧洲委员会的最终形式。
问题是,我们是否即将失去在Messenger应用程序上的隐私权?
恐怖尖峰推动欧盟行动
在法国和奥地利最近遭到袭击之后,两国总理伊曼纽尔·马克龙(Emmanuel Macron)和塞巴斯蒂安·库尔兹(Sebastian Kurz)分别于11月6日提出了欧盟理事会(CoEU)决议草案,旨在规范端到端加密实践。
欧盟委员会是制定政策方向的提案机构,而欧盟委员会将根据该草案起草可行的立法。幸运的是,作为立法的开端,该决议草案对隐私的困扰不像人们期望的那样:
- 该决议未对E2EE禁令提出任何具体建议。
- 它不建议对加密协议实施后门。
- 它肯定了欧盟对强大的加密和隐私权的坚持。
- 它邀请专家在“尽管加密的安全性”框架下全面探索安全性措施。
但是,该决议确实提出了有针对性的方法:
“主管当局必须能够在充分尊重基本权利和数据保护制度的前提下,以合法且有针对性的方式访问数据,同时维护网络安全。”
鉴于政府扩大有效目标范围的趋势,这也可能包括合法抗议。以法国为例,这可能是“黄背心”运动,该运动被迫退出Facebook,转而使用安全的Telegram应用程序。
有趣的是,Telegram是俄罗斯禁止的同一款应用程序,因为开发团队拒绝为政府创建后门程序。欧盟欧洲人权法院(ECHR)将该禁令裁定为明显侵犯言论自由的行为。随着俄罗斯取消了为期两年的电报禁令,这一裁决取得了成果。
ECHR的电报裁决是否可以作为未来的保障?
不幸的是,事实并非如此。欧洲人权法院于2019年裁定,围绕大屠杀主题的言论自由不构成人权。同时,法院裁定,关于亚美尼亚种族灭绝罪的同一言论自由确实构成了言论自由的人权。这些不一致的裁定表明,ECHR不遵守通用标准。
欧盟的决议草案会影响您吗?
如果您担心WhatsApp,Telegram,Viber和其他E2EE应用突然将您暴露给黑客和数据挖掘者,那就不要这样。在欧盟内部,我们可能正在处理一种混合解决方案,其中执法机构必须向法院提供充分的理由来侵犯隐私。
另一方面,在“五眼”范围内,似乎有很大的努力将后门立法纳入E2EE Messenger应用程序。公民和非政府组织(例如电子前沿基金会)的回击对于避免这种对密码学的限制性立法至关重要。
政府规范密码学的滑坡
众所周知,世界各国渴望为了所谓的国家安全而破坏公民的隐私。这项指控通常由“五眼”情报联盟负责。他们寻求实施最广泛的方法-要求软件开发人员将后门程序集成到他们的应用程序中。这将使政府和科技公司可以随意访问任何私人数据。
尽管政府夸夸其谈地表示,他们已经采取了防范滥用的措施,但其往绩还不算出色。正如斯诺登泄密所揭示的那样,他们在看待公民的隐私权和避免滥用权利方面似乎是不道德的。此外,网络犯罪分子很容易利用后门程序,从而造成巨大的经济损失和信任受损。
强制性的后门还没有成为现实,但是政府可以在犯罪/恐怖行为发生时随时使用强大的说服力。因此,政府有稳定的势头侵蚀隐私保护,认为:
- 恐怖分子/犯罪分子与遵守法律的公民具有相同的加密通信协议访问权限。
- 因此,为了遵守法律,必须破坏加密的通信协议。
试图在两者之间取得平衡是一个持续不断的过程,最近欧盟成员国已将其公诸于众。
为什么端到端加密很重要?
当人们不想考虑监视状态的后果时,他们通常会诉诸基准参数:
“我没有什么可隐藏的。”
不幸的是,坚持这种天真并不能使您的生活免受虐待。正如Facebook-Cambridge Analytica数据丑闻所表明的那样,人们应尽可能严格地保护其个人数据,以保护其房屋财产。当剥夺了E2E加密协议时,您将创建一个培育以下环境:
- 以自我审查为心态。
- 黑客和勒索。
- 无法成为有效的政治异议人士或新闻记者。
- 公司和政府使用您的心理状况对您不利。
- 减少政府对其消极政策的责任。
- 无法有效保护知识产权。
尽管全球范围内禁止和严密控制犯罪分子,但犯罪分子仍可轻易获得枪支,犯罪分子也将寻求其他通信方式。同时,破坏E2EE会使企业和公民容易遭受广泛的滥用。
处置中有哪些E2EE选项?
Messenger应用中的后门可以通过三种方式发生:
- 偶然是由于编码不正确,随后在发现漏洞时对其进行了修补。
- 政府机构故意对公司施加内部压力。
- 有意和公开地通过立法。
我们还没有达到第三种情况。同时,在选择安全的Messenger应用程序时,请尝试遵循以下安全准则:
- 选择具有良好抗压记录并获得用户高度评价的应用。
- 如果提供选项,请选择免费的开源软件-FOSS应用程序。这些是社区驱动的应用程序,因此后门实施将很快被揭示出来。有时,您还会在FLOSS的缩写下找到这些应用程序-自由/自由开源软件。
- 使用电子邮件时,请尝试使用具有PGP或GPG加密协议的电子邮件平台。
考虑到这些因素,以下是一些不错的开源E2EE Messenger应用程序:
信号
出于充分的理由,Signal已成为许多关注隐私的用户的最爱。它对所有类型的消息采用完全转发保密(PFS):文本,音频和视频。 Signal并不会记录您的IP地址,而是为您提供发送自毁消息的选项。在android设备上,您甚至可以将其设置为SMS短信的默认应用。
但是,Signal除了不提供两因素身份验证(2FA)之外,还需要注册电话号码。总体而言,适用于所有平台的符合GDPR的Messenger应用尚未达到最高水平。
下载: Android信号| iOS | Windows (免费)
届会
Session的目标是从Signal(分支)派生出来的,其目的是拥有比Signal更强大的安全功能。为此,它集成了所有信号功能,但没有要求提供电话号码或电子邮件进行注册。它不记录任何元数据或IP地址,但仍不支持2FA。
它的开源开发仍在进行中,因此您可能会遇到错误。此外,Tor浏览器正在使用的其洋葱路由协议也正在开发中。
下载:适用于Android的会话| iOS | Mac | Windows | Linux (免费)
野蔷薇
完全分散的Briar是具有E2EE Messenger协议的最新FOSS应用程序之一。对于那些担心服务器存储其消息的人来说,Briar是Android平台的专有解决方案。 Briar通过使用对等(P2P)协议使这成为不可能。意思是,只有您和接收者才能存储消息。
此外,Briar通过使用洋葱协议(Tor)添加了额外的保护层。除了收件人的姓名,您不需要提供任何信息即可开始使用Briar。但是,如果您更换设备,则所有消息都将变得无法获取。
下载:Briar for Android (免费)
线
Wire仍然保持开源状态,但其目标是用于组消息传递和共享,使其非常适合业务环境。除了个人帐户,它不是免费的。除E2EE协议外,Wire还采用Proteus和WebRTC和PFS,以及自擦除消息。
Wire不仅需要记录一些个人数据,还需要使用电话号码/电子邮件进行注册。它还不支持2FA。但是,它的GDPR合规性,开放源代码性质和顶级加密算法使它非常适合公司组织。
下载:适用于Android的Wire | iOS | Mac |网页| Linux (免费)
您并非无法抗拒潮流
最后,即使政府完全禁止E2EE或强制使用后门程序,犯罪分子也会找到其他方法。另一方面,参与程度较低的公民只会接受新的状况:大规模监视。这就是为什么我们必须谨慎行事,并始终坚持维护我们的基本隐私权。