電子メールが政府の監視から保護される理由

「私が電子メールについて知っていることを知っていれば、それも使用しないかもしれません」と、安全な電子メールサービスLavabitの所有者は最近それをシャットダウンしたときに言いました。 「コンテンツが保護されている場所で暗号化された電子メールを実行する方法はありません」とPhilZimmermannは、SilentCircleの安全な電子メールサービスを突然シャットダウンしたときに言いました。現実には、電子メールは基本的に安全ではなく、他の通信と同じように政府の監視から保護することはできません。

確かに、まだシャットダウンされていない別の暗号化された「安全な」電子メールサービスを使用している可能性があります。しかし、Lavabitが直面したのと同じ米国政府の圧力に対して脆弱です。そのため、SilentCircleは政府から連絡を受ける前にシャットダウンしました。一部のあまり原則的でないサービスは、シャットダウンするのではなく、政府と協力することを選択します。 LAvabitがPRISMやその他のNSA監視プログラムを可能にする米国の秘密監視裁判所からの裏口命令の結果として経験したことを開示することを禁じられているため、Lavabitが直面した要求を正確に知ることはできません。

それでは、電子メールが安全な通信に適していない理由と、それが政府の詮索の標的になりやすい理由を見てみましょう。

メタデータは暗号化できず、XKEYSCOREはそれをインターセプトできます

メールは実際には単一のデータではありません。複数のデータがあります。メッセージ本文、件名、差出人フィールド、宛先/ CC / BCCフィールド、およびメールの送信元の場所を含むその他のメタデータがあります。

可能な限り最高の電子メール暗号化技術を使用している場合でも、暗号化できるのは電子メールのメッセージ本文のみです。使用している接続を監視している人は誰でも、電子メールの件名、通信相手、および電子メールの送信元を表示できます。 XKEYSCOREプログラムでは、基本的に米国政府がインターネットを流れるトラフィックのほとんどを大規模なバックボーンルーターやゲートウェイで傍受することでキャプチャできるため、政府は、通信している相手の全体像を把握できます。彼らとのコミュニケーション、あなたがそれぞれどこからコミュニケーションを取っているのか、そしてあなたのメールの件名は何であるか、それはあなたが何について話しているのかを彼らに教えてくれます。彼らは、あなたが疑わしい電子メールの内容を暗号化しているという事実を発見し、あなたが行う他のすべてのことをさらに詳細に監視することを目的としている可能性があります。

米国政府は2011年まで米国の電子メールレコードをまとめて収集しました。NSAによると、このプログラムは効果がなかったため中止されましたが、XKEYSCOREでメタデータを収集しているため、すべての電子メールメタデータを傍受している可能性があります。彼らの手を得ることができます。あなたがあなたの電子メールを暗号化したとしても、彼らはあなたからたくさんの情報を得るでしょう。

詳細については、メールの「ヘッダー」またはメタデータから学ぶことができることについてお読みください。

多くの「安全な」電子メールプロバイダーは便利な暗号化キーを持っています

電子メールの暗号化と復号化は複雑です。理論的には、ローカルコンピュータでPGPやGPGなどを使用して電子メールを復号化します。実際には、技術に精通したユーザーであっても、セットアップは複雑で混乱を招く可能性があります。これにより、ブラウザや軽量のモバイルクライアントを介して暗号化された電子メールにアクセスすることもできなくなります。

実際には、多くの安全な電子メールプロバイダーは、暗号化キーを最後に保持し、アクセス時に電子メールを復号化することでこれに対処しています。これがサイレントサークルの安全な電子メールサービスの仕組みです。暗号化キーを持っていたため、電子メールを簡単に復号化して、優れたユーザーエクスペリエンスを提供できました。実際には、これは、政府がすべての暗号化キー（または必要なものだけ）を要求し、必要なすべての電子メールを復号化できることを意味します。プロバイダーがキーを持っている場合、プロバイダーはそれらを渡すことができます。電子メール本文を安全に暗号化および復号化する唯一の方法は、複雑なデスクトップソフトウェアを使用することです。このすべての努力でさえ、メタデータが公開されたままになります。

政府はバックドアを要求できます：Hushmailを参照

カナダを拠点とするHushmailは、最も人気があり、広く知られている暗号化された電子メールサービスの1つです。 2007年、カナダの裁判所はHushmailにユーザーの1人の電子メールを渡すように強制しました。その後、電子メールは、カナダと米国の間の刑事共助条約の下で米国の裁判所に渡されました。

Hushmailは理論的にはこれを行うことができませんでした。彼らはユーザーの暗号化キーをサーバーに保持していませんでした。彼らは、プライバシーを最大限に高めるために、ユーザーがPGPまたは同様のソフトウェアを使用してコンピューター上の電子メールを復号化することを推奨しました。ただし、多くの人がこれは不便すぎると考えていたため、Hushmailは、電子メールにアクセスできるWebページにあるダウンロード可能なJavaアプレットも提供しました。 Webページにアクセスすると、最新バージョンのJavaアプレットがコンピュータにダウンロードされ、暗号化キーが入力されます。アプレットは、Hushmailが暗号化キーにアクセスすることなく、電子メールをダウンロードしてローカルで復号化します。

Hushmailは、問題のユーザーにバックドアが組み込まれたバージョンのJavaアプレットを提供することを余儀なくされました。変更されたJavaアプレットは、入力後にユーザーの暗号化キーをHushmailに送信し、Hushmailはユーザーの電子メールにアクセスして裁判所に渡しました。

安全な電子メールを使用する場合、プロバイダーは可能な限りの方法でキーを取得するように強制される可能性があります。彼らがあなたの鍵にアクセスできなかったとしても、プロバイダーはあなたの暗号化された電子メールを自分で渡すことができ、それはあなたが誰と、いつ、そして何について（電子メールの件名を介して）通信しているのかを政府に示します。

電子メールメッセージはサーバーに保存されますが、インスタントメッセージは保存されません

政府が暗号化キーを取得または傍受できない場合でも、政府はとにかくあなたの電子メールを復号化できる可能性があります。暗号化された電子メールメッセージはサーバーに保存されます。これが電子メールの仕組みです。政府がこのデータを要求した場合、ホスティングプロバイダーは暗号化された形式でデータを引き渡す必要があります。その後、政府は暗号化を破ろうとする可能性があります。新しいハードウェアは定期的に現在の暗号化メカニズムをはるかに弱くし、米国政府は将来それらを破ることを期待してそのような暗号化された通信を保存する可能性があります。

対照的に、インスタントメッセージスタイルの通信はアーカイブが困難です。暗号化されたメッセージは受信者に直接送信でき、将来アクセスできるサーバーには保存されません。政府は監視装置を設置し、すべての通信をリアルタイムでキャプチャする必要があります。彼らがそうすることに失敗し、すべての暗号化されたデータを持っていなかった場合、彼らは何年も後にそれを取得することができません-しかし、彼らはしばしば電子メールでこれを行うことができます。

他の種類の通信を保護できます

電子メールは、暗号化を念頭に置いて設計されたものではありません。それは事後にボルトで固定されており、それはそれを示しています。最も注意深い安全な電子メールサービスのユーザーでさえ、誰といつ通信しているかを隠すことはできません。政府による監視を本当に避けたい場合は、電子メールに頼るのではなく、さまざまな安全なメッセージングサービスを使用することをお勧めします。

そのため、サイレントサークルは、セキュリティに自信のある安全なメッセージングサービスを提供しています。それも唯一の選択肢ではありません-クリプトキャットは別のものです。 Cryptocatには最近公表された脆弱性があり、他のサービスには将来的に耳にする問題があるかもしれませんが、これらのサービスは正しい方向に進んでいます。電子メールのように設計上、根本的に安全ではありません。

>

もちろん、暗号化された電子メールは必ずしも価値がないわけではありません。たとえば、盗聴から重要なビジネスコミュニケーションを保護したい場合は、これが役立ちます。しかし、暗号化された電子メールは政府をそれほど遅くすることはありません。NSAの聴聞会なしで話をしようとしている場合、それは理想的なコミュニケーションツールではありません。

LavabitとSilentCircleのシャットダウンの背後にある原則に同意しますか？安全なメッセージングサービスを使用して、会話を大規模な政府のデータベースに保存せずに通信していますか？コメントを残して、ご希望のメールアドレスをお知らせください。