קרדיט: בריטני הרברט/מאשבל
ה-Intercept מייצר עיתונות חסרת פחד, יריב, שחושפת ניצול לרעה של כוח, תוך אחריות על ממשלות ותאגידים באמצעות דיווח חקירות. הירשם להניוזלטר השבועי של The Interceptכדי להישאר מעודכן בדיווח החקירות שלה.
האביב הזה, הודעות הטקסט נעשו הרבה יותר פרטיות. באפריל, שירות ההודעות הפופולרי ביותר בעולם, WhatsApp, הודיע כי ישתמש בהצפנה מקצה לקצה כברירת מחדל עבור כל המשתמשים, מה שהופך את זה כמעט בלתי אפשרי לאף אחד ליירט שיחות WhatsApp פרטיות, גם אם הם עובדים בפייסבוק, שבבעלותה WhatsApp. , או בסוכנות הריגול האלקטרונית החזקה בעולם, ה-NSA. ואז במאי, ענקית הטכנולוגיה גוגלהכריזאפליקציית הודעות חדשה לגמרי בשם Allo שתומכת גם בהצפנה מקצה לקצה.
מה שהופך את החדשות לטובות עוד יותר מנקודת מבט של פרטיות היא שגם WhatsApp וגם Allo משתמשות בפרוטוקול העברת הודעות מאובטחות מכובד מאוד מבית Open Whisper Systems, היצרנית של אפליקציית ההודעות Signal מסן פרנסיסקו.
ישנם כעת לפחות שלושה שירותי הודעה מיידית שונים המיישמים הצפנה חזקה.
לסיכום, ישנם כעת לפחות שלושה שירותי הודעות מיידיות שונות המיישמות הצפנה חזקה: WhatsApp, Signal ו-Allo. איך מישהו שאכפת לו מהפרטיות והביטחון שלו יבחר ביניהם?
במאמר זה, אני הולך להשוות את WhatsApp, Signal ו-Allo מנקודת מבט של פרטיות.
בעוד שכל שלוש האפליקציות משתמשות באותו פרוטוקול הודעות מאובטחות, הן שונות לגבי איזה מידע בדיוק מוצפן, אילו מטא נתונים נאספים ומה, בדיוק, מאוחסן בענן - ולכן זמין, בתיאוריה לפחות, לחטטניות ממשלתיות והאקרים ערמומיים.
בסופו של דבר, אני הולך להמליץ לך להשתמש ב-Signal בכל פעם שאתה יכול -- מה שלמעשה עלול לא להיות לעתים קרובות ככל שתרצה.
מה קורה, וואטסאפ?
עִםיותר ממיליארד משתמשים, WhatsApp היא אפליקציית ההודעות הפופולרית בעולם. זו הסיבה שזו הייתה חדשות ענק בקרב תומכי ההצפנה כאשר החברה לפני שנה וחציהכריזשותפות עם Open Whisper Systems לשילוב פרוטוקול Signal במוצר שלה. ההשקה הייתה הדרגתית, החלה רק בגרסת האנדרואיד של WhatsApp ורק לתקשורת טקסט אחד על אחד, אך באפריל האחרון, WhatsApp הצליחהלְהַכרִיזהוא השתמש בפרוטוקול Signal כדי להצפין את כל ההודעות, כולל הודעות מולטימדיה וצ'אטים קבוצתיים, עבור כל המשתמשים, כולל אלה ב-iOS, כברירת מחדל.
אז אם ממשלה דורשת את התוכן של הודעות וואטסאפ, כמו במקרה האחרון בברזיל, וואטסאפ לא יכולה למסור את זה - ההודעות מוצפנות ולוואטסאפ אין את המפתח.
אבל חשוב לזכור שגם עם פרוטוקול Signal במקום, השרתים של WhatsApp עדיין יכולים לראות הודעות שמשתמשים שולחים דרך השירות. הם לא יכולים לראות מה יש בתוך ההודעות, אבל הם יכולים לראות מי שולח הודעה למי ומתי. ולפי המדיניות הפרטיות של WhatsApp, החברה שומרת לעצמה את הזכות להקליט מידע זה, הידוע גם בשם מטא נתונים של הודעות, ולמסור אותו לממשלות:
WhatsApp עשויה לשמור מידע על חותמת תאריך ושעה הקשורים להודעות שנמסרו בהצלחה ומספרי הטלפון הניידים המעורבים בהודעות, כמו גם כל מידע אחר ש-WhatsApp נאלצת לאסוף על פי חוק.
דובר ווטסאפ אמר לוועדה להגנה על עיתונאים, "וואטסאפ לא מנהלת יומני עסקאות במהלך הרגיל של מתן השירות שלה". עם זאת, החברה אינה מבטיחה ויכולה בקלות להקליט ולמסור מטא נתונים בתגובה לבקשת ממשלה מבלי להפר את המדיניות שלה.
גיבויים מקוונים הם חור פעור באבטחת הודעות WhatsApp.
כאשר אתה מגדיר לראשונה WhatsApp, אתה מעודד, אך לא נדרש, לשתף את רשימת אנשי הקשר של הטלפון שלך עם האפליקציה. זה עוזר לשירות WhatsApp לחבר אותך עם משתמשים אחרים במהירות ובקלות. דובר ווטסאפ אישר לי שהחברה שומרת את נתוני רשימת אנשי הקשר, מה שאומר ש-WhatsApp יכולה גם למסור את רשימת אנשי הקשר שלך בתגובה לבקשת ממשלה.
לבסוף, גיבויים מקוונים הם חור פעור באבטחת הודעות WhatsApp. הצפנה מקצה לקצה מתייחסת רק לאופן שבו הודעות מוצפנות כשהן נשלחות דרך האינטרנט, לא בזמן שהן מאוחסנות בטלפון שלך. ברגע שההודעות נמצאות בטלפון שלך, הן מסתמכות על ההצפנה המובנית של הטלפון שלך כדי לשמור עליהן בטוחות (ולכן חשוב להשתמש בקוד סיסמה חזק). אם תבחר לגבות את הטלפון שלך לענן -- כגון לחשבון Google שלך אם אתה משתמש אנדרואיד או חשבון iCloud שלך אם אתה משתמש אייפון -- אז אתה מוסר את תוכן ההודעות שלך ספק שירותי הגיבוי שלך.
כברירת מחדל, WhatsApp מאחסנת את ההודעות שלה בצורה שמאפשרת לגבות אותן לענן על ידי iOS או אנדרואיד. WhatsApp כן מאפשר לך להסיר את הצ'אטים שלך מגיבויים בענן אלה אם אתה יוצא מגדרך לעשות זאת, מה שאני ממליץ לך לעשות, אם אתה משתמש ב-WhatsApp כדי לדון במשהו רגיש.
אלו, עולם
הדבר הראשון שצריך להבין לגבי אפליקציית Allo הקרובה של גוגל הוא שכברירת מחדל, גוגל תוכל לקרוא את כל הודעות Allo שלך. אם אתה רוצה הצפנה מקצה לקצה באמצעות פרוטוקול Signal, עליך לעבור ל"מצב גלישה בסתר" בתוך האפליקציה, שיהיה מאובטח אך יכלול פחות תכונות.
מהירות אור ניתנת לריסוק
ייתכן שהציוץ נמחק
זה 2016. אנחנו צריכים להתקדם לעבר עתיד שבו השיחות שאנחנו מנהלים בטלפונים שלנו הן פרטיות, אבל היעדר הצפנת ברירת המחדל של Allo נצמד לעבר. גוגל משחררת אפליקציית הודעות חדשה ללא הצפנת ברירת מחדל מקצה לקצה זה כמו טסלה שהכריזה על דגם חדש לגמרי המאפשר לך להשתמש בכריות האוויר רק לאחר שהשבתת את מערכת הבידור. כפי שניסח זאת חושף השחיתויות של ה-NSA, אדוארד סנודן, ברירות המחדל של אלו הן "מסוכנות" ו"לא בטוחות".
עם Allo, Google מנסה משהו חדש לגמרי, מיישמת טכניקות למידת מכונה ישירות על השיחות שלך.
מצד שני, גוגל מנסה משהו חדש לגמרי, מיישמת מה שנקרא טכניקות למידת מכונה ישירות על השיחות שלך. Allo מתחברת לבינה מלאכותית בשם Google Assistant, שתקרא את כל ההודעות שלך ותציע תגובות מוצעות, בסלנג שלך, שהיא חושבת שסביר להניח שתכתוב בעצמך. זה גם מביא את חיפוש Google ישירות לשיחות שלך - אתה והחברים שלך יכולים, למשל, לחפש מסעדה, לבחור אחת ולבצע הזמנה מבלי שתצטרכו לעזוב את האפליקציה.
תכונות למידת המכונה של Allo מונעות מגוגל להפעיל הצפנה מקצה לקצה עבור כל ההודעות, מכיוון שגוגל צריכה להיות מסוגלת להטמיע את תוכן ההודעות כדי שהלמידה המכונה תעבוד, אמר לי דובר גוגל. הדובר גם אמר שגוגל לא מוכנה, עד ש-Allo ישוחרר מאוחר יותר הקיץ, לתת הבטחות לגבי היכן יאוחסנו נתוני המשתמש או לכמה זמן.
הטכנולוגיה מאחורי Allo נראית מאוד מגניבה, אבל היא נעה בכיוון הלא נכון בכל הנוגע לפרטיות. אם הפרטיות חשובה לך, עליך להשתמש באפליקציית הודעות שמצפינה הודעות כברירת מחדל במקום זאת.
יחד עם Allo, גוגל משחררת גם אפליקציית שיחות וידאו חדשה בשם Duo. בניגוד ל-Allo, כל שיחות הווידאו ב-Duo יהיו מוצפנות מקצה לקצה כברירת מחדל. גוגל לא מפרסמת פרטים - איך ההצפנה עובדת, אם זה אפשרי למשתמשים לאמת באופן עצמאי שהיא מאובטחת, או אם מטא נתונים של השיחות יישמרו בשרתים של גוגל - עד שהוא ישוחרר לציבור.
Allo ו-Duo יכוסו שניהם במסגרתמדיניות הפרטיות של גוגל. למרבה הצער, מדיניות זו אינה מפרקת פרטים לגבי מוצרי Google ספציפיים.
אות ברעש
הדבר הראשון שמייחד את Signal מ-WhatsApp ו-Allo הוא שזהו קוד פתוח. הקוד של האפליקציה זמין באופן חופשי למומחים כדי לבדוק פגמים או דלתות אחוריות באבטחה שלה. דבר נוסף שמייחד את סיגנל הוא המודל העסקי שלה: אין כזה. בניגוד מוחלט לפייסבוק וגוגל, שמרוויחות את הכסף שלהן ממכירת מודעות, Open Whisper Systems נתמכת לחלוטין על ידי מענקים ותרומות. ללא פרסום למיקוד, החברה אוגרת בכוונה כמה שפחות נתוני משתמשים.
בדומה ל-WhatsApp, כל ההודעות הנשלחות דרך Signal מוצפנות מקצה לקצה, ול-Open Whisper Systems אין את המפתחות לפענוח אותן. מה לגבי מטא נתונים של הודעות, רשימת אנשי הקשר של הטלפון שלך וגיבויים בענן?
מדיניות הפרטיות של סיגנלהוא קצר ותמציתי. בניגוד ל-WhatsApp, Signal לא שומר שום מטא נתונים של הודעות. הקריפטוגרף ומייסד Open Whisper Systems, Moxie Marlinspike, אמר לי שפיסת המידע הקרובה ביותר למטא נתונים ששרת האותות מאחסן היא הפעם האחרונה שכל משתמש מחובר לשרת, והדיוק של המידע הזה מצטמצם ליום, ולא לשעה. , דקה ושנייה.
משתמשי איתות חייבים לשתף את רשימת אנשי הקשר שלהם עם האפליקציה כדי למצוא משתמשים אחרים - ב-WhatsApp, זה אופציונלי אך מומלץ. אבל Signal לא שולח ישירות את רשימת אנשי הקשר שלך לשרת. במקום זאת, הוא משתמש במה שמכונה פונקציית Hash קריפטוגרפית כדי לטשטש מספרי טלפון לפני שליחתם לשרת. (זה גם מקצץ את מספרי הטלפון הגובבים, אם אנחנו מדייקים בדברים.) השרת מגיב עם אנשי הקשר המשותפים לכם ואז משליך מיד את השאילתה, לפי Marlinspike.
אם אתה מגבה את הטלפון שלך לחשבון Google או iCloud שלך, Signal לא יכלול אף אחת מההודעות שלך בגיבוי זה. בעיית הגיבוי הפעורה של WhatsApp פשוט לא קיימת עם Signal, ואין סיכון של מסירה בטעות את ההודעות הפרטיות שלך לחברת צד שלישי כלשהי.
מנקודת מבט של פרטיות המשתמש, Signal היא המנצחת הברורה, אבל היא לא חפה מחסרונותיה.
כמובן, זה גם אומר שאין דרך לגבות את נתוני האותות שלך לענן - תכונה שחלק מהמשתמשים מוצאים אותה שימושית. אם אתה מאבד את הטלפון שלך ומשחזר טלפון חדש מגיבוי, אתה פשוט מאבד את כל היסטוריית הצ'אט שלך. גרסת האנדרואיד של Signal מאפשרת למשתמשים לייצא ולייבא נתוני אפליקציה באופן מקומי, למשל אם אתה עובר לטלפון חדש אבל עדיין יש לך את הישן שלך, אבל גרסת iOS של Signal לא תומכת בכך.
בקיצור, אם ממשלה דורשת מ-Open Whisper Systems להעביר את התוכן או המטא נתונים של הודעת Signal או רשימת אנשי הקשר של משתמש, אין לה מה למסור. ולממשלה הזו יהיה לא פחות מזל לבקש גיבויים של הודעות איתות מגוגל או אפל.
מנקודת מבט של פרטיות המשתמש, Signal היא המנצחת הברורה, אבל היא לא חפה מחסרונותיה.
בהשוואה למיליארד המשתמשים של WhatsApp, בסיס המשתמשים של סיגנל זעום. Marlinspike אמר שהם לא מפרסמים סטטיסטיקות לגבי מספר המשתמשים שיש להם, אבל חנות Google Play של אנדרואיד מדווחת ש-Signal הורד בין 1 ל-5 מיליון פעמים. חנות האפליקציות של אייפון אינה מפרסמת נתונים אלה.
משמעות הדבר היא שאם תתקין את אפליקציית Signal, רוב הסיכויים שתצטרך לשכנע את החברים, המשפחה והקולגות שלך להתקין אותה גם כן לפני שתוכל ליהנות מהגנת הפרטיות הגבוהה ביותר של Signal. אם תתקין את WhatsApp, רוב הסיכויים שהרבה מאנשי הקשר שלך כבר משתמשים בה, ותוכל להתחיל לנהל שיחות מוצפנות במינימום מאמץ.
לסיגנל יש גם פחות תכונות והוא משתפר בקצב איטי יותר מהמתחרים הארגוניים שלו. לדוגמה, גרסה מוקדמת של Signal Desktop זמינה מאז סוף 2015, אך היא זמינה רק למשתמשי אנדרואיד - טרם פותחה תמיכה באייפון, ולא ברור מתי היא תסתיים. לוואטסאפ יש גרסת שולחן עבודה שפועלת ללא קשר לסוג הטלפון שבו אתה משתמש.
Marlinspike אמר לי של-Open Whisper Systems יש שלושה עובדים במשרה מלאה: שני מפתחי תוכנה ואדם אחד שמטפל בתמיכת משתמשים וניהול פרויקטים. עם משאבים מוגבלים להפליא, זה מפתיע שהם השיגו הרבה כמו שהם השיגו.
יש לך מה להוסיף לסיפור הזה? שתפו אותו בתגובות.
![Google מתנסה בדף תוצאות חיפוש שעוצב מחדש [צילום מסך]](https://helios-i.mashable.com/imagery/archives/02HZIzfntDOSOQM7g7MwnWt/hero-image.fill.size_1200x675.v1647019878.jpg "Google מתנסה בדף תוצאות חיפוש שעוצב מחדש [צילום מסך]")
