你的收件箱并非数字安全区。
由 Mux 赞助的 DEV 全球展示挑战赛:展示你的项目!
虚假的安全感会造成毁灭性的后果。无论你是否是行动主义者,专用邮件服务和隐私保护措施都是良好的做法,而不是发动战争的幌子。
Protonmail丑闻
去年,我读到一篇关于总部位于瑞士的安全电子邮件公司Protonmail的文章。该公司应欧洲刑警组织的要求,向瑞士当局提供了法国活动人士的IP地址。虽然Protonmail本身并不记录用户的IP地址,但当局可以随时要求他们配合调查。
任何公司都必须遵守法律。
即使 ProtonMail 用户通知政策“要求在第三方请求获取用户私人数据且该数据将用于刑事诉讼时通知用户”,但在本案中,他们还是将通知延迟了几个月。
换句话说,最终目的可以证明一切手段的正当性,公司可以随时改变其条件。
你创建 Protonmail 账户并不是为了秘密通讯和逃避执法部门的追捕。这家公司提供的是一种有趣的端到端加密服务,而不是用于犯罪活动的秘密邮箱。他们的产品很棒!
问题不在于Protonmail,而在于西方民主国家对大规模监控和个人自由的牺牲。我说的甚至不是斯诺登爆料和所谓的秘密后门,而仅仅是现行法律。
外面确实存在一些非常危险的人,当局不会停止追捕他们。“谁来决定谁危险,谁不危险?哪些行为构成犯罪?什么会让人成为调查对象?”对我来说,这些才是更相关的问题。虽然肯定存在一些客观标准,例如你是否危及他人生命,或者你是否窃取金钱或机密信息,但最终决定权在他们手中。
什么是NSL?
国家安全信函(NSL)是美国联邦调查局(FBI)等三字母机构发出的信息请求,无需事先获得法官批准。此类信函禁止收件人透露FBI曾提出过信息请求。
即使隐私政策明确禁止,FISA也可以迫使公司保持沉默。
这就是为什么有些用户在选择邮件服务提供商之前会检查这一点,但正如我们所看到的,如有必要,联邦或国际组织可以向地方当局提出请求,以绕过任何限制。
再次证明,目的可以证明手段的正当性,就像欧盟关于收集和存储身份信息的法律草案建议端到端加密系统的运营商破坏加密以提供对用户通信的访问权限一样。
幸运的是,许多组织和网络安全专家进行了抗议,成功阻止了立法,但一些政客却认真地将其作为打击恐怖主义和网络威胁的措施提出,而实际上它只会加剧威胁。
电子邮件公司也有自己的威胁模型
电子邮件公司不断受到各种威胁行为者的攻击。他们的威胁模型可能如下所示:
| 威胁 | 补救措施 |
|---|---|
| 嗅闻 | SSL/TLS |
| 网络钓鱼、病毒 | 数字签名,CIA三元组 |
| 账户被盗用 - 密码泄露 | 双因素认证、多因素认证、密语 |
| 大规模监控——高级攻击者 | 4096 位加密 - 端到端加密 |
| 受感染的设备——僵尸电脑 | 0 |
| 社会工程 | 0 |
| 丢失的密码短语或双因素/多因素认证设备 | 0 或 1FA* |
| 中间人 | 0 或几乎没有 |
| DDoS攻击、恶意载荷 | 0 |
当服务提供商无法保证 100% 的安全防护,而只能减轻损失时,我会使用这种方法0。如果您重视隐私,最好也考虑一下自己的威胁模型。
* 1FA 是传统的登录/密码验证方式
隐私措施可能会显得可疑
采取一些非常基本的隐私保护措施反而可能引起他人的怀疑。对许多人和组织来说,仅仅拥有一个 Protonmail 账户就足以显得可疑。
这些人或许会赞同“没什么好隐瞒的”这种说法。但根据你的目标,这种隐私保护措施可能并非最佳选择。
文章来源:https://dev.to/spo0q/your-inbox-is-not-a-digital-safe-5921