Метадані часто описуються як усе, крім змісту ваших повідомлень. Метадані можна розглядати як цифровий еквівалент конверта. Подібно до того, як конверт містить інформацію про відправника, одержувача та адресата повідомлення, метадані також містять таку інформацію. Метадані — це інформація про цифрові повідомлення, які ви надсилаєте й отримуєте. Метадані включають таку інформацію:
- з ким ви спілкуєтеся;
- рядок теми ваших електронних листів;
- тривалість ваших розмов;
- час, коли відбулася розмова;
- ваше місцезнаходження під час спілкування.
Хоча прозорість відповідних парламентських операцій є важливою, обмеження несанкціонованого доступу до метаданих (на додаток до захисту змісту повідомлень) також є важливим. Зрештою, метадані можуть розкрити конфіденційну інформацію хакерам, іноземним урядам, компаніям чи іншим особам, яким ми, можливо, не хочете надавати доступ. Кілька прикладів того, як метадані можуть бути відкритими, включають:
- Вони знатимуть, що ви зателефонували журналісту і розмовляли з ним протягом години, перш ніж той журналіст опублікував розповідь із анонімною цитатою. Однак вони не знатимуть, про що ви говорили.
- Вони знатимуть, що ви отримали електронний лист від лабораторії перевірки на COVID, потім зателефонували своєму лікарю, а потім відвідали веб-сайт Всесвітньої організації охорони здоров’я протягом тієї ж години. Однак вони не знатимуть, що було в електронному листі або про що ви говорили по телефону.
Метадані не захищені шифруванням, яке надає більшість служб обміну повідомленнями.. Наприклад, якщо ви надсилаєте повідомлення через WhatsApp, майте на увазі, що, незважаючи на те, що вміст вашого повідомлення зашифровано наскрізно, інші можуть знати, кому ви надсилаєте повідомлення, як часто й, у разі телефонних дзвінків, як довго. Як наслідок, ви повинні пам’ятати, які ризики існують (якщо такі є), якщо певні противники зможуть дізнатися, з ким ви розмовляєте, коли ви з ними розмовляли, і (у випадку електронної пошти) загальні теми вашого парламенту. комунікацій.
Однією з причин того, чому Signal настільки настійно рекомендується, це те, що крім забезпечення наскрізного шифрування, у ньому компанія запровадила функції та взяла на себе зобов’язання зменшити кількість метаданих, що записуються та зберігаються в ньому. Наприклад, функція Sealed Sender у Signal шифрує метадані про те, хто з ким розмовляє, так що Signal знає лише одержувача повідомлення, але не відправника. За замовчуванням ця функція працює лише під час спілкування з наявними контактами чи профілями (людьми), з якими ви вже спілкувалися або яких ви зберегли у своєму списку контактів. Однак ви можете ввімкнути для параметра «Sealed Sender» значення «Дозволити від будь-кого», якщо для вас важливо видалити такі метадані з усіх розмов у Signal, навіть із тих, що були з невідомими вам людьми. Це може не бути критичним для більшості парламентських комунікацій, але важливо усвідомлювати ризики, пов’язані з метаданими, і відповідно обирати відповідні інструменти та політику комунікації.
Чи можна справді довіряти WhatsApp?
WhatsApp є популярним додатком для безпечного обміну повідомленнями, і може бути хорошим варіантом, враховуючи його розповсюдженість. Деякі люди стурбовані тим, що він належить і контролюється Facebook, що працює над інтеграцією його з іншими своїми системами. Також непокоїть кількість метаданих (тобто інформації про те, з ким і коли ви спілкуєтеся), які збирає WhatsApp. Якщо ви вирішите використовувати WhatsApp як безпечний варіант обміну повідомленнями, обов’язково прочитайте наведений вище розділ про метадані. Є також кілька параметрів, щодо яких слід переконатися, що вони правильно налаштовані. Найважливіше: обов’язково вимкніть хмарне резервне копіювання або, принаймні, увімкніть нову функцію резервного копіювання з наскрізним шифруванням WhatsApp, із використанням 64-значного ключа шифрування або довгого, випадкового й унікального пароля, збереженого у безпечному місці (наприклад, у вашому менеджері паролів). Також обов’язково ввімкніть показ сповіщень безпеки та перевірте коди безпеки. Прості вказівки щодо налаштування цих параметрів для телефонів Android знаходяться тут, а для iPhone — тут. Якщо ваші співробітники (і ті, з ким ви всі спілкуєтеся), неправильно налаштують ці параметри, не слід вважати WhatsApp хорошим варіантом для конфіденційних комунікацій, які потребують наскрізного шифрування. Signal все ще залишається найкращим варіантом для таких потреб із наскрізним шифруванням повідомлень, враховуючи його налаштування безпеки за замовчуванням і захист метаданих.
А як щодо текстових повідомлень?
Звичайні текстові повідомлення зовсім незахищені (стандартні SMS фактично незашифровані), і їх слід уникати для всього, що не призначено для загального відома. Хоча повідомлення iPhone-to-iPhone від Apple (відомі як iMessages) мають наскрізне шифрування, якщо в розмові бере участь не iPhone, повідомлення не будуть захищені. Найкраще перестрахуватися й уникати текстових повідомлень щодо будь-чого секретного, приватного чи конфіденційного.
Чому Telegram, Facebook Messenger або Viber не рекомендуються для безпечних чатів?
Деякі служби, як-от Facebook Messenger і Telegram, пропонують наскрізне шифрування, лише якщо ви спеціально його ввімкнули (і лише для чатів один на один), тому вони не є хорошими варіантами для конфіденційних або приватних повідомлень, особливо для організації. Не покладайтеся на ці інструменти, якщо вам потрібно використовувати наскрізне шифрування, тому що досить легко забути змінити стандартні, менш безпечні налаштування. Viber стверджує, що пропонує наскрізне шифрування, але не надав свій код для перевірки сторонніми дослідниками безпеки. Код Telegram також не був наданий для публічного аудиту. В результаті багато експертів побоюються, що шифрування Viber (або «секретні чати» Telegram) може не відповідати стандартам і, отже, бути непридатним для спілкування, що вимагає справжнього наскрізного шифрування.
Наші колеги в парламенті та виборці використовують інші програми та системи обміну повідомленнями для спілкування — як ми можемо переконати їх завантажити нову програму для спілкування з нами?
Іноді існує компроміс між безпекою та зручністю, але варто докласти трохи додаткових зусиль для конфіденційності комунікацій. Подавайте гарний приклад своїм контактам — будь то в інших урядових установах, установах, у парламенті чи зовнішніх складових. Якщо вам доводиться використовувати інші, менш безпечні системи, будьте уважні до того, що ви говорите. Уникайте обговорення секретних тем. Деякі парламенти можуть мати інші протоколи для загального спілкування в чаті або спілкування з громадськістю порівняно з конфіденційними обговореннями з керівництвом, наприклад. Класифікуйте ваші парламентські комунікації (внутрішні та зовнішні) на основі конфіденційності та переконайтеся, що депутати та співробітники відповідно використовують відповідні механізми комунікації! Звичайно, найпростіше, якщо все постійно автоматично шифрується — нема про що пам'ятати чи думати.
На щастя, програми з наскрізним шифруванням, такі як Signal, стають дедалі популярнішими та зручнішими, не кажучи вже про те, що їх локалізовано десятками мов для глобального використання. Якщо вашим партнерам або іншим контактним особам потрібна допомога з переходом на комунікацію з наскрізним шифруванням, як-от Signal, знайдіть час, щоб пояснити їм, чому так важливо належним чином захищати ваші комунікації. Коли всі розуміють важливість, кілька хвилин, необхідних для завантаження нової програми, і кілька днів, які можуть знадобитися, щоб звикнути до неї, не будуть здаватися великою проблемою.
Чи існують інші налаштування додатків із наскрізним шифруванням, про які нам слід знати?
У додатку Signal перевірка з підтвердженням кодів безпеки (які вони називаються номерами безпеки) також важлива. Щоб переглянути номер безпеки та підтвердити його в Signal, ви можете відкрити свій чат із контактом, торкнутися імені у верхній частині екрана та прокрутити вниз, щоб натиснути «Переглянути номер безпеки». Якщо ваш номер безпеки збігається з вашим контактом, ви можете позначити його як «підтвердженого» на тому самому екрані. Особливо важливо звернути увагу на ці номери безпеки та перевірити свої контакти, якщо ви отримаєте сповіщення в чаті про те, що ваш номер безпеки з даним контактом змінився. Якщо вам або іншому персоналу потрібна допомога в конфугірації цих налаштувань, Signal сам надає корисні інструкції.
Якщо ви використовуєте Signal, що вважається найкращим зручним варіантом для безпечного обміну повідомленнями та дзвінків один на один, переконайтеся, що встановили сильний пін-код. Використовуйте принаймні шість цифр, які нелегко вгадати, наприклад, дату народження.
Для отримання додаткових порад щодо правильного налаштування Signal і WhatsApp зверніться до довідників із використання інструментів для обох додатків, розроблених компанією EFF у Посібнику із самозахисту проти спостереження.