Znanost in tehnologija

Kako varne so aplikacije za sporočanje?

Ljubljana , 21. 09. 2024 10.33 | Posodobljeno pred 22 dnevi

PREDVIDEN ČAS BRANJA: 6 min
Avtor
Peter Aleksander Bizjak
Komentarji
20

Kdaj ste nazadnje uporabili aplikacijo za sporočanje? Verjetno pred nekaj minutami. Te aplikacije so postale sestavni del našega vsakdana, saj ponujajo udobje ter takojšnjo komunikacijo s prijatelji, družino in sodelavci. Toda ste se kdaj med lahkotnim pošiljanjem besedila, deljenjem fotografije ali sodelovanjem v skupinskem klepetu ustavili in razmislili o varnosti takšne komunikacije?

Vas je skrbela zasebnost? Ste preverili, ali vaša aplikacija ponuja zadostno zaščito? V dobi, ko so vdori podatkov in kibernetske grožnje vse pogostejši, so to vprašanja, ki si jih je treba zastaviti. Predpostavka, da bodo naša sporočila ostala zasebna, je nekaj, kar mnogi jemljemo kot samoumevno.

Tehnološki velikani so postali jasna tarča politike tudi v ZDA.
Tehnološki velikani so postali jasna tarča politike tudi v ZDA. FOTO: AP

Šifriranje od konca do konca

Šifriranje od konca do konca (angleško end-to-end encryption ali E2EE) je način varovanja komunikacije, pri katerem lahko sporočila berejo le uporabniki, ki komunicirajo. Sporočilo, ki ga pošljete, je v vaši napravi šifrirano in dešifrirano šele, ko doseže prejemnika. Nihče drug – niti ponudnik storitev – ne more prebrati šifriranih sporočil, ko potujejo med napravami.

Varnost šifriranja je v veliki meri odvisna od tega, kako dobro je implementirano. Pri pravilni izvedbi je to ena najvarnejših metod za zaščito podatkov. Vendar je moč E2EE odvisna od uporabljenih kriptografskih algoritmov, varnega ravnanja s ključi in celovitosti programske opreme.

V središču E2EE so kriptografski algoritmi. To so zapletene matematične formule, ki sporočila z navadnim besedilom pretvorijo v neberljivo šifrirano besedilo. 

Previdno s ključi

Eden najbolj kritičnih vidikov E2EE je upravljanje ključev. Ključi za šifriranje in dešifriranje sporočil se običajno ustvarijo v uporabnikovi napravi. Ti morajo biti varni, da ohranite zasebnost komunikacije. 

Lahko so shranjeni na uporabnikovi napravi ali v varnih enklavah. To so specializirana območja strojne opreme, zasnovana za zaščito občutljivih podatkov. V idealnem primeru so ključi shranjeni samo v napravah uporabnikov in se ne prenesejo na strežnik ali oblak. Tako – tudi če so strežniki ponudnika storitev ogroženi – sporočila ostanejo zaščitena. Ključi, potrebni za njihovo dešifriranje, namreč niso dostopni. 

So odprtokodne rešitve res bolj varne

Odprtokodna programska oprema se oglašuje kot varnejša alternativa, ker je njena izvorna koda javno dostopna, kar omogoča vsakomur, da jo pregleda in izboljša. Primer tega je Signal. Toda ta preglednost odpira pomembna vprašanja o legitimnosti programske opreme, ki je v naši napravi. Ali je ta res zgrajena iz odprto dostopne kode? Kako ste lahko prepričani, da se binarna datoteka, ki ste jo namestili, natančno ujema z izvorno kodo?

Zaupanja vredni razvijalci digitalno podpišejo končne različice svoje programske opreme in tako zagotovijo, da je tisto, kar prenesete, res uradna verzija. Orodja za preverjanje vam omogočajo potrditev, da ta ni bila spremenjena.

Koncept ponovljivih zgradb to zaupanje še krepi. Ponovljiva zgradba omogoča vsakomur, da vzame izvorno kodo in ustvari dvojiško datoteko; ta je enaka tisti, ki so jo ustvarili razvijalci. Če se rezultati ujemajo, ste lahko prepričani, da je programska oprema zakonita in ni bila spremenjena.

Če pa ste še vedno v skrbeh, lahko sami sestavite programsko opremo. To zahteva tehnično znanje in zaupanje, da je izvorna koda varna in brez stranskih vrat.

Vprašanje praktičnosti

Medtem ko odprtokodna programska oprema ponuja večjo preglednost, predstavlja tudi praktične izzive. Ali imate čas in motivacijo za izdelavo programske opreme? To je lahko zapleten in dolgotrajen postopek, ki zahteva za povprečnega uporabnika skoraj neizvedljivo raven predanosti.

Še večji izziv je imeti čas, motivacijo in znanje, da preberete in razumete izvorno kodo. Odprtokodni projekti so lahko veliki in zapleteni. Razumevanje vsakega dela zahteva strokovno znanje. Za večino ljudi je to prezahtevno.

Privatne, zaprtokodne rešitve

Pri zaprtokodnih aplikacijah za sporočanje, kot je WhatsApp, je največji izziv preglednost. Pri takšnih sistemih javnost ali neodvisni strokovnjaki ne morejo pregledati notranjega delovanje sistema.

Tu v bistvu stavite na ugled podjetja. Toda kako veste, ali je njihova implementacija E2EE resnično varna? Kakšen je postopek generiranja ključev in, kar je še pomembneje, kdo jih ima? V idealnem scenariju bi morali biti ustvarjeni in shranjeni le na uporabnikovi napravi, kar bi zagotovilo, da niti podjetje ne bi moglo dostopati do sporočil.

Peter Aleksander Bizjak
Peter Aleksander Bizjak FOTO: Homopolitikus

Teoretično gledano je – z dovolj časa in znanja – obratni inženiring lastniške programske opreme mogoč. To vključuje seciranje aplikacije, da bi razumeli, kako deluje, in prepoznali morebitne varnostne pomanjkljivosti. Vendar je to zapleteno in pravno sivo področje, ki zahteva veliko tehničnega znanja, zaradi česar je za večino uporabnikov neizvedljivo.

Podjetja v zasebni lasti se pogosto zanašajo na načelo "varnost skozi nejasnost," kjer se kompleksnost in tajnost njihovih sistemov uporabljata kot obrambni mehanizem. Čeprav lahko to dodatno zadržuje morebitne napadalce, uporabnikom in neodvisnim raziskovalcem otežuje razumevanje in preverjanje varnostnih ukrepov. Ta pristop lahko privede do lažnega občutka varnosti, kjer ranljivosti ostanejo skrite, dokler jih ne izkoristimo.

Kdaj nam vlada bere sporočila

 V povezavi z aplikacijami za sporočanje se zastavlja vprašanje: ali verjamete, da bodo njihovi ustvarjalci vladam zagotovili informacije o uporabnikih ali ne? Odgovor je v veliki meri odvisen od konkretnih okoliščin in pravnih okvirov, v katerih ta podjetja delujejo.

Številne aplikacije za sporočanje, zlasti tiste s sedežem v demokratičnih državah, trdijo, da dajejo prednost zasebnosti. Vendar so lahko ta podjetja pod določenimi pogoji – kot so zakonske zahteve, pomisleki o nacionalni varnosti ali preprečevanje kriminala – prisiljena podatke uporabnikov deliti z vladnimi agencijami. Vrsta informacij, ki jih delijo, se giblje od metapodatkov (s kom ste komunicirali in kdaj) do dejanske vsebine vaših sporočil. Vse je odvisno od pravil aplikacije in zakonov države, v kateri ima podjetje sedež.

Besedilo je pripravljeno v projektu Homopolitikus političnega think tanka Inštitut za politični menedžment. Kolumna izraža stališče avtorja in ne nujno tudi uredništva 24ur.com.

V Združenih državah Amerike lahko od podjetij zahtevajo, da zagotovijo podatke o uporabnikih v skladu s protiterorističnim zakonom (PATRIOT Act) ali prek sodnih pozivov. Medtem podjetja v državah, kot je Kitajska, delujejo pod veliko strožjim nadzorom.

Pod pretvezo iskanja zunanjega sovražnika

Kitajski zakon o kriptografiji ponazarja, kako lahko vlada uveljavlja preglednost znotraj svojih meja. Po tem zakonu so omrežja in komunikacije zasnovani tako, da so nepregledni za potencialne hekerje, a so popolnoma pregledni za vlado in komunistično partijo. Čeprav je njegov cilj zavarovati komunikacije pred zunanjimi grožnjami, zagotavlja, da ima vlada neomejen dostop do prav vseh komunikacij v državi.

Kitajski uporabniki aplikacij so tako prikrajšani za resnično zasebnost, saj lahko vlada poljubno spremlja, cenzurira ali dostopa do katere koli njihove interakcije.

Zakon EU o nadzoru klepeta

Razmere v Evropski uniji pa predstavljajo drugačen izziv. Predlagani zakon o preprečevanju in boju proti spolni zlorabi otrok oziroma 'zakon o nadzoru klepeta' predvideva skeniranje zasebne komunikacije. Zato je sprožil burno razpravo.

Poslanec Evropskega parlamenta Patrick Breyer je opozoril, da bi to lahko pripeljalo do množičnega nadzora zasebnih komunikacij, vključno s šifriranimi. Trdi, da bi njegov sprejem spodkopal zasebnost Evropejcev, saj bi vladam omogočil pregledovanje vseh sporočil, če bi vsebovala nezakonite vsebine, s čimer bi kršil temeljne pravice do zasebnosti.

Predsednica Signala Meredith Whittaker je prav tako obsodila ta predlog. Poudarila je, da kakršna koli oblika skeniranja – bodisi pred šifriranjem ali po njem – ogroža varnost šifriranja. Zaradi tega uporabniki lahko postanejo ranljivi ter dovzetni za napade hekerjev in drugih zlonamernih akterjev. 

Boj proti zlorabi ustvarja novo zlorabo

Predlagana zakonodaja ne zavrača šifriranja od konca do konca v celoti, ampak išče srednjo pot, ki so jo kritizirali zagovorniki zasebnosti. Predlaga uporabo tehnologij, ki bi omogočile odkrivanje nezakonite vsebine, preden pride do šifriranja. S tem bi organom pregona omogočili dostop do podatkov, medtem ko trdijo, da ohranjajo šifriranje. Tudi laikom je verjetno jasno, da ta pristop spodkopava temeljna načela šifriranja od konca do konca in uvaja točko ranljivosti, preden se to izvede.

Odgovornost je na dlani

Tudi če ste že izbrali med odprtokodno in zaprtokodno rešitvijo, ostaja vprašanje: kaj pa posredovanje vlade? Ali je aplikacija pripravljena sodelovati z organi pregona? Če je, kakšne podatke o uporabnikih bi lahko delila? Razmislite še o tem, ali obstajajo zakonsko predpisana stranska vrata, kot predlaga kontroverzni zakon EU.

Kot posamezniki moramo biti previdni. Izogibajte se deljenju občutljivih informacij prek katerega koli komunikacijskega medija. Vedno domnevajte, da obstaja možnost, da bodo vaši pogovori prestreženi ali razkriti.

Zavedanje teh tveganj je prvi korak k zaščiti vaše zasebnosti.

KOMENTARJI (20)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

UsliŠana
22. 09. 2024 17.50
+2
Moje so na trdemu disku, kdar ni zvezan so varne, kadar dam ven niso več varne...
flojdi
21. 09. 2024 15.02
.hudo..vem.ker se vedno ne vem kaj tocno je Aplikacija.(ne hodim vec v spar ker hocejo Aplikacijo..etc).tapametn tulifon mam dve leti.klicem..pisem sporocila.in me ne zanima kaj mi se gdo drug bere ali poslusa.(tiste lucke ki se svetlikajo" mam pa prelepljene..kr tko...ne vem zakaj
Boka972
21. 09. 2024 13.10
+2
Nič ni varno. Če si izbran, ti vdrejo v vse možne aplikacije in račune.
21. 09. 2024 12.14
+6
Vsak prostovoljno izbere telefon in njegovo "navlako" in od tega trenutka kdor ima interes lahko vse ve o tvojih navadah in osebnosti. Ni važen tip telefona ampak usodna je tvoja odločitev ga uporabljati.🤔
NeXadileC
21. 09. 2024 12.02
+1
Peš se daleč pride; kurir.
NeXadileC
21. 09. 2024 12.02
Telegrafija via Enigma.
NeXadileC
21. 09. 2024 11.59
+3
Niso varne, posebej pred ABC agencijami ne. Telegram je bil precej varen, morda še vedno je..., vendar vedno se najde nekdo, ki porine prste vmes, strokovno.
FONDAČ
21. 09. 2024 11.51
+2
Bomo prešli na dimne signale.
Anion6anion
21. 09. 2024 11.38
+7
Ne razumem zakaj bi bil kot povsem običajen zemljan deležen kontrole kaj komu sporočam? Ker nimam kaj skrivati mirno spim.
MucaNeGrize
21. 09. 2024 11.33
+2
pod črto...mora vas biti strah in imeti morate samokontrolo...ker vas v demokraciji vsak hip kontrolira veliki brat....od tega kje in kaj kupujete do tega koliko keša zapravite...kje se gibljete in s kom...celo - koga ljubite in zakaj....Ampak smo se osamosvojili in odločamo , kajne....mhmmmm...o vsem.
Ramzess
21. 09. 2024 11.27
+1
Nič ni tako varno, da interesenti ne bi imeli svojih rešitev, strežniki oz. sistemi zadnjih vrat ipd. Res mislite da upravljavci in lastniki sistemov nimajo dostopa do vsebin.
Trident Poraza
21. 09. 2024 11.08
+5
Pred CIA agenti noč ni varno.
proofreader
21. 09. 2024 11.02
-1
Volivci skrajne Levice uporabljajo historične telefone, je povedala poslanka Sukič. Tako da jim ne morejo prisluškovati.
proofreader
21. 09. 2024 10.47
+6
Hezbolah pravi, da je pager bolj varen od mobilnega telefona.
asdfghjklč
21. 09. 2024 10.45
-3
Uporabljam samo Messenger, pa še to samo, da si z ženo kdaj med šihtom ali pa kje pišem, če je treba kaj nujnega, to je pa to ... na telefonu nimam fejsbuka, ne ničesar, samo par nujnih aplikacij, kot so spletno bančništvo, vreme, reolink, stocard, Neo, OneDrive, Edge, app za klimo in irobota ter Outlook ... Moj telefon je tako prazen, da ga niti ne uporabljam prav v službi, doma pa večinoma časa niti ne vem kje ga imam. Ne maram telefonov.
Bananistanec
21. 09. 2024 11.01
+5
Anion6anion
21. 09. 2024 11.39
+5
Zakaj pa si potem nabavil pameten telefon ? Obdržal bi čuka iz prve serije mobitelov.
dj.ill.itch
21. 09. 2024 10.44
+0
v primerjavi z vsebino sporočil so zveze dokaj varne. ugibam.
proofreader
21. 09. 2024 10.43
+1
Naši levičarji uporabljajo Signal.
Arrya
21. 09. 2024 10.39
+8
Edino kar bojo pr men najdl je da moram po šihtu kupit kruh...