Κυβερνοασφάλεια Ασφάλεια επικοινωνιών Ανταλλαγή μηνυμάτων και διατερματική κρυπτογράφηση (end-to-end encryption)

II.

Ανταλλαγή μηνυμάτων και διατερματική κρυπτογράφηση (end-to-end encryption)

Δυστυχώς, τα πρότυπα για τα δίκτυα κινητής τηλεφωνίας ακόμα επιτρέπουν πολύ αδύναμους αλγόριθμους κρυπτογράφησης και δεν μπορούν να θεωρηθούν πραγματικά ασφαλή. Για παράδειγμα, στην επικοινωνία μέσω SMS, αυτό σημαίνει ότι οι επιτιθέμενοι μπορούν να παραβιάσουν αρκετά εύκολα την κρυπτογράφηση και ενδέχεται να μπορούν να διαβάσουν τα μηνύματά σας. Στα δίκτυα κινητής τηλεφωνίας, η κυκλοφορία γενικά κρυπτογραφείται μόνο από το τηλέφωνό σας προς τον σταθμό βάσης όπου η κρυπτογράφηση αποκρυπτογραφείται και το μήνυμα κατόπιν μεταδίδεται ως απλό κείμενο.

Δύο τηλέφωνα που στέλνουν μηνύματα μέσω ενός ασφαλούς διατερματικού τούνελ
Δύο τηλέφωνα που στέλνουν μηνύματα μέσω ενός ασφαλούς διατερματικού τούνελ

Σήμερα, όλο και περισσότερες εφαρμογές υποστηρίζουν διατερματική κρυπτογράφηση, που σημαίνει ότι από τη στιγμή που η κυκλοφορία κρυπτογραφηθεί στον υπολογιστή σας (ή στο τηλέφωνο) οι πληροφορίες μεταδίδονται κρυπτογραφημένες μέχρι ο παραλήπτης να λάβει και να αποκρυπτογραφήσει το μήνυμα. Αν η κρυπτογράφηση υλοποιηθεί με ασφάλεια, κάποιος τρίτος δεν μπορεί να αποκρυπτογραφήσει το μήνυμα χωρίς το κλειδί το οποίο υπάρχει μόνο στον υπολογιστή του παραλήπτη. Για να αποκρυπτογραφήσει το μήνυμα ένας επιτιθέμενος, θα πρέπει είτε να εισβάλει στον υπολογιστή σας ή στον υπολογιστή του παραλήπτη ώστε να μπορέσει να παρακολουθήσει την επικοινωνία. Θυμηθείτε ότι στα παραδείγματα κρυπτογραφίας στο προηγούμενο κεφάλαιο, αν ο κώδικας κρυπτογράφησης είναι ασφαλής και το κλειδί διατηρηθεί μυστικό, μόνο ο προοριζόμενος παραλήπτης μπορεί να αποκρυπτογραφήσει τα μηνύματα.

Παραδείγματα εφαρμογών επικοινωνίας που χρησιμοποιούν διατερματική κρυπτογράφηση περιλαμβάνουν τις εξής:

  • Signal

  • Telegram

  • WhatsApp

  • Facebook Messenger

Από αυτές τις εφαρμογές, το Signal χρησιμοποιεί υλοποιήσεις ανοιχτού κώδικα που σημαίνει ότι είναι διαθέσιμες στον καθένα για επαλήθευση (το αντίθετο από την ασφάλεια μέσω απόκρυψης). Οι αλγόριθμοι που χρησιμοποιούνται από την εφαρμογή Signal γενικά θεωρούνται ασφαλείς και έχουν μελετηθεί εκτενώς. Το όφελος μιας διαπιστευμένης υλοποίησης ανοιχτού κώδικα είναι πως αφού αποδειχθεί ασφαλής, η υλοποίηση μπορεί να χρησιμοποιηθεί και από άλλους. Το πρωτόκολλο του Signal, για παράδειγμα, χρησιμοποιείται επίσης και από την εφαρμογή WhatsApp.

Note

Εξαιτίας του τρόπου που χρησιμοποιούνται οι ομάδες του WhatsApp, τα μέλη που προστίθενται σε μια υπάρχουσα ομάδα δεν είναι ασφαλή διατερματικά και είναι εφικτό για έναν επιτιθέμενο που έχει πρόσβαση στους διακομιστές του WhatsApp να επιτεθεί.

Το Telegram, αντιθέτως, έκανε αυτό που από πολλούς θεωρείται παραβίαση του πρώτου κανόνα της κρυπτογραφίας (μην δημιουργείτε δική σας κρυπτογραφία) και δημιούργησε το δικό της πρωτόκολλο. Έχει επικριθεί για το πρωτόκολλο και μερικοί ερευνητές θεωρούν ότι έχει ήδη παραβιαστεί. Έχουν ήδη βρεθεί μερικές ευπάθειες στο πρωτόκολλο. Οι γνωστές ευπάθειες έχουν διορθωθεί όμως παρόλα αυτά, μερικοί πιστεύουν ότι θα πρέπει να αποφεύγετε να βασίζεστε στη μυστικότητα της κρυπτογραφικής υλοποίησης του Telegram. Αυτή τη στιγμή, δεν υπάρχει κάποια γνωστή ευπάθεια στην κρυπτογραφική υλοποίηση του Telegram.

Το Facebook Messenger έχει μια λειτουργία που ονομάζεται μυστικές συζητήσεις, η οποία είναι διατερματικά κρυπτογραφημένη. Όμως είναι κατόπιν επιλογής και όχι από προεπιλογή. Οι ομαδικές ανταλλαγές μηνυμάτων δεν είναι διατερματικά κρυπτογραφημένες και δεν θεωρούνται ασφαλείς.

Αν αυτό που αναζητάτε σε μια εφαρμογή ανταλλαγής μηνυμάτων είναι η μυστικότητα, αυτή τη στιγμή το Signal και, υπό όρους, το WhatsApp είναι οι πιο ασφαλείς εναλλακτικές. Τα μηνύματα SMS δεν θα πρέπει να χρησιμοποιούνται για οποιαδήποτε ασφαλή επικοινωνία.

Note

Γιατί χρειάζομαι ασφαλή ανταλλαγή μηνυμάτων;

Μπορεί να διερωτάστε γιατί να ασχοληθείτε με την προστασία της επικοινωνίας σας εφόσον δεν κάνετε κάτι παράνομο. Αναλογιστείτε για λίγο, όμως, το περιεχόμενο της επικοινωνίας σας. Αν και οι περισσότερες πληροφορίες μπορεί να μην είναι εμπιστευτικές, μπορεί να υπάρχουν μικρά τμήματα πληροφοριών που, αν συνδυαστούν, μπορούν να προσφέρουν σε έναν επιτιθέμενο αρκετές πληροφορίες ώστε να διαπράξει κλοπή ταυτότητας ή ακόμα και να αποκτήσει παράνομη πρόσβαση στους λογαριασμούς σας.

Παραδείγματα των δεδομένων που ενδέχεται να αποκαλύπτετε, είναι, μεταξύ άλλων:

  • τραπεζικές πληροφορίες

  • αριθμοί πιστωτικών καρτών

  • συνδυασμοί e-mail και κωδικών πρόσβασης

  • αριθμοί ΑΜΚΑ

  • διευθύνσεις

  • τηλεφωνικοί αριθμοί

  • απαντήσεις σε ερωτήσεις ασφαλείας με τις οποίες προστατεύετε τους λογαριασμούς σας

  • cookies με το οποία ο επιτιθέμενος ενδέχεται να μπορεί να υποκλέψει τη συνεδρία σας και να αποκτήσει πρόσβαση στον λογαριασμό σας

Αν και η παραπάνω λίστα περιέχει στοιχεία που μπορεί να αφήσετε πίσω εσείς οι ίδιοι, ίσως θα πρέπει να αναλογιστείτε επίσης την ποσότητα των πληροφοριών που συλλέγεται από τις συσκευές σας. Αυτές μπορεί να περιλαμβάνουν στοιχεία όπως συντεταγμένες GPS, τη χρήση εφαρμογών, ποιες ώρες είστε ενεργοί και δεδομένα υγείας όπως είναι ο καρδιακός παλμός. Με αυτές τις πληροφορίες, ο επιτιθέμενος μπορεί να συνθέσει μια αρκετά ολοκληρωμένη εικόνα της καθημερινής σας ζωής, από την τοποθεσία της οικίας σας μέχρι τα μέρη που επισκέπτεστε πιο συχνά, τους ανθρώπους που συναντάτε, πού μπορεί να εργάζεστε, αν έχετε προβλήματα υγείας κ.λπ.

Μερικές χώρες φέρονται να παρακολουθούν τις επικοινωνίες των πολιτών τους για να ελέγχουν τη ροή των πληροφοριών και να παρακολουθούν τους αντιφρονούντες. Σε μερικές από αυτές τις χώρες, η διατερματική κρυπτογράφηση μπορεί ακόμα και να απαγορεύεται ή οι κυβερνήσεις μπορούν να ορίσουν την συμπερίληψη backdoor ή αδυναμιών στην τεχνολογία ώστε να μπορούν να παραβιάζουν την κρυπτογράφηση και την εμπιστευτικότητα των μηνυμάτων. Για να αποφασίσετε αν αυτό αποτελεί παράγοντα κινδύνου για εσάς, θα πρέπει να διερευνήσετε τους νόμους της χώρας στην οποία βρίσκεστε ή στην οποία δυνητικά θα υποβάλλετε/λαμβάνετε δεδομένα.

Note

Τα πρέπει και δεν πρέπει της ασφάλειας:

Πρέπει

  • Να επαληθεύετε ότι χρησιμοποιείτε κρυπτογραφημένες συνδέσεις, για παράδειγμα, βεβαιωθείτε ότι βλέπετε το εικονίδιο λουκέτου σε ένα πρόγραμμα περιήγησης.

  • Να προσέχετε πού χρησιμοποιείτε την πιστωτική σας κάρτα: είναι αξιόπιστη η τοποθεσία;

  • Να προσέχετε ποια δεδομένα αποκαλύπτουν οι εφαρμογές σας.

Δεν πρέπει

  • Μην χρησιμοποιείτε ερωτήσεις ασφαλείας, είναι πολύ εύκολη η εύρεση της απάντησης.

  • Μην επιτρέπετε σε εφαρμογές να σας παρακολουθούν χωρίς να το γνωρίζετε και να προτιμάτε να απενεργοποιείτε την κοινή χρήση δεδομένων αν το επιτρέπει η εφαρμογή.

  • Μην περιλαμβάνετε τυχόν εμπιστευτικές προσωπικές πληροφορίες ή δεδομένα σε μηνύματα SMS καθώς αυτά δεν είναι ασφαλή

Next section
III. Οι τύποι των διαδικτυακών επιθέσεων

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Το μάθημα δημιουργήθηκε με την πρωτοβουλία Digital SkillUp που είναι η επωνυμία των παραγόμενων στοιχείων που προέκυψαν στο πλαίσιο του έργου European Digital, το οποίο χρηματοδοτήθηκε από την Ευρωπαϊκή Επιτροπή με την υποστήριξη του Ευρωπαϊκού Κοινοβουλίου. Το έργο έχει αφιερωθεί στη διάθεση βασικών γνώσεων σχετικών με τις αναδυόμενες τεχνολογίες και την προσβασιμότητά τους από όλους τους πολίτες και τις ΜΜΕ. Αποσκοπεί στη δημιουργία ενός διαδικτυακού χώρου κατάρτισης που θα παρέχει περιεχόμενο και ευκαιρίες μάθησης σε θέματα όπως η τεχνητή νοημοσύνη, το blockchain, η ρομποτική, η κυβερνοασφάλεια και το Διαδίκτυο των πραγμάτων για όλους.

Αυτό το έργο έλαβε χρηματοδότηση από την Ευρωπαϊκή Ένωση. 
Αυτή η ανακοίνωση αντανακλά μόνο τις απόψεις του συγγραφέα. Δεν αντιπροσωπεύει τις απόψεις της Ευρωπαϊκής Επιτροπής και η Ευρωπαϊκή Επιτροπή δεν είναι υπεύθυνη για τυχόν χρήση των πληροφοριών που περιλαμβάνει.