[Информационная безопасность, Криптография, Open source, Законодательство в IT] Немецкий суд заставил почтового провайдера Tutanota установить бэкдор
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Полнотекстовый поиск в зашифрованной почте
Для начала немного контекста. Tutanota — один из немногих почтовых сервисов, которые шифруют входящую почту по умолчанию, как Protonmail, Posteo.de и Mailbox.org. То есть почта хранится на серверах в зашифрованном виде. Провайдер не может её расшифровать, даже если захочет.
Однако постановление Кёльнского областного суда потребовало внедрить «функцию, с помощью которой можно отслеживать отдельные почтовые ящики и читать электронные письма в виде открытого текста».
Это нехороший прецедент для европейской правовой системы.
Tutanota хочет подать жалобу на это решение, но она не имеет приостанавливающего действия, то есть сам факт подачи жалобы не приостанавливает действие прежнего постановления, которое выполнить нужно обязательно.
«Поэтому нам пришлось приступить к разработке функции мониторинга», — сказала пресс-секретарь компании в комментарии для журнала c't. Если жалоба будет успешной, то функция будет удалена.
Решение Кёльнского областного суда — опасный прецедент для европейской правовой системы. Это решение отличается от решений других судов. Например, летом Ганноверский окружной суд постановил, что Tutanota не предоставляет и не участвует в каких-либо «телекоммуникационных услугах» в юридическом смысле и, следовательно, не может быть обязана контролировать телекоммуникации. Судьи Ганновера сослались на знаменитое решение Gmail Европейского суда от 13 июня 2019 года (дело C-193/18). Согласно ему, услуги электронной почты не являются услугами связи. Следовательно, Google не обязана регистрировать для Gmail телекоммуникационный идентификатор и устанавливать какие-либо интерфейсы перехвата.
Тем не менее, кёльнский суд назвал Tutanota «участником» телекоммуникационных услуг, хотя компания считает это постановление абсурдным и будет бороться за его отмену.
Рабочий коллектив Tutanota
Так или иначе, до 31 декабря 2020 года Tutanota обязана запрограммировать функцию, которая даст Государственному управлению уголовной полиции Северной Рейн-Вестфалии доступ к почтовым ящикам пользователей, включая того конкретного пользователя, с которого началась эта история.
Речь идёт о расследовании одного уголовного дела, по которому подозреваемый отправил автомобильному дилеру письмо с угрозами, воспользовавшись услугами защищённого почтового сервиса.
Tutanota уверяет, что данный инцидент ничего изменит для других пользователей. Их почта по-прежнему будет шифроваться по умолчанию при поступлении на сервер. Тем не менее, компания считает однократный обход шифрования угрозой для защиты данных и для безопасности для всех клиентов.
Вот схема, как выполняется шифрование и хранение писем на сервере в случае использования сквозного шифрования (слева) и без него (справа):
В отличие от PGP, выполняется шифрование и некоторых метаданных, а не только тела письма.
Компания подчёркивает, что бэкдор позволит просмотреть содержимое только новых входящих незашифрованных писем. Он не может расшифровать данные, зашифрованные ранее, а также другие письма со сквозным шифрованием в Tutanota. Условно говоря, «бэкдор» представляет собой такой алгоритм:
def encrypt_mail(email):
if email.user=="badperson":
store(email)
else:
store(encrypt(email))
Возможно, ганноверская Tutanota теперь жалеет, что не выбрала иную юрисдикцию. С другой стороны, эту историю можно рассматривать как своеобразный пиар для компании, которая старается сделать всё, что в её силах. В одном из интервью они говорят, что могут рассмотреть переезд в другую страну (Швейцарию), но это вряд ли случится: «Правовая ситуация и конституция Германии в основном очень хорошие и защищают конфиденциальность людей. Общественная активность также помогает нам предотвратить или ослабить проблемные законы (слежку)».
Компания периодически публикует отчёт о прозрачности и свидетельство канарейки для своего сервиса. Свидетельство канарейки — единственный способ легально разгласить информацию, которую запрещено разглашать.
Шифрование — единственная причина, по которой полиция вообще использовала судебную процедуру. Некоторые считают, что на открытых каналах они бы применяли прослушку более широко, не утруждая себя получением разрешений. И только криптография защищает общество от произвола правоохранительных органов.
оригинал
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Медгаджеты] General Electric оставила пароль по умолчанию в медицинских аппаратах радиотерапии
- [Open source, Управление разработкой] Google меняет модель лицензирования операционной системы Fuchsia: теперь это полностью открытый проект
- [Open source, Git, Системы управления версиями, DevOps] Вышел релиз GitLab 13.6 с автоматическим развёртыванием в EC2 и статистикой использования для инстанса
- [Информационная безопасность, Читальный зал, Научно-популярное] Геоблокировка: как ограничивают доступ к информации и кому это нужно
- [Open source, GitHub, Финансы в IT] Amazon и American Express начнут спонсировать разработчиков по новой программе GitHub
- [Информационная безопасность] ДИТ Москвы подтвердил утечку базы с переболевшими коронавирусом
- [Информационная безопасность] В США связали взлом компании по кибербезопасности FireEye с «российскими хакерами»
- [Информационная безопасность] Amnezia: всё будет забыто
- [Работа с видео, Законодательство в IT, Управление медиа, Социальные сети и сообщества] Visa и Mastercard начали расследование против Pornhub
- [Open source, Софт, IT-компании] Google позволил сторонним разработчикам участвовать в работе над Fuchsia OS
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_kriptografija (Криптография), #_open_source, #_zakonodatelstvo_v_it (Законодательство в IT), #_tutanota, #_elektronnaja_pochta (электронная почта), #_protonmail, #_posteo.de, #_mailbox.org, #_shifrovanie (шифрование), #_svidetelstvo_kanarejki (свидетельство канарейки), #_blog_kompanii_globalsign (
Блог компании GlobalSign
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_kriptografija (
Криптография
), #_open_source, #_zakonodatelstvo_v_it (
Законодательство в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:19
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Полнотекстовый поиск в зашифрованной почте Для начала немного контекста. Tutanota — один из немногих почтовых сервисов, которые шифруют входящую почту по умолчанию, как Protonmail, Posteo.de и Mailbox.org. То есть почта хранится на серверах в зашифрованном виде. Провайдер не может её расшифровать, даже если захочет. Однако постановление Кёльнского областного суда потребовало внедрить «функцию, с помощью которой можно отслеживать отдельные почтовые ящики и читать электронные письма в виде открытого текста». Это нехороший прецедент для европейской правовой системы. Tutanota хочет подать жалобу на это решение, но она не имеет приостанавливающего действия, то есть сам факт подачи жалобы не приостанавливает действие прежнего постановления, которое выполнить нужно обязательно. «Поэтому нам пришлось приступить к разработке функции мониторинга», — сказала пресс-секретарь компании в комментарии для журнала c't. Если жалоба будет успешной, то функция будет удалена. Решение Кёльнского областного суда — опасный прецедент для европейской правовой системы. Это решение отличается от решений других судов. Например, летом Ганноверский окружной суд постановил, что Tutanota не предоставляет и не участвует в каких-либо «телекоммуникационных услугах» в юридическом смысле и, следовательно, не может быть обязана контролировать телекоммуникации. Судьи Ганновера сослались на знаменитое решение Gmail Европейского суда от 13 июня 2019 года (дело C-193/18). Согласно ему, услуги электронной почты не являются услугами связи. Следовательно, Google не обязана регистрировать для Gmail телекоммуникационный идентификатор и устанавливать какие-либо интерфейсы перехвата. Тем не менее, кёльнский суд назвал Tutanota «участником» телекоммуникационных услуг, хотя компания считает это постановление абсурдным и будет бороться за его отмену. Рабочий коллектив Tutanota Так или иначе, до 31 декабря 2020 года Tutanota обязана запрограммировать функцию, которая даст Государственному управлению уголовной полиции Северной Рейн-Вестфалии доступ к почтовым ящикам пользователей, включая того конкретного пользователя, с которого началась эта история. Речь идёт о расследовании одного уголовного дела, по которому подозреваемый отправил автомобильному дилеру письмо с угрозами, воспользовавшись услугами защищённого почтового сервиса. Tutanota уверяет, что данный инцидент ничего изменит для других пользователей. Их почта по-прежнему будет шифроваться по умолчанию при поступлении на сервер. Тем не менее, компания считает однократный обход шифрования угрозой для защиты данных и для безопасности для всех клиентов. Вот схема, как выполняется шифрование и хранение писем на сервере в случае использования сквозного шифрования (слева) и без него (справа): В отличие от PGP, выполняется шифрование и некоторых метаданных, а не только тела письма. Компания подчёркивает, что бэкдор позволит просмотреть содержимое только новых входящих незашифрованных писем. Он не может расшифровать данные, зашифрованные ранее, а также другие письма со сквозным шифрованием в Tutanota. Условно говоря, «бэкдор» представляет собой такой алгоритм: def encrypt_mail(email):
if email.user=="badperson": store(email) else: store(encrypt(email)) Возможно, ганноверская Tutanota теперь жалеет, что не выбрала иную юрисдикцию. С другой стороны, эту историю можно рассматривать как своеобразный пиар для компании, которая старается сделать всё, что в её силах. В одном из интервью они говорят, что могут рассмотреть переезд в другую страну (Швейцарию), но это вряд ли случится: «Правовая ситуация и конституция Германии в основном очень хорошие и защищают конфиденциальность людей. Общественная активность также помогает нам предотвратить или ослабить проблемные законы (слежку)». Компания периодически публикует отчёт о прозрачности и свидетельство канарейки для своего сервиса. Свидетельство канарейки — единственный способ легально разгласить информацию, которую запрещено разглашать. Шифрование — единственная причина, по которой полиция вообще использовала судебную процедуру. Некоторые считают, что на открытых каналах они бы применяли прослушку более широко, не утруждая себя получением разрешений. И только криптография защищает общество от произвола правоохранительных органов. оригинал =========== Источник: habr.com =========== Похожие новости:
Блог компании GlobalSign ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_kriptografija ( Криптография ), #_open_source, #_zakonodatelstvo_v_it ( Законодательство в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:19
Часовой пояс: UTC + 5