Από τον Amir Ish-Shalom, Senior Director of Operations and Chief Architect της Rakuten-Viber
Η ιδιωτικότητα στο διαδίκτυο απασχολεί όλο και περισσότερο τόσο τις εταιρείες όσο και τους χρήστες. Οι υποστηρικτές της ιδιωτικότητας είχαν πολλά να πουν ήδη από το ξεκίνημα της χρονιάς, με τους προβληματισμούς που προέκυψαν από την ανακοίνωση τον Ιανουάριο του 2021 από το WhatsApp ότι η επόμενή του ενημέρωση θα περιλάμβανε κοινοποίηση προσωπικών πληροφοριών των χρηστών του στο Facebook. Οι τίτλοι μιλούσαν για ασέβεια προς τα προσωπικά δεδομένα και έλλειψη κρυπτογράφησης και πολλοί χρήστες πήγαν σε άλλες εφαρμογές, που θεωρητικά προσέφεραν μεγαλύτερη ιδιωτικότητα.
Παρότι ο περισσότερος κόσμος γνωρίζει ότι διακινδυνεύει η ιδιωτικότητά του όσο βρίσκεται στο διαδίκτυο, η αλήθεια ωστόσο είναι ότι πολλοί δεν καταλαβαίνουν καν τι σημαίνει η λέξη κρυπτογράφηση, πώς λειτουργεί και γιατί είναι ένας τόσο σημαντικός παράγοντας για τη διατήρηση της ιδιωτικότητας που όλοι οι χρήστες και οι επιχειρήσεις θέλουν και απαιτούν. Δεν υπάρχει λόγος ανησυχίας. Θα τα αναλύσουμε όλα, προσπαθώντας να ρίξουμε λίγο φως στον κάπως σκοτεινό κόσμο της κρυπτογράφησης.
Η κρυπτογράφηση είναι μια μέθοδος ασφάλειας των προσωπικών λεπτομερειών των χρηστών. Παίρνει πληροφορία, γνωστή ως plaintext, και την μετατρέπει σε ciphertext. To ciphertext είναι απίθανο να σπάσει, εκτός κι αν έχεις το κλειδί για να το αποκρυπτογραφήσεις. Η κρυπτογράφηση είναι μια από τις μεθόδους που χρησιμοποιούν οι επιχειρήσεις για να κρατούν ασφαλείς τους κωδικούς πρόσβασης και –στην περίπτωση των μηνυμάτων– η κρυπτογράφηση end-to-end κρατά τα περιεχόμενα των προσωπικών σας συνομιλιών μακριά από τα μάτια οποιουδήποτε άλλου, πέραν του κανονικού τους παραλήπτη.
Ποια είναι η διαφορά μεταξύ της κρυπτογράφησης end-to-end και της απλής κρυπτογράφησης;
Κατ’ αρχάς, η απλή κρυπτογράφηση λαμβάνει χώρα στο ίδιο το διαδίκτυο. Παρότι οι χρήστες δεν μπορούν να εμπλακούν ή να διαβάσουν τις επισκέψεις σε ένα site, τα μεγάλα sites όπως το Amazon και το Google κρατούν μεγάλη ποσότητα πληροφορίας από τους χρήστες τους. Αυτά τα συγκεκριμένα δεδομένα παρουσιάζονται μέσα στην εκάστοτε εταιρεία και περιλαμβάνουν στοιχεία για τη συμπεριφορά των χρηστών, όπως τα καλάθια αγοράς τους και οι λίστες επιθυμιών τους, κάτι που είναι πολύ χρήσιμο στην εταιρεία που συλλέγει αυτήν την πληροφορία.
Κάποια από τα δεδομένα που αποθηκεύονται βοηθούν το site να λειτουργεί σωστά, όπως το να συσχετίζει την πληροφορία για το μέγεθος ή το χρώμα ενός ρούχου που αγόρασε ένας χρήστης με το δικό του καλάθι αγορών. Αυτά τα δεδομένα είναι συνήθως κρυπτογραφημένα.
Ωστόσο, η κρυπτογράφηση στις εφαρμογές μηνυμάτων είναι ένα εντελώς διαφορετικό πράγμα. Όταν χρησιμοποιούν αυτές τις εφαρμογές, οι περισσότεροι χρήστες βλέπουν ότι αναφέρεται κάπου στην εφαρμογή ή στους όρους χρήσης η «κρυπτογράφηση end-to-end». Οι εφαρμογές μηνυμάτων δεν θέλουν να μοιραστούν τις προσωπικές πληροφορίες των χρηστών τους με τον υπόλοιπο κόσμο. Αντίθετα, ελπίζουν να προσφέρουν μια υπηρεσία που δύο ή περισσότεροι άνθρωποι μπορούν να επικοινωνήσουν εντελώς ιδιωτικά μεταξύ τους. Η κρυπτογράφηση end-to-end σημαίνει ότι ούτε η εταιρεία που φτιάχνει την εφαρμογή δεν έχει πρόσβαση στα μηνύματα.
Οι χρήστες που χρησιμοποιούν κρυπτογραφημένες εφαρμογές μηνυμάτων δεν θέλουν η πληροφορία τους να πηγαίνει σε αυτούς τους γίγαντες της τεχνολογίας, ειδικά όταν αυτή η πληροφορία υποκλέπτεται από μηνύματα που οι χρήστες θεωρούν ότι στέλνουν εμπιστευτικά. Οι εφαρμογές αυτές έχουν για στόχο να προσφέρουν στους χρήστες μια αίσθημη ασφάλειας, όμως πρόσφατα αυτή η αίσθηση δέχτηκε πυρά.
Χωρίς κρυπτογράφηση end-to-end, οι εφαρμογές μηνυμάτων θα μπορούσαν να ανοίξουν και να διαβάσουν τα μηνύματά σας, πριν τα στείλουν στον παραλήπτη τους. Θεωρητικά, αυτό σημαίνει ότι η εφαρμογή έχει απεριόριστη πρόσβαση σε συζητήσεις χρηστών που θα μπορούσαν να χρησιμοποιηθούν για πολλούς σκοπούς, όπως η στόχευση διαφημίσεων. Η κρυπτογράφηση end-to-end διασφαλίζει ότι κανένας τρίτος δεν μπορεί να έχει πρόσβαση σε μηνύματα μεταξύ των χρηστών.
Πότε ένα site χρειάζεται τα δεδομένα σας;
Υπάρχουν αρκετοί λόγοι γιατί ένα κοινωνικό δίκτυο ή site θέλει να κρατήσει δεδομένα χρηστών. Για παράδειγμα, ώστε να μπορέσουν να δημιουργήσουν εξατομικευμένες διαφημίσεις για τον κάθε χρήστη. Οι εφαρμογές μηνυμάτων επίσης έχουν ανάγκη να αποθηκεύουν κάποια από τα δεδομένα των χρηστών για να εκτελούν κάποιες λειτουργίες, όπως την αποστολή και την λήψη μηνυμάτων. Τα δεδομένα που χρησιμοποιούνται σε αυτή την περίπτωση δεν είναι το μήνυμα που έστειλε ο χρήστης, αλλά πληροφορία για τον αποστολέα και τον παραλήπτη, σε ποια μορφή στάλθηκε το μήνυμα κλπ. Το περιεχόμενο παραμένει κρυπτογραφημένο μεταξύ των χρηστών.
Το πιο πιθανό είναι ότι έτσι κι αλλιώς κανείς δεν θα ψάξει τα μηνύματά σας ή τις κλήσεις σας. Οι περισσότερες εταιρείες δεν χρησιμοποιούν προσωπικά δεδομένα για πονηρούς σκοπούς. Ωστόσο, είναι καθημερινό φαινόμενο οι κυβερνοεπιθέσεις. Αν μια εφαρμογή αποθηκεύει πολλά δεδομένα χρηστών και κάποιος την χακάρει, όλη αυτή η πληροφορία μπορεί να διαρρεύσει. Το MyFitnessPal που ανήκει στην UnderArmor ήταν ανάμεσα στις εφαρμογές από τις οποίες υπέκλεψαν λογαριασμούς εκατομμυρίων χρηστών και τις έβγαλαν στο σφυρί στο Dream Market. Το MyFitnessPal συμβούλεψε τους χρήστες να αλλάξουν κωδικούς πρόσβασης αλλά δεν έδωσε περισσότερες πληροφορίες για το τι ακριβώς συνέβη.
Όταν μια εφαρμογή χρησιμοποιεί κρυπτογράφηση end-to-end, ούτε οι χάκερ μπορούν να διαβάσουν τα μηνύματά σας. Ακόμη κι αν τα μηνύματα αποθηκεύονται σε servers, η πληροφορία είναι κρυπτογραφημένη, οπότε -ακόμη κι αν κλαπεί- δεν μπορεί να διαβαστεί. Ένας χάκερ θα μπορούσε να κλέψει τα ονόματα, τις ημερομηνίες γέννησης, τα emails των χρηστών που είναι αποθηκευμένα στο server, όχι όμως και τα μηνύματά του.
Πώς οι χρήστες γνωρίζουν ότι μια εταιρεία είναι ασφαλής;
Οι περισσότερες εταιρείες κοινωνικών δικτύων έχουν πληροφορίες σχετικά με την πολιτική απορρήτου τους. Ωστόσο, δεν δίνουν στο κοινό πληροφορίες για τη δομή των μέτρων προστασίας που παίρνουν. Αυτό συμβαίνει γιατί έτσι οι χάκερ ίσως να μπορούσαν να βρουν τρόπο να τα σπάσουν.
Συνήθως οι εταιρείες κάνουν προσπάθεια να ενημερώνουν τους χρήστες τους ποιες λειτουργίες χρησιμοποιούν κρυπτογράφηση end-to-end. Αν μια εφαρμογή δεν το κάνει αυτό ξεκάθαρα, ο χρήστης ίσως πρέπει να αρχίσει να την υποπτεύεται. Στο τέλος της μέρας, οι χρήστες θα έπρεπε να την απαιτούν ώστε να κλειδώνουν τα μηνύματα που στέλνουν σε φίλους, συγγενείς και συναδέλφους.
(Αυτό το άρθρο γράφτηκε αρχικά για το NASDAQ.com)