EU의 입법 E2E 암호화 드라이브가 암호화된 메시징 앱에 의미하는 것

16억 명의 WhatsApp 사용자 중 하나라면 이미 종단 간 암호화(E2EE)를 사용하고 있는 것입니다. 이 보안 형식의 통신은 다른 사람에게 보내는 모든 메시지를 받는 사람만 읽을 수 있음을 의미합니다. 이러한 채팅 메시지는 정부와 범죄자를 포함한 제3자가 가로챌 수 없습니다.

불행히도 범죄자들은 ​​암호화를 사용하여 악의적인 일을 할 때 자신의 흔적을 숨기므로 보안 메시징 앱이 정부 규제의 주요 대상이 됩니다. 에서 최근 뉴스 그것의 최종 형태에 대한 유럽위원회 (European Commission)에 머리로, 유럽의 이사회는 종단 간을 조절하는 결의안 초안을 작성했다.

문제는 메신저 앱에서 개인 정보를 잃을 위기에 처해 있습니까?

테러 스파이크는 EU의 기어를 움직이게 합니다.

최근 프랑스와 오스트리아에서 발생한 공격 이후, 양국 총리인 에마뉘엘 마크롱(Emmanuel Macron)과 세바스찬 쿠르츠(Sebastian Kurz) 는 11월 6일 엔드 투 엔드 암호화 규제를 목표로 하는 유럽 연합 이사회(CoEU) 결의안 초안 을 발표 했습니다. 관행.

CoEU는 정책 방향을 설정하는 제안 기관이며 유럽 집행위원회는 실행 가능한 법안 초안을 작성할 것입니다. 다행히도 입법 개시로서 결의안 초안은 예상만큼 개인 정보 보호에 문제가 되지 않습니다.

• 결의안은 E2EE 금지에 대한 구체적인 제안을 하지 않습니다.
• 암호화 프로토콜에 대한 백도어 구현을 제안하지 않습니다.
• 강력한 암호화 및 개인 정보 보호 권리에 대한 EU의 준수를 확인합니다.
• 이는 "암호화에도 불구하고 보안"이라는 프레임워크에서 보안 조치를 완전히 탐색하도록 전문가를 초대하는 역할을 합니다.

그러나 결의안은 표적 접근 방식을 제안합니다.

“Competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the data protection regime, while upholding cybersecurity.”

정부가 유효한 표적의 범위를 확장하는 추세를 감안할 때 여기에는 합법적인 시위도 포함될 수 있습니다. 프랑스의 경우, 이것은 Facebook에서 안전한 Telegram 앱으로 강제 이동된 Yellow Vests 운동일 수 있습니다.

흥미롭게도 Telegram은 개발팀이 정부를 위한 백도어 생성을 거부하면서 러시아가 금지한 동일한 앱이었습니다. 유럽연합(EU)의 유럽인권재판소(ECHR)는 이러한 금지를 명백한 표현의 자유 침해라고 판결했다. 러시아 가 텔레그램 금지 2년을 해제하면서 판결이 결실을 맺었다 .

ECHR의 전보 판결은 미래의 보호 장치로 작용합니까?

불행히도 그렇지 않은 것 같습니다. 2019년에 ECHR은 홀로코스트를 주제로 한 표현의 자유는 인권을 구성하지 않는다고 판결했습니다. 동시에 법원은 아르메니아 대학살이라는 주제에 대한 동일한 표현의 자유가 인권을 구성한다고 판결했습니다. 이러한 일관성 없는 판결은 ECHR이 보편적 기준을 지지하지 않는다는 것을 보여줍니다.

EU의 결의안 초안이 귀하에게 영향을 미칩니까?

WhatsApp, Telegram, Viber 및 기타 E2EE 앱이 갑자기 해커와 데이터 마이너에게 노출될 것이 걱정된다면 그렇게 하지 마십시오. EU 내에서 우리는 법 집행 기관이 개인 정보를 침해할 충분한 이유를 법원에 제공해야 하는 하이브리드 솔루션을 다루고 있을 가능성이 높습니다.

반면에 Five Eyes 영역에서는 E2EE 메신저 앱에 백도어를 입법화 하려는 대대적인 추진 이 있는 것으로 보입니다 . 전자 프론티어 재단(Electronic Frontier Foundation)과 같은 시민과 NGO의 반발은 암호화에 대한 그러한 제한적인 입법을 막는 데 매우 중요합니다.

관련: "Five Eyes" 감시란 무엇입니까?

암호화를 규제하는 정부의 미끄러운 기울기

전 세계 국가들이 국가 안보를 위해 시민의 사생활을 침해하려는 열망이 있다는 것은 비밀이 아닙니다. 이 책임은 일반적으로 Five Eyes 정보 동맹이 주도합니다 . 그들은 소프트웨어 개발자에게 백도어를 자신의 앱 에 통합 하도록 요구하는 가장 광범위한 접근 방식을 구현하려고 합니다 . 이를 통해 정부와 기술 회사는 임의의 개인 데이터에 액세스할 수 있습니다.

정부가 수사적으로 학대에 대한 보호 장치를 갖추고 있다고 밝혔지만, 그들의 실적은 그다지 좋지 않습니다. Snowden의 누출이 드러났 듯이 그들은 시민의 사생활 및 학대 방지에 대한 권리를 인식하는 방식에 있어서 파렴치한 것 같습니다. 더욱이 백도어는 사이버 범죄자들에 의해 쉽게 악용되어 막대한 경제적 피해를 입히고 신뢰를 떨어뜨립니다.

의무화된 백도어는 아직 현실이 아니지만 정부는 범죄/테러 행위가 발생할 때마다 강력한 설득 무기를 사용할 수 있습니다. 따라서 정부는 다음과 같이 주장하면서 개인 정보 보호를 약화시키는 꾸준한 추진력을 가지고 있습니다.

• 테러리스트/범죄자는 법을 준수하는 시민과 마찬가지로 암호화된 통신 프로토콜에 액세스할 수 있습니다.
• 따라서 법을 준수하는 시민을 위해 암호화된 통신 프로토콜을 훼손해야 합니다.

이 둘 사이의 균형을 달성하기 위한 노력은 현재 진행 중인 프로세스로, 가장 최근에 EU 회원국에서 대중의 주목을 받았습니다.

E2E 암호화가 중요한 이유는 무엇입니까?

사람들은 감시 상태의 결과에 대해 생각하고 싶지 않을 때 종종 기본 주장에 의존합니다.

“I have nothing to hide.”

불행히도, 그러한 순진함을 고수한다고 해서 학대로부터 당신의 삶이 안전한 것은 아닙니다. Facebook-Cambridge Analytica 데이터 스캔들이 보여 주듯이 개인 데이터는 집에 있는 자산을 보호하는 것만큼 엄격하게 다루어야 합니다. E2E 암호화 프로토콜이 제거되면 다음과 같은 환경이 조성됩니다.

• 사고 방식으로서의 자기 검열.
• 해킹 및 협박.
• 효과적인 정치적 반체제 인사나 언론인이 될 수 없음.
• 기업과 정부는 당신에 대한 심리적 프로필을 사용합니다.
• 정부가 부정적인 정책에 대해 덜 책임감 있게 만듭니다.
• 지적 재산을 효과적으로 보호할 수 없습니다.

전 세계적으로 금지되고 엄격한 통제에도 불구하고 범죄자들이 총기에 쉽게 접근할 수 있는 것처럼 범죄자들도 다른 통신 수단을 확보할 것입니다. 동시에 E2EE를 훼손하면 기업과 개인 시민이 광범위한 남용에 취약해질 수 있습니다.

폐기할 때 어떤 E2EE 옵션이 있습니까?

메신저 앱의 백도어는 세 가지 방식으로 발생할 수 있습니다.

1. 실수로 잘못된 코딩으로 인해 취약점이 발견되면 나중에 패치됩니다.
2. 의도적으로 기업에 내부 압력을 가하는 정부 기관.
3. 입법에 의해 의도적이고 공개적으로.

우리는 아직 세 번째 시나리오에 도달하지 못했습니다. 그 동안 보안 메신저 앱을 선택할 때 다음 보안 지침을 따르십시오.

• 압력을 잘 견디고 사용자로부터 높은 평가를 받은 앱을 선택하십시오.
• 옵션이 주어진다면 무료 오픈 소스 소프트웨어인 FOSS 앱을 선택하십시오. 이들은 커뮤니티 기반 앱이므로 백도어 구현이 신속하게 드러날 것입니다. 때로는 FLOSS(무료/자유 오픈 소스 소프트웨어)라는 약어로 이러한 앱을 찾을 수도 있습니다.
• 이메일을 사용할 때 PGP 또는 GPG 암호화 프로토콜이 있는 이메일 플랫폼을 사용하십시오.

이러한 요소를 고려하여 다음은 몇 가지 좋은 오픈 소스 E2EE 메신저 앱입니다.

신호

Signal은 많은 사생활 보호에 관심이 있는 사용자들 사이에서 선호되는 이유가 있습니다. 텍스트, 오디오 및 비디오와 같은 모든 유형의 메시지에 대해 PFS(Perfect Forward Secrecy)를 사용합니다. Signal은 또한 사용자의 IP 주소를 기록하지 않으며 자체 파괴 메시지를 보낼 수 있는 옵션을 제공합니다. Android 기기에서는 SMS 문자 메시지를 위한 기본 앱으로 설정할 수도 있습니다.

그러나 Signal은 2단계 인증(2FA)을 제공하지 않는 것 외에도 전화번호 등록이 필요합니다. 전반적으로 모든 플랫폼에서 사용할 수 있는 이 GDPR 준수 메신저 앱은 아직 1위를 차지하지 못했습니다.

다운로드 : Android용 Signal  | iOS  | 윈도우  (무료)

세션

Signal(포크)의 파생물인 Session은 Signal보다 훨씬 강력한 보안 기능을 목표로 합니다. 이를 위해 모든 Signal 기능을 통합했지만 가입을 위해 전화번호나 이메일이 있어야 한다는 요구 사항은 생략했습니다. 메타데이터나 IP 주소를 기록하지 않지만 여전히 2FA를 지원하지 않습니다.

오픈 소스 개발이 아직 진행 중이므로 버그가 발생할 수 있습니다. 또한 Tor 브라우저에서 사용하는 Onion Routing 프로토콜도 개발 중입니다.

다운로드 : Android용 세션 | iOS | 맥 | 윈도우 | 리눅스  (무료)

찔레

완전히 분산된 Briar는 E2EE 메신저 프로토콜을 사용하는 최신 FOSS 앱 중 하나입니다. Android 플랫폼 전용인 Briar는 메시지를 저장하는 서버에 대해 걱정하는 사람들을 위한 최고의 솔루션입니다. Briar는 P2P(Peer-to-Peer) 프로토콜을 사용하여 이를 불가능하게 만듭니다. 즉, 당신과 수신자만이 메시지를 저장할 수 있습니다.

또한 Briar는 Tor(Onion Protocol)를 사용하여 추가 보호 계층을 추가합니다. 받는 사람의 이름을 제외하고 Briar 사용을 시작하기 위해 정보를 제공할 필요가 없습니다. 그러나 장치를 변경하면 모든 메시지를 받을 수 없게 됩니다.

다운로드 : Android용 브라이어  (무료)

철사

여전히 오픈 소스로 남아 있지만 Wire는 그룹 메시징 및 공유를 목표로 하므로 비즈니스 환경에 이상적입니다. 개인 계정을 제외하고는 무료가 아닙니다. Wire는 E2EE 프로토콜과 함께 자체 삭제 메시징 외에도 Proteus 및 WebRTC와 PFS를 사용합니다.

Wire는 일부 개인 데이터를 기록하는 것 외에도 전화 번호/이메일을 등록해야 합니다. 2FA도 지원하지 않습니다. 그럼에도 불구하고 GDPR 준수, 오픈 소스 특성 및 최고의 암호화 알고리즘으로 인해 기업 조직에 적합합니다.

다운로드 : 안드로이드용 와이어 | iOS | 맥 | 웹  | 리눅스  (무료)

당신은 돌고 도는 조류에 무방비 상태가 아닙니다

결국 정부가 E2EE를 완전히 금지하거나 백도어를 의무화하더라도 범죄자들은 ​​다른 방법을 찾게 될 것입니다. 반면에 덜 참여하는 시민들은 단순히 새로운 상태인 대규모 감시를 받아들일 것입니다. 그렇기 때문에 우리는 항상 조심해야 하고 기본적 인권 보호를 위해 뒤로 물러나야 합니다.