Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미

16억 명의 WhatsApp 사용자 중 하나라면 이미 종단 간 암호화(E2EE)를 사용하고 있는 것입니다. 이 안전한 통신 형식은 다른 사람에게 보내는 모든 메시지는 수신자만 읽을 수 있음을 의미합니다. 이러한 채팅 메시지는 정부와 범죄자를 포함한 제3자가 가로챌 수 없습니다.

불행히도 범죄자들은 ​​암호화를 사용하여 악의적인 일을 할 때 자신의 흔적을 숨기므로 보안 메시징 앱이 정부 규제의 주요 대상이 됩니다. 최근 뉴스에서 유럽 평의회는 E2EE를 규제하기 위한 결의안 초안을 작성했으며 최종 형식을 위해 유럽 위원회에 제출했습니다.

문제는 메신저 앱에서 개인 정보를 잃을 위기에 처해 있습니까?

테러 스파이크가 EU의 기어를 움직이게 합니다

최근 프랑스와 오스트리아에서 발생한 공격 이후, 양국 총리 각각 에마뉘엘 마크롱(Emmanuel Macron)과 세바스찬 쿠르츠(Sebastian Kurz)는 종단 간 암호화 규제를 목표로 하는 유럽 연합 이사회(CoEU) 결의안 초안을 11월 6일에 발표했습니다. 관행.

CoEU는 정책의 방향을 설정하는 제안 기관이며 유럽 집행위원회는 실행 가능한 법안 초안을 작성할 것입니다. 다행히 입법 개시로서, 결의안 초안은 예상만큼 개인 정보 보호에 문제가 되지 않습니다.

  • 결의안은 E2EE 금지에 대한 구체적인 제안을 하지 않습니다.
  • 암호화 프로토콜에 대한 백도어 구현을 제안하지 않습니다.
  • 강력한 암호화 및 개인 정보 보호 권리에 대한 EU의 준수를 확인합니다.
  • "암호화에도 불구하고 보안"이라는 프레임워크에 따라 보안 조치를 전면적으로 탐색하도록 전문가를 초대하는 역할을 합니다.

그러나 결의안은 표적 접근 방식을 제안합니다.

<블록 인용>

"권한 있는 당국은 사이버 보안을 유지하면서 기본권과 데이터 보호 체제를 완전히 존중하면서 합법적이고 표적화된 방식으로 데이터에 액세스할 수 있어야 합니다."

정부가 유효한 표적의 범위를 확장하는 추세를 감안할 때 여기에는 합법적인 시위도 포함될 수 있습니다. 프랑스의 경우 Facebook에서 보안 텔레그램 앱으로 강제 이동한 Yellow Vests 운동일 수 있습니다.

흥미롭게도 Telegram은 개발팀이 정부를 위한 백도어 생성을 거부하면서 러시아가 금지한 동일한 앱이었습니다. 유럽연합(EU)의 유럽인권재판소(ECHR)는 이러한 금지를 명백한 표현의 자유 침해라고 판결했다. 러시아가 2년 텔레그램 금지령을 해제하면서 판결이 결실을 맺었습니다.

ECHR의 전보 판결은 미래의 안전 장치로 작용합니까?

불행히도 그렇지 않은 것 같습니다. 2019년에 ECHR은 홀로코스트를 주제로 한 표현의 자유는 인권을 구성하지 않는다고 판결했습니다. 동시에 법원은 아르메니아 대학살이라는 주제에 대한 동일한 표현의 자유가 인권을 구성한다고 판결했습니다. 이러한 일관성 없는 판결은 ECHR이 보편적 기준을 지지하지 않는다는 것을 보여줍니다.

EU의 결의안 초안이 귀하에게 영향을 미칩니까?

WhatsApp, Telegram, Viber 및 기타 E2EE 앱이 갑자기 해커와 데이터 마이너에게 노출될까 걱정된다면 그렇게 하지 마십시오. EU 내에서 우리는 법 집행 기관이 개인 정보를 침해할 충분한 이유를 법원에 제공해야 하는 하이브리드 솔루션을 다루고 있을 가능성이 높습니다.

반면에 Five Eyes 영역 내에서는 E2EE 메신저 앱에 백도어를 입법화하려는 대대적인 추진이 있는 것으로 보입니다. 전자 프론티어 재단(Electronic Frontier Foundation)과 같은 시민과 NGO의 반발은 암호화에 대한 이러한 제한적인 입법을 막는 데 매우 중요합니다.

암호화를 규제하는 정부의 미끄러운 경사

전 세계 국가들이 국가 안보를 위해 시민의 사생활을 침해하려는 열망이 있다는 것은 비밀이 아닙니다. 이 책임은 일반적으로 Five Eyes 정보 동맹이 주도합니다. 그들은 소프트웨어 개발자에게 백도어를 앱에 통합하도록 요구하는 가장 광범위한 접근 방식을 구현하려고 합니다. 이렇게 하면 정부와 기술 회사가 임의의 개인 데이터에 액세스할 수 있습니다.

정부가 학대에 대한 보호 장치를 갖추고 있다고 수사학적으로 밝히고 있지만, 그들의 실적은 그다지 좋지 않습니다. Snowden의 유출이 드러났듯이 그들은 사생활과 학대 방지에 대한 시민의 권리를 인식하는 방식에 있어서 파렴치한 것 같습니다. 더욱이 백도어는 사이버 범죄자들에게 쉽게 악용되어 막대한 경제적 피해를 입히고 신뢰를 무너뜨립니다.

의무화된 백도어는 아직 현실이 아니지만 정부는 범죄/테러 행위가 발생할 때마다 강력한 설득 무기를 사용할 수 있습니다. 따라서 정부는 다음과 같이 주장하면서 개인 정보 보호를 약화시키는 꾸준한 추진력을 가지고 있습니다.

  • 테러리스트/범죄자는 법을 준수하는 시민과 마찬가지로 암호화된 통신 프로토콜에 액세스할 수 있습니다.
  • 따라서 암호화된 통신 프로토콜은 법을 준수하는 시민을 위해 훼손되어야 합니다.

둘 사이의 균형을 달성하기 위한 노력은 현재 진행 중인 프로세스이며, 가장 최근에 EU 회원국에서 대중의 주목을 받았습니다.

E2E 암호화가 왜 중요한가요?

암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미

사람들은 감시 상태의 결과에 대해 생각하고 싶지 않을 때 종종 기본 주장에 의존합니다.

<블록 인용>

"숨길 것이 없습니다."

불행히도 그러한 순진함을 고수한다고해서 학대로부터 당신의 삶이 안전한 것은 아닙니다. Facebook-Cambridge Analytica 데이터 스캔들이 보여주듯이 개인 데이터는 집에 있는 자산을 보호하는 것만큼 엄격하게 다루어야 합니다. E2E 암호화 프로토콜이 제거되면 다음과 같은 환경이 조성됩니다.

  • 사고방식으로서의 자기검열.
  • 해킹 및 협박.
  • 효과적인 정치적 반체제 인사나 언론인이 될 수 없음.
  • 귀하의 심리적 프로필을 사용하는 기업 및 정부.
  • 정부가 부정적인 정책에 대한 책임을 덜 수 있도록 합니다.
  • 지적 재산을 효과적으로 보호할 수 없습니다.

전 세계적으로 금지되고 엄격한 통제에도 불구하고 범죄자들이 총기에 쉽게 접근할 수 있는 것처럼 범죄자들도 다른 통신 수단을 확보할 것입니다. 동시에 E2EE를 훼손하면 기업과 개인 시민이 광범위한 남용에 취약해질 수 있습니다.

폐기할 때 어떤 E2EE 옵션이 있습니까?

메신저 앱의 백도어는 세 가지 방식으로 발생할 수 있습니다.

  1. 실수로 잘못된 코딩으로 인해 나중에 취약점이 발견되면 패치됩니다.
  2. 정부 기관에서 의도적으로 기업에 내부 압력을 가합니다.
  3. 입법에 의해 의도적이고 공개적으로.

아직 세 번째 시나리오에 도달하지 못했습니다. 그 동안 보안 메신저 앱을 선택할 때 다음 보안 지침을 따르십시오.

  • 압력을 잘 견디고 사용자로부터 높은 평가를 받은 앱을 선택하십시오.
  • 옵션이 주어진다면 무료 오픈 소스 소프트웨어인 FOSS 앱을 선택하십시오. 이들은 커뮤니티 기반 앱이므로 백도어 구현이 신속하게 드러날 것입니다. 때로는 FLOSS(무료/자유 오픈 소스 소프트웨어)라는 약어로 이러한 앱을 찾을 수도 있습니다.
  • 이메일을 사용할 때 PGP 또는 GPG 암호화 프로토콜이 있는 이메일 플랫폼을 사용하십시오.

이러한 요소를 고려하여 다음은 몇 가지 좋은 오픈 소스 E2EE 메신저 앱입니다.

신호

암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미 암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미 암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미

Signal은 개인 정보 보호를 중요시하는 많은 사용자들 사이에서 선호되는 이유가 있습니다. 텍스트, 오디오 및 비디오와 같은 모든 유형의 메시지에 대해 PFS(Perfect Forward Secrecy)를 사용합니다. Signal은 또한 IP 주소를 기록하지 않으며 자체 파괴 메시지를 보낼 수 있는 옵션을 제공합니다. Android 기기에서는 SMS 문자 메시지를 위한 기본 앱으로 설정할 수도 있습니다.

그러나 Signal은 이중 인증(2FA)을 제공하지 않는 것 외에도 전화 번호 등록이 필요합니다. 전반적으로 모든 플랫폼에서 사용할 수 있는 이 GDPR 준수 메신저 앱은 아직 1위를 차지하지 못했습니다.

세션

암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미 암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미 암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미

Signal(포크)에서 파생된 Session은 Signal보다 훨씬 강력한 보안 기능을 목표로 합니다. 이를 위해 모든 Signal 기능을 통합했지만 가입을 위해 전화번호나 이메일이 있어야 한다는 요구 사항은 생략했습니다. 메타데이터나 IP 주소를 기록하지 않지만 여전히 2FA를 지원하지 않습니다.

오픈 소스 개발이 아직 진행 중이므로 버그가 발생할 수 있습니다. 또한 Tor 브라우저에서 사용하는 Onion Routing 프로토콜도 개발 중입니다.

브라이어

완전히 분산된 Briar는 E2EE 메신저 프로토콜을 사용하는 최신 FOSS 앱 중 하나입니다. Android 플랫폼 전용 Briar는 메시지를 저장하는 서버에 대해 걱정하는 사람들을 위한 최고의 솔루션입니다. Briar는 P2P(Peer-to-Peer) 프로토콜을 사용하여 이를 불가능하게 만듭니다. 즉, 귀하와 수신자만 메시지를 저장할 수 있습니다.

또한 Briar는 Tor(Onion Protocol)를 사용하여 추가 보호 계층을 추가합니다. 받는 사람의 이름을 제외하고 Briar 사용을 시작하기 위해 정보를 제공할 필요가 없습니다. 그러나 기기를 변경하면 모든 메시지를 받을 수 없게 됩니다.

와이어

암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미 암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미 암호화된 메시징 앱에 대한 EU의 입법 E2E 암호화 드라이브의 의미

여전히 오픈 소스로 남아 있지만 Wire는 그룹 메시징 및 공유를 목표로 하므로 비즈니스 환경에 이상적입니다. 개인 계정을 제외하고는 무료가 아닙니다. Wire는 E2EE 프로토콜과 함께 자체 삭제 메시징 외에도 Proteus 및 WebRTC와 PFS를 사용합니다.

Wire를 사용하려면 일부 개인 데이터를 기록하는 것 외에도 전화번호/이메일이 필요합니다. 2FA도 지원하지 않습니다. 그럼에도 불구하고 GDPR 준수, 오픈 소스 특성 및 최고의 암호화 알고리즘으로 인해 기업 조직에 적합합니다.

당신은 변화의 물결에 무방비 상태가 아닙니다

결국 정부가 E2EE를 완전히 금지하거나 백도어를 강제하더라도 범죄자들은 ​​다른 방법을 찾게 될 것입니다. 반면에 덜 참여하는 시민들은 단순히 새로운 상황인 대규모 감시를 받아들일 것입니다. 이것이 우리가 개인 정보 보호에 대한 기본 인권을 보호하기 위해 주의를 기울이고 항상 뒤로 물러나야 하는 이유입니다.