आपके एंड-टू-एंड एन्क्रिप्टेड संदेश उतने सुरक्षित नहीं हैं जितना आप सोचते हैं



इससे पहले मई में, टेक्सास अटॉर्नी जनरल के कार्यालय ने व्हाट्सएप पर एंड-टू-एंड एन्क्रिप्शन द्वारा पेश की गई सुरक्षा के स्तर पर उपयोगकर्ताओं को धोखा देने के लिए मेटा पर मुकदमा दायर किया था।

इस बीच, Apple और Google ने अभी घोषणा की है कि Android और iOS उपयोगकर्ताओं के बीच रिच टेक्स्ट मैसेजिंग अब एंड-टू-एंड एन्क्रिप्शन का समर्थन करेगी। लेकिन यह केवल तभी काम करता है जब आपके स्मार्टफोन पर आरसीएस सक्षम हो, यह पारंपरिक एसएमएस या एमएमएस टेक्स्टिंग पर लागू नहीं होता है। टेलीग्राम जैसे ऐप्स के साथ भी, E2EE सभी संदेशों पर डिफ़ॉल्ट रूप से सक्षम नहीं है और जब भी आप टेक्स्ट श्रृंखला में सही एंड-टू-एंड एन्क्रिप्शन चाहते हैं तो आपको “गुप्त चैट” शुरू करने की आवश्यकता होती है।

मेरा कहना: E2EE का उपयोग कई अलग-अलग ऐप्स में सुरक्षित मैसेजिंग सुविधाओं का वर्णन करने के लिए एक कैच-ऑल शब्द के रूप में किया जाता है, लेकिन ये ऐप्स अलग-अलग कार्यान्वयन मानकों को लागू करते हैं और सुरक्षा का स्तर कभी भी समान नहीं होता है। आपको यह नहीं मान लेना चाहिए कि आपके सभी संचार अवरोधन से सुरक्षित हैं, सिर्फ इसलिए कि आपका मैसेजिंग ऐप E2EE का समर्थन करता है।

वास्तव में, अन्य ऑप्ट-इन सुरक्षा सुविधाएँ हैं जिन्हें आपको तब सक्षम करना चाहिए जब आप ग्रंथों में संवेदनशील जानकारी का आदान-प्रदान करते समय मानसिक शांति चाहते हैं। इसे अनपैक करने के लिए बहुत कुछ है, इसलिए यहां मेरी सरल व्याख्या है कि यह एन्क्रिप्शन डिवाइस और ऐप्स पर कैसे काम करता है, यह क्या सुरक्षा करता है और क्या नहीं।

एंड-टू-एंड एन्क्रिप्शन (E2EE) कैसे काम करता है

एंड-टू-एंड एन्क्रिप्शन (या E2EE) आपके संदेशों और डेटा को आपके डिवाइस से बाहर निकलते ही स्क्रैम्बल करके काम करता है, ताकि केवल प्राप्तकर्ता जिसके पास अपने डिवाइस पर सही सुरक्षा कुंजी है, वह इसे अनस्क्रेबल कर सके।

डिज़ाइन के अनुसार, E2EE किसी भी ऐसे व्यक्ति को इसकी सामग्री तक पहुंचने से रोकता है जो आपके संचार को बाधित करने की कोशिश कर रहा हो, जिसमें आपके मैसेजिंग ऐप के मालिक कंपनी में काम करने वाले लोग भी शामिल हैं। जबकि जो लोग मैसेजिंग ऐप के मालिक हैं वे देख सकते हैं कि एक संदेश भेजा गया था, वे वास्तव में इसे पढ़ नहीं सकते हैं क्योंकि उनके पास इसे खोलने के लिए आवश्यक डिक्रिप्शन कुंजी नहीं है।

यह वित्तीय या चिकित्सा डेटा जैसी संवेदनशील जानकारी के आदान-प्रदान के लिए एक अच्छा सुरक्षा उपाय है, जो सार्वजनिक जानकारी नहीं होनी चाहिए। जैसा कि कहा गया है, यह फुलप्रूफ नहीं है। एंड-टू-एंड एन्क्रिप्शन केवल आपके संदेश की सामग्री पर ही काम करता है। यह संबंधित मेटाडेटा को एन्क्रिप्ट करने के लिए कुछ नहीं करता है, जैसे प्रेषक और रिसीवर की पहचान, उनका जियोलोकेशन, या विभिन्न संदेशों पर टाइमस्टैम्प।

इसके अलावा, मैसेजिंग ऐप में एक्सपोज़र के अन्य बिंदु भी हैं जो एंड-टू-एंड एन्क्रिप्शन को कवर नहीं करते हैं, जैसे आपके बैकअप – जब आप अपने संदेशों को थर्ड-पार्टी क्लाउड स्टोरेज पर बैकअप लेते हैं, तो वे एंड-टू-एंड एन्क्रिप्टेड नहीं होते हैं। इसलिए जब आप अपने व्हाट्सएप संदेश इतिहास को Google ड्राइव या iCloud पर अपलोड कर रहे हैं, तो ट्रांज़िट के दौरान एक संक्षिप्त विंडो होती है जब आपके संदेशों को व्हाट्सएप, ऐप्पल या Google द्वारा आसानी से इंटरसेप्ट किया जा सकता है।

E2EE कार्यान्वयन भी मैसेजिंग ऐप से मैसेजिंग ऐप में भिन्न होता है। टेलीग्राम और सिग्नल जैसे ऐप व्हाट्सएप या मैसेंजर की तुलना में उच्च स्तर की सुरक्षा प्रदान करते हैं। वहीं, व्हाट्सएप आपके सभी संदेशों पर डिफ़ॉल्ट रूप से बुनियादी E2EE सक्षम करता है, जबकि टेलीग्राम के लिए आपको हर बार इसका उपयोग करने के लिए एन्क्रिप्शन का विकल्प चुनना होगा।

E2EE हमेशा एक ही तरह से काम नहीं करता

“एन्क्रिप्टेड” का अर्थ कई चीजें हो सकता है। आपके मैसेजिंग ऐप के आर्किटेक्चर, उससे जुड़ी सुरक्षा सुविधाओं और उसके द्वारा उपयोग किए जाने वाले एन्क्रिप्शन की गुणवत्ता के आधार पर, आपके सुरक्षा स्तर में बेतहाशा उतार-चढ़ाव हो सकता है।

व्हाट्सएप संदेशों को एन्क्रिप्ट करता है, लेकिन बैकअप को नहीं

मैंने पहले ही उल्लेख किया है कि व्हाट्सएप आपके क्लाउड बैकअप के लिए एंड-टू-एंड एन्क्रिप्शन का विस्तार नहीं करता है – जब आप अपने संदेशों को अपने क्लाउड ड्राइव पर अपलोड कर रहे होते हैं तो एक संक्षिप्त विंडो होती है जब उन्हें डिक्रिप्शन कुंजी के बिना स्वतंत्र रूप से इंटरसेप्ट किया जा सकता है। हालाँकि, इसका कोई प्रत्यक्ष प्रमाण नहीं है कि मेटा व्हाट्सएप बैकअप के दौरान गुप्त रूप से आपके संदेशों को पढ़ता है, इसलिए यह भाग शुद्ध अनुमान है।

टेलीग्राम का एन्क्रिप्शन केवल ऑप्ट-इन है

जब टेक्सास सरकार ने व्हाट्सएप एन्क्रिप्शन दावों पर मेटा पर मुकदमा दायर किया, तो टेलीग्राम ने खुद को मजबूत एन्क्रिप्शन प्रदान करने वाले सुरक्षित विकल्प के रूप में प्रचारित करने का एक बड़ा प्रदर्शन किया। लेकिन यह सच्चाई का केवल एक हिस्सा है।

वास्तव में, टेलीग्राम आपके सभी संदेशों को पारगमन और विश्राम के दौरान एन्क्रिप्ट करता है, लेकिन वही कंपनी आपके संचार को डिक्रिप्ट करने की कुंजी भी रखती है। जब तक, आप “गुप्त चैट” का विकल्प नहीं चुनते हैं, जो आपको एक अधिक सुरक्षित संचार श्रृंखला बनाने की सुविधा देता है जहां आपके संदेश वास्तव में एंड-टू-एंड एन्क्रिप्टेड होते हैं और टेलीग्राम द्वारा डिक्रिप्ट नहीं किए जा सकते हैं। इस बीच, टेलीग्राम पर समूह चैट और चैनलों में एंड-टू-एंड एन्क्रिप्शन सुविधा बिल्कुल भी नहीं है।

अब तक आपका क्या ख्याल है?

आईक्लाउड बैकअप में iMessage का एक ब्लाइंड स्पॉट है

iPhone-टू-iPhone मैसेजिंग डिफ़ॉल्ट रूप से सभी संचारों पर एंड-टू-एंड एन्क्रिप्शन प्रदान करता है, लेकिन यदि आपने iCloud बैकअप में नामांकन किया है, तो आपके बैकअप में डिक्रिप्शन कुंजी भी शामिल है। इसका मतलब है कि यदि Apple चाहे तो सैद्धांतिक रूप से आपके संदेशों को डिक्रिप्ट कर सकता है, जब तक कि आप अपने iPhone सेटिंग्स से “उन्नत डेटा सुरक्षा” नामक अंतर्निहित सुविधा को सक्षम नहीं करते।

सच्चे एन्क्रिप्शन के लिए सिग्नल आपका सबसे अच्छा विकल्प है

अब तक चर्चा किए गए सभी मैसेजिंग ऐप्स में से, सिग्नल के पास लंबे शॉट द्वारा सबसे अच्छा संभव E2EE कार्यान्वयन है: प्रेषक की पहचान और यहां तक ​​कि समूह चैट सहित सब कुछ, ट्रांज़िट और आराम दोनों में डिफ़ॉल्ट रूप से एन्क्रिप्ट किया गया है। यह सार्वजनिक रूप से प्रदर्शित किया गया है जब सिग्नल को कानूनी सम्मन के साथ सुसज्जित किया गया था, लेकिन उनके पास पेश करने के लिए मुश्किल से ही कोई डेटा था।

हालाँकि, अभी भी एक नकारात्मक पक्ष है: सिग्नल केवल तभी काम करता है जब आप जिस व्यक्ति से संचार कर रहे हैं उसने भी अपने डिवाइस पर इसे इंस्टॉल किया हुआ है। यह व्हाट्सएप या टेलीग्राम जितना लोकप्रिय नहीं है, इसलिए यह एक वास्तविक कमी हो सकती है।

एंड-टू-एंड एन्क्रिप्शन द्वारा क्या सुरक्षित नहीं है

चाहे आप किसी भी मैसेजिंग ऐप का उपयोग करें, कुछ विशेष प्रकार की जानकारी होती है जिसका एंड-टू-एंड एन्क्रिप्शन, कम से कम डिफ़ॉल्ट रूप से, तक विस्तार नहीं करता है।

सबसे पहले, मेटाडेटा. यह सभी रिकॉर्ड की गई जानकारी है कि आप किसे, कितनी बार और किस समय और तारीखों पर संदेश भेज रहे हैं। आपके संदेशों की वास्तविक सामग्री के बिना भी, ये विवरण अक्सर रिश्तों, नौकरी खोजों, चिकित्सा यात्राओं आदि को धोखा देने के लिए पर्याप्त होते हैं। सिग्नल इसका अपवाद है; वे बमुश्किल किसी भी सर्वर लॉग को बनाए रखते हैं और प्रेषक की पहचान, संपर्क सूचियों, प्रोफ़ाइल जानकारी और समूह नामों को आक्रामक रूप से एन्क्रिप्ट करते हैं। लेकिन मेरे द्वारा उल्लिखित हर दूसरे ऐप के लिए, आपको समान गोपनीयता नहीं मिलेगी।

फिर आपका उपकरण है. E2EE सीधे आपके फ़ोन या वर्कस्टेशन पर निर्देशित स्पाइवेयर, कीलॉगर्स या अन्य प्रकार के दुर्भावनापूर्ण हमलों से आपकी रक्षा नहीं करता है। पेगासस ने बार-बार जीरो-क्लिक कारनामे का उपयोग किया है अपने मैसेजिंग ऐप पर बिल्कुल भी भरोसा किए बिना, एन्क्रिप्टेड संदेशों को सीधे स्क्रीन से पढ़ने के लिए।

अंत में, समूह चैट एक और गंभीर भेद्यता है। अधिकांश संदेशवाहक सीधे तौर पर कई सदस्यों वाले चैट समूहों के लिए एंड-टू-एंड एन्क्रिप्शन की पेशकश नहीं करते हैं। यहां तक ​​कि उन ऐप्स के साथ जो समूह चैट को एन्क्रिप्ट करते हैं, सदस्यों की संख्या एक पूरी तरह से नया खतरा प्रस्तुत करती है क्योंकि उनमें से कोई भी डिवाइस विशिष्ट हमलों के संपर्क में आ सकता है जो E2EE को बेकार कर देता है।

अपने मैसेजिंग ऐप से अधिक गोपनीयता प्राप्त करना

हालाँकि उनमें से कई डिफ़ॉल्ट रूप से सक्षम नहीं हैं, व्हाट्सएप, टेलीग्राम और अन्य मैसेजिंग ऐप ने उन्नत सुरक्षा सुविधाओं को रोल आउट करना शुरू कर दिया है, जिसमें अतिरिक्त एन्क्रिप्शन और गोपनीयता का विकल्प चुना जा सकता है। के

  • एन्क्रिप्टेड बैकअप यह सुनिश्चित करते हैं कि आपके संदेश क्लाउड बैकअप के दौरान उजागर न हों, जो एक ज्ञात खामी है जो व्हाट्सएप और आईमैसेज दोनों को प्रभावित करती है। लेकिन इसका एक आसान समाधान है. व्हाट्सएप पर, आप बैकअप प्रक्रिया के दौरान E2EE को सक्षम करने के लिए सेटिंग्स> चैट> चैट बैकअप> एंड-टू-एंड एन्क्रिप्टेड बैकअप पर जा सकते हैं। यह आपके मैसेजिंग डेटा को ट्रांज़िट के दौरान लीक होने से रोकेगा, लेकिन फिर भी आपको अपने क्लाउड स्टोरेज के लिए उपयुक्त सुरक्षा सेटिंग्स को अलग से कॉन्फ़िगर करने की आवश्यकता होगी। यदि आप iMessage का उपयोग करते हैं, तो iCloud में आपकी खाता सेटिंग्स के अंतर्गत उन्नत डेटा सुरक्षा नामक एक सुविधा है (iCloud > उन्नत डेटा सुरक्षा) जो आपको अपने बैकअप में एंड-टू-एंड एन्क्रिप्शन का विस्तार करने की सुविधा भी देता है।

  • यदि आप पूर्ण गोपनीयता चाहते हैं, तो सिग्नल का उपयोग करें। यह एकमात्र मैसेजिंग ऐप है जो लगभग शून्य मेटाडेटा ट्रैकिंग और कहीं भी संग्रहीत कोई पहचान विवरण के साथ पूर्ण E2EE सुरक्षा प्रदान करता है। हर कोई इसका उपयोग नहीं करता है, लेकिन संवेदनशील संचार ऐप इंस्टॉल करने के अतिरिक्त प्रयास के लायक है।

  • गायब होने वाले संदेश एक निर्धारित अवधि के बाद आपके संचार इतिहास को नष्ट करके आपको भविष्य के स्पाइवेयर हमलों से बचा सकते हैं। यह वास्तविक समय के खतरों से रक्षा नहीं करेगा, लेकिन फिर भी यह थोड़ी अतिरिक्त सुरक्षा है।

  • व्हाट्सएप, सिग्नल और आईमैसेज जैसे ऐप 60 अंकों की सुरक्षा कुंजी या क्यूआर कोड प्रदान करते हैं, जिसकी तुलना आप अपने प्रेषक या प्राप्तकर्ता से कर सकते हैं ताकि यह सुनिश्चित हो सके कि कोई तीसरा पक्ष आपके संदेशों को नहीं रोक रहा है। प्रत्येक 1-टू-1 एन्क्रिप्टेड चैट को अपना स्वयं का सुरक्षा कोड मिलता है (जिसे सुरक्षा नंबर या संपर्क कुंजी भी कहा जाता है)। यह प्रेषक और रिसीवर दोनों के उपकरणों से प्राप्त होता है। यह तब तक नहीं बदलता जब तक आप दोनों में से कोई भी अपना उपकरण नहीं बदलता।





Source link

Leave a Comment