"यदि आप जानते हैं कि मैं ईमेल के बारे में क्या जानता हूं, तो आप इसका उपयोग भी नहीं कर सकते हैं," सुरक्षित ईमेल सेवा लवबिट के मालिक ने हाल ही में इसे बंद करते हुए कहा। "एन्क्रिप्टेड ई-मेल करने का कोई तरीका नहीं है जहां सामग्री सुरक्षित है," फिल ज़िमर्मन ने अचानक साइलेंट सर्कल की सुरक्षित ईमेल सेवा को बंद कर दिया। वास्तविकता यह है कि ईमेल मौलिक रूप से असुरक्षित है और इसे सरकारी निगरानी से कभी भी सुरक्षित नहीं किया जा सकता है जैसे कि कुछ अन्य संचार कर सकते हैं।
ज़रूर, आप एक अलग एन्क्रिप्टेड और "सुरक्षित" ईमेल सेवा का उपयोग कर रहे होंगे जो अभी तक बंद नहीं हुई है। लेकिन वे उसी अमेरिकी सरकार के दबाव के प्रति संवेदनशील हैं जिसका सामना लवबिट ने किया था - इसलिए सरकार द्वारा संपर्क किए जाने से पहले साइलेंट सर्कल बंद हो गया। कुछ कम सैद्धांतिक सेवाएं बंद करने के बजाय सरकारों के साथ सहयोग करने का विकल्प चुनेंगी। हम ठीक से नहीं जानते कि लवबिट को किन मांगों का सामना करना पड़ा, क्योंकि उन्हें गुप्त अमेरिकी निगरानी अदालत के पिछले दरवाजे के आदेश के परिणामस्वरूप अनुभव की गई किसी भी चीज़ का खुलासा करने से मना किया गया है जो PRISM और अन्य NSA निगरानी कार्यक्रमों को सक्षम बनाता है।
अब, आइए देखें कि सुरक्षित संचार के लिए ईमेल एक खराब विकल्प क्यों है, और यह कैसे सरकारी जासूसी के लिए एक आसान लक्ष्य है।
मेटाडेटा को एन्क्रिप्ट नहीं किया जा सकता और XKEYSCORE इसे इंटरसेप्ट कर सकता है
एक ईमेल वास्तव में डेटा का एक टुकड़ा नहीं है। यह डेटा के कई टुकड़े हैं:संदेश का मुख्य भाग, विषय पंक्ति, प्रेषक फ़ील्ड, To/CC/BCC फ़ील्ड और अन्य मेटाडेटा है जिसमें वह स्थान शामिल होता है जिससे आप ईमेल भेज रहे हैं।
यहां तक कि अगर आप सबसे अच्छी ईमेल एन्क्रिप्शन तकनीक का उपयोग करते हैं, तो आप केवल ईमेल के संदेश के मुख्य भाग को एन्क्रिप्ट कर सकते हैं। आपके द्वारा उपयोग किए जा रहे कनेक्शन की निगरानी करने वाला कोई भी व्यक्ति ईमेल का विषय देख सकता है, आप किसके साथ संचार कर रहे हैं और आप कहां से ईमेल कर रहे हैं। XKEYSCORE प्रोग्राम के तहत, जो अनिवार्य रूप से अमेरिकी सरकार को इंटरनेट पर बहने वाले अधिकांश ट्रैफ़िक को बड़े बैकबोन राउटर और गेटवे पर इंटरसेप्ट करके कैप्चर करने की अनुमति देता है, सरकार इस बात की काफी तस्वीर बना सकती है कि आप किसके साथ संचार कर रहे हैं, जब आप उनके साथ संचार करना, आप प्रत्येक कहाँ से संचार कर रहे हैं, और आपके ईमेल की विषय पंक्तियाँ क्या हैं, जिससे उन्हें इस बात का अंदाजा हो जाता है कि आप किस बारे में बात कर रहे हैं। उन्हें इस तथ्य का पता चल सकता है कि आप अपने ईमेल की सामग्री को संदिग्ध रूप से एन्क्रिप्ट कर रहे हैं और आप जो कुछ भी करते हैं उसकी और अधिक गहन निगरानी के लिए आपको लक्षित करते हैं।
अमेरिकी सरकार ने 2011 तक थोक में यूएस ईमेल रिकॉर्ड एकत्र किए। एनएसए के अनुसार, यह कार्यक्रम बंद कर दिया गया था क्योंकि यह प्रभावी नहीं था - लेकिन वे अभी भी XKEYSCORE के तहत मेटाडेटा एकत्र कर रहे हैं, इसलिए वे संभवतः सभी ईमेल मेटाडेटा को इंटरसेप्ट कर रहे हैं। उनका हाथ लग सकता है। यदि आप अपने ईमेल एन्क्रिप्ट करते हैं तो भी वे आपसे बहुत सारी जानकारी प्राप्त करेंगे।
अधिक जानकारी के लिए, उन चीज़ों के बारे में पढ़ें जो आप ईमेल के "हेडर" या मेटाडेटा से सीख सकते हैं।
कई "सुरक्षित" ईमेल प्रदाताओं के पास सुविधा के लिए एन्क्रिप्शन कुंजियाँ होती हैं
ईमेल को एन्क्रिप्ट और डिक्रिप्ट करना जटिल है। सिद्धांत रूप में, आप ईमेल को डिक्रिप्ट करने के लिए अपने स्थानीय कंप्यूटर पर PGP या GPG जैसी किसी चीज़ का उपयोग करेंगे। व्यवहार में, अधिक तकनीक-प्रेमी उपयोगकर्ताओं के लिए भी, सेटअप जटिल और भ्रमित करने वाला हो सकता है। इससे ब्राउज़र या हल्के मोबाइल क्लाइंट के माध्यम से एन्क्रिप्टेड ईमेल तक पहुंचना असंभव हो जाता है।
व्यवहार में, कई सुरक्षित ईमेल प्रदाताओं ने एन्क्रिप्शन कुंजी को अपने अंत में पकड़कर, ईमेल को एक्सेस करने पर डिक्रिप्ट करके इससे निपटा है। इस तरह से साइलेंट सर्कल की सुरक्षित ईमेल सेवा ने काम किया - उनके पास एन्क्रिप्शन कुंजियाँ थीं ताकि वे आसानी से ईमेल को डिक्रिप्ट कर सकें और एक अच्छा उपयोगकर्ता अनुभव प्रदान कर सकें। व्यवहार में, इसका मतलब यह है कि सरकार सभी एन्क्रिप्शन कुंजियों की मांग कर सकती है - या केवल उनकी आवश्यकता होती है - और वे सभी ईमेल को डिक्रिप्ट कर सकते हैं जो वे चाहते थे। यदि प्रदाता के पास चाबियां हैं, तो वे उन्हें सौंप सकते हैं। ईमेल निकायों को सुरक्षित रूप से एन्क्रिप्ट और डिक्रिप्ट करने का एकमात्र तरीका जटिल डेस्कटॉप सॉफ़्टवेयर है। यहां तक कि यह सब प्रयास भी मेटाडेटा को उजागर कर देता है।
सरकार पिछले दरवाजे की मांग कर सकती है:हशमेल देखें
कनाडा स्थित हशमेल सबसे लोकप्रिय और व्यापक रूप से ज्ञात एन्क्रिप्टेड ईमेल सेवाओं में से एक है। 2007 में, कनाडाई अदालतों ने हशमेल को अपने एक उपयोगकर्ता के ईमेल सौंपने के लिए मजबूर किया। फिर ईमेल को कनाडा और संयुक्त राज्य अमेरिका के बीच एक पारस्परिक कानूनी सहायता संधि के तहत यू.एस. अदालतों को भेज दिया गया।
हशमेल सैद्धांतिक रूप से ऐसा नहीं कर सका। उन्होंने उपयोगकर्ताओं की एन्क्रिप्शन कुंजियों को अपने सर्वर पर नहीं रखा। उन्होंने अनुशंसा की कि उपयोगकर्ता अधिकतम गोपनीयता के लिए अपने कंप्यूटर पर ईमेल को डिक्रिप्ट करने के लिए पीजीपी या इसी तरह के सॉफ़्टवेयर का उपयोग करें। हालांकि, कई लोगों ने सोचा कि यह बहुत असुविधाजनक था, इसलिए हशमेल ने एक वेब पेज पर स्थित एक डाउनलोड करने योग्य जावा एप्लेट की भी पेशकश की जिसने आपको अपने ईमेल तक पहुंचने की अनुमति दी। जब आप वेब पेज पर पहुंचते हैं, तो जावा एप्लेट का नवीनतम संस्करण आपके कंप्यूटर पर डाउनलोड हो जाएगा, आप अपनी एन्क्रिप्शन कुंजी दर्ज करेंगे, और एप्लेट हशमेल को आपकी एन्क्रिप्शन कुंजी तक पहुंच प्राप्त किए बिना आपके ईमेल को डाउनलोड और स्थानीय रूप से डिक्रिप्ट करेगा।
हशमेल को जावा एप्लेट के एक संस्करण की सेवा करने के लिए मजबूर किया गया था जिसमें उपयोगकर्ता के लिए अंतर्निहित पिछले दरवाजे थे। संशोधित जावा एप्लेट ने उपयोगकर्ता की एन्क्रिप्शन कुंजी को दर्ज करने के बाद हशमेल को भेज दिया और हशमेल ने उपयोगकर्ता के ईमेल तक पहुंच प्राप्त की, जिसे उन्होंने अदालतों को सौंप दिया।
यदि आप सुरक्षित ईमेल का उपयोग करते हैं, तो प्रदाता को किसी भी तरह से आपकी कुंजी प्राप्त करने के लिए मजबूर किया जा सकता है। यहां तक कि अगर वे आपकी कुंजी तक पहुंच प्राप्त नहीं कर सके, तो प्रदाता आपके एन्क्रिप्टेड ईमेल को स्वयं सौंप सकता है, जो सरकार को दिखाएगा कि आप किसके साथ, कब और किस बारे में (ईमेल विषय पंक्ति के माध्यम से) संचार कर रहे हैं।
ईमेल संदेश सर्वर पर संग्रहीत होते हैं, त्वरित संदेश नहीं होते हैं
यहां तक कि अगर सरकार एन्क्रिप्शन कुंजी प्राप्त या बाधित नहीं कर सकती है, तो भी वे आपके ईमेल को डिक्रिप्ट करने में सक्षम हो सकते हैं। आपके एन्क्रिप्ट किए गए ईमेल संदेशों को सर्वर पर संग्रहीत किया जाता है -- इसी तरह ईमेल काम करता है। यदि सरकार इस डेटा की मांग करती है, तो होस्टिंग प्रदाता को इसे एन्क्रिप्टेड रूप में सौंपना होगा। सरकार तब एन्क्रिप्शन को तोड़ने का प्रयास कर सकती थी - नया हार्डवेयर नियमित रूप से वर्तमान एन्क्रिप्शन तंत्र को बहुत कमजोर बनाता है, और अमेरिकी सरकार भविष्य में इस तरह के एन्क्रिप्टेड संचार को तोड़ने की उम्मीद में संग्रहीत कर सकती है।
इसके विपरीत, त्वरित संदेश-शैली संचार को संग्रहित करना कठिन होता है। एक एन्क्रिप्टेड संदेश सीधे प्राप्तकर्ता को भेजा जा सकता है और सर्वर पर संग्रहीत नहीं किया जा सकता है जहां इसे भविष्य में एक्सेस किया जा सकता है। सरकार को एक निगरानी उपकरण स्थापित करना होगा और वास्तविक समय में सभी संचारों को कैप्चर करना होगा। अगर वे ऐसा करने में विफल रहे और उनके पास सभी एन्क्रिप्टेड डेटा नहीं थे, तो वे वर्षों बाद इसे प्राप्त करने में सक्षम नहीं होंगे -- लेकिन वे अक्सर इसे ईमेल से कर सकते हैं।
अन्य प्रकार के संचार को सुरक्षित किया जा सकता है
ईमेल सिर्फ एन्क्रिप्शन को ध्यान में रखकर नहीं बनाया गया था। इसे आफ्टर-द-फैक्ट पर बोल्ट किया गया है, और यह दिखाता है। यहां तक कि सुरक्षित ईमेल सेवा के सबसे सावधान उपयोगकर्ता भी यह नहीं छिपा सकते कि वे किसके साथ और कब संचार कर रहे हैं। यदि आप वास्तव में सरकारी निगरानी से बचना चाहते हैं, तो बेहतर होगा कि आप ईमेल पर निर्भर रहने के बजाय विभिन्न सुरक्षित संदेश सेवा सेवाओं का उपयोग करें।
यही कारण है कि साइलेंट सर्कल अभी भी एक सुरक्षित संदेश सेवा प्रदान करता है जिसकी सुरक्षा में उन्हें विश्वास है। यह एकमात्र विकल्प नहीं है - क्रिप्टोकैट एक और है। क्रिप्टोकैट में हाल ही में प्रचारित भेद्यता थी और अन्य सेवाओं की अपनी समस्याएं हो सकती हैं जिनके बारे में हम भविष्य में सुनेंगे, लेकिन ये सेवाएं सही रास्ते पर हैं - वे ईमेल की तरह डिजाइन द्वारा मौलिक रूप से असुरक्षित नहीं हैं।
बेशक, एन्क्रिप्टेड ईमेल जरूरी नहीं कि बेकार हो। उदाहरण के लिए, यदि आप महत्वपूर्ण व्यावसायिक संचार को छिपकर बात करने से बचाना चाहते हैं, तो यह उपयोगी हो सकता है। लेकिन एन्क्रिप्टेड ईमेल सरकार को बहुत धीमा नहीं करेगा -- जब आप एनएसए की सुनवाई के बिना बात करने की कोशिश कर रहे हों तो यह आदर्श संचार उपकरण नहीं है।
क्या आप लवबिट्स और साइलेंट सर्कल के बंद होने के सिद्धांतों से सहमत हैं? क्या आप अपनी बातचीत को एक बड़े सरकारी डेटाबेस में संग्रहीत किए बिना संवाद करने के लिए एक सुरक्षित संदेश सेवा का उपयोग करते हैं? एक टिप्पणी छोड़ें और हमें बताएं कि आप कौन सा ईमेल-विकल्प पसंद करते हैं।