Czy Signal ukrywa metadane?

Lepsze niż większość. Signal minimalizuje to, co wie z założenia — zapieczętowany nadawca w wielu przypadkach ukrywa na serwerze wiadomość, kto do kogo; firma słynie z reagowania na wezwania, nie mając wiele do ujawnienia. Nie ukrywa wszystkiego (istnienie konta, czasy logowania, IP), ale jest znacznie lepszy od alternatyw.

Czy VPN może chronić moje metadane?

Ukrywa miejsca docelowe i wzorce ruchu przed dostawcą usług internetowych. Przenosi zaufanie do metadanych na dostawcę VPN, który teraz widzi to, co widziałby Twój dostawca usług internetowych. Dla lepszej ochrony metadanych Tor; dla najlepszych sieci wieloprzeskokowych; w przypadku scenariuszy kontradyktoryjnych organizacyjnie, Tails lub Qubes plus dyscyplina.

Jakie metadane wyciekają z protokołu HTTPS?

Docelowy adres IP, często SNI (nazwa hosta), rozmiary pakietów i czas. Szyfrowany klient Hello eliminuje SNI; resztę można zaobserwować dla każdego na ścieżce. HTTPS chroni zawartość, a nie wzorce przepływu sieci.

Czy powinienem usunąć dane EXIF z moich zdjęć?

W przypadku zdjęć udostępnianych publicznie tak – często zawierają współrzędne GPS miejsca wykonania zdjęcia. Większość głównych platform usuwa pliki podczas przesyłania, ale nie zawsze. Zarówno iOS, jak i Android mają opcję udostępniania bez danych o lokalizacji. Ręczne usuwanie (Image Magick, exiftool) daje większą kontrolę.

Dlaczego agencje wywiadowcze wykorzystują metadane?

To się skaluje. Przeczytanie każdej wiadomości od każdego celu jest niewykonalne; analizowanie wykresów połączeń i wzorców komunikacji. „Możesz zabijać ludzi w oparciu o metadane” (generał Michael Hayden, 2014) oddaje rzeczywistość operacyjną — wzorce ujawniają wystarczająco dużo, aby można było podejmować wysoce pewne decyzje dotyczące targetowania bez czytania treści.

Wyjaśnienie wycieków metadanych: szyfrowanie informacji nie jest ukryte

Szyfrowanie chroni treść Twojej komunikacji. Metadane — z kim rozmawiałeś, kiedy, jak długo i jak często — są zwykle widoczne dla każdej osoby na ścieżce. Społeczność wywiadowcza zasłynęła ze stwierdzenia „zabijamy ludzi w oparciu o metadane”, a powodem jest to, że metadane często ujawniają o Tobie więcej niż same wiadomości.

Poniżej znajduje się pełna treść artykułu w języku angielskim.

Metadata to dane dotyczące danych: nie treści komunikatu, ale otaczającego go kontekstu. W przypadku wiadomości e-mail metadane obejmują nadawcę, odbiorcę, temat (często), znacznik czasu, rozmiar i ścieżkę routingu. Do rozmów telefonicznych, kto do kogo dzwonił, kiedy i na jak długo. Do przeglądania stron internetowych, jakie strony odwiedziłeś i jak długo na nich przebywałeś. Kompleksowe szyfrowanie chroni zawartość; metadane są prawie zawsze niechronione lub chronione tylko częściowo.

Dlaczego metadane są tak odkrywcze

Słynny przykład: wyobraź sobie, że nie możesz czytać czyichś e-maili, ale widzisz nagłówki. Widzisz je:

Wyślij e-mail do prawnika specjalizującego się w sprawach rozwodowych
Wyślij e-mail do agenta nieruchomości
Wyślij e-mail do firmy przeprowadzkowej
Wyślij e-mail do prywatnego detektywa następnego dnia

Nie masz pojęcia, co zawierał którykolwiek z e-maili, ale prawdopodobnie możesz to zrobić dokładnie wnioski na temat tego, co dzieje się w ich życiu. Ten wzorzec uogólnia: wzorce komunikacji ujawniają relacje, harmonogramy, decyzje i zmiany stanu nawet bez treści wiadomości.

Gdzie dochodzi do wycieku metadanych

Nagłówki e-maili. Nadawca, odbiorca, czasem temat, cała trasa przez serwery pocztowe (Otrzymano: nagłówki), znaczniki czasu.
Rekordy telefonu. Dzienniki operatora pokazują każde połączenie i SMS-a — numer, czas trwania, lokalizację w momencie połączenia.
HTTPS ruch. SNI (którą witrynę odwiedziłeś), rozmiary pakietów, wzorce taktowania. Modern Encrypted Client Hello częściowo naprawia SNI; reszta pozostaje widoczna.
Wyszukiwania DNS. Odpytywanie każdej odwiedzanej domeny odbywa się za pośrednictwem DNS, co jest widoczne dla modułu rozpoznawania nazw nawet wtedy, gdy rzeczywisty ruch jest szyfrowany.
Aplikacje do przesyłania wiadomości. Większość szyfruje zawartość, ale serwer wie, kto i kiedy wysyła wiadomości. Widoczność metadanych WhatsApp jest znacznie większa niż w przypadku Signal.
Dane o lokalizacji smartfona. Nawet przy wyłączonych usługach lokalizacyjnych, przełączaniu stacji komórkowych, żądaniach sond Wi-Fi i skanowaniu przez Bluetooth obecności i ruchu.
Zdjęcia i dokumentowanie danych EXIF. Model aparatu, współrzędne GPS, godzina zrobione, nawet miniatura oryginalnego obrazu przed edycją.
Dzienniki przepływu sieci. Każda infrastruktura obsługująca ruch może rejestrować, kto i kiedy się z kim połączył.

Czego „kompleksowe szyfrowanie” nie obejmuje

Signal — ogólnie uważany za złoty standard przesyłania wiadomości E2E — ukrywa treść wiadomości, ale usługa nadal ją zna:

Twoje konto istnieje (zarejestrowane na numer telefonu, wkrótce będzie opcjonalnie na nazwę użytkownika)
Logowałeś się o określonych porach z określonych adresów IP
Twoje konto kontaktowało się z innymi konkretnymi kontami (choć w niektórych przypadkach zapieczętowany nadawca ukrywa to przypadkach)
Przybliżone rozmiary i czas wiadomości

Signal agresywnie minimalizuje to, co zatrzymuje, a to, co ma, jest znane z minimalnej ilości odpowiedzi na wezwania do sądu. Ale metadane istnieją na poziomie protokołu, nawet jeśli nie są przechowywane.

WhatsApp korzysta z protokołu Signal Protocol do treści, ale przechowuje znacznie więcej metadanych – kontakty, znaczniki czasu wiadomości, członkostwo w grupach, adresy IP – i te metadane są dostępne dla Meta i (na podstawie nakazu) organów ścigania.

Metadane sieciowe

Even z pełnym szyfrowaniem (Tor, VPN, wszystko), metadane widoczne dla przeciwnika, który jest w stanie obserwować wystarczającą ilość sieci, obejmują:

TWzorce ruchu — kiedy jesteś online, kiedy jesteś aktywny
Wolumen ruchu — duże pobieranie = wideo, małe okresowe = czat itp.
Czas między przybyciem pakietów — czasami wystarczy, aby odcisk palca konkretnych aplikacji lub witryn internetowych
Korelacje między sesjami — ten sam użytkownik na wielu platformach można zidentyfikować na podstawie wzorców aktywności

Im większe okno obserwacji przeciwnika, tym więcej metadanych staje się znaczących. Globalni przeciwnicy (NSA, GCHQ) od dawna mieli tę zdolność przeciwko Torowi — jednoczesne obserwowanie strażników wejściowych i węzłów wyjściowych umożliwia korelację ruchu.

Co można zrobić z metadanymi

Obrony, według złożoności:

W przypadku poufnych rozmów używaj Signal zamiast SMS-ów/WhatsApp. Lepsza minimalizacja metadanych.
Usuwaj dane EXIF przed udostępnieniem zdjęć. Większość platform usuwa pliki podczas przesyłania, ale nie zawsze; narzędzia takie jak exiftool pozwalają Ci to zrobić wcześniej.
Użyj zaszyfrowanego DNS (DoH, DNSCrypt), aby Twój tłumacz nie widział zapytań. Zobacz nasz artykuł o DoH.
VPN, aby uzyskać metadane na poziomie dostawcy usług internetowych. Ukrywa wyszukiwania domen, miejsca docelowe i wzorce ruchu przed dostawcą usług internetowych — przenosi zaufanie do VPN.
Tor dla silniejszej ochrony metadanych sieci. Pokonuje większość sieci lokalnych obserwacja; pozostaje pewne ryzyko w obliczu globalnych przeciwników.
Kompartmentalizacja. Różne tożsamości dla różnych kontekstów, z oddzielnymi urządzeniami i kontami. Najskuteczniejsza pojedyncza obrona w scenariuszach o wysokim zagrożeniu.
dyscyplina operacyjna. Przewidywalne wzorce komunikacji powodują więcej wycieków niż ostrożne. Łącz czas wrażliwych działań z przyziemnymi.

Asymetria

Nadzór treści skaluje się liniowo wraz z wysiłkiem — im więcej czytasz, tym więcej treści gromadzisz. Metadane skalują się znacznie lepiej, ponieważ są małe, uporządkowane i można je odpytywać. „Z kim X rozmawiał w zeszłym tygodniu” to zapytanie do bazy danych; „co omawiał X w zeszłym tygodniu” wymaga przeczytania tysięcy wiadomości.

Ta asymetria jest powodem, dla którego rządy na całym świecie znacznie bardziej naciskają na przepisy dotyczące zatrzymywania metadanych niż przepisy dotyczące czytania treści. Monitorowanie metadanych na dużą skalę jest tańsze i często ujawnia wystarczające informacje.

Na wynos

Dla zwykłych użytkowników: wycieki metadanych są rzeczywiste, ale w dużej mierze kosmetyczne. Dostawcy usług widzą wzorce Twojej aktywności; zarabiają na nich poprzez reklamy. To okazja, którą już zaakceptowałeś, korzystając z bezpłatnych usług.

W przypadku użytkowników dysponujących silniejszymi modelami zagrożeń: metadane często zawierają rzeczywiste informacje identyfikujące. Obrona treści przy jednoczesnym ignorowaniu metadanych to częsty i poważny błąd.

Często zadawane pytania

Czy Signal ukrywa metadane?: Lepsze niż większość. Signal minimalizuje to, co wie z założenia — zapieczętowany nadawca w wielu przypadkach ukrywa na serwerze wiadomość, kto do kogo; firma słynie z reagowania na wezwania, nie mając wiele do ujawnienia. Nie ukrywa wszystkiego (istnienie konta, czasy logowania, IP), ale jest znacznie lepszy od alternatyw.
Czy VPN może chronić moje metadane?: Ukrywa miejsca docelowe i wzorce ruchu przed dostawcą usług internetowych. Przenosi zaufanie do metadanych na dostawcę VPN, który teraz widzi to, co widziałby Twój dostawca usług internetowych. Dla lepszej ochrony metadanych Tor; dla najlepszych sieci wieloprzeskokowych; w przypadku scenariuszy kontradyktoryjnych organizacyjnie, Tails lub Qubes plus dyscyplina.
Jakie metadane wyciekają z protokołu HTTPS?: Docelowy adres IP, często SNI (nazwa hosta), rozmiary pakietów i czas. Szyfrowany klient Hello eliminuje SNI; resztę można zaobserwować dla każdego na ścieżce. HTTPS chroni zawartość, a nie wzorce przepływu sieci.
Czy powinienem usunąć dane EXIF z moich zdjęć?: W przypadku zdjęć udostępnianych publicznie tak – często zawierają współrzędne GPS miejsca wykonania zdjęcia. Większość głównych platform usuwa pliki podczas przesyłania, ale nie zawsze. Zarówno iOS, jak i Android mają opcję udostępniania bez danych o lokalizacji. Ręczne usuwanie (Image Magick, exiftool) daje większą kontrolę.
Dlaczego agencje wywiadowcze wykorzystują metadane?: To się skaluje. Przeczytanie każdej wiadomości od każdego celu jest niewykonalne; analizowanie wykresów połączeń i wzorców komunikacji. „Możesz zabijać ludzi w oparciu o metadane” (generał Michael Hayden, 2014) oddaje rzeczywistość operacyjną — wzorce ujawniają wystarczająco dużo, aby można było podejmować wysoce pewne decyzje dotyczące targetowania bez czytania treści.