CoverDrop - ระบบส่งข้อความที่ปลอดภัยสำหรับแอปอ่านข่าว
(github.com/guardian)- โซลูชันส่งข้อความความปลอดภัยแบบโอเพนซอร์ส ที่ช่วยให้ผู้ใช้แอปอ่านข่าวและนักข่าวสื่อสารกันได้อย่างปลอดภัย โดยคงไว้ซึ่ง ความไม่เปิดเผยตัวตน และ การปฏิเสธความเกี่ยวข้องได้
- อุปกรณ์ของผู้ใช้ทุกเครื่องจะสร้าง ทราฟฟิกเข้ารหัสแบบสุ่ม ทำให้แม้จะมีการรับส่งข้อความก็ยัง แยกไม่ออกบนเครือข่าย จากการใช้งานอ่านข่าวทั่วไป
- ข้อความถูกจัดการด้วย การเข้ารหัสสองชั้น และขนาด·ความถี่ที่เหมือนกัน จึง ไม่ทิ้งหลักฐาน แม้ในกรณีที่อุปกรณ์ถูกยึด
- ประกอบด้วย สถาปัตยกรรมครบวงจรแบบ end-to-end ทั้งแอปมือถือ, Cloud API, เซิร์ฟเวอร์ความปลอดภัย และเดสก์ท็อปไคลเอนต์สำหรับนักข่าว
- จุดเด่นเมื่อเทียบกับโครงการเดิมคือ การพัฒนาโอเพนซอร์สอย่างโปร่งใส, เทคโนโลยีการเข้ารหัสที่แข็งแกร่ง และฟีเจอร์เฉพาะที่ปรับให้เหมาะกับความต้องการขององค์กรข่าว
แนะนำ CoverDrop
- CoverDrop คือ ระบบที่ปลอดภัยซึ่งออกแบบมาเพื่อให้ผู้ใช้แอปมือถือของบริษัทข่าวสามารถส่งข้อความถึงนักข่าวได้อย่างลับและไม่สามารถติดตามได้
- ระบบนี้มอบ ความสามารถในการปฏิเสธความเกี่ยวข้องได้อย่างแข็งแกร่ง ทำให้นักวิเคราะห์เครือข่าย ไม่สามารถแยกได้ ว่าแอปถูกใช้เพื่อการสื่อสารที่ปลอดภัยหรือเพื่อการเสพข่าวทั่วไป
องค์ประกอบหลัก
- โมดูลภายในแอปข่าว: ผสานรวมเข้ากับแอปมือถือของผู้ใช้
- Cloud API: ทำหน้าที่เป็นจุดเชื่อมต่อส่วนกลาง
- CoverNode: ชุดบริการที่ทำงานในสถานที่ปลอดภัย
- แอปพลิเคชันเดสก์ท็อปสำหรับนักข่าว: ไคลเอนต์บนพีซีที่นักข่าวใช้งาน
โครงสร้างทั้ง 4 ส่วนนี้ทำให้เกิด การเข้ารหัสแบบ end-to-end และ ความปลอดภัยที่แข็งแกร่ง
วิธีการทำงาน
- ทุกอินสแตนซ์ของแอปข่าวจะแลกเปลี่ยน ข้อมูลเข้ารหัสขนาดเล็ก ("ข้อความ cover") กับเซิร์ฟเวอร์เป็นระยะ
- เบาะแสจริง (ข้อความจากแหล่งข่าว) ก็จะถูก เข้ารหัสและส่งในลักษณะที่เหมือนกับข้อความ cover ทั่วไปทุกประการ จึงแยกไม่ออกบนเครือข่าย
- ข้อความทั้งหมดถูกประมวลผลด้วยขนาดและรอบเวลาที่เหมือนกัน และถูกส่งผ่าน Kinesis stream เพื่อดำเนินการต่อ
- ที่เซิร์ฟเวอร์จะมีการถอดการเข้ารหัสชั้นแรกและแยกแยะข้อความจริง ก่อนส่งต่อให้ไคลเอนต์ของนักข่าวในรูปแบบ dead drop โดยคงขนาดของ dead drop ให้สม่ำเสมอด้วย padding
- นักข่าวสามารถ ถอดรหัส ขั้นสุดท้ายได้เฉพาะข้อความที่เข้ารหัสด้วยกุญแจสาธารณะของตนเองเท่านั้น
- ที่เก็บข้อความจะอยู่ในสถานะเข้ารหัสตลอดเวลา ทำให้แม้เกิด การยึดอุปกรณ์ ก็ไม่สามารถพิสูจน์ได้ว่ามีการสนทนาจริงหรือไม่
- เมื่อนักข่าวตอบกลับ ก็จะมีการสื่อสารแบบเข้ารหัสและการแลกเปลี่ยนกุญแจในลักษณะคล้ายกัน
รายละเอียดการออกแบบและโครงสร้างอัลกอริทึมเพิ่มเติมสามารถดูได้ใน whitepaper ที่จัดทำร่วมกับภาควิชาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยเคมบริดจ์
นโยบายความปลอดภัย
- ความปลอดภัย ของ CoverDrop คือสิ่งสำคัญสูงสุด
- ยอมรับว่า ความปลอดภัยที่สมบูรณ์แบบเป็นไปไม่ได้ และยินดีรับรายงานจากนักวิจัยด้านความปลอดภัย
- ประเด็นเรื่องความลับของข้อความ, ความถูกต้องสมบูรณ์ของข้อมูล, การไม่เปิดเผยตัวตนบนเครือข่าย และการเข้ารหัสที่ปฏิเสธความเกี่ยวข้องได้ เป็น พื้นที่ที่ปรับปรุงอย่างต่อเนื่อง
- กำลังปรับปรุงเชิงรุกในประเด็น side channel ที่อาจเกิดจากองค์ประกอบอื่นภายในแอปข่าวที่ถูกรวมเข้าด้วยกัน
ข้อควรระวังในการใช้ซอฟต์แวร์เข้ารหัส
- CoverDrop มี ซอฟต์แวร์เข้ารหัส รวมอยู่
- ต้องปฏิบัติตามกฎหมายของแต่ละประเทศเกี่ยวกับ การนำเข้า การใช้งาน และการส่งออกต่อของเทคโนโลยีเข้ารหัส
- การจัดประเภทของ BIS กระทรวงพาณิชย์สหรัฐฯ: ECCN 5D002.C.1 (ซอฟต์แวร์ที่มีการเข้ารหัสแบบอสมมาตร)
- การเผยแพร่โอเพนซอร์สนี้อยู่ภายใต้ ข้อยกเว้นด้านการส่งออก (TSU, §740.13)
ใบอนุญาต
- รีโพซิทอรีของ CoverDrop เผยแพร่ภายใต้ Apache License 2.0
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
สำหรับคนที่อยากได้คำอธิบายเพิ่มเติม เว็บไซต์หลัก https://www.coverdrop.org/ น่าจะให้ข้อมูลเพื่อทำความเข้าใจได้เหมาะสม กฎหมาย Official Secrets Act 1920 ของสหราชอาณาจักรเคยคุ้มครองการติดต่อแบบไม่เปิดเผยตัวตนกับสำนักข่าว แต่เป็นเรื่องน่าเสียดายที่ส่วนนี้หายไปในการแก้กฎหมายภายหลัง
องค์กรข่าวหลายแห่งใช้ https://securedrop.org/ อยู่แล้ว เลยทำให้อยากรู้ว่า CoverDrop แตกต่างและดีกว่าอย่างไร สามารถดูไดเรกทอรีสำนักข่าวที่รองรับได้ที่ https://securedrop.org/directory/
ในงานวิจัยมีอธิบายไว้แล้ว โดยความแตกต่างคือ SecureDrop กับ CoverDrop มุ่งแก้ปัญหาในคนละสถานการณ์ SecureDrop ใช้ TOR ซึ่งอาจถูกตรวจจับได้ทั้งในระดับเครือข่ายหรือบนอุปกรณ์ ดังนั้นในบางกรณีแค่การใช้ TOR ก็อาจทำให้ตัวตนของผู้แจ้งเบาะแสถูกเปิดเผยได้ ในทางกลับกัน การติดตั้งแอปข่าวดูน่าสงสัยน้อยกว่า CoverDrop จึงเหมาะกับการติดต่อครั้งแรกโดยไม่เปิดเผยตัวสำหรับผู้ใช้มือใหม่ ทราฟฟิกเครือข่ายจะแยกไม่ออกจากผู้ใช้ทั่วไป และพื้นที่จัดเก็บของแอปก็จะถูกใช้พื้นที่แม้ไม่ได้ใช้งานจริง จึงมีคุณสมบัติที่ช่วยให้ปฏิเสธได้ว่าไม่ได้ใช้งาน CoverDrop ไม่สามารถส่งไฟล์ขนาดใหญ่ได้เหมือน SecureDrop และในงานวิจัยก็เสนอว่าหากจำเป็น นักข่าวสามารถแนะนำวิธีใช้ SecureDrop อย่างปลอดภัยผ่านข้อความใน CoverDrop ได้ ดังนั้นถ้ามีความรู้ด้านความปลอดภัยและทักษะทางเทคนิคเพียงพอ การไปใช้ SecureDrop ตรง ๆ อาจเป็นทางเลือกที่ง่ายกว่า
SecureDrop ยอดเยี่ยมมาก และ The Guardian ก็มีแผนจะใช้งานต่อไป ความแตกต่างสำคัญคือสามารถรักษาความไม่เปิดเผยตัวตนได้โดยไม่ต้องติดตั้ง Tor Browser และเมื่อใส่ความสามารถนี้ไว้ในแอปข่าว ก็ช่วยลดอุปสรรคสำหรับผู้แจ้งเบาะแสที่ไม่ใช่สายเทคนิคลงอย่างมาก โดยพื้นฐานแล้วมันช่วยให้ทำ OPSEC ที่ดีได้ CoverDrop (Secure Messaging) ยังมีข้อจำกัดอยู่บ้าง อย่างแรกคือด้วยลักษณะของโปรโตคอล จึงไม่สามารถอัปโหลดเอกสารได้ และส่งข้อมูลได้เพียงไม่กี่ KB ต่อวัน ตอนนี้นักข่าวยังสามารถแนะนำให้ผู้ใช้ไปใช้ Signal ได้ตามสถานการณ์ โดยนักข่าวจะประเมินตัวตนและความเสี่ยงของแหล่งข่าวก่อน แล้วจึงส่งหมายเลข Signal ให้ ซึ่งเป็นโครงสร้างที่ดีเพราะช่วยคัดกรองความเสี่ยงได้ชั้นหนึ่ง ในอนาคตก็กำลังพิจารณาความเป็นไปได้ที่จะประเมินความเสี่ยงภายในระบบ CoverDrop แล้วส่งลิงก์อัปโหลดเอกสารโดยลดการสูญเสียความไม่เปิดเผยตัวตนให้มากที่สุด เช่น ปลอมให้ดูเหมือนไฟล์แนบอีเมลเข้ารหัส เป็นต้น มี งานวิจัยอ้างอิง อีกข้อจำกัดหนึ่งคือความไม่เปิดเผยตัวตนของระบบนี้ขึ้นอยู่กับการมีผู้ใช้แอปจำนวนมาก ดังนั้นถ้าสำนักข่าวขนาดเล็กนำไปใช้ คุณสมบัตินี้อาจอ่อนลง ถึงอย่างนั้น ในทางปฏิบัติเพียงโครงสร้างสตอเรจที่ปฏิเสธได้ก็ถือว่าเป็นความก้าวหน้าครั้งใหญ่เมื่อเทียบกับวิธีการแจ้งเบาะแสแบบอื่น ๆ เช่น PGP หรือแบบที่ใช้ Tor และแม้ว่าจะมีคุณคนเดียวที่ใช้แอปนี้อยู่ มันก็ดูยังปลอดภัยมากพอสมควร ซึ่งเป็นจุดบวก
มีคำถามเดียวกันนี้อยู่ใน FAQ ของหน้าเว็บไซต์
ชอบไอเดียนี้มาก มันทำให้นึกถึงระบบสื่อสารลับที่ CIA เคยสร้างไว้บนเว็บแฟน Star Wars อะไรทำนองนั้น แม้ The Guardian จะไม่ได้พูดตรง ๆ แต่แอปนี้เองก็ดูเหมือนถูกออกแบบให้มีเรื่องบังหน้าแบบนั้น และการใช้แอปข่าวเป็นฉากบังก็ถือเป็นแนวทางที่ยอดเยี่ยม ส่วนตัวมีคำแนะนำอย่างหนึ่งคือ ถ้าคิดจะปล่อยข้อมูลผ่านแอปนี้ ก็คงไม่อยากใช้มันบนอุปกรณ์ที่อาจถูกตรวจสอบได้ทุกเมื่อ ตัวอย่างเช่นโทรศัพท์ที่บริษัทจัดให้ แม้การติดตั้งแอป Guardian เองจะไม่ใช่ปัญหา แต่ถ้าเกิดมีการสอบสวนภายในองค์กรเมื่อมีข่าวใหญ่หลุดไปยัง Guardian ก็อาจไล่รายชื่อผู้ต้องสงสัยให้แคบลงได้ เช่น 1. คนที่เข้าถึงข้อมูลนั้นได้ตั้งแต่แรก 2. ในกลุ่มนั้น คนที่ติดตั้งแอปดังกล่าว มีร่องรอยการดาวน์โหลด หรือปฏิเสธการส่งมอบอุปกรณ์ หากจะปล่อยข้อมูลที่มีคนรู้เพียงกลุ่มเล็ก ๆ หรืออุปกรณ์ผูกกับตัวผู้ใช้ชัดเจน ก็ควรใช้อุปกรณ์ของคนอื่น เช่น ของสมาชิกครอบครัว เพื่อลดความเสี่ยงในการถูกเปิดเผย เป้าหมายที่แท้จริงคือการไม่ตกเป็นผู้ต้องสงสัยในการสอบสวน และเมื่อคำนึงว่าทั้งแอปนี้และข้อมูลที่ส่งอาจเชื่อมโยงไปสู่การรายงานของ Guardian ได้โดยตรง ก็ยากที่จะบอกว่านี่เป็นฉากบังที่สมบูรณ์แบบแม้จะปลอดภัยในเชิงเทคนิคก็ตาม คำแนะนำสุดท้ายคือการใช้อุปกรณ์ที่โยงกลับมาหาตัวคุณได้ยาก จะปลอดภัยกว่ามากเวลามีการรั่วไหล เรื่องนี้ไม่ได้ระบุไว้ใน threat model จึงอาจทำให้มีผู้เสียหายเพิ่มได้
ถามเรื่องกำหนดการว่ารุ่นทางการจะออกเมื่อไร เพราะอยากเพิ่มเข้า Obtainium