TIP#1509: Co je to end-to-end encryption (koncové šifrování). Jak je to bezpečné?

S termínem end-to-end (koncové) encryption (šifrování) se můžete setkat u tak rozšířených věcí jako je Messenger či WhatsApp. Když s někým chatujete nebo si založíte skupinu, tak vás aplikace ujistí, že vaše zprávy jsou šifrované a v bezpečí. Je to tak trochu polovičaté ujištění, je totiž důležité vědět co to konkrétně znamená.

Koncové šifrování chrání proti odposlechu/získání přenášených dat – koncové se jmenuje proto, že odesílaná zpráva se ve vašem zařízení (na jednom konci) zašifruje a na cílovém zařízení (na druhém konci) se rozšifruje a je pro příjemce čitelná. Cestou přes Internet, ani v případných úložištích kde zpráva čeká na doručení, ji není možné dešifrovat a tím pádem přečíst.

Důležité je, že konkrétní zpráva je v čitelné podobě uložena na obou koncích – v telefonu (zařízení) odesílatele i příjemce. Pokud se tedy kdokoliv dostane do jednoho ze zařízení tak se také dostane k obsahu zprávy. Nejčastější útok na koncové šifrování pak prostě spočívá v tom, že se do telefonu/zařízení dostane nějaké software, které v zařízení čte, ukládá a odesílá jinam všechny zprávy.

Pozor na šifrování, které probíhá jen mezi klientem a serverem – to je sice bezpečné s ohledem na možné odposlouchávání cestou, ale provozovatel serveru si může všechny zprávy číst (a také libovolně měnit, protože tohle všechno není jenom o odposlouchávání, ale také o podvrhování). Takové šifrování samozřejmě není „end-to-end“ a pokud ho někdo takto označuje, tak je to podvod.

TIP: V angličtině dobré čtení na toto téma je What Is Encryption And How Does It Work? (pochází odtamtud i obrázek v záhlaví).

Většina cloudových úložišť používá šifrování právě jen v podobě bezpečného přenosu, samotná data uložená v cloudu ale už šifrovaná nejsou (Jak je to se soukromím v Dropboxu či One Drive? Může být šifrované online úložiště opravdu bezpečné?)

Problém s koncovým šifrováním ale ještě je ten, jestli můžete někomu jako Facebook či WhatsApp věřit. Nemáte totiž jak ověřit, jestli jde o skutečné koncové šifrování, jestli si provozovatel nenechal někde nějaké zadní vrátka (backdoor) a k obsahu šifrovaných zpráv (ale i souborů) se nemůže nějak dostat. Z vlastních zájmů, ale také třeba proto, že to vyžaduje země, ve které působí. Celé je to nejisté i proto, že vy sami nemáte kontrolu nad šifrovacími a dešifrovacími klíči.

TIP: K výše popsanému tématu je dobré čtení v Je komunikace ve WhatsApp bezpečná? Čte Facebook moje soukromé zprávy? a Jsou zprávy na Facebooku (Messengeru) skutečně soukromé a v bezpečí?.

Jediná bezpečná možnost jak vědět, že vám nikdo do šifrování nemůže zasahovat je ta, že použijete bezpečné šifrovací standardy a šifrovat budete sami, ještě předtím, než svěříte zprávu/soubor něčemu co ji odešle či nějak uloží. V e-mailu to můžete například dělat pomoci PGP, viz V čem otevřu soubor s příponou .gpg? Co je to PGP?. Dost užitečné čtení, zjistíte tam, že šifrování není až tak jednoduchá záležitost.

Na Internetu má šifrování jako takové zásadní použití i v tak obyčejných věcech jako je surfování po webu – vždy by mělo probíhat po šifrovaném připojení, tedy přes https. Stejně tak je nutné abyste se k poštovním schránkám připojovali pomoci šifrovaného spojení (Je bezpečné používat POP3 poštovní účet? Co IMAP a SMTP?).

Šifrované musí být i i VPN (virtuální privátní sítě) a totéž platí pro Wi-Fi.

Pokud chcete šifrované e-maily tak si musíte nějaký konkrétní pořídit, přehled najdete v Jak si pořídit šifrovaný bezpečný e-mail

Šifrovat je nutné i obsah mobilního telefonu (paměť i případnou SD kartu) a velmi se hodí šifrovat disky na tabletech, noteboocích i počítačích (Jak nastavit soukromí a bezpečně se chovat na notebooku) a stejně tak data na USB klíčenkách.

Vše výše popsané je důležité i z pohled popsaném v tipu Mohou zaměstnanci Facebooku (Instagramu, Twitteru, Google) vidět obsah mého soukromého účtu?