ဝှက်စာစနစ်အလုပ်လုပ်ဆဲလား။

ByChris Walker

တင်ထားခဲ့သည်2015.03.11

In light of ongoing revelations about the global surveillance efforts of the US National Security Agency (NSA) and its intelligence allies, you might be wondering if any of this really matters anymore. Much of the recent media coverage appears to suggest that, not only are They recording everything we do and say on the Internet, but now They've defeated our encryption. The sky is falling; all is lost; etc. It is certainly the case that we have learned a great deal from this episode, and that toolkits like Security in-a-Box must be updated to reflect some of those lessons. (Watch this space!) And, of course, it is also true that bombshells remain to be dropped; questions to be answered; suspicions to be confirmed or denied. However, to the best of our knowledge—where "our" knowledge, in this case, is largely that of the security community's best and brightest researchers, cryptologists and tool developers—nothing has come to light that should lead us to abandon hope. While perfect security is (and will remain) unachievable, with the right tools and tactics, we can still protect our digital privacy and security in meaningful ways.

Edward Snowden ၏စကားအရ "ခိုင်မာသော crypto စနစ်များကို မှန်ကန်စွာအကောင်အထည်ဖော်ခြင်းသည် သင်အားကိုးနိုင်သည့်အရာအနည်းငယ်ထဲမှတစ်ခုဖြစ်သည်။လာမည့်လများအတွင်း၊ ကျွန်ုပ်တို့သည် ယခုအချိန်အထိ မည်သို့လုပ်ဆောင်ခဲ့သည်ကို အနည်းငယ်မျှလေ့လာရန် မျှော်လင့်ထားပြီး ကျွန်ုပ်တို့ ပိုကောင်းအောင် မည်သို့လုပ်ဆောင်နိုင်သည်နှင့်ပတ်သက်၍ များစွာသင်ယူရန် မျှော်လင့်ပါသည်။" Security in-a-Box ၏အဓိကပန်းတိုင်တစ်ခုမှာ အဆိုပါယုံကြည်စိတ်ချရသည့်မျက်နှာစာနှစ်ခု: (အသိုင်းအဝိုင်းက "ခိုင်မာသည်" ဟုယူဆသည့် လုံခြုံရေးကိရိယာများကို ခွဲခြားသတ်မှတ်ရန်နှင့် အဆိုပါကိရိယာများကို အသုံးပြုသူတစ်ဦးအနေဖြင့် "မှန်ကန်စွာအကောင်အထည်ဖော်ထားသည့်" မည်သည့်ရှုထောင့်မှမဆို သင့်အား လမ်းညွှန်ပေးရန်) ကို ရှင်းလင်းစွာသိနိုင်စေရန် ကူညီပေးခြင်းဖြစ်သည်။

ဘာတွေပြောင်းလဲသွားပြီလဲ။

On September 6th, The Guardian, the New York Times and ProPublica jointly reported on a classified NSA program called BULLRUN that is dedicated to subverting various forms of encryption meant protect the privacy of online communications. Crucially, efforts by the NSA to ensure its own ability to bypass these protections has the effect of weakening them against other attackers, as well. It is virtually impossible to install "backdoors" into security devices, protocols, software or standards without compromising those systems more generally. (Nor does the NSA appear to be trying all that hard. One particularly blunt instrument in the $250 million BULLRUN arsenal involved blatant manipulation of standards setting initiatives, with the express goal of weakening any recommendations produced.)

အထက်ဖော်ပြပါ Snowden ထုတ်ပြန်ချက်၏ ဒုတိယအပိုင်းသည် အကောင်းမြင်မှုနည်းပါးသည် : "စနစ်တကျအကောင်အထည်ဖော်ထားသည့် ခိုင်မာသော crypto စနစ်များသည် သင်အားကိုးနိုင်သည့်အရာအနည်းငယ်ထဲမှတစ်ခုဖြစ်သည်။ ကံမကောင်းစွာဖြင့်၊ နောက်ဆုံးရှိလုံခြုံရေးသည် အလွန်အားနည်းနေသဖြင့် NSA သည် ၎င်းပတ်ဝန်းကျင်တွင် မကြာခဏနည်းလမ်းရှာနိုင်သည်။ သို့မဟုတ်၊ Bruce Schneier က ၎င်းကို "NSA က သင့်ကွန်ပြူတာထဲသို့ ဝင်ချင်ပါက၊ ၎င်းသည် နောက်ဆုံးအရာဖြစ်သည်။" ထို့ကြောင့်၊ ၎င်းသည် Security in-a-Box သုံးစွဲသူများအတွက် ဘာကိုဆိုလိုသနည်း။ဝန်ခံရမည်ဆိုလျှင် ဤဆိုလိုရင်းမှှာ သင်သည် ကမ္ဘာပေါ်ရှိ အရင်းအမြစ်အကောင်းဆုံး သူလျှိုအဖွဲ့၏ ပုဂ္ဂိုလ်ရေးပစ်မှတ်အဖြစ် မခံရခြင်းက ပိုကောင်းပါသည်။ သို့သော် သင်သည် သို့မဟုတ် အခြားသော ယုတ်မာသော အဖွဲ့အစည်းများနှင့် လူတစ်ဦးချင်းစီတွင် အလားတူ စွမ်းဆောင်ရည်များ ရှိနေလျှင်ပင်, ဤ toolkit ရှိ အကြံပြုချက်သည် ၎င်းတို့၏ဘဝကို ပိုမိုခက်ခဲစေနိုင်သည်။

ဘာကျန်သလဲ။

NSA နှင့် ၎င်း၏မဟာမိတ်များက မည်သည့်စနစ်များ၊ စံချိန်စံညွှန်းများ၊ ဝန်ဆောင်မှုများနှင့် ကိရိယာများကို ပျက်ပြားစေရန် ကြိုးပမ်းခဲ့ကြသည်ကို ကျွန်ုပ်တို့အတိအကျ မသိရသေးသော်လည်း ခေါင်းစဉ်နှင့် ပတ်သက်၍ ချိန်ဆထားသည့် လုံခြုံရေးသုတေသီများသည် ဤ toolkit တွင် အကြံပြုထားသော လုံခြုံသောဆက်သွယ်ရေးဆော့ဖ်ဝဲအများစု၏ နောက်ကွယ်ရှိ ပင်မနည်းပညာကို ယုံကြည်မှုရှိနေဆဲဖြစ်သည်။ဥပမာတစ်ခုမှာ gpg4usb နှင့် Enigmail add-on to the Thunderbird email client နှင့် Android အတွက် APG အပလီကေးရှင်း မှ အကောင်အထည်ဖော်ခဲ့သေ (PGP သို့မဟုတ် GPG ဟုလည်းလူသိများသော) ကိုယ်ရေးကိုယ်တာဆိုင်ရာ အလွန်ကောင်းသောဝှက်စာစနစ်ဖြစ်သည်။နောက်ထပ် ဥပမာကောင်းတစ်ခုမှာ Off the Record (OTR)၊ Pidgin နှင့် Adium အသုံးပြုပြီး ဝှက်စာစနစ်ဖြင့် လက်ငင်းစာတိုပို့ခြင်း နှင့် TextSecure အသုံးပြုပြီး စာတိုပေးပို့ခြင်း (SMS) ဖြစ်သည်။zRTP နှင့်အတူ —Security in-a-Box တွင်မပေါ်သေးသောကိရိယာများစွာဖြင့်အသုံးပြုသော Voice over IP (VoIP) ဝှက်စာစနစ်, ဤနည်းပညာများတွင် ဘုံတူညီသောအရာများစွာရှိသည် :

  • ၎င်းတို့သည် အခမဲ့ ပွင့်လင်းရင်းမြစ် ဆော့ဝဲလ်ဖြစ်ပြီး ပွင့်လင်းသောစံနှုန်းများကို အခြေခံထားသည်။

  • ၎င်းတို့သည် အစအဆုံးဝှက်စာစနစ်ပြုလုပ်ခြင်း အပေါ် မှီခိုနေရသည်၊ ဆိုလိုသည်မှာ သင့်အကြောင်းအရာသည် သင့် ကွန်ပျူတာ သို့မဟုတ် စမတ်ဖုန်းမှ ထွက်ခွာသွားသည့်အခါတွင် ရှုပ်ထွေးသောကုဒ်များအသွင်ဖြင့် ပြောင်းလဲပြီး သင်နှင့် ဆက်သွယ်နေသူတစ်ဦးထံသို့မရောက်ခင်အထိ ၎င်းပုံစံအတိုင်း ဆက်လက်ရှိနေမည်ဖြစ်သည်။ အခြားသော ဝှက်စာစနစ်ပုံစံများနှင့် မတူဘဲ (ဥပမာ HTTPS-ကာကွယ်ထားသော ဝဘ်မေးလ်) သည် အထက်ဖော်ပြပါ ကိရိယာများသည် သင်ပေးပို့လက်ခံရရှိသည့် ဒေတာများကို သင့်ဝန်ဆောင်မှုပေးသူများကို နားမလည်နိုင်စေရန် လုပ်ဆောင်ပေးပါသည်။ ၎င်းသည် သင့်အား စောင့်ကြည့်မည့်သူ သို့မဟုတ် ဝန်ဆောင်မှုပေးသူအားဖိအားပေးမည့်သူထံမှ ကာကွယ်ပေးပါသည်။

  • သူတို့သည် အချိန်အတော်ကြာရှိနေပြီဖြစ်ပြီး ဒစ်ဂျစ်တယ်လုံခြုံရေးအသိုက်အဝန်း၏ လေးစားမှုခံရသည်။

  • ကံမကောင်းစွာဖြင့်၊ ၎င်းတို့သည် ဖြစ်သင့်သလောက် သာမန်မဟုတ်သလို၊ တတ်နိုင်သလောက် အသုံးပြုရလည်း မလွယ်ကူပါ။ နောက်ပြီး သင်ဆက်သွယ်လိုတဲ့လူက သူတို့ကိုလည်း အသုံးမပြုဘူးဆိုရင် သူတို့က အလုပ်မလုပ်ပါ။

အဲဒါက ငါ့အတွက် ဘာကို ဆိုလိုတာလဲ။

နည်းပညာပိုင်းအရ နည်းနည်း မြန်လွန်းနိုင်ချေရှိတဲ့အတွက် ပြီးခဲ့တဲ့လအနည်းငယ်အတွင်း ကျွန်ုပ်တို့ သင်ယူခဲ့ရာကို အခြေခံထားသည့် အကြံပြုချက်အကျဉ်းချုပ်မှာ အောက်ပါအတိုင်းဖြစ်သည်။Security in-a-Box (သို့မဟုတ် ၎င်းကဲ့သို့ အခြားလမ်းညွှန်) ကို သင်ဖတ်ရှုပြီးပါက ပို၍နားလည်လွယ်ပါလိမ့်မည်၊ သို့သော် သင်သည် ဤအကြောင်းအရာအတွက် အသစ်ဖြစ်လျှင်တောင်၊ ဒစ်ဂျစ်တယ်လုံခြုံရေးအကြောင်း သင်ပိုမိုလေ့လာသင်ယူလာသည်နှင့်အမျှ ဤအကြံပြုချက်များကို ထိန်းသိမ်းထားလိုပေမည်။

1) အနည်းဆုံးအနေဖြင့် အဖွဲ့အစည်းတစ်ခုက သင်လုပ်သမျှ သို့မဟုတ် အင်တာနက်ပေါ်တွင် ပြောသမျှကို မှတ်တမ်းတင်နေနိုင်သည်။ သို့သော် ၎င်းတို့အနေဖြင့် အကြောင်းအရာအားလုံးကို ဖတ်ပြီး နားလည်နိုင်မည်ဟု မဆိုလိုပါ။ သင်၏ အရေးကြီးသော ဆက်သွယ်မှုများတွင်ပါရှိသော အကြောင်းအရာကို ကာကွယ်ရန် FOSS၊ ဝှက်စာစနစ် အစအဆုံးပြုလုပ်သည့်ကိရိယာများကို အသုံးပြုပါ။ ထပ်မံသိရှိလိုပါက အောက်တွင် ဆက်လက်ဖတ်ရှုနိုင်ပါသည်။

2) မသမာသူများသည် သင်၏ end-to-end ဝှက်စာပြုလုပ်ထားသောဆက်သွယ်ရေးကို ဖတ်ရှုနိုင်မည် မဟုတ်သော်လည်း အမှန်တကယ် ကြိုးစားနေသည့် အနည်းဆုံးအဖွဲ့အစည်းတစ်ခုခုရှိနေကြောင်း ကျွန်ုပ်တို့ သိပါသည်။ ၎င်းတို့နှင့် ၎င်းတို့ကဲ့သို့ အခြားသူများ မရယူနိုင်အောင် သေချာစေရန်၊ သင်သည် ခိုင်မာသောသော့များကို အသုံးပြုသင့်သည်။(For GPG, use at least a 2048 bit RSA key.)သင့်တွင် ဟောင်းပြီးအားနည်းသော (1024 bit နှင့်/သို့မဟုတ် DSA) GPG Key တစ်ခုရှိပါက၊ ယခုအချိန်သည် အသစ်တစ်ခုဖန်တီးရန် အချိန်ကောင်းဖြစ်နိုင်သည်။toolkit တွင် ဖော်ပြထားသည့်အတိုင်း၊ ဥပမာ၊ သင်၏ ကုဒ်ဝှက်ထားသော email အား စစ်မှန်ကြောင်းသက်သေပြခြင်း နှင့် ချက်ချင်းစာတိုပေးပို့ခြင်း အဆက်အသွယ်များသည် ဆော့ဖ်ဝဲကို ထည့်သွင်းခြင်းနှင့် သော့လဲလှယ်ခြင်းလောက် အရေးမကြီးပါ။ ယေဘုယျအားဖြင့်၊ သင် အစပိုင်းတွင်နားမလည်နိုင်သော အခြားအသေးစိတ်အချက်အလက်များအတွက် Web တွင်မေးပါ သို့မဟုတ် ရှာဖွေပါ။cryptologists က "သင်္ချာအလုပ်လုပ်တယ်" လို့ဆိုသည်ဟုပြောသော်လည်း သင်လည်း သင့်ရဲ့အပိုင်းကို လုပ်ရမည်ဖြစ်သည်။

3) သိသာထင်ရှားသည့်ရင်းမြစ်များဖြင့် အမှန်တကယ်ဆုံးဖြတ်တိုက်ခိုက်သူအား ဆန့်ကျင်သည့်အနေဖြင့်၊ ဤတွင်ဖော်ပြထားသော OTR-based စာတိုပေးပို့ရေးကိရိယာများ,Pidgin နှင့် TextSecureတို့သည် GPG-ဝှက်စာစနစ်အီးမေးလ်ထက် အချို့နည်းလမ်းများဖြင့် ပိုမိုလုံခြုံစေပါသည်။ အထူးသဖြင့် OTR ကို အသုံးပြု၍ သင်ပေးပို့သော သို့မဟုတ် လက်ခံရရှိသည့် စာတိုတိုင်းကို သော့အသစ်ဖြင့် အလိုအလျောက် ဝှက်စာပြုလုပ်ထားသောကြောင့် ဖြစ်သည်။ထို့ကြောင့်၊ တစ်စုံတစ်ယောက်က သင်၏ (မဖတ်နိုင်သော) မက်ဆေ့ချ်များအားလုံးကို နှစ်အတော်ကြာအောင် မှတ်တမ်းတင်ပြီး သင်၏လျှို့ဝှက်သော့သည် တစ်နည်းတစ်ဖုံ သူတို့လက်ထဲသို့ ရောက်ရှိသွားလျှင်ပင်၊ ၎င်းတို့သည် ထိုအကြောင်းအရာအားလုံးကို ဝှက်စာဖြည်ရန် မဖြစ်နိုင်သေးပါ။ ဤသည်မှာ GPG အတွက် မမှန်ကန်ပါ။ သင်သိလိုပါက၊ ဤပိုင်ဆိုင်မှုကို "ပြီးပြည့်စုံသော ရှေ့သို့လျှို့ဝှက်ချက်" (PFS) ဟုခေါ်ပြီး ostel.co ဝန်ဆောင်မှုဖြင့် အသုံးပြုသည့် Jitsi အပါအဝင် zRTP-encrypted VoIP ကိရိယာများအတွက်လည်း မှန်ကန်ကြောင်းဆိုနိုင်ပါသည်။

4) သင်၏အင်တာနက်နှင့် မိုဘိုင်းဖုန်း၏ "လမ်းကြောင်း" နှင့်ပတ်သက်သော အခြေခံဒေတာ ("မက်တာဒေတာ" ဟုလည်းခေါ်သည်)ကို ဖုံးကွယ်ထားခြင်းသည် သင်ဆက်သွယ်ရာတွင်အမှန်တကယ်ပါရှိသည့် အဓိကအကြောင်းအရာကို ဖုံးကွယ်ထားရန်ထက် များစွာခက်ခဲကြောင်း သတိပြုပါ။ မက်တာဒေတာ၏ ဥပမာများတွင်- သင်စကားပြောမည့်သူ၊ မည်သည့်နေရာမှ၊ မည်သည့်အချိန်၊ မည်မျှကြာကြာ၊ မည်သည့်ချန်နယ်များမှတစ်ဆင့် စကားပြောဆိုသည် စသည်ဖြင့် ပါဝင်သည်။ဤကဲ့သို့သော အချက်အလက်အမျိုးအစားကို ကောင်းစွာချိတ်ဆက်လှုပ်ရှားနိုင်သော ရန်သူတစ်ဦးထံမှ ကာကွယ်ရန် လိုအပ်ပါက၊ Tor Browser အမည်ဝှက်ကိရိယာ ( ထို့အပြင် ဤတွင် အကြံပြုထားသည့် အခြားဆော့ဖ်ဝဲများ) ကို အသုံးပြုပါ၊ ထို့အပြင် ၎င်းတို့အား မှန်ကန်စွာအသုံးပြုနည်းကို သေချာလေ့လာပါ။သို့မဟုတ် ပိုကောင်းသည့်နည်းတစ်ခုမှာ၊ သင်၏ PC ကို Tails လည်ပတ်မှုစနစ်ဖြင့် ပြန်လည်စတင်ပါ (ထိုကိရိယာများ၏ Linux ဗားရှင်းများအသုံးပြုနည်းကို လေ့လာပါ)။ ၎င်းသည် သင်၏အင်တာနက်အတွင်းလှုပ်ရှားမှုကို Tor ကွန်ရက်မှ အောင်မြင်စွာ အမည်ဝှက်ထားနိုင်ခြေကို တိုးမြင့်စေမည်ဖြစ်သည်။

5) Be careful with commercial software and services. Some of these resources, like Gmail, almost certainly offer strong privacy protections against outside attackers, but many of the companies who develop and operate them have shown a willingness to install monitoring code, backdoors and other "features" that weaken the security of their own software. Naturally, this is most relevant if you believe that these companies—or governments with direct influence over them—are likely to cooperate with those who oppose your online and offline activities. Keep in mind, however, that built-in surveillance mechanisms like this also represent fundamentally bad security design. (This warning applies to commercial operating systems, as well, by the way, including Microsoft Windows, Apple's Mac OS X and all major smartphone platforms.)

6) Make sure you are using the latest stable version of all security tools. And, while you're at it, learn how to "verify" the software you download (using checksums or digital signatures) to ensure that it's authentic. This won't protect you from a backdoor installed by the developer—voluntarily or under pressure from an organization like the NSA—but it will keep you safe from many other attacks.

တောက်လျှောက် ဒုက္ခရောက်နေပြီလား။

ဤအချိန်တွင်၊ သင်သည် NSA ၏ BULLRUN ပရိုဂရမ်နှင့် ပတ်သက်၍ ကျွန်ုပ်တို့ပြောခဲ့သည်များကို ပြန်ကြည့်ပြီး တွေးကောင်းတွေးနေပေလိမ့်မည်။သို့သော် ကျွန်ုပ်သည် ယုံကြည်စိတ်ချရသော၊ open-source၊ အစအဆုံး ဝှက်စာစနစ်ပြုလုပ်ခြင်း ကို အသုံးပြု၍ ပွင့်လင်းမြင်သာမှုရှိသော စံနှုန်းများကို အခြေခံ၍အသုံးပြုလျှင်တောင်၊ ၎င်းစံနှုန်းများသည်ပင်လျှင် NSA ရဲ့ အဆိပ်သင့်စေခဲ့လျှင် ကျွန်ုပ်အား ထို software က မည်သို့ကူညီမည်နည်း။ပထမဆုံးအနေဖြင့်၊ NSA သည် အထူးသဖြင့် ကုဒ်ဝှက်ကိရိယာများကို တည်ဆောက်ခဲ့သည့် အခြေခံအကျဆုံး အုတ်မြစ်များကို တစ်နည်းနည်းဖြင့် အပေးအယူလုပ်ခဲ့ကြောင်း ပေါ်လွင်လာပါက၊ ၎င်းအားမည်သူမျှ သတိမထားမိခဲ့မည်မဟုတ်ပါ။ ထိုသို့သိရှိခဲ့ပါက ယင်းနေ့သည် ဝမ်းနည်းစရာ နေ့တစ်နေ့ ဖြစ်လိမ့်မည်။ ကျွန်ုပ်တို့အတွက် ကံကောင်းသည်ကား၊ ၎င်းကိစ္စရပ်သည် မဖြစ်ပေါ်လာခဲ့ပါ။

GPG၊ OTR နှင့် zRTP ကဲ့သို့သော လျှို့ဝှက်ကုဒ်ရေးစနစ်များသည် ၎င်းတို့ဖန်တီးထားသည့် - AES အချိုးညီသောဝှက်စာစနစ်၊ RSA အချိုးမညီသောဝှက်စာစနစ်နှင့် လက်မှတ်ထိုးခြင်း၊ DSA လက်မှတ်ရေးထိုးခြင်း၊ Diffie-Hellman key သဘောတူညီချက်နှင့် SHA hash algorithms စသည့် အရင်းခံပရိုတိုကောများနှင့် algorithms များကဲ့သို့ ပွင့်လင်းသောစံနှုန်းများဖြစ်သည်။VeraCrypt နှင့် KeePassXC ကဲ့သို့သော လုံခြုံသော ဒေတာသိုလှောင်သည့်ကိရိယာများတွင်လည်း အသုံးပြုသည့် ဤပိတ်ဆို့မှုများ အချိန်အတော်ကြာအောင် ရှိပြီးနေကြပြီ။ ထို့နောက် အခြားစံနှုန်းအချို့ နှင့်မတူဘဲ၊ NSA လျှို့ဝှက်ဖျက်ဆီးမှုဆိုင်ရာ အထောက်အထားများကို မည်သူမျှ မပြသေးပါ။

NSA သည် အထက်ဖော်ပြပါအချက်အများအပြား အပါအဝင် cryptographic စံနှုန်းများစွာကို ရွေးချယ်ရာတွင် အဆင့် ၁ သို့မဟုတ် အခြားတစ်ခုတွင် သေချာပေါက်ပါဝင်နေသောကြောင့်၊ ၎င်းသည် ပြောင်းလဲနိုင်သည်။ မည်သို့ပင်ဆိုစေကာမူ ဤစံနှုန်းများ၏ ပွင့်လင်းမှုသည် ၎င်း၏ ရည်ရွယ်ထားသော ရည်ရွယ်ချက်ကို လုပ်ဆောင်နေပုံရပြီး အခြားရွေးချယ်စရာအတွက် ရှင်းရှင်းလင်းလင်းဦးစားပေး၍ရသည်။ယုံကြည်ရသော cryptologists များသည် အကောင်းဆုံးကို မျှော်လင့်နေမည့်အစား၊ အနည်းဆုံးအနေဖြင့် သတ်မှတ်ချက်များကို တူးဆွပြီး ရည်ရွယ်ချက်ရှိရှိဖြစ်လာသောချို့ယွင်းချက်များနှင့် ၎င်းတို့တစ်လျှောက်လုံး သတိထားခဲ့သော မတော်တဆမှုများကို ရှာဖွေနိုင်သည်။ထို့အပြင်၊ NSA သည် အင်တာနက်လုံခြုံရေးကို ခုခံကာကွယ်သူအဖြစ် ယနေ့ခေတ်တွင် ယုံကြည်ကိုးစားမှုများစွာရရှိထားပြီး အနာဂတ်တွင် စံချိန်စံညွှန်းများ ရယူရာတွင် ၎င်းတို့၏အခန်းကဏ္ဍကို အချိန်အတော်ကြာအောင် ခိုင်မာစွာ ချုပ်ကိုင်ထားလိမ့်မည်ဟု မျှော်လင့်နိုင်သည်။