ผู้เขียน Elle Armageddon
ผู้แปล sirisiri
บรรณาธิการ Editorial Team

หมายเหตุ บทความนี้เผยแพร่ครั้งแรกที่ Crimethinc.
บทแปลได้รับการสนับสนุนจากกองทุนก้าวหน้า โดย Common School

คำนำบรรณาธิการ

เทคโนโลยีการสื่อสารนั้นมีบทบาทสำคัญอย่างมากต่อขบวนการเคลื่อนไหวทั่วโลก แต่ฝ่ายผู้มีอำนาจก็ไม่ได้นิ่งเฉยที่จะปล่อยให้ผู้ชุมนุมประท้วงทำตามอำเภอใจ หน่วยข่าวกรองของประเทศต่างๆ ล้วนมีเทคโนโลยีที่จะสกัดกั้น ดักจับ หรือล้วงข้อมูลสำคัญของผู้ที่เคลื่อนไหวทางการเมืองตลอดเวลา การใช้เทคโนโลยีจึงจำเป็นที่จะต้องรู้ทันปฏิบัติการเหล่านี้ และโต้กลับหรือต่อต้านด้วยวิธีที่ทำให้พวกเขาทำงานได้ยากขึ้น การเข้ารหัสแบบสองทาง (End-toend encryption) คือหนึ่งในระบบความปลอดภัยด้านการสื่อสารที่ทำให้รัฐบาลปวดหัวมานักต่อนัก (โดยเฉพาะพวกชอบเสือกชีวิตชาวบ้านอย่างหน่วยข่าวกรองสหรัฐฯ) บทความนี้จะพาเราไปรู้จักว่า E2EE มีประโยชน์อย่างไร มีข้อจำกัดอะไรบ้าง และเราควรใช้มันในการสื่อสารเพื่อการเคลื่อไหวทางการเมืองหรือไม่


End-to-End Encryption (E2EE) 101

จริงหรือไม่ที่การเปิดเผยของ Vault 7 (โครงการล้วงข้อมูลระดับชาติที่พัฒนาโดย CIA) หมายความถึงความล้มเหลวของการเข้ารหัสแบบ E2EE

หลังจากปี 2013 Edward Snowden ได้เปิดเปิดโปงให้โลกรับรู้ถึงหน่วยข่าวกรองด้านความมั่นคงของสหรัฐฯ ซึ่งได้ทำการสอดส่องและจดบันทึก ข้อความแชต การสนทนาผ่านโทรศัพท์ และอีเมล ไม่กี่ปีต่อมาเหตุการณ์ดังกล่าวได้กระตุ้นให้เกิดการหันมาใช้ระบบการเข้ารหัสข้อความโดยผู้ให้บริการแอปพลิเคชั่นเครือข่ายการสื่อสารอีเล็กทรอนิกส์ (เช่น Facebook, Line) คุณคงเคยได้ยินชื่อ end-to-end encryption หรือ “E2EE” มาบ้าง ซึ่งก็มีความหมายตรงตัว การเข้ารหัสระหว่างจุดสิ้นสุด กับ จุดสิ้นสุด (end point หรือ จุดสิ้นสุด หมายถึง จุดสิ้นสุดของวงจรฮาร์ดแวร์ ในที่นี้มักจะหมายถึง มือถือ คอมพิวเตอร์ หรือเครื่องของผู้ส่งสาร ไปสู่เครื่องของผู้รับสาร) แท้จริงแล้วกระบวนการนี้มันช่วยประกันความปลอดภัยแง่ความเป็นส่วนตัวของคุณจากรัฐได้แค่ไหน

ตั้งแต่การเข้ารับตำแหน่งของทรัมป์ กรมศุลกากรอเมริกา (US customs and border protection หรือ CBP) ได้เดินหน้านโยบายที่ถือเป็นการคุกคามความเป็นส่วนตัวของผู้เดินทางอย่างจริงจัง นั่นก็คือนโยบายที่ทั้งคนนอก และประชาชนของอเมริกาเองจะต้องปลดล็อกเครื่องมือสื่อสารของตน ทั้งมือถือ และโน้ตบุ๊กเพื่อรับการตรวจสอบโดยศุลกากร พวกเขาจะเรียกร้องการปลดล็อกเท่าที่ต้องการ หรืออาจถึงขั้นขอให้แสดงรหัสผ่านส่วนตัวเพื่อตรวจสอบ หากไม่ให้ความร่วมมือจะถูกปฎิเสธการเดินทางเข้าประเทศโดยสิ้นเชิง

Basic E2EE (source: geeksforgeeks.org)

วันที่ 7 มีนาคม 2017 ที่ผ่านมา Wikileak ได้เผยแพร่ขุมทรัพย์ลับของ CIA ทั้งเอกสารและบันทึกแนวทางการล้วงข้อมูล จุดอ่อน-จุดแข็ง ของวิธีการต่างๆ ที่ CIA ใช้งบประมาณลับผลักดันขึ้นมาให้เป็นรูปเป็นร่าง เมื่อการเปิดโปงครั้งนี้แพร่ออกไป ไม่ใช่แค่เพียง CIA อีกต่อไปที่จะรู้จุดอ่อน-จุดแข็ง ของแต่ละแนวทางการล้วงข้อมูลซึ่งถูกเข้ารหัสผ่านแอปพลิเคชันต่างๆ เช่น Signal, WhatsApp ส่วนใหญ่แล้ว CIA มุ่งเป้าไปที่การเข้าถึงข้อมูลโดยตรงผ่านอุปกรณ์แอนดรอยด์ส่วนบุคคล

อย่างไรก็ดีการเปิดโปงครั้งนี้แสดงให้เห็นว่า กระบวนเข้ารหัสการสื่อสารด้วยระบบ E2EE ทำให้การดักฟัง หรือการสอดส่องนั้นทำได้ยากขึ้นจริงๆ ดังนั้นการใช้ E2EE จึงยังมีความสำคัญอยู่

มีรายงานจำนวนมากกล่าวว่า โครงการ Vault 7 สามารถเจาะระบบเข้ารหัสของแอปพลิเคชั่น Signal ได้สำเร็จ ซึ่งแท้จริงแล้วก็เจาะได้แค่ขั้นตอนอุปกรณ์ของผู้รับสาร (อาจหมายความว่าไม่ได้เจาะระบบเข้ารหัสสำเร็จ แต่เป็นการเข้าถึงข้อมูลจากการปลดล็อกของผู้ใช้เอง) ในจุดนี้เราไม่มีเหตุให้เชื่อได้ว่า การเข้ารหัสนั้นไร้ประสิทธิผล

ข้อจำกัด ของการสอดส่องข้อมูลโดยตรง

ก่อนอื่นข้อความที่เราได้อ่านกันในช่องแชตนั้นเป็นข้อความทั่วไป นั่นหมายความว่าข้อความได้ถูกถอดรหัสแล้ว ด้วยการเข้ารหัสแบบ end-to-end จุดที่สามารถเข้าถึงได้ง่ายที่สุดตลอดการเดินทางของข้อมูลคือ คุณและอุปกรณ์สื่อสารของคุณ หรือในทางกลับกันก็คือ คู่สนทนาของคุณและอุปกรณ์สื่อสารของเขา หมายความว่าใครก็ตามที่สามารถ ปลดล็อก/เข้าถึง อุปกรณ์สื่อสารของคุณหรือของคู่สนทนาของคุณ ย่อมสามารถอ่านข้อความเหล่านั้นได้โดยตรง ตำรวจนอกเครื่องแบบอาจแอบอ่านข้อความของคุณจากการแอบมองหน้าจอของผู้รับสารที่ไม่ทันระวังตัว หรืออาจยึดไปและเจาะเข้ารหัสผ่านเฉพาะของตัวเครื่องเพื่อเปิดดู ถ้าเป็นกรณีอย่างนี้คุณก็ควรจะรอบคอบเป็นพิเศษหากคิดจะส่งข้อความอะไรที่ไม่อยากให้คนเหล่านั้นรับรู้ด้วย

ข้อจำกัดของการสอดแนมระดับบุคคล

หากคุณไม่สามารถแน่ใจได้ว่าผู้รับสารจะปลอดภัยจากการสอดแนม คุณควรคาดเดาไว้เลยว่าข้อความใดๆ ที่ถูกส่งถึงผู้รับ พวกที่ต้องการล้วงข้อมูลก็จะเห็นมันได้เช่นกัน อย่างไรก็ตามการสอดแนมอย่างเฉพาะเจาะจงนี้ไม่ได้เกิดขึ้นบ่อยๆ วิธีการหลักๆ จะเป็นการใช้มัลแวร์ที่ส่งเข้ายังอุปกรณ์สื่อสารของเป้าหมายเพื่อส่งกลับข้อความใดๆ ที่เข้า/ออก ผ่านเครื่องมือนั้น วิธีนี้สามารถฝ่าการป้องกันของ E2EE เข้ามาได้ ดังนั้น เมื่อเราไม่สามารถทราบได้ว่าในบุคคลที่เราติดต่อมีใครตกเป็นเป้าของการโจมตีประเภทนี้หรือไม่ เราจึงควร “หลีกเลี่ยงการสื่อสาร” หรือ  “ส่งข้อความที่มีความอ่อนไหวอย่างมาก”ผ่านระบบดิจิทัล แม้ว่าการคุกคามประเภทนี้จะหาได้ค่อนข้างยาก แต่คุณก็ไม่ควรเสี่ยง!

ข้อจำกัดของ Metadata

อย่างที่สาม E2EE ไม่ได้ปกป้อง metadata (รายละเอียดของข้อมูล เช่น เวลาที่ส่ง ขนาด ตำแหน่งที่ส่งและรับข้อความ) ของคุณ แน่นอนว่าขึ้นอยู่กับกระบวนการของการส่งข้อมูลของอุปกรณ์สื่อสาร สิ่งที่ถูกบันทึกจะยังคงแสดงเวลาและขนาดของสาร ทั้งผู้รับและของผู้ส่ง นั่นอาจรวมถึงตำแหน่งที่อยู่ของคู่สนทนาในเวลาต่างๆ ด้วยเช่นกัน อย่างไรก็ตามข้อมูลเหล่านี้ไม่เพียงพอที่จะจับใครเข้าคุกได้ง่ายๆ แต่มันสามารถบอกความสอดคล้องที่เกิดขึ้นระหว่างการสื่อสารของคู่สื่อสาร เช่นเบาะแสการปรากฏตัวในที่เกิดเหตุ และรูปแบบจังหวะความถี่ของการสื่อสารที่เกิดขึ้น เมื่อนำมาพิจารณาเข้าด้วยกันก็สามารถนำไปสู่การติดตามผ่านเครือข่ายกล้องวงจรปิดได้อย่างง่ายดาย

แล้วไงต่อล่ะ ?

หากว่า E2EE ไม่ได้ช่วยป้องกันการล้วงข้อมูลได้อย่างสมบูรณ์แบบ แถมยังปล่อยรายละเอียดของการสื่อสารอย่าง metadata ได้ แล้วทำไมเราจึงยังต้องการมันอีกเล่า!

อย่างหนึ่งที่การเข้ารหัสการันตีให้เราได้ก็คือ หากผู้มีอำนาจเหล่านั้นไม่สามารถเข้าถึงเครื่องมือสื่อสารของผู้รับหรือผู้ส่งได้ นั่นแปลว่าเขาสามารถขอตัวอย่างข้อความที่ถูกเข้ารหัสจากผู้ให้บริการอย่างเช่น Facebook ได้ อีกทั้งมันยังต้องการเครื่องมือและเวลามากทีเดียวที่จะถอดรหัสให้กลายเป็นข้อความต้นทางที่เราส่งไป ซึ่งในประเทศอเมริกา โจทก์มีสิทธิ์ที่เรียกว่า Speedy trial1right to a speedy trial คือ สิทธิที่จะได้รับการไต่สวนอย่างรวดเร็วหลังจากที่ถูกจับกุมแล้ว ซึ่งระยะเวลาที่จะใช้รูปแบบการไต่สวนลักษณะนี้อาจอยู่ในช่วงเวลามาตรฐานราว 70 วัน หรือมากกว่า ซึ่งหมายถึงการเข้ารับการไต่สวนภายในเวลาจำกัดเพื่อไม่ให้รบกวนเวลาของผู้เกี่ยวข้องมากเกินไป แต่ก็อาจจะกลายเป็นกลยุทธ์ในการสู้คดีได้ด้วยเช่นกัน ซึ่งทำให้หลักฐานดังกล่าวไม่สามารถถูกถอดรหัสได้ทันเวลา

การสอดส่องระดับมวลชน

E2EE ทำให้การดักจับข้อมูลของหน่วยงานความมั่นคงของรัฐและหน่วยงานที่บังคับใช้กฎหมายต่างๆ นั้นมีความยุ่งยากขึ้น เนื่องจากไม่สามารถเข้าถึงข้อมูลได้ระหว่างทาง เช่น ต่อให้มีการขอข้อมูลจากผู้ให้บริการโดยตรง แต่ก็ยังต้องใช้ทรัพยากรที่มากเกินควรอยู่ดีเพื่อปลดการเข้ารหัสเหล่านั้นออก ทำให้วิธีการนี้มักจะไม่คุ้มค่ากับที่ลงทุนไป เพราะขาดความแม่นยำของข้อมูลที่ต้องการอยู่ดี

Stingray Cellphone Spying (source: sandiegouniontribune.com)

Stingrays

“Defending Our Nation. Securing the Future/

ปกป้องชาติ รับประกันอนาคต”

คำขวัญของหน่วยงาน NSA

National Security Agency  หรือ NSA คือ หน่วยข่าวกรองทางทหารระดับนานาชาติซึ่งดำเนินการภายใต้จุดมุ่งหมายทางข้อมูลข่าวสารของสหรัฐ เพื่อรวบรวมข้อมูลจากทั่วโลกในเชิงรุก เป็นหน่วยงานภายใต้การนำของ Director of National Intelligence หรือ DNI อีกต่อหนึ่ง (ผู้แปล)

NSA มักจะใช้กระบวนการสอดส่องข่าวสารผ่านระบบ IMSI หรือ Stingrays ซึ่งแฝงตัวอยู่ในระบบสื่อสาร โดยเฉพาะอุปกรณ์โทรศัพท์ เพื่อดึงข้อมูลโดยตรงจากเครือข่ายมือถือ ซึ่งก็สามารถเข้าถึงข้อมูลในเครื่องของคุณได้ แต่ด้วยระบบ E2EE สิ่งที่องค์กรเหล่านี้สามารถช่วงชิงไปได้ก็ยังเป็นเพียงข้อความที่ถูกเข้ารหัสและจำต้องใช้เวลาอย่างสิ้นเปลืองเพื่อที่จะแก้รหัสออกให้เป็นข้อความต้นฉบับ

การเข้ารหัสทั้งระบบ

ทุกวันนี้กูเกิลมีมาตรการให้อุปกรณ์มือถือแอนดรอยด์ต้องเข้ารหัสขั้นพื้นฐาน ซึ่งเราพบเจอได้ในระบบมือถือของเราที่เรียกว่า Full-disk encryption โดยรวมแล้วหมายความว่ากระบวนการเก็บข้อมูลในอุปกรณ์มือถือเหล่านั้นจะถูกเข้ารหัสก่อนถูกเก็บเข้าหน่วยความจำถาวร และจะต้องถอดรหัสเมื่อถูกเรียกใช้ ซึ่งจะช่วยปกป้องข้อมูลจากมัลแวร์ที่ทำหน้าที่เจาะข้อมูล สิ่งที่มัลแวร์เหล่านี้จะนำออกไปได้ก็มีแค่เพียงข้อมูลที่ถูกเข้ารหัสแล้วเท่านั้น

อย่างไรก็ตาม E2EE ไม่ใช่โล่มนตราที่จะปกป้องคุณจากการคุกคามด้านข้อมูลและความเป็นส่วนตัวจากรัฐในระดับปัจเจกได้อย่างสมบูรณ์ แต่ข้อมูลจาก Vault 7 ได้ชี้ให้เห็นแล้วว่ามันสร้างความยุ่งยากแก่องค์กรต่างๆ ของรัฐได้อย่างมากทีเดียว ซึ่งอย่างน้อยมันก็ช่วยลดหนทางในการจู่โจมของพวกเขา ไปจนถึงเป็นการเพิ่มแรงจูงใจให้พวกเขาหลีกเลี่ยงการโจมตีในหลายๆ ประเภทที่จะกลับกลายเป็นความเปล่าประโยชน์ของพวกเขาเองในที่สุด