ความปลอดภัยดิจิทัล

เหตุใดนักข่าวจึงควรเลือกใช้แอปพลิเคชันที่มีการเข้ารหัสแบบต้นทางถึงปลายทาง

on 1 นาทีการอ่าน
Print Friendly, PDF & Email

การมีระบบการเข้ารหัสแบบต้นทางถึงปลายทาง หรือ End to End Encryption ในแอปพลิเคชันและโปรแกรมส่งข้อความ ช่วยคุ้มครองนักข่าวและแหล่งข่าว โดยเฉพาะอย่างยิ่งในการสื่อสารข้อมูลที่มีความละเอียดอ่อน

เมื่อต้องทำงานกับข้อมูลที่มีความละเอียดอ่อน นักข่าวควรประเมินความเสี่ยงของเครื่องมือออนไลน์ที่ใช้ในการสื่อสารอยู่เสมอ และควรให้ความสำคัญกับการเลือกใช้แอปพลิเคชันที่มีระบบการเข้ารหัสแบบต้นทางถึงปลายทาง หรือ End to End Encryption เช่น Signal เป็นต้น การเข้ารหัสเป็นมาตรการหลักที่ถูกนำมาใช้เพื่อคุ้มครองเนื้อหาของข้อความไม่ให้ถูกอ่านโดยบุคคลที่สาม โดยเฉพาะในการสื่อสารข้อมูลที่มีความละเอียดอ่อน ทั้งนี้ เนื่องจากเราไม่สามารถเข้ารหัสข้อความ SMS และการโทรศัพท์แบบปกติได้ จึงเปิดโอกาสให้ผู้ให้บริการอินเทอร์เน็ตและรัฐบาลสามารถเข้าถึงเนื้อหาทั้งหมดที่ส่งผ่านบริการเหล่านี้ ประเภทของการเข้ารหัสที่ใช้จะเป็นตัวกำหนดว่าผู้ให้บริการอินเทอร์เน็ตหรือแอปพลิเคชันสามารถมองเห็นข้อมูลใดได้บ้าง และในหลายประเทศ รัฐบาลสามารถใช้อำนาจตามกฎหมายเพื่อขอข้อมูลจากผู้ให้บริการอินเทอร์เน็ตและบังคับให้ส่งมอบบันทึกข้อมูลอย่างละเอียด อีกทั้งในบางกรณียังอาจใช้วิธีการอื่นในการดึงข้อมูลโดยที่ผู้ให้บริการอินเทอร์เน็ตไม่รับรู้

ปัจจัยในการประเมินความเสี่ยง

  • หน่วยงานหรือบุคคลที่อาจต้องการเข้าถึงข้อมูลของคุณ ไม่ว่าจะเป็นหน่วยงานเอกชน หรือหน่วยงานของรัฐ รวมถึงระดับของทรัพยากรที่แต่ละฝ่ายสามารถนำมาใช้เพื่อเข้าถึงข้อมูลดังกล่าวได้
  • ผู้ให้บริการอินเทอร์เน็ต (ISPs) ที่ข้อมูลจะถูกส่งผ่านในทั้งฝั่งผู้ส่งและผู้รับ
  • การเลือกใช้แอปพลิเคชันที่มีอยู่ และประเภทของการเข้ารหัสที่แอปพลิเคชันนั้นใช้

ประเภทของการเข้ารหัส

  • ไม่มีการเข้ารหัส อุปกรณ์หรือระบบใดๆ ที่เกี่ยวข้องกับการส่งผ่านข้อความหรือข้อมูลระหว่างผู้ส่งและผู้รับสามารถเข้าถึงเนื้อหาของข้อมูลได้ทั้งหมด
  • การเข้ารหัสขณะจัดเก็บข้อมูล ช่วยคุ้มครองข้อมูลที่อยู่ภายในอุปกรณ์จากการเข้าถึงโดยไม่ได้รับอนุญาต โดยมีวัตถุประสงค์หลักเพื่อป้องกันมัลแวร์ สปายแวร์ หรือความพยายามบุกรุกภายในอุปกรณ์ของผู้ใช้เอง การเข้ารหัสประเภทนี้ไม่สามารถคุ้มครองข้อมูลในระหว่างการส่งผ่านได้
  • การเข้ารหัสระหว่างการส่งผ่านข้อมูล ช่วยคุ้มครองข้อมูลของผู้ใช้ในขณะที่ข้อมูลถูกส่งไปยังเซิร์ฟเวอร์ของแอปพลิเคชัน ผู้ให้บริการอินเทอร์เน็ตไม่สามารถอ่านข้อมูลของผู้ใช้ได้ อย่างไรก็ตาม เซิร์ฟเวอร์ของแอปพลิเคชันยังคงสามารถเข้าถึงข้อมูลดังกล่าวได้
  • การเข้ารหัสแบบต้นทางถึงปลายทาง (End-to-end Encryption – E2EE) เป็นระดับการเข้ารหัสที่มีประสิทธิภาพสูงสุดซึ่งมีให้ใช้งานในเชิงพาณิชย์ในปัจจุบัน โดยจะทำการเข้ารหัสข้อมูลของผู้ใช้ตลอดกระบวนการส่งผ่านทั้งหมด ทำให้แม้แต่เซิร์ฟเวอร์ของแอปพลิเคชันก็ไม่สามารถอ่านข้อมูลได้

 ข้อจำกัดของการเข้ารหัสแบบต้นทางถึงปลายทาง

  • การเข้ารหัสที่อ่อนแอ คำว่า “การเข้ารหัส” อาจมีความหมายได้หลากหลาย และเพียงลำพังไม่ได้รับประกันความปลอดภัยของข้อมูลอย่างสมบูรณ์ แม้วิธีการเข้ารหัสจะมีการพัฒนาอย่างต่อเนื่อง แต่วิธีการถอดรหัสหรือทำลายการเข้ารหัสก็พัฒนาควบคู่กันไปด้วย การเข้ารหัสที่ล้าสมัยหรือมีความอ่อนแออาจสร้างความรู้สึกปลอดภัยที่ไม่สอดคล้องกับความเป็นจริง ผู้ใช้สามารถตรวจสอบความแข็งแรงของระบบการเข้ารหัสได้ผ่านแอปพลิเคชันโอเพนซอร์สที่มีการเผยแพร่รายงานการตรวจสอบด้านความปลอดภัยอย่าง Threema
  • การบันทึกข้อมูลและการเก็บรักษาข้อมูล ไฟล์บันทึกข้อมูล (log file) เป็นไฟล์ที่บรรจุข้อมูลเกี่ยวกับรูปแบบการใช้งาน กิจกรรม และการดำเนินการต่าง ๆ ภายในระบบปฏิบัติการ แอปพลิเคชัน เซิร์ฟเวอร์ หรืออุปกรณ์อื่นๆ แอปพลิเคชันบางประเภท รวมถึงบริการ VPN บางราย ไม่ได้ลบข้อมูลที่จัดเก็บไว้ ซึ่งหมายความว่าหากมีบุคคลที่สามารถถอดรหัสข้อมูลของผู้ใช้ได้ และสามารถเข้าถึงไฟล์บันทึกข้อมูลที่ถูกเข้ารหัส ผู้ไม่ประสงค์ดี เช่น แฮกเกอร์ ก็อาจสามารถอ่านข้อมูลทั้งหมดได้ จึงควรเลือกใช้แอปพลิเคชันที่ระบุชัดเจนว่าไม่มีการบันทึกข้อมูล (no logging) อย่างไรก็ดี ผู้ใช้ควรตรวจสอบเงื่อนไขการใช้งานเพื่อยืนยันความหมายของคำว่า “ไม่มีการบันทึกข้อมูล” เนื่องจากบางแอปพลิเคชันใช้เพียงการเข้ารหัสระหว่างการส่งผ่านข้อมูล แต่ไม่มีการบันทึกข้อมูล หรือเก็บข้อมูลไว้เพียงช่วงเวลาสั้นๆ ก่อนจะลบออก แม้แนวทางดังกล่าวจะยังมีความเสี่ยงอยู่บ้าง แต่ก็อาจปลอดภัยกว่าการใช้การเข้ารหัสแบบต้นทางถึงปลายทางที่มีความอ่อนแอ
  • ที่ตั้งของเซิร์ฟเวอร์และองค์กร หากเซิร์ฟเวอร์ตั้งอยู่ในประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่อ่อนแอ ข้อมูลของผู้ใช้อาจตกอยู่ในความเสี่ยงที่จะถูกเข้าถึงได้ ในบางกรณี ผู้ให้บริการอินเทอร์เน็ตอาจถูกบังคับตามกฎหมายให้แบ่งปันข้อมูลกับประเทศพันธมิตร ตัวอย่างเช่น กลุ่มพันธมิตร Five Eyes Alliance ที่เปิดโอกาสให้รัฐบาลสหรัฐอเมริกาสามารถเข้าถึงข้อมูลผู้ใช้อินเทอร์เน็ตจากรัฐบาลของประเทศพันธมิตรอีกสี่ประเทศได้ ดังนั้น จึงเป็นสิ่งสำคัญที่แอปพลิเคชันในโทรศัพท์ของผู้ใช้จะต้องไม่ถูกโฮสต์อยู่ในประเทศที่อาจก่อให้เกิดความเสี่ยงต่อความปลอดภัยของผู้ใช้เอง

เขียนโดย Benjamin Finn Benjamin มีถิ่นฐานอยู่ที่เมืองฮิวสตัน สหรัฐอเมริกา ทำงานในสายเทคโนโลยีสารสนเทศมาเป็นเวลากว่าสิบปี โดยมุ่งเน้นหลักการปรับใช้เครื่องมือด้านความมั่นคงปลอดภัยภายในองค์กรขนาดใหญ่ ตลอดช่วงสองปีที่ผ่านมา เขาได้ทำงานในประเทศเมียนมาและทำการวิจัยเกี่ยวกับการรักษาความปลอดภัยที่เหมาะสมภายใต้บริบทของรัฐที่มีการกดขี่ และในช่วงไม่กี่เดือนที่ผ่านมา เขาได้ทำงานร่วมกับกลุ่มต่างๆ หลายกลุ่มในไต้หวัน เพื่อฝึกอบรมด้านมาตรการความปลอดภัยและการคุ้มครองที่เหมาะสม

The Thai translation was made possible with support from the Government of Canada and the Canada Fund for Local Initiatives (CFLI).