Open-source e privacy: la posta elettronica
C'è qualcosa nella mia mente che volevo scrivere da tempo. Vedi, parliamo molto di privacy, scegliamo soluzioni open source considerandole superiori e difendendo le nostre esigenze di privacy, e spostiamo persino tutti i contenuti che possediamo dal cloud nelle nostre reti domestiche private. Creiamo server di calendario personali, server di backup e-mail e molti altri, tutto per la privacy, tutto solo per riguadagnare un po' di individualità, sicurezza e spazio personale in un mondo governato da contratti esclusivi aziendali e capricci del CEO.
E voglio essere onesto con te, tutti coloro che leggono questo blog. Sono il primo a suggerire, raccomandare e aiutare le persone a costruire la propria rete domestica, recuperare tutto ciò che possiedono dal cloud, recuperare le proprie informazioni personali e, se possibile, eliminare tutto ciò che è trapelato online. All'inizio anche io avevo dei dubbi che fosse possibile e tutto è iniziato come un esperimento destinato a fallire. Ma no, non ho bisogno di Google per il mio programma privato, né di Spotify per la musica su tutti i miei dispositivi.
Ma qui arriva il problema: dopo tutto ciò che è stato detto e fatto, la rete è costruita e i file sono tutti miei, ho raggiunto la privacy? Ogni software che utilizzo è open-source, ogni file che possiedo segue lo standard corretto, sono tutti file di testo utilizzabili da qualsiasi client open-source e sono completamente slegato da ogni lock-in: questo basta, no?
L'open source non è sinonimo di privacy
Sebbene l'open source aiuti molto mitigando il lock-in aziendale, lo fa anche utilizzando standard equi e aperti. Ciò significa che abbiamo uno standard per la posta elettronica, ad esempio, uno per i contatti, per i calendari, le note e così via. Se dovessi aprire il tuo archivio di posta in questo momento, otterresti un mucchio di file di testo, leggibili da qualsiasi client. Leggibili anche da qualsiasi essere umano, dato che dopotutto sono solo semplici file di testo.
Ma lo standard non riguarda la privacy, copre solo il formato richiesto a un'applicazione per analizzare il file e ricavarne qualcosa. Qualsiasi altro argomento come privacy, consegna o interazione viene scaricato sull'applicazione. Quindi, solo perché utilizzo lo standard corretto, equo e aperto per archiviare le mie e-mail, non significa che chiunque abbia accesso ad esse non possa semplicemente leggerle.
E quando una terza parte potrebbe accedere alla mia posta elettronica senza mai toccare il mio computer e la mia rete domestica? Bene, quando li mando. Vedete, la posta elettronica viene inviata dall'origine alla destinazione tramite molti server, nodi e infrastrutture di rete e lo standard aperto ed equo è un semplice file di testo leggibile da chiunque. Ma sicuramente usiamo HTTPS in questi giorni. Sì, la mia e-mail è facilmente leggibile da chiunque, ma la mia comunicazione è crittografata per tutto il percorso da casa al destinatario. Non è?
HTTPS non è sinonimo di privacy
Sì, oggigiorno usiamo HTTPS per tutto. Compongo la mia e-mail nel mio client di posta elettronica e solo io ho accesso ad essa finora, quindi la invio al mio provider di posta elettronica utilizzando HTTPS. Ciò significa che non importa quanti salti passa la mia e-mail, solo la destinazione può leggerla. Sfortunatamente, la destinazione non è il destinatario . La destinazione è il provider di posta elettronica, è lì che vengono archiviate tutte le email.
Se invio un'e-mail a un account Gmail, l'e-mail termina il suo viaggio su un server Gmail. Se lo invio a un account Outlook, è un server Outlook. È qui che finisce la crittografia fornita da HTTPS. Una connessione HTTPS non è tra te e l'altra persona con cui stai cercando di parlare, è tra te e il server che entrambi state usando per parlare. Una volta che le tue e-mail arrivano al server di posta, la crittografia HTTPS termina e qualsiasi amministratore che lavora sul server può accedere, scansionare, vedere, interpretare e utilizzare le e-mail memorizzate lì.
In effetti, tutti i provider di posta elettronica pubblici lo fanno già con tutta la tua posta quando viene controllata per lo spam. Altri provider di posta elettronica come Google e Microsoft scansionano la tua posta per trovare informazioni sulla pianificazione in modo che vengano aggiunte automaticamente al tuo calendario o eseguono molte altre attività per fornire tutti i tipi di automazione. Tutto questo è possibile perché la posta elettronica è archiviata in uno standard aperto, libero ed equo, e lo standard non riguarda la privacy (e non dovrebbe). Cosa segue allora? Naturalmente, possiamo crittografare l'e-mail stessa, ottenendo una crittografia end-to-end. Forse?
La crittografia non equivale alla privacy
Se non siamo soddisfatti di crittografare solo il canale di trasmissione con HTTPS, potremmo essere interessati a crittografare l'intero messaggio di posta elettronica utilizzando PGP o altri strumenti di crittografia della posta elettronica. Funziona per proteggere l'effettivo contenuto testuale dell'e-mail, ma per quanto riguarda il mittente, il destinatario, l'oggetto, gli indirizzi IP e tutti gli altri metadati che abbiamo per ogni e-mail, no. E a volte, questo è ancora più importante del messaggio stesso.
Ad esempio, creando un elenco di tutte le persone con cui corrispondo via e-mail, l'amministratore del server di posta può sostanzialmente ricreare il mio elenco di contatti. Questo è esattamente ciò che stavo cercando di evitare avendo il mio server di contatti nella mia rete domestica invece di archiviarlo su Google. E attenzione, un server di posta elettronica non può funzionare senza conoscere il mittente e il destinatario dell'e-mail. Queste informazioni devono essere non crittografate, pubbliche. Allora, cosa, devo ospitare anche il mio server di posta elettronica? No perché continuerò a inviare e-mail agli indirizzi Gmail e Outlook, a meno che non convinca tutti a passare al mio server di posta, ma poi, ahimè, sono quell'amministratore in grado di leggere le e-mail di tutti gli altri .
Allora cosa resta della privacy? Molto. So che questo è un discorso scomodo e so che tutti corriamo ai ripari dietro Linux e ogni standard aperto proprio perché vogliamo sfuggire a strutture aziendali avide e guidate dall'interesse. Va bene e dovremmo continuare a farlo. Ma solo perché corriamo su Linux non significa che l'amministratore di un server di posta Linux dall'altra parte di questo pianeta, che riceve e gestisce le email da tutto il mondo, non possa semplicemente vedere tutte le sudo ls -l /var/opt/maildir/radumie email, crittografate o meno.
Dobbiamo solo essere consapevoli di questo. Dobbiamo solo capire che Linux, gli standard e l'open-source non possono garantire la privacy. Gli standard non sono stati creati per la privacy ma per l'accesso aperto, che posso utilizzare qualsiasi applicazione che desidero con un determinato formato di file. O che potrei persino creare la mia applicazione per quel formato di file. L'open source non è stato creato per la privacy, ma per l'applicazione degli standard, il pieno accesso al codice sorgente, la libertà di scelta e la mancanza di soppressione da parte degli interessi aziendali.
La privacy non si trova nei software, ma è più legata alla disciplina personale online, una sorta di igiene online. È fatta di abitudini più che di software e poco importa se uso Linux o altro. Sì, Linux rende molto più facile raggiungere la privacy semplicemente perché non è interessato ai miei dati personali per creare ogni sorta di ipotesi su di me e fornirmi contenuti e pubblicità di cui pensa io abbia bisogno. Ma non è una copertura per la privacy. In un prossimo articolo parleremo un po' delle abitudini generali che creano e mantengono la privacy online. Fino ad allora, grazie per aver letto e alla prossima!
![Che cos'è un elenco collegato, comunque? [Parte 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
