สิ่งที่ควรทราบเกี่ยวกับการเข้ารหัส
อัปเดตครั้งล่าสุด: November 24, 2018
คุณอาจเคยได้ยินคำว่า “การเข้ารหัส (encryption)” ซึ่งมีการใช้ในหลาย ๆ บริบทและเชื่อมโยงกับคำอื่น ๆ โดยทั่วไปการเข้ารหัส (encryption ) หมายถึงกระบวนการทางคณิตศาสตร์ในการทำให้ข้อความไม่สามารถอ่านได้ ยกเว้นบุคคลที่มีคีย์สำหรับ “ปลดล็อก” ข้อความให้อยู่ในรูปแบบที่สามารถอ่านได้
ตลอดเวลาที่ผ่านมา ผู้คนใช้การเข้ารหัสเพื่อส่งข้อความถึงกัน ซึ่ง (หวังว่า) คนอื่น ๆ ที่ไม่ใช่ผู้รับข้อความจะไม่สามารถอ่านข้อความดังกล่าวได้ ปัจจุบันเรามีคอมพิวเตอร์ที่สามารถทำขั้นตอนการเข้ารหัสให้เราได้ เทคโนโลยีการเข้ารหัสแบบดิจิทัลได้ขยายขอบเขตออกไปมากกว่าแค่ข้อความที่เป็นความลับตามปกติ ปัจจุบันเราสามารถใช้การเข้ารหัสเพื่อวัตถุประสงค์ที่ซับซ้อนขึ้น เช่น เพื่อตรวจสอบตัวตนของผู้เขียนข้อความ
การเข้ารหัสเป็นเทคโนโลยีที่ดีที่สุดที่เรามีไว้ใช้ปกป้องข้อมูลจากผู้ไม่หวังดี หน่วยงานรัฐบาล และผู้ให้บริการ และได้มีการพัฒนาเทคโนโลยีดังกล่าวไปถึงจุดที่แทบจะไม่สามารถทำลายได้—เมื่อใช้อย่างถูกต้อง
ในคู่มือนี้ เราจะดูที่การใช้การเข้ารหัสสองวิธีหลัก ได้แก่ การแปลงข้อมูล ที่ไม่มีการเคลื่อนไหวและข้อมูลที่อยู่ระหว่างการส่งผ่าน
การเข้ารหัสข้อมูลที่ไม่มีการเคลื่อนไหว anchor link
ข้อมูล “ที่ไม่มีการเคลื่อนไหว” คือข้อมูลที่จัดเก็บไว้ที่ใดที่หนึ่ง ไม่ว่าจะเป็น อุปกรณ์มือถือ แล็ปท็อป เซิร์ฟเวอร์ หรือฮาร์ดไดรฟ์ภายนอก เป็นต้น เมื่อไม่มีการเคลื่อนไหว ข้อมูลจะไม่เคลื่อนย้ายจากที่หนึ่งไปยังอีกที่หนึ่ง
ตัวอย่างของรูปแบบการเข้ารหัสที่ปกป้องข้อมูลที่ไม่มีการเคลื่อนไหวคือ “การเข้ารหัสทั้งดิสก์ (full-disk” encryption) (บางครั้งเรียกว่า “การเข้ารหัสอุปกรณ์”) การเปิดใช้การเข้ารหัสทั้งดิสก์จะเข้ารหัสข้อมูลทั้งหมดที่เก็บไว้ในอุปกรณ์และปกป้องข้อมูลโดยใช้กลุ่มคำรหัสผ่าน หรือการตรวจสอบยืนยันวิธีอื่น คุณสมบัตินี้ในอุปกรณ์มือถือหรือแล็ปท็อปจะดูเหมือนหน้าจอล็อกโดยทั่วไปของอุปกรณ์ ซึ่งต้องมีการป้อนรหัสผ่าน กลุ่มคำรหัสผ่าน หรือสแกนลายนิ้วมือ อย่างไรก็ตามการล็อกอุปกรณ์ (เช่น การต้องป้อนรหัสผ่านเพื่อ “ปลดล็อก” อุปกรณ์ของคุณ) ไม่ได้หมายความว่ามีการเปิดใช้งานการเข้ารหัสทั้งดิสก์
สมาร์ทโฟนและแล็ปท็อปที่แต่ละอุปกรณ์มีหน้าจอ “ล็อก” ที่ปกป้องด้วยรหัสผ่าน |
ตรวจให้แน่ใจว่าระบบปฏิบัติการของอุปกรณ์ที่คุณใช้งานใช้วิธีใดในการเปิดใช้งานและจัดการการเข้ารหัสทั้งดิสก์ ระบบปฏิบัติการบางระบบมีการเปิดใช้งานการเข้ารหัสทั้งดิสก์ตามค่าเริ่มต้น ขณะที่บางระบบไม่ได้มีการเปิดใช้ นั่นหมายความว่า ใครก็ตามสามารถเข้าถึงข้อมูลในอุปกรณ์มือถือของคุณได้เพียงแค่ปลดล็อกอุปกรณ์เท่านั้น โดยไม่ต้องปลดล็อกคีย์การเข้ารหัส เนื่องจากอุปกรณ์ไม่ได้มีการเข้ารหัสไว้ บางระบบยังจัดเก็บข้อมูลในรูปแบบเพลนเท็กซ์ไว้ใน RAM ถึงแม้จะมีการใช้การเข้ารหัสทั้งดิสก์ก็ตาม RAM คือพื้นที่จัดเก็บข้อมูลชั่วคราว ซึ่งหมายความว่าหลังจากมีการปิดอุปกรณ์ไม่นาน โดยทั่วไปจะไม่สามารถอ่านข้อมูลในหน่วยความจำได้ แต่ผู้ไม่ประสงค์ดีที่มีความเชี่ยวชาญสามารถใช้การโจมตีแบบโคลด์บูต (cold boot attack) และนำเนื้อหาที่สามารถอ่านได้ใน RAM ไป
การเข้ารหัสทั้งดิสก์สามารถปกป้องอุปกรณ์ของคุณจากบุคคลที่สามารถเข้าถึงอุปกรณ์ของคุณได้ทางกายภาพ ซึ่งวิธีนี้มีประโยชน์ในกรณีที่คุณต้องการปกป้องข้อมูลจากเพื่อนร่วมห้อง เพื่อนร่วมงาน หรือนายจ้าง เจ้าหน้าที่ของโรงเรียน สมาชิกในครอบครัว หุ้นส่วน เจ้าหน้าที่ตำรวจ หรือเจ้าหน้าที่จากหน่วยงานบังคับใช้กฎหมาย นอกจากนี้การเข้ารหัสทั้งดิสก์ยังช่วยปกป้องข้อมูลหากอุปกรณ์ถูกขโมย อย่างเช่น ในกรณีที่คุณลืมโทรศัพท์ไว้บนรถประจำทางหรือที่ร้านอาหาร
มีวิธีอื่น ๆ ในการเข้ารหัสข้อมูลระหว่างที่ข้อมูลไม่เคลื่อนไหว หนึ่งตัวเลือกที่เรียกว่า “การเข้ารหัสไฟล์” จะเข้ารหัสไฟล์ในคอมพิวเตอร์หรือในอุปกรณ์จัดเก็บข้อมูลอื่น ๆ แบบเฉพาะเจาะจง อีกตัวเลือกคือ “การเข้ารหัสไดรฟ์” (ที่เรียกอีกอย่างว่า “การเข้ารหัสดิสก์”): วิธีนี้จะเข้ารหัสข้อมูลทั้งหมดที่จัดเก็บอยู่ในพื้นที่จัดเก็บที่ใดที่หนึ่งเฉพาะในอุปกรณ์
คุณสามารถใช้การเข้ารหัสข้อมูลที่ไม่มีการเคลื่อนไหวรูปแบบต่าง ๆ เหล่านี้ร่วมกันได้ ตัวอย่างเช่น สมมติว่าคุณต้องการปกป้องข้อมูลสำคัญที่มีอยู่ในเอกสารทางการแพทย์ คุณสามารถใช้การเข้ารหัสไฟล์เพื่อเข้ารหัสไฟล์เอกสารทางการแพทย์ที่เก็บไว้ในอุปกรณ์แยกต่างหากได้ จากนั้นสามารถใช้การเข้ารหัสไดรฟ์เพื่อเข้ารหัสส่วนของอุปกรณ์ที่จัดเก็บข้อมูลทางการแพทย์นี้ไว้ ท้ายสุด หากคุณเปิดใช้งานการเข้ารหัสทั้งดิสก์ในอุปกรณ์ ทุกข้อมูล—ข้อมูลทางการแพทย์ทั้งหมด รวมทั้งไฟล์ทุกไฟล์ที่เก็บอยู่ในไดรฟ์ รวมถึงไฟล์สำหรับระบบปฏิบัติการของคอมพิวเตอร์—จะถูกเข้ารหัส
ใน “การป้องกันตัวจากการสอดแนม (Surveillance Self-Defense)” เราได้จัดทำคู่มือสำหรับการเปิดใช้งานการเข้ารหัสในอุปกรณ์ ถึงแม้จะมีคำอธิบายแบบละเอียดเกี่ยวกับตัวเลือกการเข้ารหัสข้อมูลที่ไม่เคลื่อนไหวที่สามารถค้นหาได้ทางออนไลน์ (และมีอยู่ในข้อมูลของ Surveillance Self-Defense หรือ SSD ด้วย!) แต่ขอให้ระวังว่าตัวเลือกเหล่านี้มีการเปลี่ยนแปลงอยู่บ่อยครั้งและคำแนะนำที่มีอาจล้าสมัยได้อย่างรวดเร็ว
การเข้ารหัสข้อมูลระหว่างการส่งผ่าน anchor link
แผนภาพแสดงข้อมูลขณะส่งผ่านที่ไม่ได้มีการเข้ารหัส—ซึ่งมักจะเป็นไปตามการตั้งค่าเริ่มต้นของผู้ให้บริการอินเทอร์เน็ต สมาร์ทโฟนทางด้านซ้ายจะส่งข้อความสีเขียวที่ไม่ได้มีการเข้ารหัสไปยังสมาร์ทโฟนอีกเครื่องทางด้านขวาสุด ในการส่งผ่านข้อความ หอสัญญาณโทรศัพท์มือถือจะส่งผ่านข้อความไปยังเซิร์ฟเวอร์ของบริษัท จากนั้นจะส่งผ่านไปยังหอสัญญาณโทรศัพท์มือถืออีกแห่ง ซึ่งหอส่งสัญญาณแต่ละแห่งสามารถเห็นข้อความ “Hello” ที่ไม่ได้มีการเข้ารหัสไว้ คอมพิวเตอร์และเครือข่ายทั้่งหมดที่ส่งผ่านข้อความที่ไม่ได้ถูกเข้ารหัสจะสามารถเห็นข้อความดังกล่าว ท้ายสุด สมาร์ทโฟนอีกเครื่องจะได้รับข้อความ “Hello” ที่ไม่ได้มีการเข้ารหัส |
ข้อมูล “ระหว่างการส่งผ่าน” เป็นข้อมูลที่กำลังเคลื่อนย้ายผ่านเครือข่ายจากตำแหน่งหนึ่งไปยังอีกตำแหน่งหนึ่ง ตัวอย่างเช่น เมื่อคุณส่งข้อความผ่านแอปส่งข้อความ ข้อความดังกล่าวจะเคลื่อนย้ายจากอุปกรณ์ของคุณไปยังเซิร์ฟเวอร์ของบริษัท แล้วต่อไปยังอุปกรณ์ของผู้รับข้อความ อีกตัวอย่างคือ การดูข้อมูลในเว็บไซต์ เมื่อคุณเข้าเว็บไซต์ ข้อมูลจากเว็บเพจดังกล่าวจะเดินทางจากเซิร์ฟเวอร์ของเว็บไซต์มายังเบราว์เซอร์ของคุณ
แอปยอดนิยมบางแอปมีคุณสมบัติที่อาจปกป้องข้อความได้ อย่างเช่น การทำให้ข้อความหายไป แต่การที่การสื่อสาร (อย่างเช่น การแชทหรือข้อความ) รู้สึกเหมือนจะมีความปลอดภัย ไม่ได้หมายความว่าการสื่อสารดังกล่าวมีความปลอดภัย คอมพิวเตอร์ที่ส่งผ่านข้อความของคุณอาจสามารถดูเนื้อหาของข้อความได้
การตรวจสอบว่าบทสนทนาระหว่างคุณและผู้รับข้อความมีการเข้ารหัสถือเป็นสิ่งสำคัญ รวมทั้งการรับทราบว่าบทสนทนาถูกเข้ารหัสผ่านการเข้ารหัสในชั้นการขนส่ง (transport-layer encryption) หรือ การเข้ารหัสจากต้นทางถึงปลายทาง (end-to-end encryption).
มีสองวิธีในการเข้ารหัสข้อมูลระหว่างการส่งผ่าน ได้แก่ การเข้ารหัสในชั้นการขนส่ง (transport-layer encryption) และ การเข้ารหัสจากต้นทางถึงปลายทาง (end-to-end encryption ) ประเภทการเข้ารหัส ที่ผู้ให้บริการรองรับถือเป็นปัจจัยสำคัญในการตัดสินว่าการบริการใดเหมาะสำหรับการใช้งานของคุณ ตัวอย่างด้านล่างแสดงให้เห็นความแตกต่างระหว่าง “การเข้ารหัสในชั้นการขนส่ง” และ “การเข้ารหัสจากต้นทางถึงปลายทาง”
การเข้ารหัสในชั้นการขนส่ง (Transport-layer encryption) anchor link
แผนภาพแสดงการเข้ารหัสในชั้นการขนส่ง สมาร์ทโฟนทางด้านซ้ายส่งข้อความ “Hello” สีเขียวที่ไม่ได้มีการเข้ารหัส ข้อความดังกล่าวจะถูกเข้ารหัส จากนั้นจะถูกส่งต่อไปยังหอสัญญาณโทรศัพท์มือถือ ตรงกลาง เซิร์ฟเวอร์ของบริษัทจะสามารถถอดรหัสข้อความ เข้ารหัสข้อความซ้ำอีกครั้ง แล้วส่งข้อความดังกล่าวต่อไปยังหอสัญญาณโทรศัพท์มือถือถัดไป ท้ายสุด สมาร์ทโฟนอีกเครื่องจะได้รับข้อความที่มีการเข้ารหัส แล้วถอดรหัสข้อความดังกล่าวเพื่อให้อ่านข้อความได้ว่า “Hello” |
นอกจากนี้ การเข้ารหัสในชั้นการขนส่งยังเรียกว่า การรักษาความปลอดภัยในชั้นการขนส่ง (transport layer security) (หรือ TLS) ซึ่งจะปกป้องข้อความขณะส่งผ่านจากอุปกรณ์ของคุณไปยังเซิร์ฟเวอร์ของแอป และจากเซิร์ฟเวอร์ของแอปไปยังอุปกรณ์ของผู้รับ ระหว่างการส่งผ่าน ผู้ให้บริการส่งข้อความ—หรือเว็บไซต์ที่คุณเข้าดูข้อมูล หรือแอปที่คุณใช้งาน—สามารถเห็นสำเนาของข้อความที่ไม่ได้มีการเข้ารหัสได้ เนื่องจากเซิร์ฟเวอร์ของบริษัทสามารถเห็นข้อความของคุณได้ (และมักมีการจัดเก็บข้อความไว้ในเซิร์ฟเวอร์) ทำให้ข้อความดังกล่าวเสี่ยงต่อการร้องขอของหน่วยงานบังคับใช้กฎหมายหรือการรั่วไหลในกรณีที่เซิร์ฟเวอร์ของบริษัทตกอยู่ในอันตราย
ตัวอย่างการเข้ารหัสในชั้นการขนส่ง : HTTPS anchor link
คุณสังเกตเห็นตัวล็อกสีเขียว “https://” ข้างที่อยู่เว็บ ssd.eff.org ในส่วนที่อยู่เว็บของหน้าต่างเบราว์เซอร์หรือไม่ HTTPS คือตัวอย่างของการเข้ารหัสในชั้นการขนส่งที่เราพบเห็นอยู่บ่อยครั้งบนเว็บ รูปแบบดังกล่าวมีการรักษาความปลอดภัยมากกว่า HTTP ที่ไม่มีการเข้ารหัส เหตุผลคือ เซิร์ฟเวอร์ของเว็บไซต์ HTTPS ที่คุณเรียกดูข้อมูลสามารถเห็นข้อมูลที่คุณป้อนในเว็บไซต์ของตน (เช่น ข้อความ, การค้นหา, หมายเลขบัตรเครดิต และข้อมูลล็อกอิน) แต่ผู้ที่เข้ามาสอดแนมจะไม่สามารถอ่านข้อมูลนี้ได้บนเครือข่าย
การเชื่อมต่อแบบ HTTP ไม่มีคุณสมบัติการปกป้องหากมีใครแอบเข้ามาสอดแนมเครือข่าย และพยายามดูว่าเว็บไซต์ใดที่ผู้ใช้เข้าดูข้อมูล ในทางตรงข้าม การเชื่อมต่อด้วย HTTPS จะซ่อนเพจบางเพจในเว็บไซต์ที่คุณเข้าดูข้อมูล—ซึ่งคือทุกข้อมูล “หลังจากเครื่องหมายสแลช” ตัวอย่างเช่น หากคุณใช้ HTTPS เพื่อเชื่อมต่อกับเว็บไซต์ “https://ssd.eff.org/en/module/what-encryption” ผู้ที่เข้ามาสอดแนมจะเห็นเพียง “https://ssd.eff.org” เท่านั้น
เว็บกำลังอยู่ระหว่างการเปลี่ยนแปลงขนานใหญ่เพื่อเปลี่ยนไปใช้ HTTPS สำหรับทุกเว็บเพจ ทั้งนี้เนื่องจาก HTTP ขาดการรักษาความปลอดภัยที่สำคัญ และ HTTPS มีความปลอดภัยตามค่าเริ่มต้น เว็บเพจที่เชื่อมต่อผ่าน HTTP เสี่ยงต่อการสอดแนม, การปรับเปลี่ยนเนื้อหา, การขโมยคุกกี้, การขโมยข้อมูลล็อกอินและรหัสผ่าน , การเซ็นเซอร์แบบเจาะกลุ่มเป้าหมายและปัญหาอื่น ๆ
เราขอแนะนำให้ใช้โปรแกรมส่วนขยายเบราว์เซอร์ HTTPS Everywhere ของ EFF เพื่อรับการปกป้องด้วย HTTPS ในระดับสูงสุด HTTPS Everywhere จะทำให้เรามั่นใจได้ว่าหากเว็บไซต์ที่เรารู้จักนำเสนอการเชื่อมต่อทั้งแบบ HTTPS และแบบ HTTP คุณจะได้ใช้เวอร์ชัน HTTPS ของเว็บไซต์ดังกล่าวเสมอ
แต่การที่บริการใดก็ตามใช้การเชื่อมต่อแบบ HTTPS ไม่ได้หมายความว่าบริการดังกล่าวจะปกป้องความเป็นส่วนตัวของผู้ใช้ที่เข้าดูข้อมูลของเว็บไซต์นั้น ๆ ตัวอย่างเช่น เว็บไซต์ที่ได้รับการปกป้องด้วย HTTPS อาจใช้การติดตามข้อมูลคุกกี้ หรือโฮสต์มัลแวร์
ตัวอย่างการเข้ารหัสในชั้นการขนส่ง: VPN anchor link
เครือข่ายเสมือนส่วนตัว (Virtual Private Network) (หรือ VPN) คืออีกตัวอย่างของการเข้ารหัสในชั้นการขนส่ง หากไม่มีการใช้ VPN ข้อมูลการสื่อสารทางอินเทอร์เน็ตของคุณจะส่งผ่านการเชื่อมต่อของผู้ให้บริการอินเทอร์เน็ต (หรือ ISP) เมื่อมีการใช้ VPN จะยังมีการส่งข้อมูลการสื่อสารทางอินเทอร์เน็ตของคุณผ่านการเชื่อมต่อของผู้ให้บริการอินเทอร์เน็ต แต่จะมีการเข้ารหัสข้อมูลดังกล่าวระหว่างคุณและผู้ให้บริการ VPN หากมีใครบางคนแอบสอดแนมเครือข่ายภายในของคุณ และพยายามดูข้อมูลของเว็บไซต์ที่คุณเข้าเยี่ยมชม บุคคลดังกล่าวจะสามารถเห็นได้ว่าคุณเชื่อมต่อกับ VPN แต่จะไม่สามารถเห็นข้อมูลของเว็บไซต์ที่คุณเข้าดูได้ ISP ของคุณสามารถตรวจสอบได้ว่าใครคือผู้ให้บริการ VPN แก่คุณ
ขณะที่การใช้ VPN จะซ่อนข้อมูลการใช้งานอินเทอร์เน็ตของคุณจาก ISP แต่จะเปิดเผยข้อมูลการสื่อสารดังกล่าวกับผู้ให้บริการ VPN ผู้ให้บริการ VPN จะสามารถเห็น จัดเก็บ และปรับเปลี่ยนข้อมูลการสื่อสารได้ การใช้ VPN จะเปลี่ยนจากการไว้วางใจ ISP ไปเป็นการไว้วางใจ VPN ดังนั้นสิ่งสำคัญคือต้องตรวจสอบให้มั่นใจว่าผู้ให้บริการ VPN จะปกป้องข้อมูลของคุณ
สำหรับคำแนะนำเพิ่มเติมในการเลือกใช้ VPN ที่เหมาะสำหรับคุณ โปรดดูข้อมูลในคู่มือของ SSD เกี่ยวกับ VPN
การเข้ารหัสจากต้นทางถึงปลายทาง anchor link
แผนภาพแสดงการเข้ารหัสจากต้นทางถึงปลายทาง สมาร์ทโฟนทางด้านซ้ายส่งข้อความ “Hello” สีเขียวที่ไม่ได้มีการเข้ารหัส ข้อความดังกล่าวจะถูกเข้ารหัส จากนั้นจะถูกส่งต่อไปยังหอสัญญาณโทรศัพท์มือถือ และต่อไปยังเซิร์ฟเวอร์ของบริษัท ท้ายสุดสมาร์ทโฟนอีกเครื่องจะได้รับข้อความที่มีการเข้ารหัส แล้วถอดรหัสข้อความดังกล่าวเพื่อให้อ่านข้อความได้ว่า “Hello” การเข้ารหัสประเภทนี้ไม่เหมือนกับการเข้ารหัสในชั้นการขนส่ง โดยเซิร์ฟเวอร์ของ ISP ที่คุณใช้งานจะไม่สามารถถอดรหัสของข้อความได้ เฉพาะผู้รับปลายทางเท่านั้น (อุปกรณ์ต้นทางจะส่งและรับข้อความที่เข้ารหัส) ที่มีคีย์สำหรับปลดล็อกข้อความ |
การเข้ารหัสจากต้นทางถึงปลายทางจะปกป้องข้อความในระหว่างการส่งผ่านจากผู้ส่งไปจนถึงผู้รับ วิธีการดังกล่าวจะทำให้ผู้ส่งต้นทางเปลี่ยนข้อมูลเป็นข้อความลับ (“จุดการสื่อสาร” ต้นทาง) และเฉพาะผู้รับปลายทาง (“จุดการสื่อสาร” ปลายทาง) เท่านั้นที่จะสามารถปลดล็อกข้อความดังกล่าวได้ ไม่มีใครหรือแม้แต่แอปที่คุณใช้งานที่จะสามารถ “แอบฟัง” และสอดแนมกิจกรรมของคุณได้
การใช้งานข้อความที่มีการเข้ารหัสจากต้นทางถึงปลายทางในแอปที่ติดตั้งในอุปกรณ์ที่คุณใช้งานจะทำให้บริษัทที่สร้างแอปไม่สามารถอ่านข้อความดังกล่าวได้ ซึ่งถือเป็นคุณลักษณะสำคัญของการเข้ารหัสที่ดี: ซึ่งแม้แต่ผู้ที่ออกแบบและเปิดใช้การเข้ารหัสยังไม่สามารถทำลายการป้องกันดังกล่าวได้
ในการป้องกันตัวจากการสอดแนม (Surveillance Self-Defense) เรามีคำแนะนำในการใช้เครื่องมือการเข้ารหัสจากต้นทางถึงปลายทางในคู่มือการสื่อสารกับบุคคลอื่น (Communicating With Others)
จะใช้การเข้ารหัสในชั้นการขนส่งหรือการเข้ารหัสจากต้นทางถึงปลายทางดี anchor link
คำถามสำคัญที่ต้องถามเพื่อตัดสินใจว่าจะใช้การเข้ารหัสในชั้นการขนส่งหรือการเข้ารหัสจากต้นทางถึงปลายทางคือ: คุณไว้วางใจแอปหรือบริการที่คุณใช้งานอยู่หรือไม่ คุณไว้วางใจรากฐานโครงสร้างทางเทคนิคของบริษัทดังกล่าวหรือไม่ แล้วนโยบายในการปกป้องผู้ใช้จากคำขอจากหน่วยงานบังคับใช้กฎหมายเป็นอย่างไร
ถ้าตอบว่า “ไม่” สำหรับคำถามข้อใดก็ตามเหล่านี้ คุณต้องใช้การเข้ารหัสจากต้นทางถึงปลายทาง หากตอบว่า “ใช่” สำหรับคำถามเหล่านี้ บริการที่รองรับเพียงการเข้ารหัสในชั้นการขนส่งอาจเพียงพอสำหรับคุณ—แต่โดยทั่วไปเมื่อทำได้ การใช้บริการที่รองรับการเข้ารหัสจากต้นทางถึงปลายทางจะเป็นตัวเลือกที่ดีกว่า
เราได้สร้างภาพเคลื่อนไหวด้านล่างเพื่อสาธิตให้เห็นวิธีการทำงานของการเข้ารหัสจากต้นทางถึงปลายทางและการเข้ารหัสในชั้นการขนส่งสำหรับข้อมูลที่อยู่ระหว่างการส่งผ่าน ทางด้านซ้ายคือเครื่องมือแชทสำหรับการเข้ารหัสจากต้นทางถึงปลายทาง (หน้าต่างแชทที่ใช้ Off-the-Record (ไม่มีการบันทึกข้อมูล) (หรือ “OTR”) โปรโตคอลการส่งข้อความแบบทันทีที่มีการเข้ารหัส) ทางด้านขวาคือหน้าต่างแชทสำหรับการเข้ารหัสในชั้นการขนส่ง (เข้ารหัสผ่านการใช้ HTTPS ในเว็บไซต์ของ Google Hangout)
ใน GIF ผู้ใช้หลักพิมพ์ข้อความในหน้าต่างสำหรับแชทของ Google Hangouts ว่า:
“Hi! ข้อความดังกล่าวไม่ได้มีการเข้ารหัสจากต้นทางถึงปลายทาง Google สามารถเห็นข้อมูลการสนทนา”
นอกจากนี้ผู้ใช้รายนี้เปิดหน้าต่างสำหรับแชทแบบ Off-the-Record (หรือ OTR ) และเปิดใช้การตั้งค่าสำหรับ “การสนทนาแบบส่วนตัว” ในหน้าต่างสำหรับแชทแบบ OTR ข้อความอธิบายระบุว่า:
“กำลังพยายามเริ่มต้นการสนทนาแบบส่วนตัวกับ [gmail account] การสนทนาแบบส่วนตัวกับ [gmail account] ได้เริ่มขึ้นแล้ว แต่ยังไม่มีการตรวจสอบยืนยันตัวตนของคู่สนทนา”
ขณะเดียวกันในหน้าต่างแชทของ Google Hangouts แสดงให้เห็นว่ากำลังมีการแลกเปลี่ยนข้อความที่ไม่มีความหมายซึ่งผ่านการเข้ารหัสลับ โดยแสดงให้เห็นว่าผู้ใช้กำลังใช้โปรโตคอลการเข้ารหัสจากต้นทางถึงปลายทางในแบบที่ไม่มีการบันทึกข้อมูล (Off-the-Record หรือ OTR) ทุกข้อความที่ส่งผ่านหน้าต่างการแชทแบบ OTR จะปรากฏในหน้าต่างการแชทของ Google Hangouts ด้วย แต่ข้อความที่ปรากฏจะแสดงเป็นข้อมูลที่อ่านไม่ได้และไม่มีความหมาย ผู้ใช้อีกคนพิมพ์ข้อคความในโปรแกรมที่ใช้ OTR:
“บุคคลอื่นจะเห็นข้อความดังกล่าวเป็นข้อมูลที่ไม่มีความหมาย”
ผู้ใช้หลักพิมพ์ข้อความว่า:
“Yup, it looks like nonsense.” (“ใช่ มันดูไร้สาระ”)
ผู้ใช้อีกคนส่งอักษรภาพอีโมจิเป็นรูปหน้ายิ้ม
สิ่งที่ไม่ได้เกิดขึ้นในการเข้ารหัสระหว่างการส่งผ่านข้อมูล anchor link
การเข้ารหัสไม่ใช่วิธีการแก้ปัญหาแบบครอบคลุมครบวงจร ถึงแม้คุณจะส่งข้อความที่ผ่านการเข้ารหัส ข้อความดังกล่าวจะถูกปลดล็อกโดยบุคคลที่คุณสื่อสารด้วย หากจุดรับการสื่อสาร (อุปกรณ์ที่คุณใช้ในการสื่อสาร) ตกอยู่ในความเสี่ยง การสื่อสารที่ผ่านการเข้ารหัสก็อาจตกอยู่ในความเสี่ยงด้วย นอกจากนี้ บุคคลที่คุณสื่อสารด้วยสามารถถ่ายภาพหน้าจอหรือเก็บบันทึก (การบันทึกข้อมูล) ข้อมูลการสื่อสารของคุณได้
หากคุณจัดเก็บการสำรองข้อมูลของการสนทนาที่ผ่านการเข้ารหัสไว้ใน “คลาวด์” (คอมพิวเตอร์เครื่องอื่น) อย่าลืมตรวจสอบว่ามีการเข้ารหัสข้อมูลที่สำรองด้วยเช่นกัน เพื่อให้แน่ใจได้ว่ามีการเข้ารหัสการสนทนาของคุณทั้งในระหว่างการส่งผ่านและในช่วงเวลาอื่น ๆ ทั้งหมดด้วย
หากคุณเข้ารหัสข้อมูลในระหว่างการส่งผ่าน การเข้ารหัสจะปกป้องเนื้อหาการสื่อสาร แต่จะไม่เข้ารหัสข้อมูลอภิพันธุ์ (metadata) ตัวอย่างเช่น คุณสามารถใช้การเข้ารหัสเพื่อทำให้ข้อความการสื่อสารระหว่างคุณและเพื่อนแสดงเป็นข้อมูลที่ไม่มีความหมาย แต่ไม่ได้ทำการซ่อนข้อมูลที่ว่า:
- คุณและเพื่อนกำลังสื่อสารกัน
- คุณกำลังใช้การเข้ารหัสเพื่อสื่อสาร
- ข้อมูลประเภทอื่น ๆ เกี่ยวกับการสื่อสารของคุณ เช่น ตำแหน่งที่ตั้ง เวลา และระยะเวลาในการสื่อสาร
ผู้คนที่มีความกังวลเพิ่มมากขึ้นเกี่ยวกับการสอดแนม (เช่น ผู้ที่กังวลเกี่ยวกับการสอดส่องติดตามเครือข่ายของตนที่ดำเนินอยู่) สามารถทำให้ตัวเองตกอยู่ในความเสี่ยงได้โดยการใช้การเข้ารหัสในช่วงเวลาที่ละเอียดอ่อนหรือใช้ในกิจกรรมบางประเภทเฉพาะ เหตุผลคือ หากคุณใช้การเข้ารหัสเฉพาะบางช่วงเวลา อาจทำให้มีการเชื่อมโยงข้อมูลอนุพันธุ์ (metadata) เข้ากับวันที่และเวลาที่มีความสำคัญ ดังนั้นควรใช้การเข้ารหัสให้มากที่สุดเท่าที่จะทำได้ โดยใช้แม้แต่กับกิจกรรมธรรมดาทั่วไป
นอกจากนี้ หากคุณเป็นคนเดียวในเครือข่ายที่ใช้การเข้ารหัส อาจทำให้ข้อมูลอนุพันธุ์นี้ดูน่าสงสัย นี่คือเหตุผลที่ผู้สนับสนุนการเข้ารหัสทั้งหลายกระตุ้นให้ทุกคนใช้เครื่องมือที่ผ่านการเข้ารหัสเมื่อสามารถทำได้ เพื่อทำให้การใช้การเข้ารหัสเป็นเรื่องปกติสำหรับผู้ที่จำเป็นต้องใช้อย่างแท้จริง
การใช้งานร่วมกัน anchor link
เมื่อใช้ร่วมกัน การเข้ารหัสทั้งข้อมูลระหว่างการส่งผ่านและข้อมูลที่ไม่มีการเคลื่อนไหว จะทำให้การรักษาความปลอดภัยมีความครอบคลุมมากกว่าการใช้การเข้ารหัสเพียงรูปแบบเดียว นี่คือวิธีการที่ผู้เชี่ยวชาญในการรักษาความปลอดภัยของข้อมูลเรียกว่า “การป้องกันแบบครอบคลุม” การใช้วิธีการต่าง ๆ ที่หลากหลายเพื่อปกป้องข้อมูล จะทำให้คุณได้รับการปกป้องในระดับที่ครอบคลุมกว่า
ตัวอย่างเช่น หากคุณส่งข้อความที่ไม่ได้เข้ารหัส (ไม่ได้เข้ารหัสข้อมูลในระหว่างการส่งผ่าน) จากอุปกรณ์มือถือที่มีการเข้ารหัส (การเข้ารหัสข้อมูลที่ไม่มีการเคลื่อนไหว) ข้อความเหล่านั้นจะยังมีความเสี่ยงต่อการสอดแนมเครือข่ายและการแทรกแซงจากรัฐบาล ผู้ให้บริการ หรือผู้ไม่หวังดีที่มีความเชี่ยวชาญทางเทคนิค แต่ข้อมูลของข้อความที่บันทึกอยู่ในอุปกรณ์มือถือจะได้รับการปกป้อง โดยบุคคลที่เข้าถึงอุปกรณ์มือถือของคุณได้ทางกายภาพจะไม่สามารถเข้าถึงข้อมูลดังกล่าวได้โดยไม่มีรหัสปลดล็อกอุปกรณ์
กล่าวคือ ถ้าคุณส่งข้อความที่มีการเข้ารหัสจากต้นทางถึงปลายทาง (การเข้ารหัสข้อมูลระหว่างการส่งผ่าน) ในอุปกรณ์ที่ไม่ได้เข้ารหัส (ไม่ได้เข้ารหัสข้อมูลที่ไม่มีการเคลื่อนไหว) ข้อความเหล่านั้นจะไม่รั่วไหลออกไปในกรณีที่มีการแอบดูข้อมูลและสอดแนมบนเครือข่าย แต่ถ้ามีคนเข้าถึงอุปกรณ์มือถือของคุณได้ทางกายภาพ บุคคลดังกล่าวจะสามารถเข้าถึงและอ่านข้อความได้
จากตัวอย่างเหล่านี้ การเข้ารหัสข้อมูลของคุณทั้งในระหว่างการส่งผ่านข้อมูลบนเครือข่ายและขณะที่ข้อมูลเก็บอยู่ในอุปกรณ์โดยไม่มีการเคลื่อนไหวจึงเป็นแนวทางที่ดีที่สุดในการปกป้องตัวคุณเองจากความเสี่ยงต่าง ๆ ที่มีโอกาสเกิดขึ้น
สำหรับรายละเอียดแบบเจาะลึกเกี่ยวกับวิธีการใช้การเข้ารหัส โปรดดูข้อมูลเพิ่มเติมในคู่มือ แนวคิดของคีย์ในการเข้ารหัส (Key Concepts in Encryption) ของเรา