SecureDrop – onion-сервис для безопасной передачи информации

Конечно, существует далеко не один способ безопасно передать текст или файл. Однако у SecureDrop есть отличия, которые могут сделать его предпочтительным вариантом. Важно отметить, что SecureDrop в первую очередь – сервис для передачи информации общественным организациям, так как по большей части именно они имеют активированные onion-"приёмные", куда можно безопасно написать или отправить файл. Однако создать свою "приёмную" простому пользователю несложно, и это может быть полезным инструментом для бизнес-партнёров, родственников, адвокатов – ведь это по сути безопасный почтовый ящик с немного ограниченной возможностью обратной связи.

Один из популярнейших мессенджеров с надёжным шифрованием – Pidgin с плагином OTR, бывает очень удобен, но требует, чтобы оба участника находились онлайн одновременно. Нельзя оставить сообщение для адресата, находящегося оффлайн.

Конечно, есть плагин OMEMO, который можно установить на многие XMPP-мессенджеры (Pidgin, Gajim и т.п.), в котором есть функция доставки сообщений, отправленных оффлайн-адресату. Но мало кто вообще о нём слышал. Не каждый быстро сообразит, как и из какого источника безопасно установить мессенджер и плагин – не все возможные варианты, выпадающие в поиске, являются хорошо проверенными сообществом (само собой, предпочтение лучше отдавать тому, что есть в репозитории Tails). Наконец, мессенджер с OMEMO имеет интерфейс, на освоение которого в среднем тратится больше времени, чем хочется.

Найти и создать электронную почту, не требующую верификации и дружественную пользователям Tor, может быть не очень быстро. К тому же, передаваемое через неё придётся шифровать – обычно с помощью PGP, а это снова время на освоение интерфейса и пространство для ошибки.

SecureDrop, в свою очередь, от отправителя требует только наличие Tor-браузера, а его интерфейс максимально прост – почти как у любого файлообменника.

Получатель регистрируется на сервисе, настраивает оборудование и генерирует постоянный onion-адрес, на который кто угодно может прислать файл или текст. Сообщение шифруется ключом получателя, так что кроме него никто, включая сам сервис SecureDrop, не может это сообщение прочесть. Получатель принимает сообщение на компьютер, постоянно находящийся онлайн, но не может сразу расшифровать. В целях безопасности ключ для расшифровки хранится на другом носителе (флешке с Tails). Зашифрованный файл переносится на компьютер с Tails, отключенный от Сети, и только там расшифровывается.

Отправителю надо лишь перейти по адресу, указанному получателем. Остаётся загрузить файл или текст (размером не более 500 MB). При желании можно запомнить или сохранить предложенную кодовую фразу из 7 случайно сгенерированных слов. Она позволит позднее идентифицировать себя сайту, чтобы прочесть ответ от получателя. При этом кодовая фраза не позволит узнать, что отправитель выслал сайту во время прошлой сессии.

Сервис имеет открытый исходный код, а также проводит регулярные и публичные аудиты безопасности с привлечением известных специалистов. Им пользуются такие издания, как Meduza, New York Times, Forbes, Al Jazeera, Vice и многие другие национальные СМИ от Канады до Норвегии. Ещё SecureDrop есть у множества независимых расследователей и некоммерческих организаций, работающих против коррупции в корпорациях и госструктурах, включая полицию. Сюда можно добавить несколько университетов и научных организаций. На сайте SecureDrop есть список организаций и личностей, имеющих рабочий onion-адрес на сервисе, но он далеко не полный. Часто адрес SecureDrop указывается на сайтах организаций в самом низу страниц или на странице с контактными данными.

Само собой, SecureDrop настоятельно рекомендует использовать Tails и даёт ещё несколько советов по безопасности для отправителей (а для получателей инструкция по безопасности вообще довольно большая). Всё это есть здесь: https://docs.securedrop.org/en/stable/source.html , и при необходимости довольно сносно переводится через Google Translate.