「インターネットの敵」の国におけるインターネットと電子メールのプライバシー

SSLはデータの機密性を保護しますifクライアント（マシン）とサーバー（話しているWebサイト）の両方がプロトコルに従い、直接変更されることはありません。ただし、（たとえば）敵が「信頼できるストア」内に制御するルートCAをインストールできた場合、敵は、アクセスするすべてのWebサイトに対して偽の証明書を自由に作成できます。これは Man-in-the-Middle攻撃 ：攻撃者はサーバーになりすますため、送信するデータは攻撃者に送信され、表示されるのは攻撃者が送信するものです。同時に、攻撃者は通常のクライアント（あなた）を装って本物のサーバーに接続し、データをやり取りします。したがって、要求最終的に目的のサーバーに送信され、その応答が返され、すべてが順調に進んでいるように見えますが、攻撃者は暗号化されていないすべてのデータを見ることができます。

したがって、ターゲットサイトが敵の手の届かないところにあり、コンピューターが「クリーン」（OSを含めて国外で購入され、マルウェアがインストールされていない）の場合は、問題がない可能性があります。しかし、これらの条件を達成するのはそれほど簡単ではありません。

メールの場合、HTTPSで送信されません。 「HTTPSを使用して」電子メールにアクセスすると、Webブラウザーを使用して、電子メールが待機しているサーバー上のWebベースのインターフェースにアクセスします。しかし、その電子メールが送信者のマシンからそのサーバーに転送されたとき、HTTPSは有効ではありませんでした。電子メールはサーバー間をホップし、原則として、保護されていない状態で移動します（一部のサーバーは日和見的にSSL保護を適用しますが、これは保証されておらず、必ずしも適切に行われているとは限りません。一時的であっても、暗号化されずに中間サーバーに保存されます）。したがって、if HTTPSでのみアクセスするWebベースのインターフェイスを介して電子メールを読み書きしますand HTTPSはクリーンです（上記を参照）and =あなたのメールボックスを含むサーバーはあなたの敵の手の届かないところにありますそしてあなたが電子メールを交換する人々もあなたの敵の手の届かないところにありますそしてそれは考えられます敵はあなたの送受信メールを読むことも、あなたが誰と通信しているのかを推測することもできません。ここでも、これらは大きな場合です...

プライバシーは守秘義務ではありません。たとえば、HTTPS Webサイトに接続すると、敵はそのサイトに送信したデータとサイトが送り返したデータを見ることができなくなります（上記で説明したように、クリーンなクライアントとクリーンなサーバーを想定しています）。ただし、敵はあなたがその特定のWebサイトとデータを交換していることを完全に認識します。彼はあなたが接続するときはそうしません、そして彼はすべての要求と応答のサイズを見るので、あなたがサイトで何をしているかについていくつかの良い推測をすることができます。それは トラフィック分析 と呼ばれます。 SSLは、広い意味での「プライバシー」ではなく、機密性と整合性を保証します。

また、敵が政府である場合、敵が実際のパスワードをまったく気にしない可能性があります。パスワードの取得は、外部サーバー上のアカウントに接続して、あなたになりすますことを望む攻撃者にのみ意味があります。これは痕跡を残します。スパイ機関は、原則として、それを好まない。受動的な盗聴、またはおそらくトレースレスのMitMは、彼らにとってより特徴的です。

上記のすべては、敵が非常に強力であるが地理的に制限されていることを前提としています。彼は国中の電気通信インフラストラクチャを自由にハイジャックできますが、境界を越えて無力になります。これはやや単純な仮定です。攻撃者があなたの秘密を解明しようとしている場合、彼はまた世界中で活発なハッキングにふけり、他のアマチュア攻撃者と同じように外部サーバーの脆弱性を見つけて悪用しようとします。