CoverDrop - न्यूज़ रीडर ऐप्स के लिए सुरक्षित मैसेजिंग सिस्टम

 (github.com/guardian)
1 पॉइंट द्वारा GN⁺ 2025-06-11 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • न्यूज़ रीडर ऐप के उपयोगकर्ताओं और पत्रकारों को गुमनामी और अस्वीकरणीयता बनाए रखते हुए सुरक्षित रूप से संवाद करने में मदद करने वाला open source secure messaging solution
  • सभी उपयोगकर्ता डिवाइस रैंडम एन्क्रिप्टेड ट्रैफिक उत्पन्न करते हैं, इसलिए संदेशों का आदान-प्रदान होने पर भी यह सामान्य न्यूज़ उपयोग से नेटवर्क पर अलग पहचान में नहीं आता
  • संदेशों को डबल एन्क्रिप्शन और समान आकार व आवृत्ति के साथ प्रोसेस किया जाता है, इसलिए डिवाइस जब्त होने की स्थिति में भी कोई सबूत नहीं छोड़ते
  • मोबाइल ऐप, cloud API, secure server, और पत्रकारों के लिए desktop client सहित पूरी end-to-end संरचना से बना है
  • पारदर्शी open source development, मजबूत cryptography, और न्यूज़ संगठनों की जरूरतों के लिए अनुकूलित विशेष सुविधाएँ इसकी मौजूदा प्रोजेक्ट्स पर बढ़त हैं

CoverDrop परिचय

  • CoverDrop एक सुरक्षित सिस्टम है जिसे इस तरह डिज़ाइन किया गया है कि न्यूज़ कंपनी के मोबाइल ऐप उपयोगकर्ता पत्रकारों को गुप्त और बिना ट्रैक किए जा सकने वाले संदेश भेज सकें
  • यह सिस्टम मजबूत अस्वीकरणीयता प्रदान करता है, जिससे कोई नेटवर्क विश्लेषक यह तय नहीं कर सकता कि ऐप का उपयोग सुरक्षित संचार के लिए हो रहा है या सामान्य न्यूज़ पढ़ने के लिए

मुख्य घटक

  • न्यूज़ ऐप के अंदर का मॉड्यूल: उपयोगकर्ता के मोबाइल ऐप में इंटीग्रेटेड
  • cloud API: केंद्रीय संपर्क बिंदु की भूमिका
  • CoverNode: सुरक्षित स्थान पर चलने वाली service set
  • पत्रकारों के लिए desktop application: रिपोर्टरों द्वारा उपयोग किया जाने वाला PC client

इन 4 घटकों से बनी यह संरचना end-to-end encryption और मजबूत सुरक्षा सुनिश्चित करती है

यह कैसे काम करता है

  • न्यूज़ ऐप की सभी instances समय-समय पर सर्वर के साथ छोटा एन्क्रिप्टेड डेटा ("cover संदेश") एक्सचेंज करती हैं
  • वास्तविक टिप-ऑफ (source message) भी सामान्य cover message की तरह पूरी तरह समान रूप से एन्क्रिप्ट और ट्रांसमिट किया जाता है। नेटवर्क पर दोनों में अंतर नहीं किया जा सकता
  • सभी संदेशों को समान आकार और अंतराल पर प्रोसेस किया जाता है, और Kinesis stream के जरिए भेजा व प्रोसेस किया जाता है
  • सर्वर पर पहली परत की डिक्रिप्शन और वास्तविक संदेश की पहचान होती है, फिर इसे dead drop के रूप में पत्रकार client तक पहुँचाया जाता है। padding के जरिए dead drop का आकार एकसमान रखा जाता है
  • पत्रकार केवल उन्हीं संदेशों को अंतिम रूप से डिक्रिप्ट कर सकता है जो उसकी public key से एन्क्रिप्ट किए गए हों
  • message store सामान्य समय में भी एन्क्रिप्टेड स्थिति में रहता है, इसलिए डिवाइस जब्ती की स्थिति में भी यह साबित नहीं किया जा सकता कि वास्तव में बातचीत हुई थी
  • पत्रकार जब जवाब देता है, तब भी इसी तरह एन्क्रिप्टेड संचार और key exchange किया जाता है

अधिक विस्तृत डिज़ाइन और algorithm संरचना University of Cambridge Department of Computer Science के साथ सह-लिखित white paper में देखी जा सकती है

सुरक्षा नीति

  • CoverDrop की सुरक्षा सर्वोच्च प्राथमिकता है
  • यह स्वीकार किया जाता है कि पूर्ण सुरक्षा असंभव है, और सुरक्षा शोधकर्ताओं की रिपोर्ट का स्वागत है
  • message confidentiality, integrity, network anonymity, और deniable encryption से जुड़े मुद्दे निरंतर सुधार के क्षेत्र हैं
  • इंटीग्रेटेड न्यूज़ ऐप के अन्य घटकों से उत्पन्न side channel मुद्दों पर भी सक्रिय रूप से सुधार किया जा रहा है

एन्क्रिप्शन सॉफ़्टवेयर उपयोग संबंधी सावधानियाँ

  • CoverDrop में एन्क्रिप्शन सॉफ़्टवेयर शामिल है
  • प्रत्येक देश के क्रिप्टोग्राफिक तकनीक के आयात, उपयोग और पुनः-निर्यात से जुड़े कानूनों का पालन आवश्यक है
  • U.S. Department of Commerce BIS classification: ECCN 5D002.C.1 (asymmetric encryption शामिल सॉफ़्टवेयर)
  • यह open source distribution export exception provision (TSU, §740.13) के अंतर्गत आता है

लाइसेंस

  • CoverDrop repository Apache License 2.0 के अंतर्गत उपलब्ध है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-06-11
Hacker News राय

  • जिन्हें थोड़ी और व्याख्या चाहिए, उनके लिए https://www.coverdrop.org/ की मुख्य साइट जानकारी देने के उद्देश्य से काफ़ी उपयोगी लगती है। ऐसा लगता है कि UK का Official Secrets Act 1920 अख़बारों के साथ गुमनाम संपर्क की रक्षा करता था, लेकिन बाद के क़ानूनी संशोधनों में यह हिस्सा हट गया, जो अफ़सोस की बात लगती है।

  • कई न्यूज़ संस्थान पहले से https://securedrop.org/ का इस्तेमाल कर रहे हैं, इसलिए यह जानने की जिज्ञासा होती है कि CoverDrop इससे कैसे अलग है और बेहतर कैसे है। इसे सपोर्ट करने वाले मीडिया संगठनों की डायरेक्टरी https://securedrop.org/directory/ में देखी जा सकती है।

    • यह बात पेपर में पहले ही कवर की गई है, लेकिन SecureDrop और CoverDrop का फ़र्क यह है कि दोनों थोड़े अलग परिदृश्यों पर फोकस करते हैं। SecureDrop TOR का उपयोग करता है, और इसे नेटवर्क स्तर पर या डिवाइस पर डिटेक्ट किया जा सकता है, इसलिए कुछ स्थितियों में सिर्फ TOR इस्तेमाल करने का तथ्य ही whistleblower की पहचान उजागर करने का जोखिम पैदा कर सकता है। दूसरी ओर, न्यूज़ ऐप इंस्टॉल होना कम संदिग्ध लग सकता है। CoverDrop उन शुरुआती यूज़र्स के लिए उपयुक्त है जो बिना एक्सपोज़ हुए पहली बार संपर्क करना चाहते हैं। इसका नेटवर्क ट्रैफ़िक सामान्य यूज़र्स से अलग नहीं दिखता, और ऐप स्टोरेज वास्तविक उपयोग हो या न हो, जगह घेरती रहती है, जिससे plausible deniability मिलती है। CoverDrop, SecureDrop की तरह बड़े फ़ाइल ट्रांसफ़र नहीं कर सकता, और पेपर में सुझाव दिया गया है कि ज़रूरत पड़ने पर पत्रकार CoverDrop संदेश के भीतर सुरक्षित तरीके से SecureDrop इस्तेमाल करने का मार्गदर्शन दे सकते हैं। इसलिए यदि किसी के पास पर्याप्त security awareness और technical skill है, तो सीधे SecureDrop पर जाना अधिक सरल विकल्प हो सकता है।

    • SecureDrop शानदार है, और The Guardian में भी इसे आगे इस्तेमाल करते रहने की योजना है। बड़ा अंतर यह है कि Tor Browser इंस्टॉल किए बिना anonymity मिलती है, और इस सुविधा को न्यूज़ ऐप के भीतर लाने से non-technical whistleblowers के लिए बाधा काफ़ी कम हो जाती है। यह मूल रूप से अच्छी OPSEC हासिल करने में मदद करता है। CoverDrop (Secure Messaging) की अभी कुछ सीमाएँ हैं। सबसे पहले, protocol की प्रकृति के कारण दस्तावेज़ अपलोड नहीं किए जा सकते, इसलिए प्रतिदिन सिर्फ कुछ KB ही भेजे जा सकते हैं। अभी पत्रकार आवश्यकता के अनुसार यूज़र को Signal पर ले जा सकते हैं। पत्रकार पहले source की पहचान और threat का आकलन करते हैं, फिर Signal नंबर देते हैं, इसलिए यह जोखिम को एक स्तर पर फ़िल्टर करने वाली अच्छी संरचना है। आगे चलकर यह भी सोचा जा रहा है कि CoverDrop सिस्टम के भीतर risk assessment के बाद anonymity को न्यूनतम नुकसान पहुँचाते हुए document upload link भेजने की सुविधा दी जाए, जैसे encrypted email attachment की तरह छिपाकर भेजना। इस पर संदर्भ पेपर भी है। एक और सीमा यह है that इस सिस्टम की anonymity ऐप के बड़े पैमाने पर उपयोग पर निर्भर करती है, इसलिए यदि कोई छोटा न्यूज़ एजेंसी इसे अपनाती है तो यह गुण कमज़ोर पड़ सकता है। फिर भी व्यावहारिक रूप से सिर्फ deniable storage संरचना ही अन्य whistleblowing तरीकों (PGP, Tor-आधारित आदि) की तुलना में बड़ा सुधार मानी जा सकती है। और यह सकारात्मक है कि यदि सिर्फ आप ही यह ऐप इस्तेमाल कर रहे हों, तब भी यह काफ़ी सुरक्षित रह सकता है।

    • यही सवाल होमपेज FAQ में भी मौजूद है।

  • यह आइडिया मुझे सचमुच बहुत पसंद आया। इससे पुराने CIA के उन गुप्त communication systems की याद आती है जो Star Wars fan sites जैसी जगहों पर बनाए गए थे। The Guardian ने इसे स्पष्ट रूप से नहीं कहा, लेकिन वास्तव में यह ऐप भी उसी तरह की cover story के साथ डिज़ाइन किया गया लगता है, और न्यूज़ ऐप के रूप में इसका disguise वाकई शानदार approach है। मेरी तरफ़ से एक सलाह यह होगी कि अगर कोई इस ऐप के ज़रिए लीक की योजना बना रहा है, तो वह इसे ऐसे डिवाइस पर इस्तेमाल करने से बचे जो कभी भी जांच के दायरे में आ सकता हो। उदाहरण के लिए, कंपनी द्वारा दिया गया work phone। Guardian ऐप इंस्टॉल होना अपने आप में समस्या न भी हो, फिर भी अगर किसी संस्था के भीतर जांच चल रही हो और Guardian में कोई बड़ी ख़बर प्रकाशित हो जाए, तो संदेह का दायरा इस तरह कम किया जा सकता है: 1. वे लोग जिन्हें शुरू से उस जानकारी तक पहुँच थी 2. उनमें से वे लोग जिन्होंने वह ऐप इंस्टॉल किया हो, डाउनलोड का निशान छोड़ा हो, या डिवाइस जमा करने से इनकार किया हो। यदि आप ऐसी जानकारी लीक कर रहे हैं जो सिर्फ छोटे समूह को पता है, या डिवाइस आपके वास्तविक उपयोग से जुड़ा हुआ है, तो exposure risk कम करने के लिए किसी और का डिवाइस (जैसे परिवार के सदस्य का) इस्तेमाल करना बेहतर हो सकता है। असली लक्ष्य जांच में संदिग्ध न बनना है, और यह देखते हुए कि इस ऐप तथा इससे दी गई जानकारी को सीधे Guardian की रिपोर्टिंग से जोड़ा जा सकता है, तकनीकी रूप से सुरक्षित होने पर भी यह एक परफ़ेक्ट cover story नहीं बनती। आख़िरी सिफ़ारिश यही है कि ऐसा डिवाइस इस्तेमाल किया जाए जिसे आपसे जोड़ना कठिन हो; लीक की स्थिति में इससे सुरक्षा और बढ़ती है। चूँकि यह बिंदु threat model में स्पष्ट नहीं है, इसलिए अतिरिक्त पीड़ित पैदा होने की संभावना का ज़िक्र किया गया।

    • प्रोजेक्ट के technical lead के रूप में टिप्पणी: मैं सहमत हूँ कि work phone का इस्तेमाल नहीं करना चाहिए, खासकर इसलिए क्योंकि कई work devices में व्यवहारिक रूप से spyware जैसे mobile management solutions (MDM) शामिल होते हैं। यदि anonymous crowd का आकार छोटा हो, तो सिर्फ तकनीकी approach की अपनी सीमाएँ होती हैं—यह बात फिर से स्पष्ट होती है। हम इस पर बहुत काम कर रहे हैं कि whistleblowing स्थिति में भी ऐप के उपयोग से इनकार किया जा सके। डेटा को "public" और "private" storage में बाँटा गया है, और private data को fixed-size/encrypted storage में रखा जाता है, जिसकी सुरक्षा Cambridge की टीम के एक सदस्य द्वारा विकसित KDF तकनीक (लिंक) से की जाती है। लेकिन यदि डिवाइस पर spyware (S/W) इंस्टॉल हो, तो ये सारी कोशिशें बेअसर हो जाती हैं। हम अंदरूनी तौर पर इस जोखिम को समझते हैं और इस पर चर्चा भी करते रहे हैं, और FAQ का विवरण भी और मज़बूत करने की योजना है। खास तौर पर MDM उपयोग के बारे में स्पष्ट चेतावनी जोड़ने की दिशा में काम होगा, और जल्द अपडेट की योजना है। इसके अलावा rooted या debug mode वाले डिवाइस के लिए detection और warning features भी जोड़े गए हैं। MDM detection बिल्ली-चूहे का खेल है, इसलिए सबसे अच्छा उपाय यही है कि यूज़र work device का इस्तेमाल ही न करे।

  • औपचारिक रिलीज़ कब आएगी, और इसे Obtainium में जोड़ना है—इस तरह का शेड्यूल संबंधी सवाल।

    • यह प्रोजेक्ट library के रूप में है, इसलिए यह पता नहीं कि इसे वहाँ रजिस्टर करना उपयुक्त भी है या नहीं। वास्तव में रजिस्ट्रेशन का विषय वह ऐप होना चाहिए जो इसका उपयोग करता है, और फिलहाल ऐसा लगता है कि Guardian ऐप ही एकमात्र उदाहरण है। आगे Guardian टीम का Play Store के अलावा किसी और distribution plan पर क्या विचार है, इस बारे में जवाब का इंतज़ार है।