CoverDrop - Sistem Pesan Aman untuk Aplikasi Pembaca Berita

 (github.com/guardian)
1 poin oleh GN⁺ 2025-06-11 | 1 komentar | Bagikan ke WhatsApp
  • Solusi pesan aman open-source yang memungkinkan pengguna aplikasi pembaca berita dan jurnalis berkomunikasi dengan aman sambil menjaga anonimitas dan plausible deniability
  • Karena semua perangkat pengguna menghasilkan trafik terenkripsi acak, aktivitas kirim-terima pesan tidak dapat dibedakan di jaringan dari penggunaan aplikasi berita biasa
  • Pesan diproses dengan enkripsi ganda serta ukuran dan frekuensi yang sama, sehingga tidak meninggalkan bukti bahkan saat perangkat disita
  • Terdiri dari arsitektur end-to-end lengkap yang mencakup aplikasi mobile, API cloud, server aman, dan klien desktop untuk jurnalis
  • Keunggulannya dibanding proyek lain adalah pengembangan open-source yang transparan, teknologi kriptografi yang kuat, dan fitur khusus yang dioptimalkan untuk kebutuhan organisasi berita

Pengenalan CoverDrop

  • CoverDrop adalah sistem aman yang dirancang agar pengguna aplikasi mobile perusahaan berita dapat mengirim pesan kepada reporter secara rahasia dan tanpa bisa dilacak
  • Sistem ini memberikan plausible deniability yang kuat, sehingga analis jaringan tidak dapat membedakan apakah aplikasi digunakan untuk komunikasi aman atau untuk konsumsi berita biasa

Komponen utama

  • Modul di dalam aplikasi berita: diintegrasikan ke aplikasi mobile pengguna
  • API cloud: berperan sebagai titik kontak pusat
  • CoverNode: sekumpulan layanan yang berjalan di lokasi aman
  • Aplikasi desktop untuk jurnalis: klien PC yang digunakan reporter

Struktur yang terdiri dari 4 bagian ini mewujudkan enkripsi end-to-end dan keamanan yang kuat

Cara kerja

  • Semua instance aplikasi berita secara berkala bertukar data terenkripsi kecil ("pesan cover") dengan server
  • Laporan nyata (pesan sumber) juga dienkripsi dan dikirim dengan cara yang sepenuhnya sama seperti pesan cover biasa. Di jaringan, keduanya tidak dapat dibedakan
  • Semua pesan diproses dengan ukuran dan interval yang sama, lalu dikirim melalui stream Kinesis untuk diproses
  • Di server, dilakukan dekripsi tahap pertama dan identifikasi pesan asli, lalu pesan dikirim ke klien jurnalis dalam bentuk dead drop. Melalui padding, ukuran dead drop dijaga tetap seragam
  • Jurnalis hanya dapat melakukan dekripsi akhir pada pesan yang dienkripsi dengan kunci publik mereka
  • Penyimpanan pesan tetap dalam keadaan terenkripsi bahkan saat tidak digunakan, sehingga penyitaan perangkat pun tidak dapat membuktikan apakah percakapan nyata pernah terjadi
  • Saat jurnalis membalas, komunikasi terenkripsi dan pertukaran kunci juga dilakukan dengan cara serupa

Desain yang lebih rinci dan struktur algoritmenya dapat dilihat di whitepaper yang ditulis bersama Departemen Ilmu Komputer Universitas Cambridge

Kebijakan keamanan

  • Keamanan CoverDrop adalah prioritas utama
  • Mengakui bahwa keamanan sempurna itu mustahil, dan laporan dari peneliti keamanan sangat disambut
  • Isu terkait kerahasiaan pesan, integritas, anonimitas jaringan, dan enkripsi dengan plausible deniability adalah area yang terus ditingkatkan
  • Isu side channel yang berasal dari elemen lain dalam aplikasi berita terintegrasi juga sedang ditangani secara aktif

Perhatian dalam penggunaan perangkat lunak kriptografi

  • CoverDrop mencakup perangkat lunak kriptografi
  • Perlu mematuhi hukum tiap negara terkait impor, penggunaan, dan ekspor ulang teknologi kriptografi
  • Klasifikasi BIS Departemen Perdagangan AS: ECCN 5D002.C.1 (perangkat lunak yang mencakup kriptografi asimetris)
  • Distribusi open-source ini termasuk dalam pengecualian ekspor (TSU, §740.13)

Lisensi

  • Repositori CoverDrop disediakan dengan Apache License 2.0

Bacaan terkait

1 komentar

 
GN⁺ 2025-06-11
Komentar Hacker News

  • Bagi yang membutuhkan penjelasan lebih lanjut, situs utama https://www.coverdrop.org/ terasa cocok sebagai sumber informasi yang membantu. Official Secrets Act 1920 di Inggris melindungi kontak anonim dengan surat kabar, tetapi cukup disayangkan karena bagian itu kemudian hilang dalam revisi undang-undang berikutnya.

  • Banyak organisasi berita sudah menggunakan https://securedrop.org/, jadi muncul rasa ingin tahu bagaimana CoverDrop berbeda dan lebih baik. Direktori media yang didukung bisa dilihat di https://securedrop.org/directory/.

    • Ini sebenarnya sudah dibahas di makalahnya, tetapi perbedaannya adalah SecureDrop dan CoverDrop berfokus pada situasi yang agak berbeda. SecureDrop menggunakan TOR, yang bisa terdeteksi di level jaringan atau perangkat, sehingga dalam situasi tertentu fakta bahwa seseorang memakai TOR saja bisa cukup untuk mengungkap identitas whistleblower. Sebaliknya, memasang aplikasi berita bisa terlihat jauh lebih tidak mencurigakan. CoverDrop cocok untuk kontak pertama bagi pengguna pemula tanpa membuat mereka terekspos. Lalu lintas jaringannya tidak bisa dibedakan dari pengguna biasa, dan penyimpanan aplikasi tetap memakan ruang terlepas dari apakah fitur itu benar-benar dipakai, sehingga memberi sifat yang dapat disangkal. CoverDrop tidak bisa mengirim file besar seperti SecureDrop, dan makalah tersebut mengusulkan agar bila perlu jurnalis membimbing pengguna di dalam pesan CoverDrop tentang cara menggunakan SecureDrop dengan aman. Karena itu, jika seseorang sudah punya kesadaran keamanan dan kemampuan teknis yang cukup, langsung memakai SecureDrop bisa jadi pilihan yang lebih sederhana.

    • SecureDrop sangat bagus, dan The Guardian juga berencana terus menggunakannya. Perbedaan besarnya adalah Secure Messaging memberi anonimitas tanpa perlu memasang Tor Browser, dan fungsi ini dimasukkan langsung ke dalam aplikasi berita sehingga hambatan bagi whistleblower nonteknis turun drastis. Pada dasarnya ini membantu mencapai OPSEC yang baik. CoverDrop (Secure Messaging) sendiri masih punya keterbatasan: karena sifat protokolnya, unggah dokumen belum dimungkinkan, jadi yang bisa dikirim hanya beberapa KB per hari. Saat ini jurnalis bisa mengarahkan pengguna ke Signal sesuai situasinya. Karena jurnalis terlebih dahulu menilai identitas dan ancaman terhadap sumber lalu memberikan nomor Signal, strukturnya cukup baik untuk menyaring risiko sekali di awal. Ke depan mereka juga sedang mempertimbangkan fitur untuk melakukan penilaian risiko di dalam sistem CoverDrop lalu mengirim tautan unggah dokumen dengan meminimalkan kerusakan anonimitas, misalnya dengan menyamarkannya sebagai lampiran email terenkripsi, dan sebagainya. Ada makalah referensi. Keterbatasan lain adalah anonimitas sistem ini bergantung pada skala penggunaan aplikasi; bila dipakai oleh agensi berita kecil, sifat ini bisa melemah. Meski begitu, dalam praktiknya struktur penyimpanan yang dapat disangkal saja sudah merupakan kemajuan besar dibanding metode whistleblowing lain seperti PGP atau yang berbasis Tor. Tetap saja, fakta bahwa sistem ini cukup aman bahkan ketika hanya Anda sendiri yang memakai aplikasinya tampak sebagai poin positif.

    • Pertanyaan yang sama juga muncul di FAQ halaman beranda.

  • Saya sangat menyukai ide ini; ini mengingatkan saya pada sistem komunikasi rahasia yang dulu dibuat CIA lewat situs penggemar Star Wars dan semacamnya. The Guardian tidak menyebutkannya secara eksplisit, tetapi karena aplikasi ini memang dirancang dengan cerita penutup seperti itu, penyamaran sebagai aplikasi berita menurut saya pendekatannya sangat cerdas. Kalau boleh menambahkan satu saran, bila seseorang berencana membocorkan informasi lewat aplikasi ini, saya enggan memakainya di perangkat yang sewaktu-waktu bisa menjadi objek penyelidikan. Misalnya, ada ponsel kerja yang diberikan perusahaan. Memasang aplikasi Guardian itu sendiri mungkin tidak bermasalah, tetapi jika kemudian berita besar keluar lewat Guardian dalam penyelidikan internal, ada kekhawatiran daftar tersangka bisa dipersempit seperti ini: 1. orang-orang yang sejak awal memang punya akses ke informasi tersebut 2. di antara mereka, orang yang memasang aplikasi itu, punya jejak unduhan, atau menolak menyerahkan perangkat. Jika Anda membocorkan informasi yang hanya diketahui kelompok kecil, atau perangkat tersebut terhubung ke pengguna sebenarnya, lebih baik gunakan perangkat orang lain (misalnya keluarga) untuk meminimalkan risiko terekspos. Tujuan sebenarnya adalah agar tidak dicurigai dalam penyelidikan, dan mengingat aplikasi ini serta informasi yang diberikan bisa langsung dihubungkan ke liputan Guardian, maka meskipun aman secara teknis, sulit menyebutnya sebagai cerita penutup yang sempurna. Rekomendasi terakhir: menggunakan perangkat yang sulit dihubungkan dengan diri Anda akan memberi keamanan yang lebih besar saat membocorkan informasi. Karena hal ini tidak disebutkan dalam model ancaman, saya rasa ada kemungkinan korban tambahan muncul.

    • Komentar dari sudut pandang tech lead proyek: saya setuju bahwa ponsel kerja tidak boleh digunakan, terutama karena banyak perangkat kerja pada dasarnya menyertakan solusi manajemen perangkat seluler (MDM) yang mirip spyware. Ini kembali menegaskan bahwa bila ukuran himpunan anonim kecil, pendekatan teknis saja punya batasnya. Kami telah berupaya keras agar penggunaan aplikasi ini tetap bisa disangkal secara meyakinkan bahkan dalam situasi whistleblowing. Data dipisah menjadi penyimpanan "publik" dan "privat", dan data privat diamankan dalam penyimpanan terenkripsi berukuran tetap menggunakan teknik KDF yang dikembangkan anggota tim di Cambridge (tautan). Namun kenyataannya, bila perangkat sudah dipasangi spyware, semua upaya itu menjadi sia-sia. Kami menyadari risiko tersebut secara internal dan sudah mendiskusikannya, serta berencana memperbaiki penjelasan di FAQ. Secara khusus, kami akan menambahkan peringatan yang lebih jelas soal penggunaan MDM, dan pembaruan itu direncanakan dalam waktu dekat. Selain itu, fitur deteksi dan peringatan untuk perangkat yang sudah di-root atau berada dalam mode debug juga telah disertakan. Karena deteksi MDM adalah permainan kucing dan tikus, menurut kami respons terbaik tetap agar pengguna sama sekali tidak memakai perangkat kerja.

  • Ada pertanyaan soal kapan rilis resminya keluar, karena seseorang ingin mendaftarkannya ke Obtainium.

    • Proyek ini berbentuk library, jadi saya kurang yakin apakah cocok untuk didaftarkan. Yang sebenarnya perlu didaftarkan adalah aplikasi yang menggunakannya, dan untuk saat ini tampaknya hanya aplikasi Guardian. Kami sedang menunggu jawaban apakah tim Guardian punya rencana distribusi selain melalui Play Store.