Consejos sobre privacidad para subversivos del sexo. Formas de proteger tu información y a ti mismo/a.

(Originalmente publicado en Inglés el 16 de noviembre de 2013. Traducción por Fundación Triángulo — muchas gracias por su arduo trabajo!).

En la actual era de la electrónica, la privacidad es necesaria si queremos conseguir una sociedad abierta. Privacidad no significa secretismo. Un asunto privado es aquel que la persona no quiere que conozca todo el mundo, mientras que un asunto secreto es aquel que la persona no quiere que sepa nadie. La privacidad es la capacidad de revelarse al mundo de forma selectiva. (Eric Hughes, A Cypherpunk’s Manifesto, 1993)

urlEl mes pasado, la policía aparentemente secreta de Vladimir Putin practicó escuchas ilegales en una reunión estratégica entre activistas LGBT rusos y ONG occidentales en San Petersburgo, y posteriormente mostró las grabaciones en la televisión como prueba de una conspiración. La verdad es que la noticia no sorprende. Lo que sí es sorprendente es que las ONG occidentales no se lo esperaran. “La vigilancia al estilo soviético”, palabras usadas durante la indignada condena, no es nada nuevo en Rusia. El antiguo aparato de seguridad soviético nunca murió. La única innovación es que últimamente, en lugar de utilizar las grabaciones para hacer chantaje o perseguir en juicio, el régimen las entrega a los medios de comunicación afines para que inicien una campaña de difamaciones. Sin embargo, todo el mundo conoce ya esta táctica: durante las protestas en contra de Putin del año 2011, “agencias de seguridad y agencias encargadas del cumplimiento de la ley filtraron vídeos granulados y grabaciones de audio a los tabloides afines al Kremlin” en una “acción coordinada del Gobierno para desacreditar y dividir a sus opositores”. Así pues, los organizadores de la reunión debieron verlo venir.

En realidad, los que trabajamos en el ámbito de los derechos sexuales a nivel internacional no siempre nos tomamos nuestros propios asuntos en serio. Damos por sentado que los políticos malos no nos tienen miedo de verdad, que simplemente son unos manipuladores u oportunistas que usan la homofobia, el miedo a los trabajadores sexuales o la misoginia para distraer de los asuntos reales con problemas inventados. No es que nos aferremos al poder, o pensemos que los gobiernos pueden ver estos asuntos como los que importan realmente. No creemos que los estados vayan a dedicar enormes recursos para reprimir la disidencia sexual, ni que vayan a hacerlo con el mismo fervor ansioso con el que aplastan los movimientos separatistas o reprimen a los disidentes políticos. Persuadidos por el hecho de que no somos importantes, menospreciamos los peligros reales. Y si en algún momento estuvo justificado, ese momento no es ahora. La enorme pasión, a veces inútil, con la que la administración Obama pretende ser el gran avalador de los grupos LGBT en todo el mundo, por ejemplo, a su vez alimenta el miedo al anunciar que estos movimientos minúsculos son en realidad agentes de otros sistemas geopolíticos, hormigueros de subversión extranjera. Y el éxito del propio Gobierno estadounidense a la hora de violar la privacidad de todos y de cualquiera solamente fomenta la imitación y la revancha.

Todo el mundo debería tener en cuenta la privacidad. Y tú deberías preocuparte especialmente si o tu vida o tu trabajo contradicen la sociedad o la ley. Gestiones una ONG o seas activista en un pueblo pequeño. Seas un homosexual que entra en Grindr desde un país donde el sexo entre homosexuales es ilegal o un trabajador del sexo que usa Gmail para quedar con los clientes. Debes analizar cómo proteger tus comunicaciones de oídos y ojos fisgones –sean tus padres, tus compañeros de habitación o la policía.

Uninformed about information: Data from 2012 Pew survey on American's search engine use, www.pewinternet.org/Reports/2012/Search-Engine-Use-2012.aspx

Desinformados sobre la información. Datos extraídos de un informe del Pew Research Center del año 2012 sobre el uso que hacen los estadounidenses de los motores de búsqueda http://www.pewinternet.org/Reports/2012/Search-Engine-Use-2012.aspx

Existen mecanismos suficientes para ello, pero no los usamos. Hay tres motivos amplios por los que nos mostramos reacios a ellos:

a) Son lentos. Algunos navegadores como Tor son un poco fastidiosos, y cifrar los correos electrónicos es un rollo. A ello puedo decir que, por muy pesado que sea, lo es menos que si te clausuran el grupo o acabas en prisión.

b) Venga ya, ¿por qué deberían venir a buscarme a mí? Mira arriba. Quizás ya están detrás de ti. Pero incluso si la poli aún no te conoce, hay mil maneras accidentales de llamar la atención. Imagínate que eres un concienzudo activista contra el sida y te roban el portátil. Y que, cuando la policía lo recupera, descubre ese vídeo ilegal de pornografía que te bajaste. O imagínate que eres un respetable trabajador del sexo, que uno de los clientes con quien te has mandado correos electrónicos trabaja para Human Rights Watch y que lo están vigilando y espiando constantemente en tu país. Existen mil maneras para que te puedan controlar.

c) La transparencia es una virtud. Muchos activistas de derechos humanos no se esconden del control estatal porque, según dicen, no tienen nada que esconder. Esto es muy noble, sí, pero no es factible. Quizás tú no tienes secretos, pero la gente que confía en ti, sí. Los miembros de tu organización o las personas que acuden a ti para pedir ayuda esperarán confidencialidad, y se pueden sentir traicionados si no proteges lo que te han compartido. El propietario del piso que alquilas, el chico con el que duermes, la señora que limpia la cocina… todos podrían verse implicados en un escándalo y ser víctimas de difamaciones y deshonras o acabar ante el juez. Solo tú tienes la responsabilidad de proteger a los que están a tu alrededor y a los que dependen de ti.

A continuación se explican algunos pasos para proteger la privacidad electrónica, ordenados grosso modo del más simple al más complejo. No es que yo sea un experto; he recopilado los recursos a partir de lo que he ido leyendo y usando. Si tienes alguna sugerencia, o si alguno de ellos no funciona, escríbeme a través de los comentarios o por correo electrónico. La privacidad es como el sexo seguro. No hay una seguridad absoluta, sino tan solo una protección relativa. Todos debemos evaluar nuestros propios niveles aceptables de riesgo. Y mantenerse al día de los cambios tecnológicos en los ámbitos de la vigilancia y la protección personal es vital. La mejor manera de proteger tu información es estar informado.

Cosas que puedes hacer:

calmclearcache1.  Limpia el historial de tu navegador. Los historiales guardan copias de las páginas web que visitas en un lugar llamado caché. Además, muchas páginas incorporan automáticamente a tu ordenador cierta información llamada cookie, que les permite reconocerte cuando vuelves a visitarlas. Ambas permiten a cualquier usuario que tenga acceso a tu ordenador reconstruir lo que hayas estado viendo. Conozco docenas de personas cuyas familias o cuyos jefes han descubierto su orientación sexual a través, simplemente, de comprobar el historial del navegador.

Si compartes el ordenador con otras personas, sea en casa, en el trabajo o en un cibercafé, deberías limpiar regularmente el historial, preferiblemente después de cada utilización. No es un sistema perfecto, puesto que frikis muy bien preparados todavía podrían descifrar lo que has hecho, pero por lo menos frustrarás a la mayoría de intrusos. Si quieres unas guías completas sobre cómo limpiar el historial, podrás encontrarlas aquí, aquí y aquí.

2. Date cuenta de que Facebook no es tu amigo. Facebook ha originado demasiados problemas como para contarlos. Pero este es muy serio.

Ve a la barra de búsqueda y escribe “Gays en [tu país]”, ya sabes, como si estuvieras buscando un grupo o una página que describan la escena local. Lo que verás es un poco diferente:

Llueven hombres interesados en hombres, y mujeres también

Llueven hombres interesados en hombres, y mujeres también

Aquí se muestra una parábola sobre la construcción de la identidad en la era digital. Facebook coge automáticamente la información del botón que te pregunta en qué sexo estás interesado (que mucha gente se toma a broma, o entiende como interés en relación a la amistad y no al sexo) y la traduce en si eres gay o no. Y lo que es más abominable: los resultados que veas no se limitan a tus amigos ni a los amigos de tus amigos. Verás una lista de todos los hombres que están “interesados en hombres” en [tu país] y que no perdieron el tiempo en configurar como privado ese aspecto particular de su perfil. Si eres gay y estás buscando una alternativa a Grindr, te conviene. Y si eres policía, en tu país el sexo entre homosexuales está prohibido y estás buscando una manera de seguir la pista, atrapar y meter en la cárcel a los culpables, también te conviene.

Estos son los resultados del motor de búsqueda Facebook Graph Search, una herramienta aterradora que echa la seguridad a la hoguera y le prende fuego. Te permite escarbar hasta la estructura más profunda de la página y extraer información de perfiles que, como tales, son invisibles para ti. A diferencia de lo que sucede con el viejo sistema de Google, aquí se trata de una búsqueda semántica: no solo toma las palabras que escribes literalmente, sino que intenta inferir lo que quieres decir; de aquí el salto de “interesado en hombres” a “gay”. Este sistema es inteligente y despreciable a la vez, y tu seguridad no le importa un pepino.

Se llama Graph Search porque la búsqueda semántica “elabora un gráfico de información para el usuario que lleva a conocimientos de diferentes formatos a crear un punto de vista general relacionado con la consulta inicial”… bla, bla. Dicho de un modo más fácil: Facebook utiliza las pequeñas informaciones de todos los perfiles, como las opciones “me gusta” o “interesado en”, para mapear los elementos comunes entre sus clientes. Facebook, sin embargo, no lo ha creado “para los usuarios”, aunque te lo venda como un modo de compartir con amor y con aquellos a los que amas y aprender cosas maravillosas de todo el mundo. Lo ha creado para sí mismo y para sus clientes anunciantes, para dividir a los usuarios según sus preferencias y ensamblar una foto de mercados diversificados abiertos a la publicidad y la explotación.

Pupila aventajada: sé lo que hiciste el último verano, y con quién © Dominic Lipinski/PA

Pupila aventajada: sé lo que hiciste el último verano, y con quién © Dominic Lipinski/PA

Un blog de Tumblr se dedica exclusivamente a destacar la información, de la más excéntrica a la más espeluznante, que puede recopilar el Graph Search. Puedes buscar “jefes de personas a quienes gusta el racismo” o “madres de italianos católicos a quienes gustan los condones Durex”. No obstante, aquellas personas que están en peligro a causa de sus vidas privadas no se ríen. El Graph Search facilita la represión estatal. Los abogados de derechos humanos deberían hacer pasar a Facebook por el aro. La búsqueda desvela, por ejemplo, 258.285 resultados para “hombres interesados en hombres en Irán”. De un modo u otro, no se ha conseguido obtener objeciones de los típicos obsesionados con la República Islámica (que, ahora mismo, están todos en Facebook buscando a “hombres en Londres a quienes gustan los hombres y leer notas de prensa”). Pero si un policía religioso emprendedor de Teheran descubre cómo el Graph Search puede ampliar el negocio de la tortura, Facebook se llenará las manos de sangre.

¿Y qué es lo que puedes hacer ? La única manera de eliminarte del Graph Search es asegurarte de que cada información de tu perfil esté marcada como “privada”. La herramienta de privacidad universal con la que podías esconder todo tu perfil ya no existe, de modo que ahora deberás hacerlo paso por paso:

a) Ve a cada uno de los ítems de la sección “Información” de tu perfil, y si hay algo que no quieres que vean los desconocidos, elimínalo, cámbialo o asegúrate de que la herramienta de privacidad limita la visibilidad a los “Amigos”.

b) Comprueba cada fotografía en la que has sido etiquetado. Si no fuiste tú quien publicó la fotografía, su visibilidad depende únicamente de la configuración de privacidad de la persona a quien pertenezca. Si no quieres que otros puedan ver o buscar la fotografía, tendrás que eliminar la etiqueta.

c) Puedes revisar todos los comentarios que has publicado en Facebook yendo a “Registro de actividad” y clicando en “Tus publicaciones” en el menú de la izquierda. Si has comentado en las fotografías o los muros de otras personas, no podrás cambiar la configuración de privacidad, pero si no quieres que nadie lea tu comentario, puedes borrarlo.

d) También puedes cambiar la configuración de privacidad para absolutamente todas las publicaciones que hay en tu muro. Clica en “Configuración” y a continuación clica en “Privacidad”. En “¿Quién puede ver mis cosas?” encontrarás la pregunta “¿Quieres limitar el público de las publicaciones que has compartido con los amigos de tus amigos o que has hecho públicas?”. Esto te permitirá convertir estas publicaciones en privadas del tirón. Otra opción te permite revisar todas tus publicaciones pasadas para el caso de que quieras decidir qué hacer con cada una por separado.

Aquí podrás echar un buen vistazo a estos métodos.

1330-550x5173. Utiliza Tor. Tor es un paquete de software descargable que incluye su propio navegador. Cuando utilizas el navegador para acceder a internet, la información que recibes o envías rebota a través de una red global de miles de repetidores (miles de ordenadores) y se va encriptando cada vez. Toda esta encriptación hace muy difícil interceptar la información en tránsito: el reenrutamiento hace casi imposible encontrar los orígenes. Así, los ojos hostiles no podrán detectar tu ubicación, ni rastrear tus publicaciones, visitas o mensajes hasta llegar a ti.

El gráfico anterior muestra cómo funciona. Normalmente, cuando Alice envía un correo electrónico a alguien o visita una página web, los que están al otro lado pueden descubrir la dirección de internet que está utilizando. Sin embargo, usando Tor, el receptor (Bob o cualquier persona en el extremo de Bob) sólo podrá ver la dirección del último repetidor o proxy de toda la red, y no la de Alice.

Edward Snowden en el exilio muestra la pegatina de su portátil, dando apoyo al proyecto Tor. Fuente: nyti.ms/18oyv9Y

Edward Snowden en el exilio muestra la pegatina de su portátil, dando apoyo al proyecto Tor. Fuente: nyti.ms/18oyv9Y

Tor (cuyo nombre proviene de The Onion Router, o el router cebolla, haciendo alusión a las capas de protección que el intruso debería arrancar) fue desarrollado por el ejército de los Estados Unidos, y el Departamento de Estado sigue financiando a los promotores, que trabajan sin ánimo de lucro, como una manera de dar apoyo a aquello a lo que por otro lado se opone: la libertad en internet. Pero el proyecto es tan independiente e impenetrable que, según algunos documentos de seguridad nacional estadounidense filtrados por Edward Snowden, incluso el Gobierno de este país se siente intimidado. Lo llaman “el rey de la alta seguridad” en cuanto a acceso anónimo a internet se refiere. Es un software de código abierto, lo que significa que un equipo de elfos siempre está trabajando para reparar cualquier vulnerabilidad. Como la mayoría de proyectos de código abierto, el espíritu de Tor es cooperativo y colectivo. De hecho, cualquier persona puede colaborar de forma voluntaria aportando su ordenador como uno de los repetidores de la red. Yo, no obstante, no os lo recomiendo, puesto que si el sistema se llegara a resquebrajar, podríais ser considerados responsables de los actos ilegales que hayan podido cometer otros usuarios a través de vuestro terminal.

Existen, sin embargo, tres limitaciones:

a) Tor no es demasiado rápido. El hecho de que haya tantos repetidores ralentiza el proceso de búsqueda. Además, Tor bloquea los complementos como Flash, Quicktime y RealPlayer porque pueden revelar tu dirección real. Por último, para reproducir vídeos de YouTube deberás habilitarlo.

b) Obviamente, Tor no va a ocultar tu identidad cuando inicies sesión con tu cuenta de correo electrónico u otra cuenta; sólo esconderá la dirección de internet desde la que estás escribiendo.

c) Si ya desde un principio tu gobierno sabe dónde te encuentras, todavía podría encontrar la manera de entrar en tu ordenador y conseguir la información que mandes desde él. Del mismo modo, Tor tampoco puede proteger lo que se encuentra en el ordenador o servidor que hay al otro lado y con el que te estás comunicando, sino que simplemente las transmisiones entre ellos están cifradas y son seguras. Mira el cuadro otra vez: Tor no cifra la última fase de la transmisión, entre el nodo de salida (el último repetidor) y el servidor final. Si quieres tener más seguridad deberás usar un cifrado de extremo a extremo como PGP (ver más abajo), que codifica tu mensaje desde que lo creas hasta que el receptor deseado lo lee.

A pesar de estas tres limitaciones, Tor es una herramienta esencial si quieres navegar por internet de manera anónima. Lo puedes descargar de forma gratuita aquí.

4. Encripta tu disco duro. Para protegerte debes encriptar, o cifrar, todo tu ordenador o parte de él. Si alguien, sea un hacker, un policía o un ladrón, intenta entrar sin tu autorización, no podrá leer la información que tengas guardada en archivos encriptados. La información sólo puede leerse si se tiene una clave, un código que activa el descifrado. Lo suyo está en no dar ni olvidar nunca tal clave.

Un portátil bien protegido: la información, encadenada

Un portátil bien protegido: la información, encadenada

No existe ningún sistema de cifrado perfecto. Los gobiernos, especialmente los más intrusivos y los que disponen de más recursos como los de Estados Unidos, China o Israel, se las saben todas. La Agencia de Seguridad Nacional estadounidense se gastó miles de millones en lo que llamó “un esfuerzo agresivo y con múltiples frentes para terminar con las extendidas tecnologías de cifrado”. El plan incluía un desembolso de 250 millones de dólares por año destinados a sobornar a empresas – perdón, quiero decir, “ganar activamente el apoyo de industrias del ámbito de las TIC, tanto nacionales como extranjeras, para que influencien, de manera abierta y/o encubierta, los diseños de sus productos” y los hagan así “explotables”. Es decir, que les pagaban para que pusieran trabas a los productos que luego venderían. Y es que 250 millones de dólares dan para mucha cooperación. Microsoft, por ejemplo, ha incluido entre sus políticas la de proporcionar “a las agencias de inteligencia información sobre los errores que aparecen en su tan popular software antes de hacer pública su depuración”.

Conclusión: no gastes tu dinero en sistemas de cifrado de empresas privadas, puesto que no hay manera de saber si han creado una puerta trasera a merced de los espías norteamericanos. Tampoco puedes saber si ellos ya han compartido estos portales troyanos con tu gobierno, en caso de que sea un aliado norteamericano. Y en caso de que no lo sea, quizás los espías locales de tu país ya han conseguido copiarles los atajos anticifrado: los estadounidenses son aparentemente mejores a la hora de robar los secretos ajenos que no a la hora de ocultar los suyos. De modo paradójico, si los software de código abierto son más seguros es precisamente porque todo el mundo tiene acceso al código. Si un gobierno intentara insertar software malicioso o aprovechar alguna debilidad del programa para introducirse en él, probablemente alguien se daría cuenta. Estos software, además, están “en un constante estado de desarrollo por parte de expertos de todo el mundo”, de modo que hay un gran número de mentes maravillosas arreglándolos y retocándolos a menudo.

Aquí encontrarás una lista muy útil de cinco herramientas fiables para el cifrado de documentos. Muchos expertos recomiendan TrueCrypt, que funciona con Windows, Mac y Linux y es gratuito (supuestamente es la que usó Edward Snowden para pasar la información a su disco duro). Cifra archivos, carpetas o discos enteros; oculta volúmenes cifrados para mayor seguridad, y cifra en tiempo real, o sea, cifra y descifra el material a medida que vas trabajando. Todo esto te simplifica las cosas. Si bien es cierto que puede ralentizar algo tu ordenador, tampoco es tanto. De acuerdo con un estudio independiente, “la penalización de rendimiento es bastante aceptable”. Puedes descargar TrueCrypt aquí.

5. Cifra tus correos electrónicos. Cifrar los correos es como ir en bicicleta. Es difícil de explicar para aquellos que aún no lo han probado sin parecer superhumanamente ágil o un loco (“con el culo en el sillín, empieza a mover tus piernas de forma circular y rítmica, con un movimiento que a la vez asegure el equilibrio de las ruedas, de la medida de una pulgada, e impulse el mecanismo hacia delante…”). Describirlo es muchísimo más complicado que hacerlo. Bueno, ten paciencia e intenta no sentir terror mientras pruebo de describirlo.

Las dos claves: PGP

Las dos claves: PGP

Empecemos con los antecedentes y lo más básico. La forma clásica del cifrado de correos electrónicos se llama pretty good privacy (privacidad bastante buena) o PGP, y fue inventada por Phil Zimmermann en los años noventa. El cifrado, dijo, trata “las relaciones de poder entre un gobierno y sus ciudadanos, el derecho a la privacidad, la libertad de expresión, la libertad de asociación política, la libertad de prensa, el derecho a no ser sometido a una búsqueda y captura inadmisible, la libertad de que te dejen tranquilo”. A Zimmermann le apasionaban los movimientos en contra de la guerra y las armas nucleares, de forma que creó las herramientas pensando en ellos. Desde entonces, PGP es una marca registrada, pero existe una amplia gama de versiones de código abierto gratuitas, como GnuPG o GPG (disponible aquí) u otras que aparecen en la página International PGP Home Page.

El cifrado de correos electrónicos se basa en un servidor emisor y otro receptor que comparten herramientas que les permiten cifrar y descifrar mensajes.

Estas herramientas se llaman claves. Cuando instalas un programa, te pedirán que introduzcas dos claves o series de caracteres que llevan a cabo ciertas tareas. Tú tendrás una clave pública y otra secreta. Todo el mundo puede usar la clave pública, pero la secreta estará asociada a una contraseña para que solo tú puedas activarla. Debes compartir la clave pública con tus interlocutores, o sea, las personas que quieran mandarte un mensaje cifrado deberán haber obtenido antes tu clave pública, ya que esto es lo que cifrará el mensaje para ellos. Y por otro lado tú también necesitarás la clave pública de estas personas para escribirles. Las personas que tienen PGP en sus ordenadores pueden comunicarse fácilmente mientras tengan las claves públicas de las otras personas.

Pongamos por ejemplo que Faisal quiere mandarte una nota. Faisal usará tu clave pública, que le habrás dado anteriormente, para cifrar el mensaje en un código que solo tú puedes leer. Aunque tu clave pública haya llevado a cabo el cifrado, el mensaje no es, ni mucho menos, público: esa clave está ciberrelacionada con tu clave secreta de modo que solo tu clave secreta puede descifrar lo que dice. A su vez, tú utilizarás la clave pública de Faisal para contestar, y le mandarás un mensaje que solo él puede descifrar con su clave secreta. También puedes usar tu clave secreta para firmar digitalmente el mensaje con el objetivo de que Faisal sepa que es auténtico. Es como poner un sello en las cartas tradicionales para demostrar que no ha habido alteración durante la operación.

Cartas selladas: Quodlibet, de Cornelis Norbertus Gysbrechts, 1665

Cartas selladas: Quodlibet, de Cornelis Norbertus Gysbrechts, 1665

Algunos elementos hacen este proceso un poco más engorroso:

a) Solo puedes comunicarte con personas que tengan tanto el mencionado software como tu clave pública. Es decir, que no necesitas cifrar todos tus correos electrónicos, sino solamente los más delicados, aquellos que te mandas con gente que comparte tu línea de trabajo. Algunas autoridades clave comerciales compilan directorios en línea de las claves públicas de los usuarios como si fueran guías telefónicas. No obstante, en lugar de usar estos directorios, probablemente prefieras crear un círculo de compañeros y coconspiradores con quienes vas a compartir las claves públicas. A esto se le llama web of trust (red de confianza), una expresión que consigue combinar las sensibilidades más zen y una ligera paranoia.

b) Tan solo puedes usar el cifrado PGP en los ordenadores que lo tengan instalado. Si recibes un mensaje cifrado en tu móvil, no vas a poder leerlo hasta que no te sientes frente al ordenador que contiene tu clave secreta. Si te encuentras de viaje y no llevas el ordenador, tienes un problema.

c) El cifrado PGP no funciona bien con correos web como Gmail o Yahoo (en los últimos meses ha salido una versión de cifrado de JavaScript que en teoría es compatible con los correos web, pero es bastante rudimentaria), así que quizás es mejor que uses un servicio de correo electrónico tipo Outlook. El servicio más popular diseñado especialmente para el cifrado de mensajes es Thunderbird: gratuito, compatible con Windows, Mac y Linux, y sincronizable con Gmail, puedes encontrar una presentación básica de cómo funciona aquí.

El cifrado de correos electrónicos es complicado, aunque simplemente se trata de acostumbrarse. Tiene como ventaja el hecho de proteger la información durante todo el proceso de transmisión, de un extremo al otro, a diferencia de la protección parcial que ofrece Tor. Si necesitas una descripción más detallada de su utilización, puedes encontrarla aquí y aquí.

6. Utiliza Off the Record. Millones de personas en todo el mundo han confiado en Skype a la hora de contar sus intimidades y secretos a larga distancia. Se ha descubierto, no obstante, que la corporación entrega frecuentemente conversaciones grabadas a los Gobiernos estadounidense y chino.

Off the Record (OTR), que en ingles significa extraoficial, es una alternativa segura. Se trata de un sistema, parecido en ciertos aspectos a PGP, que cifra los mensajes de la mayoría de chats. A su favor podemos decir que es mucho menos engorroso que PGP y te permite comunicarte en tiempo real. OTR no debe ser confundido con la función “No guardar la conversación” (off the record, en inglés) del servicio de chat de Google. Esta es tan segura como el propio Google, es decir, no mucho, ya que al fin y al cabo los servicios de seguridad de los Estados Unidos han averiguado cómo rastrear la información de las comunicaciones que se llevan a cabo a través de los servicios de la multinacional. El cifrado de OTR es extraoficial y te ofrece mucha protección.

La revolución no será grabada: LP Confidential

La revolución no será grabada: LP Confidential

Para usar OTR deberás descargar e instalar un cliente de mensajería instantánea, sea Pidgin o Adium. El programa Pidgin es gratuito y permite chatear con amigos de Google, MSN, Yahoo, Jabber y AIM. Adium es similar, pero está específicamente diseñado para Mac. Mientras que Adium ya lleva el sistema OTR incorporado, para el caso de Pidgin deberás descargarte también el complemento OTR.

A partir de aquí, es bastante fácil. Todo lo que necesitas es que la persona con quien quieras chatear también tenga instalado Pidgin o Adium y haya activado el sistema OTR. Este sistema te ofrece dos cosas: además de cifrar las conversaciones te permite verificar la identidad de la otra persona. Hasta hace un tiempo, esta verificación exigía intercambiar una huella dactilar, una versión más simple de las claves públicas PGP, pero las versiones más recientes de OTR te piden simplemente una clave secreta acordada previamente entre vosotros. OTR cifra los mensajes de manera casi automática: mientras habláis, los dos programas van modificando los códigos y lo que sea necesario sin que vosotros os deis cuenta.

Te deseo buena suerte, a no ser que tengas el software

Te deseo buena suerte, a no ser que tengas el software

OTR presenta otra ventaja en comparación con PGP. El software crea un cifrado especial para cada sesión de chat y lo olvida cuando esta termina. Ello significa que aunque tu cuenta OTR esté en peligro (porque, por ejemplo, alguien te ha robado el ordenador) nadie podrá recuperar y descifrar las conversaciones anteriores. Así es, esas palabras efímeras se han ido para siempre. A esto se le llama secreto-hacia-adelante, y confiere tranquilidad a las mentes olvidadizas. Por otro lado, en el sistema PGP, si alguien consigue tu clave privada podría llegar a decodificar cada uno de los correos electrónicos cifrados que tengas guardados.

El inconveniente principal de OTR es que solo permite conversaciones entre dos personas y no de grupo. En la página de OTR encontrarás información básica sobre el sistema; si quieres información más detallada, entra aquí o aquí.

Conclusión

Si queremos privacidad, debemos defenderla nosotros mismos. Debemos unirnos para crear sistemas que permitan las transacciones anónimas. Los humanos hemos defendido nuestra privacidad a lo largo de los siglos por medio de susurros, la oscuridad, sobres, sesiones a puerta cerrada, apretones de mano secretos y mensajeros. Las tecnologías del pasado no ofrecían mucha privacidad, pero las tecnologías electrónicas sí pueden. (Eric Hughes, A Cypherpunk’s Manifesto, 1993)

Grandes hermanos bailando sus danzas tradicionales: Nicolae Ceaușescu y Kim Il-Sung

Grandes hermanos bailando sus danzas tradicionales: Nicolae Ceaușescu y Kim Il-Sung

A principios de los años noventa estuve dos años trabajando como profesor en Rumanía. En el apartamento donde vivía se habían alojado profesores americanos desde mediados de la década de los sesenta. Estaba lleno de micrófonos; había tantos que por las noches creía oír cómo alguien me escuchaba, por los numerosos clics, débiles como si de grillos enfermizos se tratara. Un día incluso me electrocuté al tocar un tramo de pared especialmente cableado. El último profesor Fulbright que había dado clase ahí antes de la Revolución de 1989 me contó cómo él y su mujer decidieron, durante el frío noviembre de ese mismo año, organizar una cena de acción de gracias para sus compañeros de trabajo rumanos. Les costó días encontrar un pavo en condiciones, y luego tuvieron un dilema con el relleno, puesto que las verduras eran difíciles de encontrar en el mercado. Se pasaron el día entero en la cocina pensando una solución hasta que alguien llamó a la puerta. Encontraron a un hombre pequeño, encorvado y bien abrigado contra el viento. Rápidamente empezó a hablar, y les dio a entender que algunos compañeros –bueno, en realidad eran primos, que se dedicaban al mantenimiento del piso– le habían llamado para avisarle de que había un problema que, quizás por algo de dinero, se podía arreglar. Nos señaló vagamente un coche con unas antenas que estaba aparcado (como siempre) al final de la calle. “Por lo que sé –dijo–, estáis discutiendo sobre cómo rellenar un ave. Yo os puedo ayudar. Soy taxidermista…”.

Al mismo tiempo era gracioso y no lo era. Cuando vivía ahí, el odio étnico y la histeria nacionalista todavía agitaban la ciudad. Yo, como homosexual y activista de derechos humanos que se dedicaba a visitar cárceles en sus días de fiesta, era objeto de un interés excepcional. Una vez, la policía secreta llamó a un amigo mío y le interrogó sobre cada sílaba que dijimos en la conversación que mantuvimos la noche anterior en mi salón. Le avisaron de que yo lo acabaría “reclutando para la red de espionaje de húngaros, judíos y homosexuales en contra de la nación rumana”. Ese verano, me fui un par de meses a los Estados Unidos. Un día, mientras me duchaba en el estrecho baño de la casa de mi padre, empecé a hablar solo, sin más, pero de repente paré aterrorizado. ¿Estaba repitiendo algún secreto? ¿Y si alguien me había oído? El gran alivio que sentí cuando me di cuenta de que no había moros en la costa fue como si estallara una presa detrás de mis tensos músculos. Me daba cuenta así de la presión constante e intolerable bajo la que había estado viviendo durante un año: siempre vigilado, siempre escuchado.

La era del papel: los documentos de los servicios secretos previos a la Revolución se conservan en el Consejo Nacional para el Estudio de los Archivos de la Securitate, Bucarest, Rumanía (© Bogdan Cristel/Reuters)

La era del papel: los documentos de los servicios secretos previos a la Revolución se conservan en el Consejo Nacional para el Estudio de los Archivos de la Securitate, Bucarest, Rumanía (© Bogdan Cristel/Reuters)

El mismo año en el que me establecí en Rumanía, en 1992, unos cuantos frikis radicales de San Francisco crearon una lista de correo electrónico que acabaría creciendo hasta convertirse en el movimiento Cypherpunk. Lo que les unía era la aversión a la seguridad del estado y el convencimiento de que la tecnología sería capaz de forjar las herramientas necesarias para oponer resistencia. De acuerdo con su ideología, tenían una fe extraordinaria en que, si el código era público y se podía compartir el conocimiento, la gente podría salvaguardar su privacidad de manera intacta.

Los cypherpunks pican código. Todos sabemos que para defender la intimidad alguien tiene que crear los programas, y puesto que uno no tiene intimidad hasta que todos la tienen, vamos a escribir. Publicamos nuestro código para que el resto de compañeros cypherpunks puedan practicar y jugar con él. El código es gratis para todo el mundo. Somos conscientes de que el software no se puede destruir y que nadie podrá cerrar un sistema tan extendido.

Los cypherpunks desaprueban la regulación de la criptografía, pues el cifrado es fundamentalmente un acto privado. El acto de cifrar, de hecho, significa eliminar información de la esfera pública. Las leyes contra la criptografía no pueden llegar más allá de las fronteras del país ni de su brazo violento. La criptografía se va a extender ineludiblemente por todo el planeta y, con ella, los sistemas de transacciones anónimas a los que da lugar.

En ese manifiesto se encuentra buena parte de nuestro mundo actual.

Las tecnologías electrónicas permiten una gran privacidad. Sin embargo, también la destruyen; por lo menos cuando los estados y las empresas las manipulan. Antes estaba seguro, llamadme inocente, de que en los Estados Unidos no se practicaban escuchas; ahora ya no lo estoy. Esa necesidad imperiosa de vigilar forma parte de nuestro hábitat, en esta tierra de nadie en la que vivimos.

La lucha entre ordenador y ordenador, ver y no ser visto, es la nueva carrera armamentística, la nueva Guerra Fría. A no ser que quieras salirte del sistema, convertirte en el nuevo Unabomber, mudarte a una cabaña totalmente incomunicada e interrogar y torturar a tus palomas mensajeras como un paranoico, debes posicionarte. Elegir las tecnologías para la privacidad es casi lo más cercano a elegir la libertad. Aunque también signifique vivir entre las murallas de las protecciones que te ofrece la tecnología. La tensión no se va.

Te estoy escuchando: Gene Hackman a la escucha en la película La conversación, de Francis Ford Coppola (1974)

Te estoy escuchando: Gene Hackman a la escucha en la película La conversación, de Francis Ford Coppola (1974)

Privacy tips for sex subversives: Ways to protect your information and yourself

Privacy is necessary for an open society in the electronic age. Privacy is not secrecy. A private matter is something one doesn’t want the whole world to know, but a secret matter is something one doesn’t want anybody to know. Privacy is the power to selectively reveal oneself to the world.

— Eric Hughes, “A Cypherpunk’s Manifesto,” 1993

urlVladimir Putin’s not-so-secret police wiretapped a strategy meeting between Russian LGBT activists and Western NGOs in St. Petersburg last month — then played the tapes on TV, as proof of a conspiracy. That’s no surprise. What’s surprising is that the Western NGOs didn’t expect it. “Soviet-like surveillance” (to quote the indignant condemnations) is nothing new in Russia. The Soviet security establishment didn’t ever curl up and die. The only innovation is that recently, instead of using the recordings for blackmail or prosecution, the regime hands them over to pet media for a public smear campaign. But everyone knows that tactic already; during the 2011 anti-Putin protests, “grainy videos and audio recordings” were “leaked to Kremlin-friendly tabloids by security and law-enforcement agencies,” in “a concerted Kremlin effort to discredit and divide their opponents.” The organizers really should have seen this coming.

The truth is, those of us who work on sexual rights internationally don’t always take our own issues seriously. We assume evil politicians don’t truly fear us — that they’re merely manipulative or opportunistic, using homophobia, whorephobia, or misogyny as trumped-up distractions from “real” concerns. We don’t grasp our own power, or get that governments may see these issues as the real ones: that states could spend massive resources on repressing sexual dissidence with the same anxious fervor they devote to crushing separatism or stifling political dissent. Persuaded of our unimportance, we deprecate the actual dangers. But if that ever was justified, it isn’t today. The Obama administration’s broad and occasionally unhelpful ardor in playing tribune for LGBT groups worldwide, for instance, feeds fears that these minuscule movements are actually agents of alien geopolitics, hives of foreign subversion. And the US government’s own success in violating anybody’s and everybody’s privacy only encourages imitation, and revenge.

Everyone should worry about privacy. And you especially need to worry if either your work or your life contradicts society or law. You may run an NGO, or you may be an individual activist in a small town. You may be a queer checking Grindr in a country where gay sex is illegal; you may be a sex worker using Gmail to hook up with clients. You need to think about how you can protect your communications from prying ears and eyes — whether parents, roommates, or police.

Uninformed about information: Data from 2012 Pew survey on American's search engine use, www.pewinternet.org/Reports/2012/Search-Engine-Use-2012.aspx

Uninformed about information: Data from 2012 Pew survey on Americans’ search engine use, http://www.pewinternet.org/Reports/2012/Search-Engine-Use-2012.aspx

Technologies are available. Yet most people don’t use them. There are three broad reasons for reluctance:

a) They’re slow. Secure browsers like Tor are a little lumbering; encrypting e-mails is a hassle. All I can say is, it’s less of a hassle than getting your group closed down, or winding up in jail.

b) Come on, why would they come after me? See above. They may already be after you. But even if the cops haven’t noticed you yet, there are plenty of accidental ways to attract attention. Suppose, earnest HIV activist, that your laptop’s stolen — and when the police recover it, they discover that illegal porn video you downloaded. Suppose, mild-mannered sex worker, that one of the clients you’ve been e-mailing works for Human Rights Watch — and is constantly watched and spied on in your country. There’s no lack of ways you can fall afoul of surveillance.

c) Transparency is a virtue. On principle, a lot of human rights activists don’t try to hide from state surveillance, because, they say, they have nothing to hide. This is noble, but not workable. You may not have secrets, but people who trust you do. Members of your organization, people who come to you for help, may expect confidentiality — and may feel betrayed if you don’t safeguard what they share. The landlord who rents to you, the guy who sleeps with you, the cleaning lady who scrubs the kitchen, could all get swept up in any scandal — smeared, shamed, or hauled into court. You have a responsibility to protect those around you and those who depend on you.

What follows are some steps to protect your electronic privacy, arranged roughly from the simplest to the most complex. I don’t claim to be an expert  — the resources are gleaned from my own reading and use. If you have suggestions, or if you see something that won’t work, tell me in the comments or through email.  Privacy is like safer sex. There’s no absolute safety, only relative protection. Everybody has to gauge their own levels of acceptable risk. Keeping abreast of changing technologies for both surveillance and safeguarding is vital. The best way to protect your information is to be informed.

Things you can do:

calmclearcache1.  Clear your browser’s history. Browsers store copies of the web pages you visit in an area called the cache. Moreover, many pages automatically deposit a little turd of information called a cookie on your computer, which lets them recognize you when you return. Both these allow anybody with access to your computer to reconstruct what you’ve been viewing. I know dozens of people whose families or bosses have uncovered their sexual orientation simply by checking the browser history.

If you use a computer that anybody else might share, whether at home, at work, or in an internet cafe, you should clear the browser history regularly, preferably after each use. It’s not perfect — ultra-skilled geeks could still figure out what you’re been doing — but it frustrates most intruders. Good guides to how to do this, for the most common browsers, can be found here, and here, and here. 

2.  Realize that Facebook is not your friend.  Facebook causes too many headaches to count. But this one is really serious.

Go to the search bar and just type in: “Gays in [your country]” — you know, as if you were looking for a group, or a page describing the local scene. What you’ll get will be quite different:

Philippines copy

It’s raining men interested in men, and women also

There’s a parable here about identity construction in the digital age. Facebook automatically takes the button that asks you what gender you’re interested in — one that a lot of people click in fun, or assume to refer to friendship rather than sex — and translates it into being “gay” or not. More ominously, though: The results you’ll get won’t be limited to friends, or friends of friends. You’ll get a list of every man who’s “interested in men” in [your country] and who didn’t bother to make that particular part of their profile private. It’s convenient if you’re gay, and looking for an alternative to Grindr. It’s also convenient if you’re a policeman, and homosexual sex is illegal in [your country], and you’re looking for a way to track down or entrap the guilty and throw them in jail.

This is all the upshot of Facebook’s new “Graph Search,” a terrifying new feature that puts security on a bonfire and lights a match. It allows you to mine the deep structure of the site — to pluck information out of profiles that, as profiles, are invisible to you. It’s a “semantic search” (unlike old-style Google); it doesn’t just take the words you enter literally, it tries to infer what you mean — hence the leap between “interested in men” and “gay.” It’s nasty and clever and it doesn’t give a fuck about your safety.

It’s called “Graph Search” because semantic search builds “a graph of information for the user that pulls insights from different formats to create an over-arching viewpoint related to the original query” … blah, blah. More simply: Facebook employs the little bits of data — “likes” and “interested ins” — from all those profiles to map out commonalities between its customers. But this isn’t really done “for the user,” though it’s sold to you as a way to share lovingly with your loved ones and learn lovely things about everyone. It’s done for Facebook and its advertiser-clients, to divvy up users by their desires and assemble a picture of diversified markets open for advertising and exploitation.

Apt pupil: I know what you did last summer, and with whom. © Dominic Lipinski/PA

Apt pupil: I know what you did last summer, and with whom. © Dominic Lipinski/PA

There’s a whole Tumblr blog highlighting the information, from eccentric to creepy, that Graph Search can turn up. You can look for “Employers of people who like racism”; you can root out “Mothers of Catholics from Italy who like Durex condoms.” But folks whose private lives put them in danger won’t laugh. “Graph Search” makes state repression easy. Human rights advocates ought to give Facebook hell. The search unearths, for instance, 258,285 results for “Men who are interested in men in Iran.” Somehow this has failed to elicit any objections from the usual obsessives over the Islamic Republic (they’re all on Facebook right now, busy searching for “Men in London who like men and like to read press releases”). But if an enterprising religious policeman in Tehran figures out how Graph Search can further the torture business, Facebook will have blood on its hands.

What can you do? The only way to remove yourself from Graph Search is to make sure that each item of information on your profile is marked “private.” To repeat: the universal privacy setting that could sequester your whole profile is gone now. You’ve got to do this step by step:

a) Go to each item in the “About” section of your profile, and if there’s anything you don’t want strangers to see, either delete or change it, or make sure the privacy setting is limited to “Friends.”

b) Check on every photo you’re tagged in. If you didn’t post the picture, its visibility depends solely on the privacy settings of the person it belongs to. If you don’t want it seen or searched, ever, you’ll have to remove the tag.

c) You can review all the comments you’ve made on Facebook by going to your Activity Log — sort it by Comments (look on the left side).  If you’ve commented on somebody else’s photos or timelines, you can’t change the privacy settings — but if you don’t want the comment seen, you can delete it.

d) You can still change the privacy settings globally for all the old posts on your timeline. Click the gear icon at the upper right of your screen; select Privacy Settings. Under “Who can see my stuff?” you’ll find the option to “Limit the audience for posts you’ve shared with friends of friends or Public.” That’ll let you make them private at one fell swoop. Another option there allows you to review all your past posts if you want to decide on them one-by-one. 

There’s a good overview of these methods here.

1330-550x517

3. Use Tor. Tor is a downloadable bundle of software that includes its own browser. When you use the browser to access the Internet, the information you receive or send bounces through a global network of thousands of relays — thousands of other computers — and is encrypted over and over. All the encryption makes it very hard to intercept the data in transit; the rerouting makes it almost impossible to find its origin. All this means that unfriendly eyes can’t detect your location, or trace your posts or visits or messages back to you.

The chart shows how. Ordinarily, if Alice up there sends someone an email or accesses a web page, those on the other end can find out the Internet address she’s using. However, if she uses Tor, the recipient (“Bob” down below, or any watchers on Bob’s end) can only see the address of that last relay, or proxy, in the extended network: not Alice’s own.

Edward Snowden in exile, with sticker on his computer supporting the Tor Project: from nyti.ms/18oyv9Y

Edward Snowden in exile, with sticker on his computer supporting the Tor Project: from nyti.ms/18oyv9Y

Tor (the name stands for The Onion Router, representing the layers of protection that an intruder would have to peel away) was developed by the US military, and the State Department still funds its nonprofit promoters as a way of supporting what America otherwise opposes, Internet freedom. But it’s so independent and impenetrable that (according to national security documents Edward Snowden leaked) even the US government is intimidated; they call it “the king of high-secure,” anonymous Internet access. It’s open-source, meaning a team of elves is always at work to fix any vulnerabilities. Like most open-source projects, it has a cooperative and collective spirit. In fact, you can volunteer your own computer to serve as one of the relay points — though I don’t recommend this, because if the system ever is cracked, you could conceivably be held liable for anything illegal other users might send through your terminal.

There are four main limitations:

a) Tor is not fast. All those relays slow things down. Moreover, Tor blocks plugins like Flash, Quicktime, and RealPlayer, because they can bug up the browser and reveal your real address. You need a special fix to get it to play YouTube videos.

b) Obviously, it won’t conceal your identity if you log into e-mail or any other service. It’ll just hide what Internet address you’re writing from.

c) Some countries (China, for instance) block access to the Tor servers. In these cases, using bridges may make it possible to use Tor. For more information see here or here.

d) If your government knows where you are to begin with, it could still find ways to get at your computer and any information you’re sending from it. Similarly, Tor can’t protect what’s on the computer or server at the other end, the one you’re communicating with. Only the transmissions in between are encrypted and secure. Look at that chart again: Tor doesn’t encrypt the last stage of traffic, between the “exit node” (the last relay point)  and the target server. If you want to be more secure, you need to use so-called “end to end” encryption such as PGP (below), which encodes your messages from the point you create them until the intended receiver reads them.

Nonetheless, Tor remains a crucial tool if you want to browse the Internet anonymously. Download it free here. 

4. Encrypt your hard drive.  You should protect yourself on your own end by keeping all or part of your computer encrypted. Anybody unauthorized who tries to open it — a hacker, a policeman, a thief — won’t be able to read the information you store in encrypted files. The data can only be made readable with a “key” — that is, by entering a code that activates decryption. So the main thing is; never give away (or forget) your key.

Laptop locktup: Data in chains

Laptop lockup: Data in chains

No encryption system is perfect. Governments — particularly the resourced and intrusive ones, like the US, China, or Israel — are always looking for ways around the codes. The US National Security Agency spent billions on what it called “an aggressive, multipronged effort to break widely used Internet encryption technologies.” This included $250 million a year bribing corporations — sorry; I mean “actively engag[ing] the U.S. and foreign IT industries to covertly influence and/or overtly leverage their commercial products’ designs” to make them “exploitable.” Paying them, that is, to put holes in the stuff they sell. A quarter of a billion buys a lot of cooperation. Microsoft, for one, now has a policy of providing “intelligence agencies with information about bugs in its popular software before it publicly releases a fix.”

The lesson: Don’t waste money buying “proprietary,” corporate encryption systems. You have no way of knowing whether they’ve obligingly built a back door into their ramparts for US spies to pry. (And you don’t know whether the US has shared those Trojan portals with your government, if it’s an American ally. Or, if it’s not, perhaps your local spies have managed to copy US anti-cryptography shortcuts: Americans seem better at stealing others’ secrets than concealing their own.) Paradoxically, open-source software is safer precisely because its code is out there on the net for anyone to see. If a government tried to insert malware or sneak in a weakness, somebody probably would notice. And it “is in a constant state of development by experts all over the world” — meaning that a lot of beautiful minds are fixing and fine-tuning it all the time.

Here is a helpful list of five trusted file encryption tools. Many experts recommend TrueCrypt, which works with Windows, Mac, and Linux, and is free. (Reportedly, Edward Snowden used it to smuggle information on his hard drive.) It can encrypt files, folders, or whole drives. It can hide encrypted volumes for additional security. It does “real-time encryption,” meaning it decrypts and encrypts material as you work. This simplifies things for you; true, it can slow your computer’s speed somewhat, but not much — “the performance penalty is quite acceptable,” one independent review found. You can download TrueCrypt here.

IMPORTANT NOTE (November 2016): TrueCrypt is no longer considered secure. Many recommend Veracrypt, which works quite similarly to TrueCrypt, as the best alternative. You can read about other alternative encryption tools here and here.  

Meanwhile, you should also use an encryption program on your phone. There are programs to encrypt not only saved content on your phone, but chat, texts, and voice calls, so that outsiders can’t intercept them. You can get these encryption programs for free:

5. Encrypt your emails. Email encryption is like riding a bicycle. It’s difficult to explain it to those who haven’t tried it, without making the doer sound either superhumanly agile or insane. (“Mounted upon the high saddle, commence revolving your legs in circular and rhythmic motion, an agitation that simultaneously ensures the balance of the inch-wide wheels and propels the mechanism forward ….”)  Describing it is way harder than doing it. Bear with me, and try not to be too terrified, while I try.

Two keys needed: PGP

Two keys needed: PGP

First, background and basics. The standard form of email encryption is named “Pretty Good Privacy,” or PGP.  Phil Zimmermann invented it in the 1990s. Cryptography, he wrote, is “about the power relationship between a government and its people. It is about the right to privacy, freedom of speech, freedom of political association, freedom of the press, freedom from unreasonable search and seizure, freedom to be left alone.” The anti-war and anti-nuke movements were his particular passion, and he intended the tools for them. “PGP” has since been trademarked by a company selling a proprietary variant, but there’s a range of free, open-source versions; one, called GnuPG or GPG, is available here, and others are at the International PGP home page.

E-mail encryption relies on a sender and receiver sharing tools that let them both encrypt messages and decode them.

These tools are called “keys.” When you install the program, you’ll be asked to set up two keys — strings of characters that perform certain tasks. You will have a public key, and a secret key. Anybody can use the former, but the latter will carry a password so that only you can activate it. You must share the public key with your interlocutors — anyone who wants to send you an encrypted message needs to have your public key first, because that’s what will encrypt it for them. And you’ll need that person’s public key to write her in return. People who have PGP on their computers can communicate easily as long as they have each other’s public keys.

So let’s say Faisal wants to send you a note. Faisal will use your public key, which you’ve given him, to encrypt the message in a code that’s readable to you alone. Though your “public key” performed the coding, the message is far from public: that key is cyber-twinned with your secret key, so that only your secret key can decode what it says. You’ll reply using Faisal’s public key, in a message he can only decode with his secret key. You can also apply your secret key to “sign” that message digitally, so Faisal will know it’s authentically from you; it’s like a seal on an old-fashioned letter, showing that nothing’s been tampered with in transit.

Sealed letters: by Cornelis Norbertus Gysbrechts, 1665.

Sealed letters: by Cornelis Norbertus Gysbrechts, 1665.

Several things make all this extra cumbersome.

a) You can only communicate with people who have both the software and your public key. So you’re obviously not going to encrypt all your e-mail communications — just the sensitive ones with folks who share your line of work. Some commercial “key authorities” compile online directories of users’ public keys, like phone books.  Rather than relying on those, though, you’ll probably form circles of colleagues and co-conspirators who share each other’s public keys — “web of trust” is one term for this, a phrase that manages to combine Zen touchy-feeliness with faint paranoia.

b) You can only use PGP on the computers where you have it installed. If you get an encrypted message on your phone, you won’t be able to read it till you’re sitting at the computer that has your secret key. If you’re travelling and left your laptop behind, you’re screwed.

c) PGP encryption doesn’t function well with web-based mail services like Gmail or Yahoo. (Recently developers have come up with a JavaScript version of encryption that theoretically fits with your web browser, but it’s clunky at best.) Instead, you’ll want to use an e-mail client à la Outlook. The most popular one specifically designed for encryption users is called Thunderbird; it’s free, it works with Windows, Mac, or Linux, and you can set it up to receive your Gmail. A basic introduction to Thunderbird is here. 

Email encryption is complicated, though once you and your correspondents get used to it, things will seem more natural and routine. Its advantage is that it safeguards information through the whole process of transmission — end to end, unlike the partial protection Tor offers.  You can find more detailed descriptions of how to use it here and here.

6. Go off the record. IMPORTANT NOTE: NOVEMBER 2016: Since this was first published several other new encrypted-chat programs have appeared. I like Cryptocat: it’s easy to use, and lets you have encrypted chats with other Crypotcat users that are immediately deleted and hence leave no digital record anywhere. All you have to do is ask the person you want to chat with to download Cryptocat too. Still, the explanations below are still valid.  

Millions of people worldwide used to entrust Skype with their long-distance intimacies and secrets. We now know, though, that the corporation has routinely handed over recorded conversations to the US and Chinese governments.

Off the Record (OTR) is a safer alternative. It’s a system, somewhat similar to PGP, for encrypting instant messaging over most of the major chat networks. Yet it’s much less cumbersome than PGP, and lets you communicate quickly in real time. Do not confuse OTR with the “off the record” feature in Google’s own instant messaging service, which is only as secure as Google itself — that is, not very; US state security, after all, has figured out how to trawl data from the giant corporation’s communications links. OTR encryption is really off the record, and offers you important protections.

The revolution will not be recorded: LP confidential

The revolution will not be recorded: LP confidential

To use OTR, you’ll need to download and install an instant-messaging client: either Pidgin or Adium. Pidgin is a free program that lets you chat with friends over the Google, MSN, Yahoo!, Jabber, and AIM networks.  Adium is very similar, but specifically made for Mac. Adium has OTR built in. For Pidgin, you just have to add a special OTR encryption plugin.

From there on, it’s quite simple. All that’s required is that the person you want to chat with also have Pidgin or Adium, with OTR activated. OTR does two things for you: It encrypts the conversation, and it also lets you verify your messaging partner’s identity. (This verification formerly required exchanging a “fingerprint,” a trimmed-down version of PGP’s public keys, but recent versions of OTR simply let you use a previously-agreed-on secret word.) OTR encrypts your messages almost automatically: the two sets of software swap the necessary codes and mumbo-jumbo pretty much without either of you humans noticing.

Good luck, unless you have the software

Good luck, unless you have the software

OTR has one additional advantage that PGP e-mail doesn’t. For each chat session, the software creates a unique encryption key, then “forgets” it once the chat is over. This means that if your OTR account is compromised — if, for instance, somebody steals your computer with your chat program on it — nobody can recover and decrypt any past conversation. Effectively, those fleeting words are gone forever. This is called “forward secrecy,” and it bestows the peace of mind that forgetfulness fosters. (In PGP, by contrast, someone who obtains your private key could decode every single encrypted e-mail you’ve saved.)

OTR’s main drawback is that it’s only one-on-one, and still doesn’t allow group chat. For a basic overview, see the OTR website; more detail on the program can be found here and here.

In conclusion

We must defend our own privacy if we expect to have any. We must come together and create systems which allow anonymous transactions to take place. People have been defending their own privacy for centuries with whispers, darkness, envelopes, closed doors, secret handshakes, and couriers. The technologies of the past did not allow for strong privacy, but electronic technologies do.

— Eric Hughes, “A Cypherpunk’s Manifesto,” 1993

Big brothers doing their dance: Nicolae Ceaușescu and Kim Il-Sung

Big brothers doing their special dance: Nicolae Ceaușescu and Kim Il-Sung

In the early 1990s, I taught for two years in Romania. The apartment I lived in had been the American lecturer’s residence since the mid-1960s; microphones riddled it, so many that at night I thought I could hear the wiretaps faintly clicking like sickly crickets, and I got an electric shock when I touched one particularly wired stretch of wall. The last Fulbright professor who’d served before the Revolution told me how he and his wife decided, in the cold November of 1989, to host a Thanksgiving dinner for their Romanian colleagues. It took them days to find a starved excuse for a turkey; then they faced the dilemma of making stuffing, when no vegetables graced the market at all. They’d spent a day in the kitchen debating the difficulty, till someone knocked at the door. A little man hunched outside, bundled against the wind. Springing into speech, he hinted that some colleagues — well, cousins, who intimately attended to matters about the flat, had phoned him regarding a problem here that, perhaps for a fee, needed fixing. He gestured vaguely at a tall-antennaed car parked (as it was always parked) down the road. “I understand,” he said, “that you are discussing how to stuff a bird. I can help. I am a licensed taxidermist …”

It was funny, and not funny. When I lived there the city still roiled with ethnic hate and nationalist hysteria. As a gay man and a human rights activist, who visited prisons on most off days, I was an object of exceptional interest. The secret police called in a friend of mine, and interrogated him about every syllable of our conversation the night before in my living room. They warned him I would recruit him into “a spy ring of Hungarians, Jews, and homosexuals undermining the Romanian nation.” I went to the United States for a couple of months that summer. Showering in the cramped bathroom in my father’s house, I started talking idly to myself, then stopped in terror: Had I repeated a secret? What if they were listening? The surge of relief when I realized there were no ears around was as if a dam burst behind my tensed muscles. I realized the constant and intolerable pressure I’d lived under for a year, always watched, always overheard.

In the age of paper: Pre-revolution surveillance files at the National Center Studying the Securitate Archives, Bucharest, Romania (© Bogdan Cristel/Reuters).

In the age of paper: Pre-revolution surveillance files preserved at the National Center for Studying the Securitate Archives, Bucharest, Romania (© Bogdan Cristel/Reuters).

The same year I settled in Romania, 1992, a few radical computer geeks in San Francisco started a mailing list that eventually grew into the Cypherpunk movement. Loathing of state surveillance drew them together, and a belief that technology could forge tools to resist. Their ideology was a remarkable faith that code should be public and knowledge shared so that people could stay private and intimacy stay intact:

Cypherpunks write code. We know that someone has to write software to defend privacy, and since we can’t get privacy unless we all do, we’re going to write it. We publish our code so that our fellow Cypherpunks may practice and play with it. Our code is free for all to use, worldwide.  … We know that software can’t be destroyed and that a widely dispersed system can’t be shut down.

Cypherpunks deplore regulations on cryptography, for encryption is fundamentally a private act. The act of encryption, in fact, removes information from the public realm. Even laws against cryptography reach only so far as a nation’s border and the arm of its violence. Cryptography will ineluctably spread over the whole globe, and with it the anonymous transactions systems that it makes possible.

There’s a lot of our world in that manifesto.

Electronic technologies “allow for strong privacy.” But they also destroy it, at least when states and corporations wield them. I used to feel innocently sure in the US that the listening ears weren’t there; I wouldn’t feel it now. That watchfulness, inculcated in the bone, is the condition we inhabit; that no-man’s land is where we live.

The struggle between computer and computer, to see and not to be seen, is the new arms race and Cold War. Unless you want to drop out, turn Unabomber and settle in a cabin with the wires all cut, paranoiacally interrogating and torturing your carrier pigeons, you have to take a side. Choosing the technologies of privacy is about as close as you can come to choosing freedom. Yet it means living walled in by technology’s protections. The tension won’t go away.

I hear you: Gene Hackman in Francis Ford Coppola's The Conversation (1974)

I hear you: Gene Hackman listening, in Francis Ford Coppola’s The Conversation (1974)