밤의 노르딕 도서관에 있는 NordBastion 북극곰 마스코트가 오로라-청색 램프 빛 아래 열린 사전과 PGP 서명된 종이들이 흩어져 있는 긴 참나무 독서대에 기대고 있습니다
용어집 항목 · 보안 속성

종단 간 암호화 E2EE — 엔드포인트만 키를 보유함

대화 중간의 서버조차도 메시지를 읽을 수 없는 암호화 속성.

정의
평이한 영어

데이터가 발신자에서 암호화되고 의도된 수신자에서만 복호화되며, 중간 당사자가 — 메시지를 중계하는 서버를 포함하여 — 복호화 키를 결코 보유하지 않는 암호화 속성. 수신 서버의 운영자가 TLS 계층이 종료된 후 평문을 읽을 수 있는 전송 암호화 (TLS)와 구별됩니다. Signal 프로토콜, OpenPGP, Matrix Olm/Megolm 스위트 및 소수의 다른 시스템에 의해 구현됩니다.

NordBastion에서 중요한 이유

호스팅 플랫폼은 E2EE를 가능하게 할 수 있지, 제공할 수는 없습니다.

종단 간 암호화는 두 엔드포인트 사이의 통신 시스템의 속성입니다 — 채팅 앱, 백업 도구, 이메일 클라이언트. 호스팅 플랫폼은 자체적으로 엔드포인트가 아니므로, Signal이 그런 것처럼 직접 E2EE "일" 수 없습니다. 호스팅 플랫폼이 할 수 있는 것은 E2EE를 원하는 고객 워크로드가 그것을 전달하는 데 필요한 모든 것을 가지도록 하고, 플랫폼 자체가 사용자 데이터를 읽을 수 있는 세 번째 엔드포인트가 은밀히 되지 않도록 보장하는 것입니다.

그것이 정확히 저희가 취하는 운영 자세입니다. NordBastion VPS에 Matrix 홈서버, Conduwuit/Synapse 스택 또는 XMPP 서버를 자체 호스팅하시면 사용자 가시 암호화는 클라이언트 간 종단 간입니다 — VPS는 암호문만 중계합니다. Restic, Borg 또는 Kopia 백업 대상을 자체 호스팅하시면 데이터는 저희 디스크에 닿기 전에 클라이언트에서 암호화됩니다. Mumble, Jitsi 또는 SimpleX 배포를 자체 호스팅하시면 저희는 평문 스트림을 결코 보지 않습니다.

저희 자체 고객 대면 서비스에 대한 결론: 저희는 패널과 API에 대해 (E2EE가 아닌) TLS를 사용합니다, 왜냐하면 패널이 요청을 이행하기 위해 실제로 읽어야 하기 때문입니다. 거기서 E2EE 대신 저희가 대체하는 것은 데이터 최소화입니다 — 저희는 거의 아무것도 수집하지 않고, 저장해야 하는 것을 해시하며, 결제 메타데이터를 회계용으로만 보유합니다. 그것이 솔직한 답입니다; E2EE와 동일한 속성이 아니며, 저희는 다르게 가장하지 않습니다.

관련 용어

다음 읽기.

TLS PGP SSH Monero (XMR)
이 사이트에서 어디에 나타나는지

이 용어에 기대는 페이지들.

FAQ · 종단 간 암호화

사람들이 실제로 묻는 질문들.

E2EE는 HTTPS와 어떻게 다릅니까?

HTTPS는 귀하의 브라우저와 서버 사이의 링크를 암호화하기 위해 TLS를 사용합니다. 요청이 서버에 도달하면, 그 서버의 운영자는 평문을 봅니다 — 그것이 서버가 자신의 일을 할 수 있는 방법입니다. 종단 간 암호화는 서버가 평문을 결코 보지 않음을 의미합니다: 메시지는 발신자의 기기에서 수신자의 키로 암호화되며, 수신자만이 그것을 복호화할 수 있습니다. HTTPS는 회선을 보호합니다; E2EE는 호스트로부터 콘텐츠도 보호합니다.

NordBastion 자체가 종단 간 암호화되어 있습니까?

NordBastion은 호스팅 플랫폼이지 메시징 앱이 아닙니다 — 그 개념은 저희가 운영하는 대부분에 직접 적용되지 않습니다. 고객 패널, API 및 마케팅 사이트는 E2EE가 아닌 TLS를 사용합니다, 왜냐하면 서버가 요청을 이행하기 위해 읽어야 하기 때문입니다. 저희가 하는 것은 서버가 평문으로 저장하는 것을 최소화하는 것입니다: 비밀번호는 argon2id로 해시되고, 결제 세부 정보는 회계에 필요한 기간을 넘어 보유되지 않으며, 고객별 데이터스토어는 데이터베이스 침해가 가능한 한 적게 드러내도록 구조화되어 있습니다.

E2EE는 VPS의 고객 워크로드에 어떤 의미입니까?

그것은 플랫폼 위에 구현하실 수 있는 것입니다. NordBastion VPS에서 자체 호스팅하시는 채팅 애플리케이션은 완벽하게 종단 간 암호화될 수 있습니다 — VPS는 사용자의 기기 사이를 흐르는 암호문만 봅니다. 종단 간 암호화된 백업 도구 (restic, borg, kopia)는 클라이언트에서 데이터를 암호화하고 키가 운영자의 손을 결코 떠나지 않은 채로 NordBastion 노드의 S3 호환 스토리지로 암호문을 푸시합니다.

E2EE가 보호할 수 있는 것에 대한 공식적인 한계가 있습니까?

예. E2EE는 콘텐츠를 보호합니다. 자체적으로는 메타데이터를 숨기지 않습니다: 누가 누구와 이야기하는지, 언제, 얼마나 자주, 어느 IP에서. 대부분의 현대 E2EE 설계 (Signal, Matrix)는 메타데이터 누출을 깎아내기 위해 추가 조치를 추가합니다 — 봉인된 발신자, 패딩, 믹스넷 — 그러나 그 중 어느 것도 콘텐츠가 얻는 절대적 프라이버시 속성을 제공하지 않습니다. 프라이버시 인식 스택은 콘텐츠를 위한 E2EE와 네트워크 계층 메타데이터를 위한 Tor 또는 자체 호스팅 VPN을 결합합니다.