SecureDrop

SecureDrop (securedrop.org) — это *система подачи информации для осведомителей, которую действительно используют серьёзные редакции* — опенсорсная платформа от Freedom of the Press Foundation, позволяющая источнику отправлять документы журналистам с моделью угроз, предполагающей, что сеть и собственная ситуация источника являются враждебными.

Предыстория. SecureDrop восходит к проекту *DeadDrop* (над которым изначально работали Аарон Шварц и журналист Кевин Поулсен) и с 2013 года находится под управлением *Freedom of the Press Foundation*, некоммерческой организации. Система развёрнута ведущими расследовательскими изданиями по всему миру, каждое из которых использует *собственный Tor onion-сервис для каждой редакции* для приёма материалов от источников. Именно это некоммерческое управление, опенсорсная кодовая база и десятилетие реального использования во враждебных условиях приносят ей оценку A в /tools — это проверенная в бою инфраструктура, а не гаджет для приватности.

Чему вы доверяете. Архитектуре, потому что *код открыт, а модель угроз явна и пессимистична*. Источник загружает материалы через *Tor* на выделенный `.onion` редакции, так что ни IP источника, ни сам факт соединения не раскрываются пассивному наблюдателю сети. Журналисты получают материалы на *изолированной рабочей станции* (рекомендуемая конфигурация использует Qubes OS), расшифровывая документы на машине, которая никогда не касается интернета — что сдерживает ущерб, если повседневный ноутбук журналиста скомпрометирован. Фонд публикует *открытый каталог редакций, использующих экземпляр*, чтобы источник мог проверить, что отправляет материалы настоящему изданию, а не подделке. Вы доверяете аудируемой системе и некоммерческой организации, а не обещанию вендора.

Технические характеристики. Подача — только через Tor на onion редакции, без аккаунта, без почты и без идентифицирующих метаданных, требуемых от источника. Серверная сторона — это усиленное, задокументированное развёртывание, которое редакции размещают самостоятельно; журналистская сторона предписывает изолированную расшифровку (рабочие процессы Qubes/Tails) и GPG. Кодовые имена, а не личности, отслеживают цепочку подачи источника. Всё бесплатно и с открытым исходным кодом, руководства по развёртыванию и шаги по усилению публичны, а каталог действующих экземпляров поддерживается на securedrop.org (и через собственный onion).

Философия. Защита источников — это проблема свободы прессы, и единственная долговременная защита — *техническая, а не процедурная*: нельзя потребовать через повестку метаданные, которые никогда не собирались, и нельзя принудить журналиста раскрыть источник, которого он был архитектурно лишён возможности идентифицировать. SecureDrop кодирует этот принцип: предполагайте, что сеть находится под наблюдением, предполагайте, что устройства могут быть изъяты, предполагайте, что противник — государство, и проектируйте так, чтобы система по-прежнему защищала источник. Открытие исходного кода и управление как некоммерческим общественным благом — единственная конфигурация, соответствующая этой миссии.

Обоснование оценки. Оценка A в /tools. Оценка отражает опенсорсное, некоммерческое (Freedom of the Press Foundation) управление; строгую, явно враждебную модель угроз; подачу с минимальными метаданными только через Tor; изолированные рабочие процессы журналистов; и проверяемый публичный каталог экземпляров. Это эталонная реализация инфраструктуры для осведомителей — ничто другое в категории не сочетает такое происхождение, масштаб внедрения и дисциплину.

Когда полезен. SecureDrop предназначен для *источников, располагающих действительно чувствительной информацией для передачи редакции*, и для *редакций, которым нужен заслуживающий доверия канал приёма, защищающий источники*. Если вы потенциальный источник, используйте каталог Фонда, чтобы найти экземпляр вашего целевого издания, точно следуйте инструкциям Tails/Tor и отправляйте только через проверенный onion. Если вы организация, это золотой стандарт для развёртывания — с той операционной серьёзностью, которой он требует.

Оговорки. Защита SecureDrop настолько сильна, насколько сильна *операционная безопасность вокруг неё* — источник, который подключается из идентифицируемой сети, раскрывает своё кодовое имя или игнорирует указания Tails/Tor, может деанонимизировать себя независимо от того, насколько надёжна система. Правильное использование экземпляра (изолированные Qubes/Tails, оборудование, обслуживание) нетривиально и требует реальных обязательств от редакции; неправильно настроенное развёртывание хуже, чем его отсутствие. И система решает проблему *подачи*, а не последующих правовых и физических рисков, с которыми может столкнуться источник. Это оговорки операционной дисциплины, а не дизайна — именно поэтому SecureDrop сочетает программное обеспечение с подробными руководствами по усилению, и именно поэтому он находится на вершине категории.