Za mgłą zwalczania przestępstw, które są dokonywane z użyciem współczesnych środków technologicznych, szyfrowanie powraca na pierwszy plan w niedużym odstępie czasu. W listopadzie zeszłego roku Rada Unii Europejskiej opublikowała rezolucję (13084/1/20 REV 1), w której wzywa do wprowadzenia nowych zasad, które obejmowałyby szyfrowanie w Europie. Do walki ze sprzecznym założeniem, jakoby można byłoby pogodzić tylne furtki z mechanizmem szyfrowania end-to-end, dołączają: ProtonMail – dostawca szyfrowanej i anonimowej poczty, Threema – producent bardzo bezpiecznego komunikatora zapewniającego niezwykle dużą anonimowość (większą niż Signal), Tresorit – deweloper rozwiązań z szyfrowaniem E2E dla biznesu i Tutanota – twórca i dostawca szyfrowanej poczty.
Powzięta deklaracja Rady UE z 27 listopada 2020 roku „Council Resolution on Encryption – Security through encryption and security despite encryption” jak na razie nie zawiera żadnych szczegółów dotyczących ewentualnych przepisów. Mimo to może być szkodliwa.
Bezpieczeństwo pomimo szyfrowania? To nie zadziała…
Producenci rozwiązań szyfrujących jednoczą się, aby przeciwdziałać pomysłowi „bezpieczeństwu pomimo szyfrowania„, który – zdaniem ekspertów – przyczyni się do zakazania w Europie szyfrowania, jakie dzisiaj znamy. Szyfrowanie end-to-end, pomiędzy urządzeniami np. smartfonem dwóch użytkowników, stanie się niemożliwe w przypadku kiedy oprogramowanie do wymiany danych jest tworzone w Europie, udostępniane za darmo, albo sprzedawane użytkownikom końcowym i firmom.
Możemy z całą pewnością powiedzieć, że pomysł Unii Europejskiej spowoduje nakaz umieszczania backdoorów w oprogramowaniu. Wówczas będziemy musieli zapomnieć o jakimkolwiek bezpieczeństwie i anonimowości. Zatem w jaki sposób już teraz moglibyśmy obchodzić przepisy, gdyby zostały wprowadzone dzisiaj?
Musielibyśmy korzystać z rozwiązań bardzo niszowych, wykorzystujących komunikację peer-to-peer. Przykładami takich komunikatorów są Jami, Briar oraz Tox. Używają one metody komunikacji peer-to-peer (P2P, dosłownie „osoba do osoby”). W przeciwieństwie do znanych rozwiązań służących do komunikacji w Internecie, takich jak Signal, WhatsApp i Telegram, rozwiązania wykorzystujące komunikację peer-to-peer nie potrzebują do działania serwera pośredniczącego w wymianie danych, co eliminuje tzw. niezaufaną stronę trzecią, jaką zawsze jest serwer producenta. Minusem takiego rozwiązania jest brak synchronizacji kontaktów i wiadomości pomiędzy urządzeniami tego samego użytkownika. Niewątpliwie do plusów zalicza się największą anonimowość wspartą dodatkowym szyfrowaniem end-to-end, chociaż kosztem wygody i produktywności.
To tylko pomysł, któremu już teraz sprzeciwiają się eksperci
W uchwale Rady UE napisano, że członkowie Unii powinni sami uzgodnić nowe przepisy, aby jednocześnie zagwarantować dobry poziom szyfrowania z zachowaniem standardów bezpieczeństwa, transparentności i ochrony danych osobowych. Przepisy przeciwdziałające przestępstwom na tle seksualnym, terroryzmowi i przestępczości zorganizowanej mogą, a nawet powinny być rozszerzone. Jednakże zdaniem wielu ekspertów nie kosztem utraty wolności, prywatności i bezpieczeństwa cyfrowego oraz osobistego. Tak czy inaczej słowo „backdoor” nie pada jednoznacznie w rezolucji. Nie zmienia to jednak faktu, że eksperci nie godzą się z nowym pomysłem urzędników.
Szyfrowanie end-to-end jest absolutne. Dane są zaszyfrowane, albo nie. Użytkownicy mają prywatność lub nie.
Chęć udostępnienia organom ścigania większej liczby narzędzi do walki z przestępczością jest oczywiście zrozumiałe. Te propozycje są cyfrowym odpowiednikiem przekazania organom ścigania klucza do domu każdego obywatela i mogą dążyć w kierunku większych naruszeń prywatności.
Stwierdzili dostawcy rozwiązań szyfrujących w liście skierowanym do Rady Unii Europejskiej.
Dodatkowe materiały:
