Szyfrowanie powraca na pierwszy plan w rozmowach kuluarowych. Argumentem wartym podjęcia eksperckiej dyskusji jest nowa rezolucja Unii Europejskiej. Urzędnicy dążą do uregulowania szyfrowania, które jest używane w usługach internetowych, oprogramowaniu do wideo rozmów, urządzeniach sieciowych, komunikatorach itp. Przedstawiony w rezolucji pomysł obejmie „wszystko co jest online, offline i szyfruje”. Precyzując: zastosowane algorytmy szyfrujące nie są celem zainteresowania urzędników. Nie będzie mieć znaczenia, czy aplikacja jest projektem otwarto-źródłowym, czy też z zamkniętym kodem. Przeczy to działaniom Unii Europejskiej, która już wcześniej zaangażowała się w zabezpieczenie tzw. Open Source. Obecnie na kanwie jest szyfrowanie, ponieważ stało się ono przeszkodą dla służb w walce z terroryzmem, pedofilią i przestępczością zorganizowaną.
Unia Europejska: szyfrowanie nie, ale jednak tak
Rada Unii Europejskiej opublikowała rezolucję (13084/1/20 REV 1), w której wzywa do wprowadzenia nowych zasad obejmujących szyfrowanie w Europie. Powzięta deklaracja z 27 listopada 2020 roku „Council Resolution on Encryption – Security through encryption and security despite encryption” nie jest w żaden sposób wiążąca. Nie zawiera też żadnych szczegółów dotyczących ewentualnych przepisów. Mimo to może być szkodliwa.
W uchwale napisano, że członkowie Unii powinni sami uzgodnić nowe przepisy, aby jednocześnie zagwarantować dobry poziom szyfrowania z zachowaniem standardów bezpieczeństwa, transparentności i ochrony danych osobowych. Mówiąc inaczej Unia Europejska argumentuje walkę z szyfrowaniem dobrem nadrzędnym. Przepisy przeciwdziałające przestępstwom na tle seksualnym, terroryzmowi i przestępczości zorganizowanej mogą, a nawet powinny być rozszerzone. Jednakże zdaniem wielu ekspertów nie kosztem utraty wolności, prywatności i bezpieczeństwa cyfrowego oraz osobistego. Tak czy inaczej słowo „backdoor” nie pada jednoznacznie w rezolucji. Nie zmienia to jednak faktu, że eksperci nie godzą się z nowym pomysłem urzędników.
Podobne plany kontrolowania zaszyfrowanych komunikatów zaproponowano już w roku 2017. Pomysł wyszedł spod długopisów niemieckich europosłów. Wówczas zaproponowali oni, aby wymusić na producentach elektroniki umieszczania tak zwalanych tylnych furtek, które dawałyby dostęp do danych służbom na wiosek do prokuratury.
Podobne prawo już działa w Australii od roku 2019. Mianowicie ustawa „Assistance and Access Bill” nakazuje firmom, a także dostawcom świadczącym usługi na terenie Australii, „obchodzenia” szyfrowania i przekazywania dostępu do danych odpowiednim organom.
Sojusz wywiadów państw Pięciorga Oczu (Five Eyes), w którego skład wchodzą USA, Wielka Brytania, Kanada, Australia i Nowa Zelandia (ze wsparciem Japonii i Indii), także domagały się ułatwienia deszyfracji komunikatorów internetowych. Przypomnijmy jeszcze, że zaledwie rok temu służbom policyjnym i federalnym z dwóch krajów z sojuszu Pięciorga Oczu nie udało się dostać do plików, które były zaszyfrowane przez VeraCrypt.
Terroryzm, pedofilia, walka z przestępczością zorganizowaną
Tak więc listopadowa rezolucja wzywa firmy technologiczne do podjęcia rozmów akademickich mających na celu opracowanie sposobów „obejścia szyfrowania”. W dokumencie podkreślono znaczenie poszanowania dla praw podstawowych, praw człowieka oraz praworządności. Niestety według wytycznych Unia Europejska może wykorzystać swoje uprawnienia regulacyjne, aby zapewnić dostęp do ukrytych danych sądom i organom współpracującym z prokuraturą.
Komentarz eksperta
Poprosiliśmy o komentarz przedstawiciela wrocławskiego startupu Cypherdog — producenta rozwiązania do szyfrowania i bezpiecznej komunikacji:
Realizacja pomysłu zawartego w tej rezolucji oznaczałaby pojawienie się owej „trzeciej” strony w procesie nawiązywania komunikacji czy to jej treści. Pomysł oznacza znaczne osłabienie mechanizmów szyfrowania. Wykluczyłoby to szyfrowanie za pomocą „realnie” prywatnego klucza, haseł dostępowych lub haseł użytych do szyfrowania samego klucza. Musiałaby one być przechowywane na serwerze dostawcy usługi lub też gdziekolwiek indziej. Dostęp do zaszyfrowanych danych mogliby mieć operatorzy usług (dostawcy narzędzi), służby, pracownicy tych organizacji. Takie klucze mogłyby wyciec, mogłyby być pozyskane przez cyberprzestępców.
Znacznie ogranicza to prywatność oraz wolności obywatelskie. Pozyskane dane mogłyby być wykorzystane w walce politycznej: w dyskredytowaniu oponentów politycznych, szukaniu tzw. haków, użyte do szantażu. I to niekoniecznie zgodnie przez uprawnione do tego służby. Wszelkie inne osoby, które uzyskałyby legalnie bądź nie, w sposób zamierzony lub nie, dostęp do danych, mogłyby odszyfrowywać komunikację.
Firmy, które są prawnie zobowiązane do ochrony danych osobowych swoich klientów, narażone byłyby na ataki np. przez wynajętych hakerów przez konkurencje. Ci przykładowo, ujawniają incydent wycieku danych, narażają je na kary regulatorów i dyskredytację w oczach klientów. Wynajęci cyberprzestępcy mogą pozyskiwać informacje dotyczące ofert, faktur czy umów, które pozwalają na uzyskanie niezgodnie z prawem przewagi konkurencyjnej przez inne podmioty.
Jako społeczeństwa jesteśmy inwigilowani w coraz większym stopniu zarówno przez państwa jak i globalnych dostawców technologii. Przeciwdziałanie przestępczości nie może służyć jako pretekst do ograniczania swobód obywatelskich oraz narażać organizacje na straty związane z wyciekami danych. Pamiętajmy, że dane są walutą XXI wieku. Z narzędziami do szyfrowania jest podobnie jak z nożami. Mogą one być użyte zarówno w celach kulinarnych, jak i do ataku na innego człowieka. A nikt nie limituje dostępu do noży.
Przemysław Kucharzewski
VP Sales, Cypherdog Security
Bezpieczeństwo dzięki szyfrowaniu
Szyfrowanie to narzędzie do ochrony osób, infrastruktury krytycznej, mediów i dziennikarzy, przemysłu i rządów państw. Zapewnia prywatność, poufność, integralności danych oraz dostępność do bezpiecznej komunikacji oraz przetwarzania danych osobowych. Oczywiste jest, że korzyści z szyfrowania mamy więcej niż negatywnych skutków.
Ponadto warto przypomnieć rozporządzenie o ochronie danych osobowych z 25 maja 2018 roku. Tak zwane RODO wskazuje na szyfrowanie jako na jeden ze sposobów zabezpieczenia danych. Zresztą nie tylko poufne informacje powinny być chronione w taki sposób. Coraz więcej kanałów komunikacyjnych i usług przechowywania danych w chmurze jest zabezpieczana przez szyfrowanie typu end-to-end (E2E), a usługi wideokonferencji i komunikatorów dla pracowników wręcz nie mogą istnieć bez ochrony kanału komunikacyjnego.
Szyfrowanie poza jurysdykcją Unii Europejskiej
Unia Europejska, tworząc za pomocą przepisów tzw. tylne furtki, nawet jeśli zrobi to transparentnie i z poszanowaniem danych osobowych, nie zabezpieczy dostawców usług i oprogramowania przed cyberatakami.
Decyzja o utworzeniu backdoorów może doprowadzić do kryptograficznej katastrofy. Jeżeli producent umożliwi deszyfrację organom policyjnym, to równie dobrze do każdej takiej firmy, zamiast służb, mogą zapukać hakerzy. Jest to broń obosieczna, dlatego pomysł ukazany w rezolucji nie jest pozbawiony wad.
Szyfrowanie ma na celu ochronę informacji przed nieuprawnionym dostępem ze strony hakerów, innych firm lub osób prywatnych. Nie powinniśmy w żaden sposób ułatwiać przestępcom wykorzystania luk, które sami będziemy musieli wprowadzać, jeżeli zmuszą nas do tego przepisy.
Co z firmami, które oferują swoje usługi poza Unią Europejską? Każda organizacja, która przetwarza dane osobowe obywateli państw członkowskich musi dostosować się do GDPR. Tak więc przedsiębiorstwa spoza Unii, które przetwarzają dane obywateli UE, muszą wyznaczyć swojego przedstawiciela w Unii. Obecnie dotyczy to tylko i wyłącznie przetwarzania danych osobowych. Co nie oznacza, że analogiczny projekt o celowej deszyfracji (wpuszczenia niezaufanej trzeciej strony) może zostać zaproponowany przez Radę Europejską. Czy się to uda, to już zależy od wielu czynników politycznych i technicznych. I chyba nikt nie uwierzy, że firmy z Rosji lub Chin będą przekazywać dane swoich klientów na wniosek organu z Unii Europejskiej. Tylne furtki w tych państwach są zarezerwowane wyłącznie dla służb lokalnych.
Dodatkowe linki
- Sojusz wywiadowczy Pięciorga Oczu wzywa do ułatwienia deszyfracji komunikatorów: https://avlab.pl/sojusz-wywiadowczy-pieciorga-oczu-wzywa-do-ulatwienia-deszyfracji-komunikatorow/
- Komisja Europejska może przedstawić projekt obowiązkowych backdoorów w elektronice i oprogramowaniu: https://avlab.pl/komisja-europejska-moze-przedstawic-projekt-obowiazkowych-backdoorow-w-elektronice-i-oprogramowaniu/
- Projekt rezolucji: https://data.consilium.europa.eu/doc/document/ST-13084-2020-REV-1/en/pdf
