Ako sa Slovensko/EÚ pripravuje na digitálnu diktatúru čínskeho typu III

Napísal ppadmin

Ak ste si doteraz mysleli, že digitálna totalita je záležitosťou Číny, Iránu či iných diktátorských krajín, tak pri súčasnom návrhu Rady EÚ s nevinným názvom “Security through encryption and security despite encryption” vás asi sklameme. Totalitná legislatíva zaobalená do vznešených a krásnych slov “potreby rovnováhy” medzi ochranou práv občanov EÚ využitím kryptografie a efektívnej možnosti vyšetrovania cyberu zločinu z pera euroúradníkov je niečo, čo nemalo nikdy vzniknúť. Dúfajme, že v žiadnej podobe neprejde, ale už len samotná existencia takéhoto návrhu by nás mala znepokojovať.

História sa opakuje

Nápad regulovať šifrovacie technológie nie je novým. V USA v roku 1991 senátor Joe Biden (demokrat, Delaware, tohtoročný demokratický kandidát na prezidenta USA) navrhol veľmi podobný zákon o zadných vrátkach. Backdoorované šifry sa neujali. Zákon neprešiel. Ale USA sa podarilo presadiť zákaz exportu šifrovacích technológií. Logika bola jednoduchá – teroristi za hranicami by mohli obchádzať odpočúvacie systémy NSA, ak by svoju komunikáciu jednoducho zašifrovali. Tak zakážeme americkým firmám a obyvateľom vyvážať softvér so silným šifrovaním. USA si vtedy už uvedomilo, že právo na súkromie a bezpečná komunikácia napríklad s bankou je pre občanov USA dôležitá, ale najlepšie technológie “made in USA” si ľudia mimo USA nezaslúžia. Zákon pritom klasifikoval vývoz šifrovacích technológií ako vývoz zbraní. Takže ak ste na Internet zavesili vtedajší internetový prehliadač Netscape Navigator so silnými šiframi (a nie jeho “exportnú” verziu) a stiahol si ju niekto z Fínska, bolo to podobné, ako keby ste vyviezli tank. Táto absurdita doviedla autora šifrovacieho programu PGP Phila Zimmermana k uvoľneniu jeho zdrojových kódov. Vydavateľstvo univerzity MIT (MIT Press) vydalo zdrojové kódy v knižnej podobe. Keďže kniha už bola chránená slobodou prejavu (prvý dodatok ústavy), jej vyvezenie nebolo vyvezením šifrovacej technológie, ale knihy. Na druhej strane Atlantického oceánu PGP anonymní autori naskenovali z kníh a skompilovali. A tak sme v európe mohli používať PGP. Mnohí z nás sme mali tričko s párriadkovou implementáciou šifrovacieho algoritmu RSA v jazyku Perl.

Nadácia Electronic Frontier Foundation začala lámať šifry určené na export, aby bolo jasné, že ich dokáže zlomiť nielen NSA, ale aj neziskovka.

Toto nezmyselné obmedzenie nakoniec zrušili. Šifrovacie technológie sa nedajú zakázať. Nie sú jadrová bomba – ak ich chcú teroristi používať, stačí osloviť šikovnejšieho absolventa informatiky z Matfyzu alebo FEI STU/FIIT a šifrovanie je na stole. Zadné vrátka v šifrovacích technológiách v praxi nefungujú. Možno to pochopil aj Joe Biden po kolosálnom zlyhaní všetkých obmedzení. Teraz vyzerá, že je potrebné, aby to “pochopili” aj euroúradníci, ktorí tak trochu zabudli na to, aký je rok – a na to, že ich “skvelý nápad” už niekto v minuloti skúšal, s veľmi zlými výsledkami.

O čo ide

6.11.2020 Rada EÚ publikovala dokument, ktorý sa dušuje tým, že EÚ vehemente podporuje vývoj, implementácie a použitie silného šifrovania ako nástroja na zachovanie našich fundamentálnych práv a digitálnej bezpečnosti štátov, priemyslu a celej spoločnosti. Súčasne k tomu alibisticky pridáva, že EÚ potrebuje zabezpečiť, aby kompetentné úrady v oblasti bezpečnosti a kriminálneho vyšetrovania efektívne vykonávali svoju moc a to ako online, tak offline.

Na jednej strane Rada EÚ hovorí o tom, že “end-to-end” šifrovanie je dôležitý nástroj na ochranu osobných údajov mimo EÚ (Signal sa stal oficiálny komunikačný nástroj Európskej komisie). Na druhej strane o tom, že digitalizácia modernej spoločnosti prináša isté zraniteľnosti, ktoré sú a budú zločincami zneužívané. A keďže efektívny boj proti terorizmu, organizovanému zločinu, zneužívaniu detí atď je závislý na dôkazoch v elektronickej forme, tak je nevyhnutné k nim zabezpečiť efektívny prístup. Inak nebudeme mať “bezpečnú” spoločnosť, obete nebudú chránené a nedôjde k nastoleniu spravodlivosti. Keďže súčasné “end-to-end” šifrovanie výrazne komplikuje týmto zložkám život, tak je potrebné zabezpečiť, aby súdy a polícia dokázali stále efektívne bojovať proti zločinu. Napríklad tým, že si uzurpujú “legálny” prístup k vašej šifrovanej online komunikácii. Samozrejme všetko v súlade so zákonom a tak, že bude maximálne zabezpečené vaše právo na súkromnú komunikáciu a zabezpečenie vašich osobných dát.

Neznie vám to trochu ako oxymorón?

Aby samotný dokument nevyznel úplne totalitne, tak Rada EÚ v ňom ďalej hovorí o rovnováhe – opäť pripomenie, že EÚ bude naďalej podporovať šifrovanie a šifrovanú komunikáciu ako nástroja na zachovanie základných práv občanov. Ale že zabezpečenie nášho súkromia a bezpečnosti spoločnosti sa nedá realizovať bez toho, aby kompetentné štátne autority nemali legálny prístup k relevantným dátam v rámci boja proti organizovanému zločinu, terorizmu…

Rada EÚ veľkodušne vyzýva technickú komunitu, štáty a technologických hráčov na technickú diskusiu, ako tento krásny “balans” (alebo oxymorón?) dosiahnuť. Samozrejme technické riešenie musí byť legálne, transparentné a “proporčné”.

Balans sa nedá dosiahnuť bez vážneho ohrozenia súkromia

Ako zástupcovia technickej komunity, ktorí sa IT bezpečnosti a ochrane súkromia venujeme viac ako 20 rokov (založili sme viacero firiem venujúcich sa IT bezpečnosti a ochrane súkromia) si myslíme, že takýto balans sa technicky nedá dosiahnuť bez toho, aby nebolo plošne ohrozené súkromie všetkých občanov EÚ.

Nižšie vysvetlíme, že sa to nielenže nedá, ale takéto pokusy EÚ, budú mať úplne opačný efekt na súkromie všetkých jej občanov.

Mať možnosť legálneho odposluchu pri “end-to-end” šifrovanej komunikácii (Signal, WhatsApp, Threema, ..) sa technicky dá dosiahnuť rôznymi spôsobmi, napríklad:

  1. Povinným šifrovaním komunikácie zo strany Messengerov špeciálnymi “master / escrow” kľúčmi

Vďaka tomuto orgány činné v trestnom konaní dokážu dešifrovať zabavenú šifrovanú komunikáciu (tu je obrovské riziko, že tieto privátne “master / escrow” kľúče, ktorými tieto orgány budú disponovať, uniknú a umožnia aj iným tretím stranám dostať sa k tejto komunikácii).

  1. Získaním privátnych kľúčov samotnej komunikácie

Toto je možné dosiahnuť tak, že vývojárov Signal či Threemy EÚ donúti, aby povinne privátne kľúče všetkých svojich používateľov ukladali pre orgány činné v trestnom konaní aj na ich serveri, nielen na ich telefónoch. V prípade WhatsAppu o privátne kľúče používané pri “end-to-end” šifrovanej komunikácii stačí už teraz len pekne poprosiť vyplnením tohto formuláru

  1. Agresívnejšia verzia zadných vrátok priamo na koncových zariadeniach

EÚ donúti Apple, Google a ďalších predajcov telefónov, aby do všetkých telefónoch predávaných alebo distribuovaných v EÚ naimplementovali príslušné zadná vrátka pre orgány činné v trestnom konaní (v Číne je toto bežná realita). Nutné poznamenať, že o toto sa FBI v minulosti už snažilo voči Apple a tento spor prehrali.

Čo sa stane po zavedení povinnosti zadných vrátok v populárnych “end-to-end” šifrovaných messengeroch?

Najpravdepodobnejší scenár po zavedení povinných zadných vrátok v najpopulárnejších “end-to-end” šifrovaných messengeroch bude, že slušné vývojárské firmy (Signal, Threema) zrejme stiahnu svoje aplikácie z Google Play / Apple repozitárov pre európsky trh. Tým sa výrazne zníži sieťový efekt použitia týchto aplikácií, lebo väčšina ľudí si tieto aplikácie v APK/binárnom formáte nebudú vedieť stiahnuť a nainštalovať. Prejdú preto na WhatsApp, Facebook Messenger či iné proprietárne komunikačné platformy, ktoré buď nie sú vôbec “end-to-end” šifrované alebo ak aj sú (ako WhatsApp), tak privátnymi kľúčmi používateľov už teraz disponuje tretia strana ako Facebook, ktorá ich štátnym inštitúciám rada poskytne, aby mohla zotrvať na obrovskom európskom trhu.

Vo finále sa ochrana súkromia pre drvivú väčšinu ľudí výrazne zhorší, lebo prejdú na platformy, ktoré nie sú “end-to-end” šifrované alebo ak sú, tak majú zadné vrátka alebo k ich kľúčom majú prístup tretie strany. Súčasne zadné vrátka (napríklad vo “master/escrow” kľúčov) sa stanú predmetom útokov ruských, čínskych a iných tajných služieb, ktoré budú chcieť získať kontrolu nad týmito platformami. Tu je potrebné si uvedomiť, že po schválení tejto legislatívy, orgány v trestnom konaní (polícia či tajné služby) budú disponovať privátnymi kľúčmi “master/escrow” páru. A keď tieto privátne kľúče uniknú, napríklad ruskej či čínskej tajnej službe, tak dôjde automaticky ku kompromitovaniu šifrovanej komunikácie miliónov ľudí v EÚ!

Preháňate! Nejde o žiadny zákaz “end-to-end” šifrovanej komunikácie!

Počujeme z radov obhajcov tejto legislatívy. Tu je potrebné si uvedomiť, že aby akákoľvek európska legislatíva fungovala, tak musí byť plošne vynucovaná. Ak EÚ uvedené zadné vrátka nebude v populárnych messengeroch vynucovať zákonom, ale ponechá ich implementáciu na dobrovoľnosti vývojárov, tak messengere s “backdoorom” samozrejme nikto používať nebude. Takéto smiešne pokusy v minulosti zo strany americkej NSA už boli – snažili sa presadiť šifrovacie zariadenie Clipperchip so zabudovanými zadnými vrátkami (pre odposluch americkou vládou), ktoré používalo ľahko prelomiteľnú šifru Skipjack. Samozrejme toto zariadenie, ani šifru vo finále nikto nepoužíval a skončilo to ako fraška.

Aby ľudia používali komunikačné nástroje so zabudovanými zadnými vrátkami pre “legálny odposluch”, tak to bez vynucovania bohužiaľ nejde. Najhoršie na tom je (čo si zrejme nikto v Rade EÚ neuvedomuje), že to nepôjde ani s vynucovaním. Všetci zločinci a teroristi si Signal, ktorý nebude dostupný priamo v repozitároch telefónu stiahnu z jeho webu alebo použijú nejakú jeho bezpečnejšiu verziu, ktorá zadné vrátka neobsahuje (na Internete nájdete stovky komunikačných open source nástrojov, ktoré zadné vrátka na pokyn EÚ nikdy neimplementujú). 

Znamená to, že pre tých “zlých”, voči ktorým je táto legislatíva určená, sa nezmení uplne nič. K ich šifrovanej komunikácii sa orgány činné v trestnom konaní nedostanú.

Pokým EÚ bude chcieť byť “dôsledná” a za každých okolností vynucovať, aby ľudia používali komunikačné nástroje so zadnými vrátkami, tak môže pristúpiť k podstatne drsnejším dystopickejším variantám:

  1. Môže zaviesť tvrdú internetovú cenzúru všetkých webových stránok, na ktorých sa budú dať stiahnuť “end-to-end” šifrované komunikačné nástroje (teda začať blokovať stránky a mirrory stránok Signal, Threemy apod). 
  1. Môže vás začať kriminalizovať za vlastníctvo núl a jedničiek, ktoré na vašom zariadení vytvárajú softvér umožňujúci “end-to-end” šifrovanú komunikáciu bez zadných vrátok (PGP, Signal,..). Teda za prechovávanie akýchkoľvek “EÚ nepovolených” messengerov, ktoré nezohľadnili navrhovanú legislatívu a teda neumožňujú legálny odposluch. 
  1. Môže zaviesť pravidelné policajné a colné kontroly, pri ktorých budete musieť ukázať, že na svojom telefóne alebo inom zariadení nemáte nainštalované žiadne “nepovolené” “end-to-end” šifrované komunikačné aplikácie bez možnosti legálneho odposluchu.
  1. Môže vás donútiť si nainštalovať na svoje všetky zariadenia špeciálne “hliadkujúce psy” – aplikácie, ktoré budú automaticky scanovať, či nemáte na svojom telefóne či inom zariadení nepovolené šifrovacie komunikačne aplikácie. V Číne sa toto deje už dva roky a dokonca nútia takéto aplikácie inštalovať aj turistov.

Všetky tieto opatrenia posunú EÚ na rovnaký stupeň digitálnej totality, aká je momentálne v Číne alebo v Iráne.

A čo teda so všetkými zločincami a teroristami, ktorí používajú “end-to-end” šifrovanú komunikáciu, ku ktorej sa orgány činné v trestnom konaní nevedia dostať?

Pre štátneho úradníka to znie strašidelne a nepredstaviteľne, ale riešenie je, ako hovorí Timothy C May “Deal with it”.

Treba sa zmieriť s tým, že aj napriek tomu, že všetci teroristi, zločinci, pedofili, fašisti na svoje nekalé aktivity používajú Internet (a elektrický prúd), nikoho už v dnešnej dobe nenapadne kvôli tomu zakazovať Internet či vypínať elektrický prúd. Tieto veci sú tak esenciálne pre modernú ľudskú civilizáciu, že jednoducho musíme akceptovať akékoľvek negatívne dôsledky z toho vyplývajúce. 

Je potrebné si tiež uvedomiť, že technicky idú regulovať len také komunikačné nástroje, ktoré používajú centralizovanú infraštruktúru. V prípade plne decentralizovaných messengerov (existuje ich už viacero ako napríklad Secrets on Society2 alebo Status.im) uvedená legislatíva je nevynútiteľná a všetci, ktorí ju budú chcieť v budúcnosti obísť prejdú na decentralizovaný spôsob komunikácie. 

Je najvyšší čas si uvedomiť, že “end-to-end” šifrovaná komunikácia je rovnako esenciálna pre zabezpečenie digitálneho súkromia miliárd ľudí. A akékoľvek pokusy štátov bojovať proti nej jej výrazným degradovaním, budú mať katastrofálne následky na súkromie nás všetkých. A prakticky vždy povedie do digitálnej totality. Vo všetkých diktátorských krajinách, kde štátne zložky získali prístup k šifrovanej komunikácii, to bolo zneužité voči disidentom, politickej opozícii a na udržanie totalitného režimu.

Odkazy na predošlé články:

Ako sa Slovensko pripravuje na zavedenie diktatúry čínskeho typu

Ako sa Slovensko pripravuje na zavedenie diktatúry čínskeho typu II (v čase COVID-19 pandémie)

Reakcia pražskej Paralelní Polis: Európski politici chcú trestať použitie matematiky

Ak sa vám tento článok páčil, neváhajte nás podporiť. Ďakujeme!

Ak ste sa dočítali až sem, tak máme pre váš špeciálny bonus na záver.

Stratégia “umožňovania” a “inovácii” brzdiaca inovácie a znemožňujúca podnikanie

Ešte sa na chvíľu vráťme k ľúbivým rečiam o hľadaní rovnováhy a umožňovaní bezpečnej komunikácie. Je to pomerne nová taktika, ktorá sa snaží občanom nahovoriť, že Európska únia niečo umožňuje. Napríklad GDPR umožňuje ochranu osobných údajov, striktné regulácie výberu daní a vykazovania medzinárodného obchodu “umožňujú” medzinárodný obchod alebo novonavrhovaná legislatíva o kryptomenách “umožňuje inovácie v digitálnych peniazoch”.

Tu si treba uvedomiť, že regulácia nič neumožňuje. Keďže všetko, čo nie je zakázané, je povolené, tak prirodzený stav je, že je niečo umožnené. Ak to zakazuje predchádzajúca legislatíva, tak “umožnenie” je deregulácia – zrušenie nezmyselného zákona, nie nový zákon. Kryptomeny, tokeny, ICO a iné digitálne inovácie v EÚ fungovali aj bez legislatívy, ktorá ich “umožňuje” – pretože jednoducho neboli zakázané. Nová navrhovaná legislatíva o kryptomenách pritom umožňuje len tie inovácie, ktoré už nastali – návrh zobral existujúce modely ICO, tokenov, stablecoinov a napchal ich do maličkej obmedzenej krabičky a všetko mimo nej zakázal. To ale znamená, že po prijatí tejto regulácie nebudú možné ďalšie inovácie, pretože sa do danej krabičky jednoducho nezmestia. Pekným príkladom je, že stablecoiny musia byť kryté priamo aktívami, ktorých hodnotu kopírujú, čo úplne vylučuje akékoľvek decentralizované stablecoiny (ako napríklad populárnu kryptomenu DAI).

Podobná situácia nastáva aj s reguláciami o cookies, či GDPR. Snaha EÚ o to, aby ľudia mali na výber, či môžu web stránky ukladať cookies vedie k tomu, že každá stránka na Internete otravuje ľudí s hláškou o ukladaní cookies. Prakticky všetky technológie na tvorbu webových aplikácií používajú cookies štandardne a bez nich nefungujú. Preto vás každá stránka otravuje hláškou, že musíte súhlasiť s použitím cookies. EÚ zase nič “neumožnila”, ak chcete používať internet, musíte ťukať na akceptovanie cookies.

GDPR na jednej strane núti poskytovateľov chrániť osobné údaje, ale iná legislatíva, napríklad regulácie o DPH neumožňujú prevádzkovateľom nezbierať osobné údaje. Ak napríklad poskytujete spoplatnené automatizované elektronické služby, musíte si uložiť dva dôkazy o tom, z ktorej krajiny užívateľ prišiel, aby ste mohli daňovému úradu dokázať, že ste DPH odviedli v správnej výške do správnej krajiny. Jeden z nich môže byť IP adresa, druhý je najčastejšie fakturačná adresa spôsobu platby (kreditnej karty). Tieto údaje nestačí overiť a zahodiť, musíte ich držať v databáze. Takže ak by ste nebodaj chceli poskytovať svoju službu bez toho, aby ste od užívateľa vyžadovali osobné údaje, ktoré potom musíte chrániť, nedá sa to. EÚ vás najprv prinúti zbierať pre vás zbytočné osobné údaje a potom vás donúti ich chrániť. Ako funguje táto ochrana? V zásade prejdete checklistom, dáte na stránku správne zaklínadlá pre audítora ochrany osobných údajov a potom robíte to, čo doteraz. Ak ste subjekt mimo EÚ, najjednoduchšie riešenie je proste neposkytovať služby občanom EÚ.

A tu sa dostávame k pointe – Európska únia, ktorá “umožňuje” v skutočnosti tak komplikuje podnikanie zamerané na občanov EÚ, že veľké aj malé firmy jednoducho svoje služby občanom EÚ prestanú poskytovať. To je priamy pokles životnej úrovne.

Myslíme si, že v čase pandémie a ekonomickej krízy by Európska únia mala “umožňovať” nie novými reguláciami, ale dereguláciou a sprístupnením trhu zahraničným subjektom. Deregulácia sa samozrejme týka aj lokálnych producentov. Mala by rušiť regulácie a lákať kvalitných poskytovateľov produktov a služieb. Vytvárať podmienky pre čo najširší okruh podnikateľov. Občania EÚ tak budú mať (podobne ako občania USA) prístup k tomu najlepšiemu z celého sveta za najnižšie ceny. Tak nám všetkým môže stúpnuť kúpna sila a prosperita. Namiesto toho je podnikanie na európskom trhu komplikované a nie “umožnené”. A sme presvedčení, že takáto stratégia “umožňovania” zníži prosperitu a v konečnom dôsledku aj bezpečnosť takmer 450 miliónom obyvateľov európskej únie.

Podobne navrhované regulácie šifrovacích technológií zo strany EÚ byrokratov nikdy nepovedú k väčšej ochrane súkromia obyvateľov EÚ, ale len degradujú ich bezpečnosť a paradoxne súkromie všetkých len ohrozia.


1 Comments

Nástup Ministerstva pravdy: Ako sa Slovensko pripravuje na digitálnu diktatúru čínskeho typu IV. – Paralelná Polis · 17. novembra 2020 at 00:35

[…] poslednom našom článku sme vysvetlili, že hľadať rovnováhu medzi ochranou súkromia a bezpečnosťou (kedy tretia […]

Comments are closed.