„Signal“ programėlės vadovai kalba apie tai, kad paliks Švediją, kuri siekia uždrausti žinučių šifravimą
Įtampa tarp vyriausybių ir technologijų bendrovių, kurios siūlo žinučių šifravimą savo platformose, didėja. Drąsiu žingsniu, kuris tai ir patvirtina, galutinio šifravimo (angl. end-to-end encrypted, E2EE) momentinių žinučių programa „Signal“ svarsto galimybę palikti Švediją dėl siūlomo įstatymo, kuris gali pakenkti naudotojų privatumui.
Planuojama, kad Švedijos vyriausybė šį mėnesį pasiūlys įstatymo projektą, pagal kurį šalies policijos pajėgoms ir saugumo tarnybai būtų suteikta galimybė prašyti nusikaltimais įtariamų asmenų žinučių istorijos. Švedijos pasiūlymas naudoti backdoor technologiją sukėlė didelį Signal, kibernetinio saugumo ekspertų ir net šalies kariuomenės pasipriešinimą dėl privatumo ir saugumo problemų[1].
Švedijos teisėsaugos ir saugumo agentūros siekia priimti teisės aktus, kuriais būtų reikalaujama, kad šifruotų žinučių platformose, pavyzdžiui, „Signal“ ir „WhatsApp“, būtų įdiegtos užpakalinės durys (backdoors). Šios priemonės tikslas yra suteikti valdžios institucijoms prieigą prie naudotojų pranešimų atliekant nusikaltimų tyrimus. Tačiau šį metodą siūlantys susidūrė su dideliu pasipriešinimu tiek iš paslaugų teikėjų, tiek iš Švedijos kariuomenės.
„Signal Foundation“ prezidentė Meredith Whittaker nedviprasmiškai pareiškė, kad „Signal“ verčiau pasitrauks iš Švedijos rinkos, nei pažeis savo šifravimo standartus. Duodama interviu televizijai SVT Nyheter, M. Whittaker pabrėžė, kad užpakalinių durų įdiegimas pakenktų visai programėlės saugumo architektūrai: „Jei sukurtumėte pažeidžiamumą remdamiesi švedų pageidavimais, būtų sukurtas būdas pakenkti visam mūsų tinklui.“
Nuolatinė kova tarp noro pasiekti informaciją saugumo tikslais ir apsaugoti piliečių privačius duomenis
Teisingumo ministras Gunnaras Strömmeris gynė šį Švedijos pasiūlymą, teigdamas, kad kovojant su sunkiais nusikaltimais teisėsaugos institucijoms būtina turėti veiksmingą prieigą prie elektroninių ryšių. Įstatymo projektu, kuris gali būti pateiktas Riksdagui (Švedijos parlamentui) jau kitų metų kovo mėn., siekiama rasti pusiausvyrą tarp nacionalinio saugumo poreikių ir asmens teisių į privatumą, o šią pusiausvyrą, kaip paaiškėjo, sunku pasiekti.
Bendrovės „Closed Door Security“ generalinis direktorius William Wright kritikavo šį planą, palygindamas jį su tyčiniu pažeidžiamumo kūrimu. Jis teigė: „Įdiegti programinę įrangą kaip ši yra tas pats, kaip sąmoningai sukurti pažeidžiamumą. Įdiegus backdoor, grėsmių sukėlėjai sutelks dėmesį į jų paiešką ir išnaudojimą, todėl kyla pavojus milijonams žmonių. Istorija parodė, kad net ir vyriausybės remiamos grupuotės naudoja tokias technologijas, kaip antai tos, kurios panaudotos per ataką „Salt Typhoon“. Jos gali būti nukreiptos prieš pačias jas sukūrusias institucijas. Ilgalaikė rizika gerokai viršija bet kokią trumpalaikę naudą teisėsaugai.“
Problema apima ne tik vieną saugių pranešimų siuntimo bendrovę ir šalies reguliavimo institucijas. Europos Sąjunga svarsto panašius reglamentus, iš kurių daugelyje būtų reikalaujama, kad duomenys būtų prieinami būtent per tokias įdiegtas galines duris, o tai kelia dar didesnių problemų nei paprasčiausias pranešimų kopijų išsaugojimas. Panašias priemones taip pat svarsto Jungtinė Karalystė, Prancūzija ir kelios kitos jurisdikcijos, įskaitant JAV. Jei pakankamai reguliavimo institucijų reikalaus prieigos prie saugių pranešimų, kils klausimas, ar šifruotus pranešimus gali veiksmingai naudoti bet kuri įmonė[2].
„Praktiškai tai reiškia, kad mūsų prašoma pažeisti šifravimą, kuriuo grindžiama visa mūsų veikla. Reikalavimas saugoti duomenis pakenktų visai mūsų infrastruktūrai, o mes to niekada nedarysime“, sakė „Signal“ generalinė direktorė Meredith Whittaker. „Jei sukurtume pažeidžiamumą remdamiesi Švedijos reikalavimais, kiltų grėsmė viso mūsų tinklo vientisumui.“
Problema su vyriausybės kišimusi ryškėja ir kitose šalyse
Ši situacija Švedijoje atspindi panašias diskusijas kitose šalyse. Pavyzdžiui, Jungtinė Karalystė neseniai spaudė „Apple“ suteikti prieigą prie užšifruotų „iCloud“ paskyrų. Atsakydama į tai, „Apple“ pašalino galimybę JK naudotojams apsaugoti savo paskyras galutiniu šifravimu, užuot kėlusi pavojų savo saugumo protokolams.
2024 m. rugpjūtį Prancūzijos valdžios institucijos suėmė „Telegram“ įkūrėją Pavelą Durovą už tariamą atsisakymą bendradarbiauti su teisėsaugos institucijomis dėl naudotojų duomenų, o tai buvo plačiai vertinama kaip išpuolis prieš naudotojų privatumą. Prancūzija atmetė šiuos teiginius, teigdama, kad suėmimas buvo dalis pastangų kovoti su kibernetiniais nusikaltimais, susijusiais su „Telegram“.
Šie atvejai iliustruoja nuolatinę įtampą tarp vyriausybių, siekiančių gauti prieigą prie privačių duomenų saugumo tikslais, ir būtinybės saugoti asmens privatumą. Kadangi Švedija svarsto savo pasiūlymą, jo rezultatai gali turėti reikšmingos įtakos ne tik šifruojamoms žinutėms šalyje, bet ir platesniam pasauliniam diskursui apie privatumą ir skaitmeninį saugumą. Prieš dvejus metus „Signal“ susidūrė su panašia situacija su JK reguliuotojais, dėl ko galiausiai po prieštaravimų atsiėmė savo prašymą.
Daugelyje regionų reguliavimo institucijos tokią prieigą grindžia iš pažiūros teisėtais argumentais, pavyzdžiui, kova su vaikų pornografija arba organizuotu nusikalstamumu, kuris naudoja šifravimą, kad išvengtų teisėsaugos institucijų. Tačiau „Info-Tech Research Group“ vyriausiasis tyrimų direktorius Fredas Čagonas teigia, kad šios geranoriškos pastangos gali žlugti ir sukelti neigiamų pasekmių[3].
„Jei bus vykdomi įstatymai dėl šifravimo pažeidimų, pažeidėjai paprasčiausiai pereis prie alternatyvių metodų savo veiklai nuslėpti“, sakė F. Chagnonas. „Tuo tarpu labiausiai nukentės tie, kuriems saugus bendravimas reikalingas norint apsisaugoti nuo autoritarinių režimų.“
Be to, Švedijos reikalavimas saugoti žinučių kopijas atviru tekstu kelia praktinių problemų. Net jei duomenis vėliau ketinama naudoti teisėsaugos institucijoms, išsaugotus juos gali gauti bet kuri grupė, įsilaužusi į sistemas. „Vyriausybės, siekiančios prieigos prie šifravimo, žaidžia pavojingą trumparegišką žaidimą“, perspėjo F. Chagnon.
„Kalbama ne tik apie vieną programėlę ar vieną šalį, bet ir apie pagrindinę teisę į saugų bendravimą. Priversdami „Signal“ kompromituoti savo pagrindinį saugumą, jie signalizuoja, kad galutinio šifravimo naudojimas iš esmės yra uždraustas. Taip sukuriamas pavojingas precedentas, kai privatus ir saugus bendravimas tampa neįmanomas. Užpakalinių durų įvedimas nėra sprendimas, tai sisteminė klaida, sukurianti nuolatinį pažeidžiamumą, kurį galima tik laikinai sumažinti papildomomis kontrolės priemonėmis.“
F. Chagnon teigė, kad padėtis tarp pardavėjų ir reguliavimo institucijų gali greitai pasikeisti, jei reguliavimo institucija ras įmonę, norinčią suteikti prieigą prie saugių ryšių. „Kiekvieną kartą, kai bendrovė pasiduoda, jai tampa sunkiau laimėti kitą mūšį. Galiausiai kuri nors vyriausybė suras bendrovę, kuri sutiks, ir tai bus precedentas. Nemanau, kad vyriausybės supranta nenumatytas pasekmes. Anksčiau jos galėjo pasiklausyti kiekvieno žmogaus telefonų ir bando prie to grįžti.“
ABI Research vyresnioji direktorė Michela Menting iš esmės pritarė F. Chagnonui, tačiau buvo mažiau susirūpinusi, kad šios reguliavimo pastangos bus sėkmingos. „Vyriausybės jau seniai bando įvesti užpakalines duris į šifravimą, ir joms niekada nepavyko. Šie geranoriškų, bet klaidingai informuotų politikų teiginiai dažnai tėra kalbos, o diskusijos vis grįžta“, sakė M. Menting. „Šifravimo užpakalinių durų įterpimas visuomet yra žalingas, ypač todėl, kad nuo šifravimo priklauso didžiosios pasaulio komunikacijos dalies privatumas ir konfidencialumas.“
Ji taip pat paminėjo, kad politiškai nestabiliais laikais net ir geros vyriausybės gali tapti blogos. „Kaip matome šiandien, net ir demokratinės šalys, kurios užtikrina teises, gali pereiti prie autoritarizmo“, sakė ji. „Todėl taip svarbu, kad šifravimas nebūtų pažeidžiamas dėl bet kokių priežasčių.“ Menting pabrėžė, kad ji pernelyg nesijaudina, jog šios pastangos gali rimtai paveikti šifravimą.
„Labai mažai tikėtina, kad viso pasaulio vyriausybės stengsis įvesti užpakalines duris į šifravimą ir privers bendroves palikti tas šalis. Ir mažai tikėtina, kad įmonės pradės kurti savo pranešimų siuntimo programėles. Tai būtų per brangu, o ir kriptografijos specialistų tam nepakanka.“
Prancūzija pristato panašų įstatymą, kuris leistų vyriausybei esant reikalui pasiekti asmeninius susirašinėjimų duomenis
Prancūzija siūlo įstatymą, pagal kurį būtų reikalaujama, kad šifruotų žinučių siuntimo programėlių, tokių kaip „Signal“ ir „WhatsApp“, taip pat šifruoto el. pašto paslaugų, tokių kaip „Proton Mail“ duomenys, teisėsaugos institucijų prašymu būtų pateikti iššifruoti. Šiuo metu Prancūzijos Nacionalinėje asamblėjoje svarstomo šalies „Narkotikų eismo“ įstatymo projekto pakeitimu būtų reikalaujama, kad technologijų bendrovės per 72 valandas perduotų iššifruotas įtariamų nusikaltėlių pokalbių išklotines.
Įstatymas, kuriuo siekiama sustiprinti Prancūzijos teisėsaugos gebėjimus kovoti su prekyba narkotikais, sukėlė nerimą technologijų bendrovėms ir pilietinių teisių organizacijoms. Kritikai pritaria ekspertams kitose šalyse ir teigia, kad dėl jo šifruojamose paslaugose gali būti sukurtos „užpakalinės durys“, kuriomis galėtų pasinaudoti kibernetiniai nusikaltėliai ir priešiškai nusiteikusios vyriausybės[4].
Asmenims, nesilaikantiems įstatymo, gali būti skirta iki 1,5 mln. eurų bauda, o bendrovėms net iki 2 proc. jų pasaulinės metinės apyvartos dydžio bauda už tai, kad Prancūzijos valdžios institucijoms pareikalavus neperduoda užšifruoto ryšio. Vokietijos šifruoto elektroninio pašto paslaugų teikėjo „Tuta Mail“ generalinis direktorius Matthiasas Pfau pabrėžė, kad užkardų įvedimas į šifruotas paslaugas neišvengiamai susilpnintų jų saugumą.
Prancūzija įsilaužė į šifruotų žinučių siuntimo paslaugas, kuriomis naudojosi narkotikų prekeiviai, įskaitant „EncroChat“, „Sky ECC“ ir „Anom“, todėl visame pasaulyje buvo suimta tūkstančiai žmonių, susijusių su prekyba narkotikais ir pinigų plovimu. Tačiau naujojo Prancūzijos įstatymo oponentai teigia, kad nusikaltėlių naudojamų žinučių siuntimo programėlių šifravimas iš esmės skiriasi nuo plačiai naudojamų programėlių, tokių kaip „WhatsApp“ ir „Signal“, šifravimo ar šifruotų el. laiškų, kuriuos ne nusikalstamais tikslais naudoja milijardai žmonių, šifravimo.
„Nėra jokių įrodymų, kad Prancūzijos pasiūlymas yra būtinas ar proporcingas. Tiesą sakant, bet kokios užpakalinės durys galiausiai bus išnaudotos, o tai tik laiko klausimas“, sakė M. Pfau. Siūlomą įstatymą, pavadintą „Ištraukti Prancūziją iš prekybos narkotikais spąstų“, 2024 m. sausio mėn. pateikė Prancūzijos senatoriai Étienne’as Blancas ir Jérôme’as Durainas. Įstatymo projektas praėjo pirmąjį svarstymą ir 2025 m. kovo 4 d. bus svarstomas komitete, o 2025 m. kovo 17 d. Bus peržiūrėtas Nacionalinėje asamblėjoje.
Pakeitimu būtų reikalaujama, kad platformos įgyvendintų technines priemones, leidžiančias žvalgybos agentūroms susipažinti su skaitomu per jas perduodamų ryšių ir duomenų turiniu. Prancūzijos žvalgybos agentūros turėtų konsultuotis su Nacionaline žvalgybos informacijos rinkimo metodų priežiūros komisija (CNTR), nepriklausoma institucija, panašia į Jungtinės Karalystės Tyrimo galių komisaro biurą (IPCO), kad gautų leidimą reikalauti iššifruotų žinučių iš technologijų bendrovių.
Pilietinės visuomenės grupės „La Quadrature Du Net“ teigimu, įstatymu taip pat leidžiama naudoti šnipinėjimo programinę įrangą, pavyzdžiui, NSO grupės „Pegasus“ arba „Paragon“, kuri gali nuotoliniu būdu įjungti mobiliųjų telefonų ir kompiuterių mikrofonus ir kameras. Be to, įstatymu išplečiamas algoritmų, vadinamųjų „juodųjų dėžių“, naudojimas renkant duomenis apie interneto ryšius, kad būtų galima nustatyti nusikalstama veikla įtariamus asmenis.
Taip pat policijai suteikiami įgaliojimai blokuoti arba riboti prieigą prie interneto svetainių ir turinio, susijusio su prekyba narkotikais, remiantis viešais pranešimais, gautais per „Pharos“ sistemą, nereikalaujant teismo patvirtinimo. Šios nuostatos sukėlė žmogaus teisių grupių susirūpinimą, kad gali būti neteisingai cenzūruojamas nekaltas turinys, pavyzdžiui, memai, anekdotai ar filmų ištraukos.
„Backdoor užkardai teisėsaugai yra pavojinga iliuzija. Silpninant šifravimą „geriems vyrukams“ neišvengiamai sukuriamos silpnosios vietos, kuriomis gali pasinaudoti ir pasinaudos kibernetiniai nusikaltėliai ir priešiški užsienio subjektai. Šis įstatymas būtų nukreiptas ne tik prieš nusikaltėlius. Taip jis pakenktų visų saugumui“, perspėjo vienas ekspertas.
Vyriausybių naudojamos saugios ryšių platformos „Element“ generalinis direktorius Matthew Hodgesonas išreiškė susirūpinimą, kad Prancūzijos pasiūlymas yra techniškai neįgyvendinamas, nesumažinant pranešimų siuntimo ir el. pašto paslaugų saugumo.
„Esame labai susirūpinę dėl šio naujausio išpuolio prieš šifravimą, sakė jis. „Kaip ir Jungtinės Karalystės interneto saugumo įstatymas, šis Prancūzijos pasiūlymas rodo, kad iš esmės nesuprantama, kas įmanoma galutinio šifravimo sistemose.Kartokime tai tol, kol bus suprasta: saugių galinių durų instaliavimo į šifruotų pokalbių paslaugas nėra“, užbaigė jis.
