W zdigitalizowanym świecie narzędzia prywatnej komunikacji muszą być bezpieczne i godne zaufania. Próby podkopywania skutecznego szyfrowania tych narzędzi są niebezpieczne i nierozważne. Służby mają wystarczające instrumenty do nadzoru. A my mamy prawo do tajemnicy korespondencji
Coraz większa część naszej codziennej komunikacji odbywa się w sieci, jest zapośredniczona przez cyfrowe narzędzia. Nie chodzi tu tylko o komunikację związaną z pracą, czy mającą na celu utrzymanie relacji na odległość – na przykład z członkiem rodziny z innego miasta czy kraju. Mowa również o zwyczajnej, codziennej komunikacji między osobami mieszkającymi pod tym samym dachem.
Przy pomocy różnego rodzaju komunikatorów rozmawiamy o rzeczach błahych i rzeczach ważnych. Wymieniamy się żartami, debatujemy o polityce, narzekamy na pogodę, planujemy zakupy. Wysyłamy sobie zdjęcia, filmy, nagrania audio. Organizujemy wyjścia na miasto – i działania polityczne.
Część tej komunikacji jest bardzo osobista. A część jest po prostu intymna.
Mamy prawo do bezpiecznej, prywatnej, intymnej komunikacji, z którego nie musimy się nikomu tłumaczyć. Niezależnie od tego, czy rozmawiamy szeptem w sypialni, czy korzystamy z szyfrowanych komunikatorów. „Potrzebuję prywatności nie dlatego, że moje działania są podejrzane, ale dlatego, że podejrzane są Twoje osądy i intencje” – maksyma nieznanego autorstwa trafia w sedno.
Służby widzą to jednak inaczej.
Przesyłane przez Internet dane (w tym nasze wiadomości) przechodzą przez szereg różnych cyfrowych rąk. Nasze urządzenie, lokalny router, infrastruktura dostawcy usług sieciowych, inni operatorzy usług sieciowych, wreszcie operator, z którego usług korzysta nasz adresat – i urządzenie adresata. Na każdym kroku nasza wiadomość mogłaby być odczytana, skopiowana, zablokowana, lub zmieniona.
Bezpieczna, prywatna komunikacja w sieci możliwa jest dzięki szyfrowaniu „end-to-end” (ang. „od końca do końca”). Wiadomości (lub dane) szyfrowane są wtedy na naszym urządzeniu w taki sposób, by mógł je odszyfrować i odczytać wyłącznie ich adresat. To oznacza, że na żadnym etapie doręczania naszych wiadomości nie będzie osoby lub systemu mogącego uzyskać dostęp do jej treści – w przypadku szyfrowania end-to-end takiego dostępu nie ma nawet operator narzędzia (np. komunikatora), z którego korzystamy.
Wiele różnych narzędzi promuje się jako „szyfrowane i prywatne”, często niestety bezpodstawnie. Do komunikatorów faktycznie zapewniających ten poziom bezpieczeństwa zalicza się na przykład Signal.
Z punktu widzenia służb i organów ścigania szyfrowana komunikacja to jednak problem. Problem, który Międzynarodowe Stowarzyszenie Szefów Policji (ang. „International Association of Chiefs of Police”, IACP) określiła w 2015 roku terminem „Going Dark” – w wolnym tłumaczeniu „Znikanie w Ciemności”.
W raporcie z 2015 roku IACP pisze: „Problem Znikania w Ciemności – zmniejszających się możliwości organów ścigania zgodnego z prawem dostępu do cyfrowego materiału dowodowego w stanie spoczynku, jak i w ruchu, oraz jego analizy, z powodu barier technicznych i nietechnicznych – w coraz większym stopniu zagraża bezpieczeństwu publicznemu”.
Termin „Going Dark” pojawia się też w dokumentach Europolu.
EDRi, europejska organizacja zajmująca się prawami człowieka w cyfrowym kontekście, w stanowisku na ten temat z 2022 roku, zdecydowanie nie zgadza się z takim postawieniem sprawy:
„Cyfryzacja każdego niemal aspektu naszego społeczeństwa spowodowała ogólny wzrost ilości informacji dostępnych organom ścigania. Nawet mimo to, że pewne treści są szyfrowane, jest to wystarczająco mała część wiecznie rosnącego zbioru danych, że wbrew protestom organów ścigania, więcej informacji jest dostępnych w celach dochodzeniowych niż kiedykolwiek wcześniej. To umacnia przekonanie, że w istocie żyjemy w złotym wieku nadzoru.”
Pomysłów na to, jak służby mogą obejść lub podkopać szyfrowanie z końca do końca (ang. „end-to-end”) jest tak wiele, jak wiele jest do tego pretekstów.
We Francji pretekstem miała być walka z narkobiznesem i zorganizowaną przestępczością. Rozwiązaniem: zmuszenie operatorów szyfrowanych usług do wprowadzenia takich zmian w swoich usługach, by byli oni w stanie dać francuskim organom ścigania dostęp do szyfrowanej komunikacji w ciągu 72 godzin od otrzymania takiego żądania. Na szczęście projekt został niedawno odrzucony.
Podobne rozwiązanie prawne rozważane jest w Szwecji. Operatorzy szyfrowanych usług mieliby stworzyć możliwość udostępnienia organom ścigania szyfrowanych wiadomości w formie nieszyfrowanej. Co ciekawe, Szwedzkie siły zbrojne wystąpiły przeciwko temu projektowi – Signal jest przez nie wykorzystywany do komunikacji niezawierającej informacji tajnych.
W Wielkiej Brytanii, w oparciu o prawo z 2016 roku, rząd nakazał firmie Apple umożliwienie dostępu do szyfrowanych plików osób korzystających z urządzeń i usług firmy, przechowywanych w usłudze iCloud. W odpowiedzi firma wyłączyła brytyjskim użytkownikom i użytkowniczom możliwość włączenia szyfrowanej wersji usługi i wstąpiła na drogę sądową przeciwko temu nakazowi.
We wszystkich trzech przypadkach organizacja będąca operatorem Signala oficjalnie ogłosiła, że jeżeli takie regulacje zostaną wprowadzone lub takie nakazy wydane w stosunku do tego komunikatora, wycofa swoje usługi z tych krajów.
Jeżeli operator może umożliwić taki dostęp, usługa nie jest szyfrowana end-to-end, a więc nie zapewnia poziomu bezpieczeństwa i prywatności, do których mamy prawo w naszej codziennej, mniej lub bardziej intymnej, komunikacji. To, w jaki sposób taki dostęp byłby techniczne zaimplementowany, nie ma znaczenia.
Szyfrowanie jest też pod ostrzałem na poziomie Unii Europejskiej. Europol od lat mocno promuje projekt Kontroli Czatów („Chat Control”). Konkrety ewoluowały znacznie przez lata, ale fundament jest ten sam: zmusić operatorów szyfrowanych usług do skanowania przesyłanej za ich pomocą korespondencji i informowania organów ścigania w przypadku wykrycia treści przedstawiających seksualne wykorzystanie dzieci.
To w oczywisty sposób podważa szyfrowanie end-to-end, a więc i nasze podstawowe prawo do prywatnej korespondencji. O tym, dlaczego Chat Control jest bzdurą z technicznego punktu widzenia, a jednocześnie na zasadniczym poziomie jest niezgodny z Kartą Praw Podstawowych Unii Europejskiej, a zarazem szkodliwy z punktu widzenia dobra osób niepełnoletnich, pisałem już w Oku wcześniej – po szczegóły odsyłam więc do tamtych tekstów.
Jednym często podnoszonych zastrzeżeń wobec wszelkich tego typu pomysłów – niezależnie od ich wątpliwej zgodności z europejskim prawem i równie wątpliwej technicznej wykonalności – jest to, że gdyby nawet taki system udało się stworzyć, natychmiast jego wykorzystanie byłoby rozszerzane.
Zastrzeżenie to jest jak najbardziej zasadne: dwa lata temu dziennikarki i dziennikarze śledczy z Bałkańskiej Sieci Dziennikarstwa Śledczego (ang. „Balkan Investigative Journalism Network”, BIRN) dotarli do dokumentów pokazujących, że już na bardzo wczesnym etapie prac nad Kontrolą Czatów Europol spotykał się z Komisją Europejską i sugerował rozszerzenie wykorzystania proponowanego systemu.
Trudno oprzeć się wrażeniu, że Europol traktował dobro dzieci instrumentalnie, jako wygodny pretekst do wdrożenia bardzo kontrowersyjnego systemu.
Służby mają szerokie (często wręcz zbyt szerokie) możliwości nadzorowania nas w sieci. Narzędzia cyfrowe ułatwiają nadzór – łatwiej jest dane zbierać, łatwiej je przetwarzać i analizować. Danych jest tyle, że same służby najwyraźniej nie nadążają z ich analizą.
Szyfrowana, bezpieczna, prywatna komunikacja to nie jest jakiś dziwny wyjątek, jakaś niespotykana w dziejach ludzkości sytuacja. Wręcz przeciwnie. Jeszcze kilkadziesiąt lat temu większość codziennej komunikacji odbywała się w sposób bardzo trudny do masowego podsłuchiwania i nadzoru – w postaci rozmowy twarzą w twarz.
Dziś ogromna część aktów komunikacji zachodzi przy pomocy narzędzi, które – o ile nie są szyfrowane, nie zapewniają tego dodatkowego poziomu bezpieczeństwa – bardzo łatwo nadzorować zdalnie i masowo. Wbrew opinii służb i organów ścigania, częstsza faktycznie prywatna komunikacja to w pewnym sensie powrót do normalności, a nie aberracja, której należy przeciwdziałać.
Specjalista ds. bezpieczeństwa informacji, administrator sieci i aktywista w zakresie praw cyfrowych. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium” oraz “Katalogu Kompetencji Medialnych”.
Specjalista ds. bezpieczeństwa informacji, administrator sieci i aktywista w zakresie praw cyfrowych. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium” oraz “Katalogu Kompetencji Medialnych”.
Komentarze