Sekėjai

Ieškoti šiame dienoraštyje

2024 m. rugsėjo 22 d., sekmadienis

Kodėl mūsų visuomenei reikia užšifruotų pranešimų?


  "Amerikiečiams eksportuoti ginklus be licencijos NELEGALU. Negalite FedEx pasiųsti balistinę raketą į Europą ar fregatą išsiųsti į Aziją. Tačiau dešimtajame dešimtmetyje šalies labirintinė ginklų eksporto kontrolė apėmė kažką neįprasto: kriptografinę programinę įrangą, kuri galėjo padaryti žinutes neperskaitomomis niekam, išskyrus adresatą. Kai amerikiečių programuotojai sukūrė įrankius, galinčius užkoduoti naują pranešimą, jų vyriausybė apkaltino juos, kaip nelegalius ginklų prekeivius. 1996 m. teismas nusprendė, kad „Taikomoji kriptografija“, populiarus vadovėlis, galėjo būti eksportuojamas, tačiau kartu esantis diskas laikomas eksporte kontroliuojama amunicija.

 

 Vėliau visa tai pasikeis. Šiuos „kriptovaliutų karus“ laimėjo privatumo ir pilietinių teisių šalininkai. Visiškas šifravimas užkariavo pasaulį, nepaisant atkaklių pastangų uždrausti ar apriboti jo naudojimą. Šiandien civiliai gali naudotis galingais šifravimo įrankiais, kurie konkuruotų su šaltojo karo karinėmis šifravimo mašinomis. Saugiomis susirašinėjimo programėlėmis naudojasi abiejų pusių Ukrainos kariai ir nuotraukomis besikeičiantys paaugliai. 

 

Teisėsaugos agentūros tvirtina, kad visur esantis šifravimas apsunkino nusikalstamos veiklos aptikimą ir kovą su ja, todėl privatumas turėtų būti lyginamas su visuomenei daroma žala.

 

 Šifravimo šalininkai atkerta, kad žmonės turi pagrindinę teisę į privatų bendravimą ir kad piktadariai gali išnaudoti slaptas jų programėlių ir įrenginių užpakalines duris.

 

 Rezultatas – intensyvėjanti kova, kurioje dalyvauja vyriausybės, technologijų milžinai ir pilietinių teisių grupės.

 

 Nors šie ginčai nėra nauji – jie rimtai prasidėjo, kai aštuntajame dešimtmetyje pasirodė nauja kriptografijos forma – jie įžengė į naują etapą. Prieš dešimtmetį daugiau, nei pusė, el. pašto srauto ir naršymo žiniatinklyje buvo nešifruoti, o tai reiškė, kad bet kas, pasiėmęs tuos duomenis – žvalgybos agentūros ar nusikaltėliai – galėjo juos perskaityti. Daug telefono žinučių buvo išsiųsta SMS žinutėmis – nesaugus protokolas. Dabar didžioji srauto dalis yra užšifruota. 2012 m. kasdien siunčiamų žinučių skaičius per WhatsApp, dabar priklausančią Meta, aplenkė SMS žinutėmis siunčiamų pranešimų skaičių. Šiandien šia paslauga naudojasi apie 2,5 milijardo žmonių, beveik trečdalis pasaulio gyventojų. „Apple“ saugi „iMessage“ sistema turi daugiau, nei 1 milijardą aktyvių vartotojų. 2023 m. gruodį buvo pasiektas svarbus etapas, kai „Facebook Messenger“, taip pat valdoma „Meta“, su dar 1 mlrd. vartotojų, pagal numatytuosius nustatymus įdiegė šifravimą.

 

 Kyla klausimas, ar tai yra nenugalima tendencija, ar šifravimo pasiekta aukščiausia viršūnė. Rugpjūčio 24 d. Prancūzija areštavo Pavelą Durovą, Rusijos susirašinėjimo programėlės „Telegram“ generalinį direktorių, apkaltintą perimtų pranešimų neteikimą pagal pareikalavimą ir „kriptografinių paslaugų“ teikimą be patvirtinimo. Tačiau, neteisėtus veiksmus neigiantis, „Telegram“ yra labiau socialinis tinklas, o ne saugi bendravimo programa – pranešimai pagal numatytuosius nustatymus nėra užšifruoti, o ekspertai niekina jos saugumo standartą. P. Durovas būtų galėjęs perduoti valdžios institucijoms daugybę duomenų, jei būtų taip linkęs.

 

 Daugeliu atvejų „WhatsApp“, „iMessage“ ir „Signal“, plačiai laikomi auksiniu standartu tarp kriptografų, negali perduoti turinio, net jei įsakyta tai padaryti.

 

 „Facebook“ žingsnis ypač paveikė vyriausybes. Svetainė buvo paskutinė pagrindinė nešifruotų ir skaitomų pranešimų saugykla. Kaip tokia ji ilgą laiką buvo atsakinga už didelę dalį sekso prieš vaikus vaizdų, kuriuos valdžios institucijoms perdavė technologijų įmonės. Kai pranešimai su šiais vaizdais buvo užšifruoti, jie tapo beveik nematomi tiek „Facebook“, tiek valdžios institucijoms. Balandį 15 teisėsaugos agentūrų, įskaitant Amerikos FTB ir Interpolą, tarpvyriausybinę organizaciją, koalicija pareiškė, kad technologijų įmonės, tokios, kaip „Meta“, „užsiriša akis“ nuo vaikų seksualinio išnaudojimo vaizdų. „Kai vaikų vartotojų skaičius ir rizika yra didelė“, – tvirtino jie, „svarbiausia proporcinga investicija ir techniškai įmanomų saugos sprendimų įgyvendinimas“.

 

 Diskusijos daugiausia vyksta dėl to, ar tokie sprendimai egzistuoja. Daugelis autoritarinių šalių šifravimą draudžia arba labai riboja. Daugumoje demokratinių valstybių kyla klausimas, ar galima jį sušvelninti. 2018 m. ir 2022 m. Ianas Levy ir Crispinas Robinsonas, abu tuometiniai Didžiosios Britanijos signalų žvalgybos tarnybos GCHQ nariai, paskelbė porą straipsnių, kuriuose pagrįsti du metodai. Pirmasis buvo „vaiduoklio protokolas“, kuriame, jų siūlymu, pasiuntinių programos galėtų įterpti vyriausybės pasiklausytojus, kaip slaptus tam tikrų pokalbių ar skambučių dalyvius, tuo pačiu užkertant kelią pranešimui vartotojui sužinoti, kad kažkas prisijungė prie skambučio. Jie tvirtino, kad tai būtų „ne labiau įkyri, nei virtualūs krokodilo klipai“, naudojami tradiciniuose pokalbių pasiklausymuose.

 

 Antrasis pasiūlymas buvo „kliento pusės nuskaitymo“, kurio tikslas yra apeiti šifravimą, o ne užpulti jį tiesiogiai. Jei vartotojas nori peržiūrėti savo duomenis, jie tam tikru momentu turi būti iššifruoti. Šiame lange galima automatiškai patikrinti prieš saugomą nelegalios medžiagos biblioteką dar esant įrenginyje. Ir turinys, ir biblioteka būtų lyginami kaip unikalūs skaitmeniniai pirštų atspaudai, o ne lyginant vaizdą su vaizdu. „Neradome jokios priežasties, kodėl kliento pusės nuskaitymo technikos negali būti saugiai įdiegtos daugelyje situacijų, su kuriomis susidurs visuomenė“, – teigė ponas Levy ir ponas Robinsonas. 2021 m. „Apple“ teigė, kad įdiegs tokią sistemą „iPhone“, bet vėliau tyliai atsitraukė.

 

 Daugelis vyriausybių nori, kad technologijų įmonės labiau išnagrinėtų tokias galimybes. „Daugelis šių įmonių atsidūrė nespalvotoje dvejetainėje pozicijoje“, – sako Rickas Jonesas iš Didžiosios Britanijos nacionalinės nusikalstamumo agentūros. Jis pripažįsta, kad privatumas yra svarbus ir kad žmonės turi bendrauti saugiai, tačiau primygtinai reikalauja, kad būtų galima sukurti sprendimus, kurie išsaugotų pasitikėjimą ir apsaugotų vaikus. „Nesu tikras, ar turime eiti iki galo, kad visos platformos, kurias vaikai naudoja savo namuose ir miegamuosiuose, turėtų panašų ginklų lygio šifravimo lygį. Kodėl 13 metų vaikui reikalingas toks šifravimo lygis?

 

 Praėjusiais metais Didžiojoje Britanijoje priimtas internetinės saugos įstatymas reikalauja, kad pranešimų platformos naudotų „akredituotą technologiją“, kad nustatytų neteisėtą turinį, jei „Ofcom“, reguliavimo institucija, mano, kad tai „būtina ir proporcinga“. Tačiau tai iš esmės simboliška: tokia technologija nebuvo akredituota. Kiti nuėjo daug toliau. Europos Sąjunga pasiūlė „Chat Control 2.0“ – kliento schemą, kuri priverstų el. pašto ir pranešimų platformas ne tik ieškoti žinomos medžiagos, susijusios su vaikų seksualiniu išnaudojimu, bet ir naudoti dirbtinį intelektą, kad būtų pažymėtas kitas galimai neteisėtas turinys, kad jį peržiūrėtų žmonės. O rugpjūtį Švedijos teisingumo ministras ketino užblokuoti šifruotas pranešimų siuntimo programas, kad pažabotų smurtinių nusikaltimų antplūdį, kurį vykdo gaujos, kurios jas naudoja organizuoti.

 

 Indijos vyriausybė pareikalavo, kad pranešimų siuntimo programos įgyvendintų „sekamumą“ nustatydamos pranešimų „pranešėją“, pavyzdžiui, asmenį, kuris paleidžia gandą, įtraukdamos pranešimo ir autoriaus „maišą“, kurią būtų galima sekti, laikui bėgant. Rezultatas buvo atotrūkis su „WhatsApp“, kuri teigia, kad ši schema sukeltų pavojų šifravimui, nes tarnyba priverstų palaikyti dideles asmeninių pranešimų duomenų bazes, kurių turinį vėliau būtų lengviau iššifruoti. Balandį WhatsApp pareiškė, kad ji paliks Indiją, jei teismai reikalaus atsekamumo.

 

 P. Jonesas teigia, kad technologijų įmonės, išskyrus kelias išimtis, kurias jis atsisako įvardyti, vengė net svarstyti kompromisų. „Mes turime tai, kad įmonės atsisako sėsti prie stalo ir net diskutuoti... Nemanau, kad joms tai priimtina.

 

 Tačiau žinomiausi šios srities ekspertai teigia, kad bet koks gudravimas su galutiniu šifravimu, geriausiu atveju, yra neveiksmingas, o blogiausiu – pavojingas. 2021 m. paskelbtame dokumente „Bugs in Our Pockets“ 14 ekspertų grupė, įskaitant Whitfieldą Diffie ir Ronaldą Rivestą, kriptografų porą, aštuntajame dešimtmetyje sukūrusią pagrindą, šiandien plačiai naudojamiems, šifravimo metodams, aprašytas išsamus atvejis prieš kliento pusės nuskaitymą.

 

 Viena problema yra ta, kaip naudojamas algoritmas atskirtų nekenksmingą šeimos vonios nuotrauką nuo nelegalios. Jei rezultatas būtų klaidingų teigiamų rezultatų antplūdis, moderatoriams tektų peržiūrėti daugybę privačių duomenų. Kitas prieštaravimas yra tas, kad toks stebėjimas gali tapti slidžiu šlaitu: vyriausybė, kuri pradeda nuo seksualinės prievartos prieš vaikus vaizdų nuskaitymo, galėtų panaudoti tą pačią programinę įrangą įvairesniam turiniui. Jei sistema remiasi centrine neteisėto turinio duomenų baze, galbūt tokia, kurią turi tarptautinė organizacija, įsilaužėliai ar šnipai galėtų slapta išplėsti šį sąrašą ir ieškoti kitų paslapčių.

 

 Skaitmeninis panoptikas

 

 Visų pirma, kiekviename kiekvieno žmogaus nešiojamame įrenginyje įdiegto stebėjimo įrankio principas prieštarauja tradiciniam principui, kad stebėjimas turi būti sudėtingas – vieno pasiklausymo kaina Amerikoje 2020 m. siekė apie 119 000 dolerių, pažymėjo straipsnio autoriai. . Jie perspėjo, kad „visą laiką masinis kiekvieno asmeninių duomenų nuskaitymas“ pakenktų piliečių pasitikėjimui savo įrenginiais, o tai neigiamai paveiktų žodžio laisvę ir demokratiją.

 

 Kai kurie kritikai teigia, kad užuot nuskaitę pranešimus dideliu mastu, vyriausybės turėtų imtis selektyvesnio požiūrio. Kodėl gi ne tik nulaužti įtariamų nusikaltėlių įrenginius, o ne viską atsijoti? Atsakymas, pasak saugumo pareigūnų, yra trejopas. Pirma, įsilaužimas į telefonus ir kompiuterius yra sudėtingas ir reikalauja daug išteklių, o laikui bėgant, vis daugiau duomenų, nes vis didesnė duomenų dalis yra užšifruojama ne tik siunčiant, bet ir tada, kai jie yra ramybės būsenoje (įrenginyje) ir „naudojami“. Antra, sunku žinoti, į kuriuos įrenginius ir į kokį turinį pirmiausia taikyti, jei viskas užšifruota. Trečia, sako viešai neatskleista informacija, yra tai, kad įsilaužimas, galiausiai, yra labiau įkyrus, nei pasyvus nuskaitymas. „Ironija, – sako buvęs pareigūnas, – tai, kad privatumo gynėjai stumia naudojimąsi įkyresnėmis priemonėmis... Turėsime grįžti prie žmonių nešiojamų kompiuterių sekimo."

 

 2021 m. kalboje buvęs GCHQ pareigūnas Ciaranas Martinas pripažino prarają, skiriančią dvi žmonių grupes. Vienoje pusėje buvo pareigūnai, kaip ir buvę jo kolegos, kurie norėjo subalansuoti vyriausybių teisę į teisėtą perėmimą su platesne tiesioginio šifravimo privalumais – kurdami vaiduoklio protokolus, kliento nuskaitymą ar kitas schemas, kurių daugelis turi savo šaknis pirmuosiuose kriptovaliutų karuose. Kita vertus, legionai kriptografų teigė, kad tokie įrankiai gali sukelti mirtinų šifravimo saugumo spragų. Tikėjimasis, kad jie to nepadarys, buvo „skaitmeninio amžiaus alchemijos atitikmuo“. 

 

Pats ponas Martinas padarė išvadą, kad jei nepavyks rasti jokio techninio kompromiso, „tuomet turi laimėti saugumas, o šifravimas nuo galo iki galo turi tęstis ir plėstis, teisiškai nevaržomas, siekiant pagerinti mūsų skaitmeninę tėvynę“." [1]

 

 Naudodamiesi dirbtiniu intelektu, mūsų konkurentai ir kiti žmonės, kurie mums nelinki gero, gali iš mūsų komunikacijos išgauti daugybę pavojingų koreliacijų, kad sužlugdytų mūsų verslus ir mūsų šalis. Šiandien svarbiausia yra geras šifravimas.

 

1. The new crypto wars? The Economist; London Vol. 452, Iss. 9413,  (Sep 7, 2024): 53, 54.

Komentarų nėra: