Debata o szyfrowaniu nie tylko w USA

Podczas gdy firma Apple walczy z nakazem stworzenia backdoora, w Wielkiej Brytanii powstaje prawo mogące zobowiązać do stworzenia "tylnych furtek". Chodzi o Investigatory Powers Bill. Dziennik Internautów wspominał o nim w listopadzie 2015 roku, kiedy na fali ataków w Paryżu politycy nagle poczuli klimat sprzyjający inwigilacji i postanowili go wykorzystać.

Projekt ustawy został skrytykowany w praktycznie każdej parlamentarnej komisji. Dokonano pewnych zmian, ale najbardziej niepokojące zapisy zostały. Do krytyków ustawy zalicza się organizacja Privacy International, która mówi o wprowadzaniu "powierzchownych zmian dla dla dziennikarzy i prawników". - Wbrew zapewnieniom rządu niezmienione zostały zapisy ustawy, które mogą być użyte do osłabienia szyfrowania lub zmuszenia firm by pomagały w hakowaniu własnych klientów - czytamy w komunikacie Pirivacy International. 

Jak wyjaśnia The Independent prawo ma wymagać od firm usuwania zabezpieczeń w momencie, kiedy będzie to wykonalne. Firmy technologiczne już się skarżyły, że właściwie nie wiadomo jak to rozumieć. Zdaniem brytyjskiej gazety proponowane w obecnym kształcie prawo mogłoby uczynić wiele legalnych produktów nielegalnymi (np. Apple iOS). Ewentualnie firmy mogłyby być zmuszone do wprowadzenia "tylnych furtek".

Jeśli różne państwa chcą tylnych furtek to firmy technologiczne mają nie lada problem. Może się okazać, że spełnienie brytyjskich wymagań zmusi firmy do tworzenia produktów niezgodnych z prawem innych krajów. Może się też zdarzyć, że inne kraje zaczną wymagać "tylnych furtek" dla siebie.

A gdyby każde państwo chciało backdoora?

Pobawmy się w eksperyment myślowy i spytajmy, czy każdy rząd powinien mieć dostęp do tylnej furtki? 

Oczywiście "tylna furtka" może być metoda pozyskiwania informacji przy współpracy z producentem. Rzecz jednak w tym, że producenci popularnych technologii są obecni w różnych krajach, zatem mogą być zmuszeni do ulegania różnym rządom. Taka uległość np. wobec rządu Chin nie będzie uznana za "funkcję bezpieczeństwa" przez rząd USA. W czasie debaty o szyfrowaniu władze UK czy USA nie powinny pytać o to, czy Apple powinna im samym ułatwiać dostęp do danych. Pytanie brzmi, czy Apple powinna hakować klientów na zlecenie każdego rządu, który tylko naciśnie poprzez sąd lub odpowiednią ustawę? 

Pobawmy się jeszcze w zabawę w "co by było gdyby".

Załóżmy, że Rosja w trosce o ludzkie życie przyjmuje ustawę nakazującą stworzenie tylnych furtek, by uzyskiwać z urządzeń mobilnych informacje w celu ratowania życia. Czemu nie! Na urządzeniu mobilnym mogą być przecież informacje o chorobach przewlekłych, grupie krwi itd. Jest to szczególnie prawdopodobne w czasach, gdy rozwijają się mobilne usługi zdrowotne.  

Wyobraźmy sobie, że krótko po przyjęciu takiej ustawy amerykański urzędnik ulega wypadkowi w Moskwie. Władze Rosji znajdują przy nim smartfona. Urzędnik jest nieprzytomny, ale władze dysponują backdoorem by pozyskać z urządzenia dane zdrowotne i przy okazji wszystkie inne. Czy rząd USA byłby gotów powiedzieć, że Apple w takiej sytuacji powinna pomóc rosyjskim władzom? 

Uwaga: Zdaję sobie sprawę, że tego typu rozważania mogą mieć poważne luki. Nie wszystkie analogie są doskonałe. Chodzi mi tylko o to, aby ukazać szerszy kontekst w dyskusji o szyfrowaniu. Nie chodzi w niej o to, co firma X może zrobić dla rządu Y. Chodzi o poważniejsze pytanie - czy jakiekolwiek zabezpieczenie powinno być osłabiane na zlecenie jakiegokolwiek rządu? 

Apple to nie ślusarz. To producent zamków

Można też zadać inne pytanie. Czy rząd na własny użytek powinien dysponować zabezpieczeniami bez tylnej furtki? Jeśli tak, to dlaczego? Czy w rządowych zabezpieczeniach nie powinno być tylnej furtki na wypadek śledztw związanych z nadużyciami urzędników lub funkcjonariuszy? Kto będzie miał dostęp do tylnej furtki w zabezpieczeniach szefa wywiadu? 

Przy podobnych rozważaniach można się spotkać z porównaniem do zamków i ślusarzy. Czy ślusarz nie powinien pomóc policji w otworzeniu zamku? Moim zdaniem powinien. Rzecz jednak w tym, że firmy technologiczne nie są "ślusarzami". One są producentami zamków. Sytuacja z backdoorami odpowiada sytuacji, w której rządy chciałyby, by każdy producent zamków stworzył metodę otwierania zamka bez klucza. Ta metoda będzie znana rządowi, a także innym osobom, które ją odkryją we własnym zakresie. Czy tak powinno się produkować zamki? 

Na marginesie...

Na koniec wróćmy jeszcze do Investigatory Powers Bill. To prawo ma nie tylko osłabiać szyfrowanie. Ma również zobowiązywać dostawców internetu do przetrzymywania informacji o usługach i stronach, z których korzystają ich użytkownicy. Te informacje będą dostępne dla władz.

Może to przypominać problem, który był przerabiany w Polsce także w czasie prac nad tzw. ustawą inwigilacyjną. Różnica polega na tym, że polska ustawa dała służbom dostęp do tzw. danych internetowych zbieranych przez e-usługodawców. Tymczasem władze UK chcą wymagać retencji danych od dostawców internetu (ISP). To operatorzy mają zapamiętywać kto, gdzie, kiedy łączył się z daną stroną. 

Investigatory Powers Bill ma pozwolić brytyjskiej policji w uzyskaniu dostęp do danych jeśli tylko te dane mogą mieć związek ze śledztwem. Nie będzie to wymagało żadnego nakazu. Tylko pod pewnymi względami przypomina to sytuację, którą już mamy w Polsce. Jak słusznie zauważył pewien Czytelnik w komentarzu, rozwiązanie brytyjskie może być o wiele bardziej kosztowne.