
Plany rządu Wielkiej Brytanii dotyczące osłabienia szyfrowania mogą być „łatwo wykorzystane” przez hakerów i urzędników, ostrzegli eksperci.
Propozycje są częścią kontrowersyjnego projektu ustawy o bezpieczeństwie w sieci, który obecnie pracuje w parlamencie. Ministrowie twierdzą, że ustawa uczyni Wielką Brytanię „najbezpieczniejszym miejscem na świecie do przebywania w sieci”, ale działacze obawiają się, że spowoduje ona erozję wolności słowa i prywatności.
Obawiają się przede wszystkim zagrożenia dla aplikacji typu end-to-end encrypted (E2EE). W ramach rozważanych środków organy regulacyjne ds. telekomunikacji mogłyby zmusić platformy do skanowania prywatnych wiadomości w poszukiwaniu nielegalnych treści.
Nowa klauzula w prawodawstwie wymaga, aby usługi korzystały z „akredytowanej technologii” w celu powstrzymania ludzi przed napotkaniem materiałów terrorystycznych lub materiałów związanych z seksualnym wykorzystywaniem dzieci. Ta poprawka może zmusić aplikacje do korzystania z zatwierdzonych przez rząd narzędzi do monitorowania użytkowników.
Zwolennicy szyfrowania twierdzą, że podważa to cel E2EE, jednocześnie zwiększając ryzyko hakowania i masowej inwigilacji. Wśród najbardziej prominentnych przeciwników ustawy jest WhatsApp, który oferuje szyfrowane wiadomości 40 milionom użytkowników w Wielkiej Brytanii i około 2 miliardom na całym świecie. Will Cathcart, który stoi na czele aplikacji należącej do Meta, zagroził zablokowaniem usługi dla brytyjskich użytkowników, jeśli przepisy zostaną wygumkowane.
„Projekt ustawy przewiduje zawiadomienia technologiczne wymagające od dostawców komunikacji odebrania szyfrowania end-to-end – złamania go” – powiedział Cathcart w rozmowie z Daily Telegraph. „Twarda rzeczywistość jest taka, że oferujemy globalny produkt. Byłaby to dla nas bardzo trudna decyzja, aby dokonać zmiany, w której 100% naszych użytkowników obniża swoje bezpieczeństwo.”
„TO PODWAŻY PRYWATNOŚĆ UŻYTKOWNIKÓW.
Cathcart ostrzega, że przepisy naruszą prywatność – jest to pogląd mający szerokie poparcie. Gaël Duval, twórca Mandrake Linux i „deGoogled” marki telefonów Murena, mówi, że propozycje „stworzyłyby tylną furtkę, którą zbyt łatwo można wykorzystać.”
„Nie ma sposobu, aby być selektywnym co do zbieranych danych – rząd albo ma dostęp do informacji w aplikacji do przesyłania wiadomości, albo nie, a to podważy prywatność użytkowników WhatsApp w Wielkiej Brytanii” – powiedział Duval w rozmowie z TNW.
„Co będzie następne? Posiadanie wszystkich rozmów telefonicznych odsłuchiwanych i przetwarzanych lub posiadanie poczty otwieranej i sprawdzanej przed dystrybucją? Co więcej, istnieją implikacje bezpieczeństwa przyznawania dostępu w ten sposób, ten rodzaj tylnych drzwi mógłby potencjalnie przyznać dostęp również hakerom.”
Propozycje podniosły również brwi ekspertów prawnych. W listopadzie adwokat Matthew Ryder z Matrix Chambers, któremu grupa kampanijna Index on Censorship zleciła analizę ustawy, zapewnił, że propozycje mogą naruszać prawa człowieka.
„Żadna komunikacja w Wielkiej Brytanii – czy to między posłami, między sygnalistami i dziennikarzami, czy między ofiarą a organizacją charytatywną wspierającą ofiary – nie byłaby bezpieczna ani prywatna” – powiedział Ryder. „W czasach, gdy Rosja i Chiny nadal pracują nad osłabieniem brytyjskiego bezpieczeństwa cybernetycznego, uważamy, że może to stanowić krytyczne zagrożenie dla bezpieczeństwa narodowego Wielkiej Brytanii”.
Oprócz zagrożenia dla brytyjskiego bezpieczeństwa, niektórzy krytycy przewidują globalne reperkusje. Ostrzegają, że mooted rules zachęci autorytarne reżimy do nakładania własnych ograniczeń na E2EE.
„POTRZEBUJEMY WCZEŚNIEJ UZGODNIONYCH 'BOCZNYCH DRZWI’.
Niektórzy technolodzy wezwali do wprowadzenia alternatywnego środka bezpieczeństwa w projekcie ustawy, który obecnie przechodzi przez parlament. Andersen Cheng, CEO firmy cyberbezpieczeństwa Post-Quantum, opowiada się za szyfrowaniem „bocznych drzwi”. Cheng powiedział TNW, że ten pogląd wynika częściowo z prowadzenia własnej usługi szyfrowania wiadomości – która pojawiła się na liście narzędzi polecanych przez Państwo Islamskie.
„Uważam, że sankcjonowane przez rząd backdoory w szyfrowaniu nie są odpowiedzią – backdoor dla jednego jest backdoorem dla wszystkich i każdy może przez niego przejść, czy to zamierzona agencja rządowa, haker, czy złośliwy naród” – powiedział. „Moim zdaniem potrzebujemy wcześniej uzgodnionych 'bocznych drzwi’, które pozwalają na rozdzielenie kontroli i odpowiedzialności, i do których można uzyskać dostęp tylko wtedy, gdy wiele stron, takich jak rządy, firmy prywatne, grupy zajmujące się ochroną prywatności, a najlepiej sądy, każda zapewnia swoją część klucza”.
Cheng argumentuje, że można to osiągnąć poprzez „kryptografię progową”, która skutecznie rozdrabnia dane na wiele ram. W rezultacie, wiadomość jest dostępna tylko wtedy, gdy większość stron zgodzi się dostarczyć swoją część klucza.
Takie porozumienia mogą jednak okazać się nieuchwytne. W obecnej bitwie o szyfrowanie ani rząd, ani duże firmy technologiczne raczej nie ustąpią – a prywatność obywateli znalazła się w samym środku.