[Frissítve] A Brit törvényhozás betiltja az end-to-end titkosítást?
Miközben Európában egyre nagyobb hangsúlyt fektetnek a kiberbiztonságra és a digitális magánszféra védelmére, a Brit kormány új törvényjavaslata komoly aggályokat vet fel. A helyzet már csak azért is érdekes, mert nemrégiben az Egyesült Királyság úgy döntött, hogy elhagyja az Európai Uniót, így bár a kérdéses törvénytervezet teljesen ellentétes az EU-s direktívákkal, a Brit parlament előbb utóbb a gyakorlatba is átültetheti azt. Mivel az Investigatory Powers Bill névre hallgató javaslat egyben a végpontok közti (end-to-end) titkosítás végét is jelentheti, mindenképp szeretnénk beszélni róla blogunkban is.
A mai cikkünkben megmutatjuk, miért jelent problémát a javaslat és mik azok az okok, amik miatt nagyon rosszul járna minden Brit állampolgár, ha megszavaznák a törvényt.
A legfőbb problémák
A Brit parlament már évekkel ezelőtt elkezdte előkészíteni az új törvényi szabályozást, ami pontosan meghatározza milyen esetekben és milyen eszközökkel végezhetnek megfigyeléseket vagy folytathatnak nyomozást a hatóságok. Erre természetesen azért van szükség, mert a technológia fejlődését nehezen követik a jogszabályok, így előfordulhat, hogy a modern eszközök inkább megnehezítik a nyomozók munkáját.
Sajnos az új javaslat nincs összhangban az Európai Unió álláspontjával és számos kényes kérdésben (mint például a digitális magánszféra tisztelete, vagy a tömeges megfigyelés korlátozása) szöges ellentétben áll azzal. Az EU-s rendeletcsomag szigorú, de igazságos módon, az állampolgárok érdekeinek figyelembevételére koncentrál, míg a Brit terv ennél sokkal aggasztóbb.
Már csak azért is tűnik nyugtalanítónak, mert a kormány összesen 2 hetet adott a vizsgálóbizottságnak arra, hogy elemezze, véleményezze és kifogásokat emeljen a törvénytervezettel kapcsolatban. Csak összehasonlításként, a 2012-es Data Communications Bill névre hallgató, sokkal enyhébb javaslat esetén is 5 hónapot hagytak a véleményező munkákra, amely végül ennek köszönhetően soha nem is jutott át a parlamenten.
Az Egyesült Királyság kormánya által előterjesztett törvényjavaslat sokkal szélesebb körben adna jogosultságokat a hírszerző és nyomozóhatóságok számára. Sajnos azonban úgy látszik, hogy a törvényhozás szeretné minél gyorsabban törvényi erőre emelni a javaslatot, ami az adatvédelmi kételyeket figyelembe véve aggasztó.
A rendelet számos pontja ellen emeltek szót képviselők, cégek és állampolgárok egyaránt. A tömeges megfigyelés (mobil eszközök tömeges lehallgatása) mellett olyan irreális és problémás követelményeket támasztanak a szolgáltatók felé, mint hogy az internetszolgáltatók naplózzák és tárolják minden előfizetőjük minden böngészési előzményét, akár egy évre visszamenőleg is. Az ehhez hasonló elhibázott és veszélyes elvárások mellett a titkosításokról is pontatlanul fogalmaz a törvénytervezet.
Bár a kormány hivatalosan nem mondta ki, hogy be szeretné tiltani a végpontok közti (end-to-end) titkosítást, de egyértelmű álláspontot képvisel: „Elvárjuk, hogy a cégek felhasználható, értelmezhető formában adják át az adatokat a hatóságoknak szükség esetén.”
Márpedig ez lehetetlen, ha az adatokat end-to-end titkosítással védik, hiszen a technológia lényege éppen az, hogy a titkosított információhoz csak az férhet hozzá, akinek van ehhez kulcsa. A szolgáltatóknak pedig nincsen.
Megmutatjuk a kockázatokat
A törvénytervezet ellen számos nemzetközi IT cég is szót emelt, mint az Apple, a Microsoft vagy éppen a Google, hiszen ők is attól tartanak, hogy ez a törvény veszélybe sodorhatja a felhasználóikat.
Arról, már itt a blogunkban is beszéltünk, hogy miért is van szükség a titkosításokra, és milyen céllal használunk ilyen módszereket a mindennapi életünk során, de nézzünk egy pár példát.
Minden titkosítás matematikai alapokon nyugszik. Ez azt jelenti, hogy nincsen középút: Valami vagy titkosítva van, vagy nincs. Az, hogy valami csak „egy kicsit” legyen titkos, nem lehetséges. Abban a pillanatban, amikor létrehoznak egy hátsókaput a hatóságok számára, lehetőséget teremtenek a bűnözőknek is. Ha létezne egy mesterkulcs, ami minden zárat és titkosítást ki tudna nyitni, akkor előbb vagy utóbb valaki ellophatná, vagy lemásolhatná.
A titkosítások nem működhetnek így. Ahogy CGP Grey múltkori videójában is láthattad, mindegy mennyire szeretnék a hatóságok, nem lehet olyan digitális zárakat, olyan titkosítást létrehozni, amit csak az angyalok nyithatnak ki, a démonok nem.
A feltörhetetlen titkosítások jelentik az alapot az internetes kereskedelem, a bankolás és a digitális magánszféránk számára is. Ezek mindegyike a titkosítások biztonságosságán nyugszik.
Még ha a Brit polgárok 100 százaléka meg is bízna a kormányában annyira, hogy nem tartana a visszaélésektől, nem szabad elfelejteni azt sem, hogy az interneten nincsenek határok. Ha a parlament megtiltja az end-to-end titkosítás használatát, azzal az Egyesült Királyság minden lakosát veszélybe sodorhatja. A titkosítások szándékos gyengítése nagyon sok kockázattal jár; Ha azonban ezt mégis kötelezővé tennék, az e-kereskedelem, az üzleti titkok, a biztonságos kommunikáció, az egészségügy és a pénzügyi szektor ellehetetlenülésével járna.
Ahogy Paul Strasburger képviselő is nyilatkozta az SCMagazineUK-nak:
„A szándékos gyengeséget nem csak a jófiúk használnák ki. Az mindenki számára ott van, és könnyen megtalálhatják rosszindulatú szereplők is.”
A helyzet már csak azért is különösen érdekes, mert a javaslat fő támogatója, az egykori belügyminiszter, Theresa May a közelmúltban lépett David Cameron helyébe, mint az Egyesült Királyság Miniszterelnöke.
Mivel Nagy-Britannia hivatalosan még nem lépett ki az Európai Unióból, ezért valószínűtlen hogy ez a javaslat törvényi erőre emelkedjen addig, amíg az ország az EU tagja. Nagyon reméljük, hogy a Brit parlament jó döntést fog hozni, és nem szavazza meg a jogszabálycsomag jelenlegi formáját.
Frissítés - 2016.11.25.
Sajnos a Brit parlament megszavazta a törvénycsomagot, így az Egyesült Királyságban működő szolgáltatók kötelesek 12 hónapig megőrizni minden brit internethasználó online böngészési előzményét. Az internet mellett lehallgathatják a telefonokat és belenézhetnek az állampolgárok SMS üzeneteibe is, valamint a kormányzati szervek engedélyt kaptak a tömeges adatgyűjtésre, hálózatok és eszközök feltörésére is.