Łukasz Olejnik

Bezpieczeństwo, prywatność, ochrona danych

Niebezpieczna polityka "Bezpieczeństwa pomimo szyfrowania"

Rada Unii Europejskiej wciąż bada “problemy” powodowane przez technologie szyfrowania. Problemy? Tak. Niedawno ukuto tam nawet nowy termin polityczny: „bezpieczeństwo dzięki szyfrowaniu i bezpieczeństwo pomimo szyfrowania”. O co chodzi?

Rada UE od dawna interesuje się szyfrowaniem i kryptografią. Przedmiot zainteresowania tej konkretnej grupy roboczej dotyczy legalnego dostępu do treści komunikacji i danych.

Nowy dokument składa się z kilku części z dobrymi stwierdzeniami. Na przykład wyraźnie zaznacza się, że ​​nie ma zamiaru zabraniać szyfrowania ani wprowadzać backdoorów (tylnych drzwi omijających zabezpieczenia). Dzieje się tak, ponieważ „Unia Europejska w pełni wspiera rozwój, wdrażanie i stosowanie silnego szyfrowania”. Szyfrowanie ma ważne zastosowania w „infrastrukturach krytycznych, społeczeństwie obywatelskim, dla obywateli i przemyśle, zapewniając prywatność, poufność i integralność danych”. Niemniej jednak niepokoi ich „że właściwe organy w dziedzinie bezpieczeństwa i wymiaru sprawiedliwości w sprawach karnych” napotykają na problemy (tj. że niektórych urządzeń / treści nie można odblokować / odszyfrować nawet gdy jest nakaz prawny). Obawy dotyczą zasięgu wymiaru sprawiedliwości i organów ścigania. Konkretnie:

„Zdarzają się przypadki, w których szyfrowanie sprawia, że ​​analiza treści komunikacji w ramach dostępu do dowodów elektronicznych jest niezwykle trudna lub praktycznie niemożliwa, mimo że dostęp do takich danych byłby zgodny z prawem. Niezależnie od dzisiejszego otoczenia technologicznego, konieczne jest zatem zachowanie uprawnień właściwych organów w obszarze bezpieczeństwa i wymiaru sprawiedliwości w sprawach karnych poprzez legalny dostęp”

Zakazują szyfrowania? No niezupełnie. Nie wiedzą co i jak zrobić (by „stworzyć równowagę”). Z tego powodu zastanawiają się nad zaangażowaniem środowisk badawczych i środowiska akademickiego, aby “coś zrobić” lub dowiedzieć się, “czy coś można zrobić”. W praktyce w Europie może to oznaczać utworzenie przez Komisję Europejską grupy ekspertów wysokiego szczebla, która miałaby coś zrobić i ewentualnie doradzić dalsze działania. Od razu stanie się istotne, jak taka grupa zostanie skomponowana. Na przykład taka grupa zajmująca się sztuczną inteligencją była dość rozsądnie zrobiona, podczas gdy struktura i skład innej grupy zajmującej się dezinformacją sprawiały być może nieco mniejsze wrażenie.

Jednak kluczową kwestią w ujawnionych dokumentach jest identyfikacja „szyfrowania” jako problemu, stąd ukuł się nowy termin polityki technologii:

„Bezpieczeństwo pomimo szyfrowania”.

Problem z tym sformułowaniem polega na tym, że nie wiemy, co to miałoby oznaczać. To naczynie polityki technologicznej zostało zdefiniowanye ale na razie nie jest niczym wypełnione (np. treścią). Nie wiemy, co to znaczy. Na tym właśnie polega niebezpieczeństwo takich zwrotów. Są one łatwe do odczytania i zapamiętania. Ale kto wie, jaki plan lub polityka się za nimi kryją?

Spróbujmy więc rozwikłać tę zagadkę za pomocą dedukcji. Nie mamy przecież innego wyjścia.

„Bezpieczeństwo dzięki szyfrowaniu i bezpieczeństwo pomimo szyfrowania”

Termin ten wygląda na dość świadomie i celowo utworzony amalgamat terminu technicznego i politycznego łączącego techniczne „bezpieczeństwo” (komputerowe itp., gwarantowane przez szyfrowanie), a następnie nietechniczne „bezpieczeństwo” (“off-line” bezpieczeństwo fizyczne, kwestie policji / procesów sądowych / tak dalej), które to powinno być utrzymane „pomimo szyfrowania”. Czy szyfrowanie jest więc przeszkodą? Jeśli tak, to co się robi z przeszkodami? Oczywiście się je usuwa. Jednak przecież nie można usunąć szyfrowania, ponieważ jest ono niezbędne do zabezpieczenia systemów (również pierwsza część tego zwrotu mówi o „bezpieczeństwie poprzez szyfrowanie…”, więc szyfrowanie musi zostać i ma swoje miejsce, ale jakie?). To pozostawia nam to „pomimo”. Co jednak pozostaje nam w zasięgu zmiany? Problemy związane z „bezpieczeństwem” fizycznym / offline / itp. („Pomimo szyfrowania”) nie mogą być łatwo rozwiązane - nie znikną one w magiczny sposób. To pozostawia nam jedyny możliwy aspekt, który hipotetycznie mógłby podlegać zmianom: szyfrowanie. Sposób, w jaki można by się tego spodziewać, to już zupełnie inna sprawa, a nie przedmiot tej analizy. Tutaj po prostu próbuję rozwikłać zawiłe pojęcie polityki technologii / polityki bezpieczeństwa. Nie wiemy, co mieli na myśli projektanci tego terminu (choćby i cokolwiek konkretnego), ani nawet nie wiemy czy oni wiedzą.

Słowa mają moc. Słowa mogą mieć wpływ na zasady, plany, strategie. Słowa z pewnością mogą zmieniać polityki (także technologii). Ma znaczenie jak koncepty są przedstawiane i w jakich kontekstach są wymieniane. Należy więc ostrożnie używać słów.

Czy można zagwarantować bezpieczeństwo pomimo szyfrowania? W przypadku bezpieczeństwa komputerowego / technologicznego - bez szyfrowania nie można tego zagwarantować. Takie pytanie w ogóle nie ma sensu. Z pewnością nie można tego zagwarantować bez silnego szyfrowania.

Comments is loading...

Comments is loading...