Így teheti tönkre a törvényileg kötelezett kiskapu az adat-tikosítást

2021-03-22 11:29


Rendkívül fontosnak tartjuk, amit több cikkünkben is kifejtettünk, hogy a végpontok között titkosított csatornán áramló kommunikáció biztonsága szent és sérthetetlen kell, hogy maradjon. Minden olyan törekvés, amely “kiskaput” adna a rendszerhez, kritikus mértékben gyengíti az adatok biztonságát. Ugyan elképzelhető, hogy a titkosítás megkönnyíti a bűnözők dolgát, de a legtöbb szolgáltató és szakértő mégis úgy látja: a titkosítás megsértése lenne az, ami sokkal inkább megkönnyítené azt. Az Európai Unió Bizottságának 2020. decemberi szándéknyilatkozata alapján azonban van okunk az aggodalomra. Ugyanis a dokumentum újból felveti a kiskapuk törvényi követelésének esélyét. A döntést ellen több tech cég is szót emelt. 

Mi a titkosítási kiskapu?

Az end-to-end encryption vagyis a végpontok közötti titkosítás azt jelenti, hogy az interneten zajló adatcsere során az adott adatok úgy áramlanak, hogy azokat egy logikailag belátható időn belül feltörhetetlen titkos kód védi. Senki, még maga a szolgáltató cég sem fér hozzá az információkhoz. Ez főleg az üzleti világban elengedhetetlen. IT cégként mi is mindig azt tanácsoltuk, hogy egy egyszerű videohíváshoz is érdemes titkos csatornát választani.

Nincs rá biztosíték, hogy a rendőrségnél jó helyen lenne a titkos kulcs

Nem csak Európában, de az Egyesült Államokban is sokszor felmerült, hogy a hatóságnak kulcsot kellene kapnia ezekhez a csatornákhoz. A kormányok legtöbbször azzal érvelnek: hogy a “kulcslyukon keresztül” lefülelhetők volnának a terrorcselekmények és a szervezett bűnözés. Az elmélettel csupán egyetlen probléma van: senki nem tudta bizonyítani, hogy egy-egy ilyen akció meghiúsítására valóban a titkosítás (átmeneti) feloldása az egyetlen eszköz.

Amellett, hogy a kiskapu - a közelmúlt tapasztalataiból kiindulva - nem akkora jelentőségű a bűnmegelőzésben, mit ahogyan azt állítják, felmerül egy komolyabb aggály is. Mégpedig az, hogy egy ilyen kulcs használatát szinte lehetetlen biztonságosan ellenőrizni. Azzal, hogy a rendőrség, vagy bármilyen szervezet kulcsot kap a titkosításhoz, gyakorlatilag kivilágított céltáblává válik a kiberbűnözők számára. A rendszer ráadásul súlyos visszaélésekre is lehetőséget ad. Szinte lehetetlen ellenőrizni például, hogy maguk a kezelők mikor kezdik a saját céljaikra használni a rendszert. Elég egy-egy meggondolatlan mentés és máris kompromittáló fotók vagy üzleti titkok százai kerülhetnek nyilvánosságra, vagy csobbanhatnak hangosat a darkweb legsötétebb bugyraiban.

Hogyan fogadhatták el mégis a szándéknyilatkozatot?

Az Európai Unió Tanácsa már régóta próbál a titkosítási kiskapuval kapcsolatos javaslatcsomagokat elfogadtatni, a képviselők, szakemberek és tech cégek tiltakozása azonban meghiúsította az ilyen törekvéseket. A mostani dokumentum azonban más. Nem konkrétan kiskaput kér, csak úgy fogalmaz: “Biztonságot a titkosítás által és biztonságot a titkosítás ellenére”. 

Átgondolatlan lehet az európai döntés

A dokumentum kiadása magában hordozza azt a veszélyt is, hogy ezentúl az államoknak törvényi lehetősége lesz a kiskapu kikényszerítésére. Csakhogy, ahogyan a ProtonMail bloggere is fogalmaz: a titkosítás egy abszolútum. Valami vagy titkosítva van, vagy nincs. A kiskapu biztosítása tehát azt jelenti: NINCS. 

A döntés ellen több nagy tech cég, például a ProtonMail, a Threema, a Tresorit és a Tutanotas is szót emelt. Szerintük a döntés nem csak a felhasználók biztonságát és személyiségi jogait veszélyezteti, de az európai IT start-upok piacát is összeomlaszthatja. 

Érthetetlen, hogy miért pont most

A COVID-19 járvány következtében rengeteg cég dolgozói kényszerültek távmunkában dolgozni. Ez sok vállalkozásnak komoly kihívást jelentett. Sokszor olyan folyamatokat is viszonylag rohammunkában kellett digitalizálni vagy felhő-alapúvá tenni, amelyet máskor papíron vagy egészen más módszerekkel lehetett megoldani. A digitális kommunikációnak mindennél nagyobb jelentősége van, a folyamatok pedig hihetetlenül gyorsan zajlanak. 

A felhasználók most kezdenek igazán ráébredni az információtudatosság fontosságára. Ahhoz, hogy ehhez szükséges változások biztonságosan le tudjanak zajlani, éppen most volna szükség legalább bizonyos szintű átláthatóságra. A javaslatcsomag azonban az adatvédelem háborgó tengerének legnyugodtabb részeibe is követ hajít. 

A tiltakozó tech cégek kiemelik: sok fiatal európai cég vált az adatvédelem úttörőjévé az elmúlt időszakban. Ez a döntés azonban veszélyeztetheti a működésüket, a felhasználók bizalma könnyen meginoghat, ami az egész szektornak károkat okoz, visszaveti az innovációt és lassítja a biztonságos működés elérését. 

Nem ez azonban az egyetlen negatív gazdasági következmény. A közelmúltban számos nagy cég veszítette el a felhasználók bizalmát. A legjelentősebb ezek közül talán a Facebook és terméke, a WhatsApp. Miután kiderült, hogy a WhatsApp adatokat oszthat meg a Facebookkal, rengeteg felhasználó igyekezett megbízhatóbb platformot keresni. Vagy említhetnénk a Google és a Gmail folyamatos privacy-problémáit is, amelyek miatt egyre több cég és magánszemély igyekszik más szolgáltatók termékeit választani.

Titkos, mégis kémked? 

Az európai cégek rengeteg ilyen felhasználónak segítettek adattudatosabb és diszkrétebb megoldást találni. Ha azonban kiskaput kell nyitniuk egy harmadik fél számára, azzal gyakorlatilag azonnal elveszítik a piac új szegmensét. Ez nem csak az adott céget, de a teljes EU-t jelentős bevételektől fosztja meg. 

Csak a remény maradt

A tech cégek mára csak reménykedni tudnak, hogy a döntéshozók minden szinten megértették a kiskapu bevezetésének kockázatát. Az érdekeltek abban bíznak: nem próbálják meg arra kényszeríteni a cégeket, hogy bármilyen módon rést nyissanak a saját titkosításukon. 

A WhatsApp botránya is azt mutatja: hiába van titkosítva egy rendszer - ennek ellenére is vissza lehet élni az ott tárolt adatokkal. Ha a titkosítás lehetőségét is elveszik, felhasználók milliói válnak újra kiszolgáltatottá. A döntéshozóknak tehát azt kell látniuk: a kiskapu bevezetése esetében nem az a legfontosabb kérdés, hogy a biztonságot vagy a magánélet védelmét helyezzük-e előtérbe, hanem az, hogy egyáltalán leszünk-e biztonságban valaha?