Kiberbiztonság és bűnüldözés: titkosítási kiskaput kaphatna a rendőrség

2020-12-17 00:00


Sokszor leírtuk már: olyan e-mail megoldást, chat-programot, konferencia alkalmazást kell választani, ahol az adatok titkosított csatornán áramlanak. Bár sokan ma is azt mondják: “Sose írj olyat e-mailben, amit nem írnál le egy képeslapon”, a titkosított üzenetekhez jóval nehezebb kívülről hozzáférni, mint hinnénk. Ez jó hír azoknak, akik a személyes vagy üzleti titkaikért aggódnak. Rossz hír viszont a rendőrségnek, akik például egy terrorakciót akadályoznának meg. Mit tehet ilyenkor a bűnüldözés? Adjunk kiskaput a hatóságnak?

Logikailag feltörhetetlen kód

Ha hihetünk a bűnügyi jelentéseknek és a riportkönyveknek, a nápolyi maffia még mindig nem használ sem mobiltelefont, sem e-mailt. A keresztapák kockás papíron, grafit ceruzával kommunikálnak egymással, mert nem bíznak abban, hogy az információ nem lehallgatható. Mi is többször írtunk arról: a mindennapos, gyakran céges megbeszélésekre használt eszközök is könnyen szivárogtatnak adatot. Ezek után természetes a kérdés: ha akkora vállalatok mint a LinkedIn, a Zoom vagy az Adobe nem tudják garantálni az adatbiztonságot, tulajdonképpen miért fakszniznak ennyit a hatóságok, miért nem elég felbérelni pár hackert, akik már szállítják is az információkat?

Az adatvédelem számos szoftver esetén tökéletlen

Erre egyszerű a válasz: a “piaci”, nagyközönségnek is elérhető szoftvereket rengetegen használják. Sokszor idő és energia sincsen azonnal javítani a biztonsági réseket. A népszerű alkalmazásoknak sokszor annyi és olyan sokféle felhasználója van, hogy szinte lehetetlen követni, hol csúszik félre valami. Más a helyzet az adott esetben nyílt forráskódú, folyamatosan ellenőrzött, nem ritkán szabad szoftverekkel.

A jelenleg ismert biztonságos titkosítási módok (pl. a szimmetrikus titkosítások mint az AES) immár 256 bites módban működnek, míg az aszimmetrikusak mint az RSA már ezres nagyságrendben operálnak. Ez olyan hosszú és bonyolult láncot eredményez, amely feltéve, hogy megfelelően van alkalmazva, belátható időn belül logikailag feltörhetetlen. A véletlenszerű próbálkozás még egy szuperszámítógépnek is annyi idejében telne, hogy nem is érdemes elkezdenie a munkát. 

Kiskapu: logikus kérés vagy beláthatatlan veszély?

A hatóságok azonban aggódnak. A módszer, amelyik megakadályozza, hogy illetéktelenek férjenek hozzá fontos adatokhoz, őket is kizárja a rendszerből. A terrorakciók szervezőinek tehát nem kell nagyon megerőltetniük magukat. Némi, hétköznapi ember számára is elérhető csavarral viszonylag biztonságosan és titkosan levelezhetnek. 

Az Amerikai Egyesült Államok, Anglia, Kanada, Ausztrália és Új-Zéland kormánya ezért azt követeli: a szoftvergyártók nyissanak kiskaput a hatóságok számára. Az “Öt Szem”-nek is nevezett országok tulajdonképpen egy olyan univerzális kulcsot kérnek, amelyhez - elvben - csak a hatóságok férhetnek hozzá, és amellyel képesek feloldani az üzenetek titkosítását. 

A hátsó bejáratokat gyakorlatilag lehetetlen megfelelően védeni

A számítástechnikai szakemberek nincsenek elragadtatva az ötlettől. Kiskaput nyitni viszonylag könnyű, de megvédeni azt gyakorlatilag lehetetlen. A kulcsot ugyanis nem elég informatikai eszközökkel védeni. Egy korrupt alkalmazott, megfenyegetett mérnök, vagy a social engineering valamelyik áldozata is könnyen nyitva felejtheti az átjárót, amelyen pillanatok alatt hatalmas mennyiségű, értékes adat szivároghat ki. 

Van rejtegetnivalónk?

Tegyük fel persze, hogy bízunk a hatóságokban, vagyis elhisszük, hogy garantáltan nem engedik rossz kézbe jutni az univerzális kulcsokat. Vajon meddig terjed az ő jogkörük? Van-e, marad-e rejtegetnivalónk akkor, ha az “egyszeri hacker” nem, de a hatóság belenézhet a levelezésünkbe? Nos, ez a kérdés már bonyolultabb. 

A biztonságos adatkezelés bizonyos értelemben a demokrácia záloga is. Enélkül nem kerülhetnének nyilvánosságra bizonyos visszaélések, az újságírók például nem tudnának titokban beszélni az állami intézményekben korrupciót tapasztaló informátorral. Nehéz helyzetbe kerülhetnének azok is, akiknek igazságtalan megfigyeléstől kell tartaniuk - Kínában például komoly szankció járhat azért, ha valaki “nem megfelelő”, emigráns családtaggal ápol kapcsolatot. 

Az adatokat gyakran magától a kormányzattól is védeni kell

A hatóságoknak most is van valamennyi jogosultsága arra, hogy nemzetbiztonsági érdekekre hivatkozva, bizonyos körülmények között, bizonyos személyek bizonyos tevékenységét megfigyelje. Az informatikai adatvédelemmel kapcsolatos szabályozás viszont nagyon összetett, így a lehetőségek jelenleg erősen korlátozottak. 

A nagy terrortámadások fenyegetése nyomán egyfelől érthető az igény, hogy a hatóság minden adatot megszerezzen és ha lehet, megakadályozza a szervezkedést. Azzal, hogy a szoftverek hátsó ajtót nyitnak, természetesen nagyobb rálátás nyílhatna ezekre az akciókra. Másfelől ez a helyzet komoly kérdéseket vet fel: 

  • Ki kapjon teljes jogosultságot? Ha Új-Zéland hatósága hozzáfér a titkos üzenetekhez, hozzáférhet-e a kínai vagy orosz kormány is?

  • Ha csak a hatóságnak van hozzáférése, az azt jelenti, hogy az állam és az ő levelezésük titkos maradhat. Mi garantálja, hogy ott nem történik korrupció? Kiegyensúlyozott-e így a rendszer?

  • Meddig terjed az adatok védelme? Milyen bűncselekményekre lehet bizonyítékot keresni a levelezésben?


Szabad-e kaput nyitni?

Az IT szakemberek szerint a titkosítási kiskapu egyértelműen rossz ötlet, nem csak azért, mert a demokratikus működést veszélyezteti, hanem azért is, mert egy ilyen hátsó bejárat védhetetlen (a nagy port kavart idei BlueLeaks során egyenesen az amerikai rendőrség fájljai, több mint 7000 rendőr személyes adatai szivárogtak ki). 

Az ajtónyitás más jogi kérdéseket is felvet: ha egyes államok kormánya kötelezheti a fejlesztőket az univerzális kulcs elkészítésére, egyértelmű, hogy ezt más államok is megtehetik. Ha egy ilyen eszköz a diktatúrák szervezeteinek kezébe jut, a “bűnüldözés” hamar az elnyomás eszköze is lehet. 

Kérdés az is, hogy egy ilyen eszköz arányos és megfelelő védelmet jelent-e a “nagy veszélyekkel” szemben, vagy - még ideális körülmények között is - inkább több kárt okoz, mint hasznot. A “gyári” titkosítás ugyanis az egyszerű felhasználók eszköze. Kicsi az esély rá, hogy a valódi, összetett bűnszervezetek ennyire hivatalos, piaci technológiával oldanák meg az információcserét.

Ez tehát azt jelenti, hogy könnyebb valakit elkapni, mert drogot rendelt e-mailben vagy feketén adta ki az albérletét. Ezzel szemben a jól szervezett és a hatóságok számára igazán érdekes bűnözők az elsők között lesznek akik nem valamelyik kész piaci termékre fognak támaszkodni a biztonságos kommunikációhoz. Mivel a matematikai háttere az erős titkosításoknak publikus akárcsak számos azokat megvalósító alkalmazás, így ezeknek a használata kapcsán technikai akadályt semmilyen jövőbeli törvényi kötelezettség nem tud jelenteni.

A hasonló szabályozások kidolgozásába mindenképpen be kell vonni a IT piac szereplőit és a szakembereket. Ebben a kérdésben nem csak a kormányzatok felelőssége nagy. Ahhoz, hogy ne születhessenek populista intézkedések, elengedhetetlen, hogy a szakértők folyamatosan, nyíltan, közérthetően beszéljenek a veszélyekről. A digitális tér átláthatósága már magában számos, az emberi tényezőből adódó ballépéstől óvhat meg mindenkit.