Atentat al autorităţilor la confidenţialitatea serviciilor criptate de mesagerie
Liviu IoniţăDe ceva vreme, în SUA se derulează un lobby asiduu, încurajat de FBI şi Departamentul de Justiţie, pentru a se oferi autorităţilor statului acces legal la serviciile criptate ale diferitelor companii. Ţările membre ale organizaţiei Five Eyes – SUA, Marea Britanie, Australia, Canada, Noua Zeelandă fac eforturi legislative în acest sens, iar, recent, au emis o declaraţie, la care s-au alăturat India şi Japonia, prin care se cere companiilor de tehnologie să introducă aşa-numitele backdoors în aplicaţiile criptate pentru a permite agenţiilor de aplicare a legii să aibă acces în scopul controlării criminalităţii online.
Se pare, însă, că pledoaria şi tendinţa pentru accesarea legală a elementelor criptate se mută şi în Uniunea Europeană. O serie de documente divulgate de la cele mai înalte instituţii ale UE arată un plan pentru modul în care intenţionează să se realizeze acest lucru.
La finalul lunii octombrie, guvernul german a acceptat să permită serviciilor secrete să intercepteze conversaţiile prin intermediul aplicaţiilor de mesagerie criptate, cum ar fi Messenger sau WhatsApp, ca mijloc de combatere a terorismului.
Demersul este unul controversat, iar companiile FAANG - Facebook, Amazon, Apple, Netflix şi Google –, şi nu numai, se opun unor proiecte legislative considerate ca afectând drepturi şi libertăţi şi, în acelaşi timp, lăsând cutia Pandorei la îndemâna atât a celor care apără legea, dar şi a celor aflaţi de cealaltă parte a ei.
Criptarea, securitatea datelor şi accesul la datele criptate
În ultimii ani, companiile de tehnologie s-au concentrat într-un mod susţinut pe aspectele legate de confidenţialitate şi securitate, lansând produse cu criptare îmbunătăţită. În 2014, platformele de mesagerie WhatsApp şi Signal au introdus criptarea end-to-end pentru comunicaţiile utilizatorilor şi, tot atunci, Apple a activat criptarea în mod implicit pe iPhone, odată cu lansarea iOS 8.
Criptarea end-to-end reprezintă un sistem în care numai utilizatorii (emiţător/destinatar) implicaţi în procesul de comunicare pot citi mesajele, ceea ce împiedică, în principiu, o terţă parte să poată accesa cheile criptografice necesare pentru a avea acces la conversaţie. Ca urmare, companiile care utilizează acest procedeu nu sunt în măsură să transmită autorităţilor textele mesajelor clienţilor lor.
Pentru ca agenţiile guvernamentale să aibă acces la date va fi nevoie să fie încorporate în dispozitive aşa numitele backdoors (software destinat ocolirii sistemelor de securitate) ori realizarea a ceea ce se cheamă ... key escrow (o măsură de securitate a datelor în care o cheie criptografică este încredinţată unei terţe părţi, adică este păstrată în custodie), dar care prezintă un risc major pentru securitate: utilizatorul oferă acces la informaţii celui care deţine cheia criptografică.
Dezbaterea cu privire la viitorul criptării end-to-end a polarizat inclusiv opinia publică şi se intensifică, de o parte fiind cei care susţin că investigaţiile sunt împiedicate de existenţa criptării end-to-end, de cealaltă aflându-se cei care consideră că orice compromis în criptarea end-to-end şi introducerea de backdoors în aplicaţii va fi exploatată nu doar de „băieţii buni”.
La sfârşitul anului 2018, Australia a acordat agenţiilor de intelligence - Australian Security Intelligence Agency (ASIO), Australian Secret Intelligence Service (ASIS) şi Australian Signals Directorate (ASD) - noi competenţe în obţinerea de informaţii şi asistenţă din partea furnizorilor de comunicaţii, prin Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018 (AA Act sau TOLA).
Legislaţia a fost promovată de partidele politice de guvernământ din Australia cu motivaţia luptei împotriva terorismului şi împotriva abuzului asupra copiilor, în timp ce criticii au invocat absenţa supravegherii judiciare şi dispoziţiile secrete în legătură cu orice utilizare a legii respective.
TOLA a fost denumită „legea anticriptare”, fiind exprimate îngrijorări cu privire la „ameninţările serioase” pe care le aduce „securităţii cibernetice, vieţii private şi libertăţii de exprimare în Australia şi în întreaga lume”.
Conform actului normativ, agenţiile guvernamentale australiene pot emite către un furnizor de comunicaţii desemnat trei tipuri de notificări sau cereri:
- o cerere voluntară de asistenţă tehnică (Technical Assistance Requests, TAR), caz în care furnizorul îşi poate folosi capacităţile existente sau poate construi o nouă capacitate,
- o notificare obligatorie de asistenţă tehnică (Technical Assistance Notices, TAN), în urma căreia asistenţa furnizorului de comunicaţii se limitează la utilizarea capacităţilor existente fără a fi solicitată o capacitate pe care acesta nu o are,
- o notificare obligatorie de capacitate tehnică (Technical Capability Notices, TCN), care solicită furnizorului de comunicaţii să construiască o nouă capacitate.
TOLA este încă dezbătută în Australia, la nivel public şi în Parlament (unde au fost prezentate modificări), date fiind notificările dificil de pus în practică (având în vedere modul în care sistemele de mesagerie criptate sunt proiectate ori în cazul în care platforma utilizată nu are capabilităţi de decriptare sau un backdoor încorporat), gama largă şi vagă de „acte sau lucruri enumerate” asupra cărora se emit solicitările, lista extinsă a persoanelor cărora li se poate emite o notificare şi dispoziţiile privind secretizarea (furnizorii nu trebuie să dezvăluie informaţii TAR / TAN / TCN).
Solicitarea de asistenţă în accesarea datelor criptate poate fi făcută deopotrivă unor organizaţii, ca şi operatorilor de site-uri web individuale. Legea se aplică inclusiv companiilor internaţionale care fac afaceri în Australia, iar nerespectarea ei poate duce la sancţiuni civile de aproximativ 10 milioane de dolari SUA pentru o corporaţie şi 50.000 de dolari pentru o persoană fizică.
Între decembrie 2018 şi iunie 2019, TOLA a fost utilizată de către guvernul federal de şapte ori pentru emiterea de notificări, iar, între iulie 2019 şi noiembrie 2019, de 18 ori.
Aceste măsuri, considerate contribuţia Australiei la alianţa de informaţii Five Eyes, sunt în mare parte similare cu Legea privind puterile de investigare din Marea Britanie (Investigatory Powers Act) din 2016, dar depăşesc legislaţia Regatului Unit, acordând în mod explicit puterea de a solicita unei varietăţi largi de furnizori de comunicaţii şi servicii să dezvolte noi capacităţi de interceptare, precum şi prin faptul că se adresează şi companiilor străine.
Prin noua legislaţie, Australia ar putea deveni „veriga slabă”, ori ea însăşi backdoor, pentru a permite guvernelor Five Eyes să îşi sporească puterile de supraveghere.
Five Eyes şi „siguranţa publicului”
Alianţa Five Eyes a făcut, de altfel, un pas mai departe, solicitând explicit companiilor de tehnologie, la începutul lunii octombrie, introducerea de backdoors în aplicaţiile criptate pentru a permite accesul agenţiilor de aplicare a legii.
Ministrul de Interne britanic, Priti Patel, procurorul general al SUA, William Barr, ministrul de Interne australian, Peter Dutton, ministrul Justiţiei din Noua Zeelandă, Andrew Little, şi ministrul canadian al Siguranţei Publice, Bill Blair, au solicitat, într-o Declaraţie în care li s-au alăturat India şi Japonia, companiilor de tehnologie să colaboreze cu guvernele pentru a adopta „soluţii rezonabile, fezabile din punct de vedere tehnic” pentru integrarea „siguranţei publicului în proiectele de sistem” şi oferirea de acces, „într-un format lizibil şi utilizabil”, forţelor de ordine.
Se recunoaşte criptarea ca fiind „o ancoră existenţială a încrederii în lumea digitală”, însă criptarea end-to-end este cea care „împiedică accesul legal la conţinutul comunicaţiilor în orice circumstanţe” şi creează „riscuri severe pentru siguranţa publică”.
Care ar fi „soluţiile” la care ar trebui să recurgă companiile:
- să acţioneze în mod eficient împotriva conţinutului şi activităţii ilegale, „facilitând investigarea şi urmărirea penală a infracţiunilor şi protejând pe cei vulnerabili”;
- să permită accesul legal la conţinut „într-un format lizibil şi utilizabil, în cazul în care o autorizaţie este eliberată în mod legal, este necesară şi proporţională şi este supusă unor garanţii şi supravegheri puternice”;
- să iniţieze consultări „cu guvernele şi alte părţi interesate pentru a facilita accesul legal într-un mod substanţial şi care influenţează cu adevărat deciziile de proiectare”.
Declaraţia se axează pe provocările pe care le aduce criptarea end-to-end, dar „angajamentul se aplică întregii game de servicii criptate disponibile, inclusiv criptarea dispozitivelor, aplicaţiile criptate personalizate şi criptarea pe platforme integrate”.
Replica Facebook nu a întârziat: criptarea end-to-end este necesară pentru a proteja informaţiile private ale oamenilor, care, în toate cele şapte ţări semnatare ale declaraţiei, preferă mesaje criptate end-to-end, deoarece le păstrează conţinutul în siguranţă faţă de hackeri, infractori şi interferenţe străine. Între timp se dezvoltă noi modalităţi de prevenire, detectare şi reacţie la abuz, menţinând, însă, o securitate ridicată.
Apeluri similare au fost respinse în anii anteriori de Facebook ori Apple, care au avertizat că „uşile din spate” ar putea face ca aplicaţiile lor să fie predispuse la atacuri ale criminalilor cibernetici sau ale guvernelor străine.
Anul trecut, o alianţă de companii de tehnologie, inclusiv Google, Apple, WhatsApp şi Microsoft, a semnat o scrisoare deschisă în care a fost criticată propunerea Centrului Guvernamental de Telecomunicaţii din Marea Britanie, GCHQ (Ian Levy şi Crispin Robinson), conform căreia firmele ar trebui să dezvolte tehnologia necesară adăugării, în secret, a unui utilizator „fantomă”, un agent de informaţii, la conversaţiile private sau chaturile de grup, pentru a evita obligarea companiilor să-şi afecteze propria criptare.
Declaraţia Five Eyes din octombrie a fost cel mai puternic apel de până acum pentru programatori pentru a include accesul backdoor la programele de comunicaţii criptate, deşi oamenii legii şi-au manifestat anterior în mai multe rânduri nemulţumirea cu privire la dificultăţile pe care le prezintă comunicările criptate în anchetele penale.
SUA: crypto war, capitolul următor
În SUA, o victorie în ceea ce se cheamă crypto war, a fost înregistrată în iunie, acest an, când senatorii Marsha Blackburn, Tom Cotton şi Lindsey Graham au introdus Legea privind accesul legal la datele criptate (Lawful Access to Encrypted Data Act of 2020, LAED), act normativ care obligă companiile tehnologice care operează în SUA să ofere guvernului şi agenţiilor de aplicare a legii acces la datele criptate atunci când li se solicită acest lucru.
Legea va interzice companiilor tehnologice care operează în SUA să ofere criptare end-to-end în servicii online şi să ofere dispozitive criptate care nu pot fi deblocate şi nu includ mijloace de decriptare a datelor destinate agenţiile de aplicare a legii. Proiectul de lege permite instanţelor să oblige furnizorii de sisteme de operare, producătorii de dispozitive şi furnizorii de servicii de comunicaţii să ajute guvernul, în urma oricărei solicitări de informaţii făcute prin intermediul unui mandat. Mai mult, furnizorilor în cauză li se cere să se asigure că sunt în măsură să ofere acea asistenţă, ceea ce va include obligarea acestora să comunice date despre „orice capacităţi tehnice care sunt necesare pentru a pune în aplicare şi a respecta ordinele judecătoreşti anticipate”.
O propunere legislativă care marchează, practic, sfârşitul serviciilor digitale care includ criptare end-to-end, şi care nu se adresează doar Apple, Google, Facebook, Signal şi altora asemenea lor. Ea se aplică, în egală măsură, sistemelor de operare şi aplicaţiilor, platformelor de mesagerie şi chat, platformelor social media şi serviciilor de stocare prin e-mail şi cloud, de videoconferinţă, smartphone-urilor, laptop-urilor şi desktop-urilor şi, probabil, maşinilor de vot şi dispozitivelor IoT, vizând orice dispozitiv electronic cu minimum 1 GB capacitatea de depozitare.
Backdoors în ...Uniune
Se pare că statele europene se îndreaptă şi ele către introducerea de reglementări similare.
Într-un articol recent („Ordine de sus: calendarul UE pentru demontarea criptării end-to-end”), Electronic Frontier Foundation (EFF), organizaţie non-profit americană care pledează pentru protejarea libertăţii de expresie, susţine că lobby-ul s-a mutat din SUA, „unde Congresul a fost în mare parte paralizat de problemele ridicate de polarizarea naţiunii”, în Uniunea Europeană, unde susţinătorii legilor anticriptare „speră să aibă o călătorie mai lină”.
EFF se referă la documente divulgate, provenind „de la cele mai înalte instituţii ale Uniunii Europene”, care indică un plan pentru a introduce legi anticriptare, intenţia fiind ca legislaţia respectivă să fie prezentată Parlamentului European în anul următor.
Uniunea Europeană a susţinut până în prezent tehnologiile de protejare a confidenţialităţii, din care face parte şi criptarea end-to-end, dar sunt vizibile „semne publice ale schimbării”, de când Ylva Johansson, comisarul UE pentru Afaceri Interne, a solicitat, în luna iunie, în cadrul unui seminar online, o soluţie tehnică la „problema criptării” şi a anunţat că biroul său a constituit „un grup special de experţi din mediul academic, guvern, societate civilă şi mediul de afaceri pentru a găsi modalităţi de detectare şi raportare a materialelor criptate cu conţinut de abuz sexual asupra copiilor”.
Raportul a fost ulterior, făcut public de politico.eu, care a dezvăluit o listă de „modalităţi sinuoase de a realiza imposibilul: permiterea accesului guvernului la date criptate, fără a întrerupe cumva criptarea”, pentru prima dată „în afara regimurilor autoritare, Europa urmând să declare care programe de comunicare pe Internet sunt legale şi care nu”.
La sfârşitul lunii septembrie, Statewatch (organizaţie non-profit care monitorizează libertăţile civile în Uniunea Europeană) a publicat o notă a Consiliului Uniunii Europene, cu titlul „Securitate prin criptare şi securitate în pofida criptării”, prin care se încurajează statele membre să accepte o nouă poziţie a UE cu privire la criptare. Se solicită adoptarea unei poziţii „coordonate şi consecvente a UE” în recunoaşterea faptului că procedeele de criptare reprezintă o „provocare atunci când vine vorba de combaterea terorismului, criminalităţii organizate, abuzului sexual asupra copiilor etc.” şi este mandatată preşedinţia germană să iniţieze pregătirea unei declaraţii UE care să vizeze „aplicarea legii şi accesul judiciar legal, subliniind astfel securitatea prin criptare, ca şi securitatea în pofida criptării”.
În opinia Electronic Frontier Foundation, ne aflăm „în primele etape ale unui lung marş anti-criptare iniţiat de la nivelurile superioare ale UE, îndreptându-se direct spre uşile digitale europene”, urmând acelaşi curs pe care Marea Britanie, Australia şi Statele Unite „se mişcă de ceva timp”.
Şi este posibil ca EFF să aibă dreptate.
Pentru că, la finalul lunii octombrie, guvernul german a fost de acord să permită serviciilor secrete să intercepteze conversaţiile prin intermediul serviciilor de mesagerie criptate, ca mijloc de combatere a terorismului.
Legea adoptată de Cabinetul de la Berlin ar permite agenţiilor de informaţii - cea externă (BND), cea de securitate internă (Verfassungsschutz) şi serviciul de contrainformaţii al armatei (MAD) - să monitorizeze în timp real nu doar conversaţiile pe platformele de mesagerie, ci şi mesajele criptate deja trimise prin utilizarea unui „software spion”.
Propunerea a creat dezacorduri chiar în cadrul coaliţiei guvernamentale, dar iniţiatorii acestei măsuri susţin că agenţiile de informaţii nu ar face decât să-şi recapete prerogativa de a monitoriza convorbirile, la care aveau acces prin interceptarea telefoanelor înainte de apariţia internetului şi a smartphone.
Legislaţia mai trebuie să primească aprobarea Bundestagului, în care partidele coaliţiei guvernamentale - conservatorii cancelarului Angela Merkel, Uniunea Creştin-Democrată şi aripa sa bavareză, Uniunea Creştin-Socială (CDU/CSU) şi Partidul Social Democrat (SPD) - dispun de majoritate.
* * *
Un (fost) membru al comunităţii de intelligence din SUA, Michael Hayden, fost director CIA şi NSA, este de părere că eforturile guvernului federal de a asigura backdoors subminează credibilitatea americană.
„Criptarea nu poate fi un silver bullett (expresie care se referă la o soluţie simplă şi miraculoasă pentru o problemă complicată) pentru chestiunile noastre de securitate. Suntem siguri că vom învăţa multe lecţii ca urmare a acestei pandemii, iar importanţa fundamentală a criptării pentru protejarea societăţii noastre digitale de astăzi trebuie să fie una dintre ele”.
Să fi ajuns generalul la aceste concluzii ca urmare a vastei sale experienţe în serviciile secrete ori datorită actualei sale poziţii în echipa Chertoff Group, companie care oferă consiliere de securitate (inclusiv securitate cibernetică), strategii de gestionare a riscurilor, dezvoltare de afaceri şi servicii de consultanţă pentru clienţii din domeniile Securităţii şi Apărării?