Magyar cég is tiltakozik a titkosítást veszélyeztető uniós javaslat ellen

Január 28. az adatvédelem világnapja. Nem véletlen, hogy épp erre a napra időzítette a közös állásfoglalását négy, erős titkosításra épülő szolgáltatást kínáló európai cég, köztük a magyar alapítású Tresorit. Azt kifogásolják, hogy az Európai Unióban új köntösben, óvatosabban, de megint napirendre került egy évek óta újra és újra felbukkanó javaslat, amely a hatékonyabb bűnüldözés nevében gyengítené a felhasználók millióinak privát adatait megvédő, végpontok közötti titkosítást.

Régi vita lángolt fel újra

A végpontok közötti titkosítás (end-to-end-encryption, e2e) lényege, hogy az adatok – legyenek azok emailek, csetüzenetek, bizalmas fájlok vagy bármilyen más érzékeny információ – olyan technológiai védelmet kapnak, amely biztosítja, hogy senki más, még az adatokat kezelő szolgáltató sem férhet hozzájuk, még akkor sem, ha kifejezetten szeretne. Egy e2e csetalkalmazásban például, mint amilyen a manapság egyre népszerűbb Signal, az üzenetet az app már a feladó eszközén titkosítja, és csak a címzett lesz képes ezt a titkosítást feloldani, azaz az üzenetet elolvasni. Az ehhez szükséges kulcs soha nem is kerül a Signal üzemeltetőjéhez, így garantált, hogy nem fog tudni belekukkantani az üzenetekbe.

Ez a felhasználóknak nagyon jó, mert se attól nem kell tartaniuk, hogy kiberbűnözők lesnek bele a beszélgetéseikbe vagy a fájljaikba, se attól, hogy mondjuk lehallgatja őket a kormány. (Attól persze nem véd meg egy titkosított app sem, ha magához a telefonhoz férnek hozzá illetéktelenek.) A bűnüldöző hatóságok viszont hosszú ideje panaszkodnak amiatt, hogy ugyanez a technológia nemcsak a becsületes felhasználókat védi meg, hanem a terroristákat, embercsempészeket, pedofilokat és más bűnözőket is.

Ezért újra és újra előkerülnek a világ különböző országaiban olyan törvényjavaslatok, amelyek ezt az erős titkosítást gyengítenék.

Persze névleg a hatóságok és a törvényhozók sem azt szeretnék, hogy a mezei felhasználók is védtelenné váljanak, hanem azt, hogy a techcégek tegyék lehetővé nekik a hozzáférést a titkosított adatokhoz, ha ezt a bűnüldözős érdekei megkívánják.

Ezzel az a probléma, hogy a biztonsági szakértők túlnyomó többsége szerint technológiailag lehetetlen megoldani azt, hogy úgy nyissanak hátsó ajtót a jófiúknak, hogy azon a rosszak ne tudjanak átsétálni. Ha beépítenek egy hozzáférési lehetőséget egy szolgáltatásba, amely épp az ilyen lehetőség kizárásával garantálja a biztonságot és a magánszféra védelmét, onnantól nem lehet garantálni, hogy illetéktelenek ne találják meg a módját a beférkőzésre. Ráadásul a szakértők szerint már csak azért sem túl hatékony a titkosítás törvényi gyengítése, mert a célcsoport, azaz a bűnözők bármikor átválthatnak másik szoftverre, vagy akár saját szolgáltatást is indíthatnak, mint ahogy erre már volt is példa.

Erről szól az a titkosítási vita, amely 2016-ban kapott utoljára igazán nagy figyelmet, amikor az FBI akarta rávenni az Apple-t, hogy törjék fel az iPhone titkosítását. De a kockázatokra az olyan esetek is rávilágítanak, mint amikor az amerikai elektronikus hírszerző ügynökséget, az NSA-t hekkelték meg ismeretlen támadók, és loptak el tőlük olyan kódokat, amelyeket aztán később világméretű kibertámadásokban használtak fel. A dilemma, hogy ha létezik kulcs a hátsó ajtóhoz, akkor ki garantálja, hogy azt a kulcsot senki nem fogja tudni ellopni.

A techcégek ellenállnak

A most közösen kiálló cégek szerint senki nem garantálja, mert az egyetlen garancia, ha ilyen kulcs nem is létezik. A közleményt négy vállalat adta ki: a titkosított emailszolgáltató Protonmail és Tutanota, a csetszolgáltató Threema és a fájlok biztonságos tárolását, szinkronizálását és megosztását lehetővé tevő Tresorit. A felszólalásuk apropója – az adatvédelmi világnap mellett –, hogy az Európai Unió Tanácsa decemberben közzétett egy javaslatot [pdf], amely újra fellobbantotta a titkosítási vitát.

A javaslatnak már a címe is az, hogy „Biztonság a titkosításon keresztül és biztonság a titkosítás ellenére”, és bár semmilyen konkrétumot nem tartalmaz, lényegében ugyanolyan célokat fogalmaz meg, mint a korábbi, hasonló próbálkozások, csak kevésbé explicit módon. Kerüli az olyan szavakat, mint a hátsó ajtó vagy a titkosítás megkerülése, de lényegében felmondja a leckét a bűnüldözés segítéséről a titkosítással szemben. Ezt azzal finomítja, hogy nem konkrét megoldást javasol erre, hanem hangsúlyozza az együttműködést a techszektorral – csakhogy a techszektor már többször jelezte, hogy nem kíván ebben a kérdésben együttműködni, mert

az a kompromisszum, amelyet a jogalkotók szeretnének elérni, technológiailag lehetetlen.

A cégek közleménye szerint maga a javaslat ugyan nagyon enyhén fogalmaz, de ha a célkitűzése megvalósulna, az olyan lépésekkel járna, amelyek „több millió európai alapvető jogait veszélyeztetné, és aláásná a globális eltolódást a végpontok közötti titkosítás alkalmazása felé”. Ezért a cégek visszautasítanak minden jogi próbálkozást, amely a titkosításuk gyengítésére irányulna, és arra kérik az EU döntéshozóit, hogy gondolják újra a felvetést.

A közlemény felidézi, hogy a javaslat időzítése azért is szerencsétlen, mert a koronavírus-járvány miatt tömegessé vált távoli munkavégzés az eddigieknél is látványosabban mutatta meg, milyen fontos a titkosítás nemcsak az egyéni felhasználók, de a vállalatok adatainak biztonságához is. Az adatvédelem rétegtémája ráadásul az utóbbi időben szokatlanul sokakhoz ért el, elég csak arra az esetre gondolni, amikor a Whatsapp világossá tette felhasználóinak, hogy milyen adatokat oszt meg az anyacég Facebookkal, amire válaszul a felhasználók egy része az olyan rivális e2e szolgáltatókhoz vándorolt, mint a Signal vagy a Telegram – persze a világ egyik legnépszerűbb appjának számító Whatsappot ez aligha fogja megrengetni. (Egyébként a Whatsapp is e2e titkosítást használ, ami mutatja, hogy az adatvédelem ezzel nem ér véget, inkább itt kezdődik.)

Az Európai Unió ráadásul az utóbbi években kezdett belenőni az adatvédelem globális úttörőjének a szerepébe. Bár errefelé is fel-felbukkantak a titkosítás kikezdését célzó javaslatok, például a 2015-ös párizsi terrortámadások farvizén vagy egy évvel később, 2017-ben olyan javaslat is napvilágot látott, amely betiltotta volna a hátsó ajtók lehetőségét. Mindeközben pedig életbe lépett a GDPR, azaz az uniós adatvédelmi rendelet, amelyet minden hibája ellenére az Egyesült Államokban is rendre pozitív példaként lobogtatnak az adatvédelmi szakértők.

„Ezt a javaslatot azért tartjuk különösen aggasztónak, mert az EU korábban progresszív nézeteket tanúsított az adatvédelemben. A GDPR kimondottan támogatja az erős titkosítást mint az állampolgárok magánszféráját védő alapvető technológiát. Ezek az új felvetések összeegyeztethetetlenek az EU jelenlegi álláspontjával: a mostani és a javasolt megközelítés teljesen ellentmond egymásnak, mert lehetetlen garantálni a titkosítás integritását, ha közben célzott hozzáférést biztosítunk a titkosított adatokhoz”

– mondta Lám István, a Tresorit vezérigazgatója.