​#MeAndMyRights: Szyfrowanie danych - dlaczego go potrzebujemy i dlaczego nie jest wystarczającym zabezpieczeniem

Szyfrowanie to bardzo stara technika. Chodzi tu o proces, dzięki któremu możemy ukryć znaczenie czegoś za pomocą kodu. Wyjaśnimy, w jaki sposób szyfrowanie danych pomaga w ochronie naszej prywatności i naszych pieniędzy oraz jak władze próbują je obejść.

Być może pamiętasz spory o szyfrowanie danych, do których dochodziło pomiędzy niektórymi firmami technologicznymi a służbami bezpieczeństwa - szczególnie między Apple i FBI po strzelaninach w San Bernardino w USA. Szyfrowanie to bardzo stara technika. Chodzi o proces, dzięki któremu możemy ukryć znaczenie czegoś za pomocą kodu. Jednym z bardzo prostych kodów jest zamiana liter alfabetu na liczby, tak aby 1-2-3 odpowiadało literom ABC. Jeśli wiemy, że użyłeś tego kodu do zaszyfrowania wiadomości, to kiedy podasz mi kartkę z napisem "9 12-12 2-5 2-1-3-11", będę wiedział, że musisz coś załatwić, albo jesteś Terminatorem.

Jak działa szyfrowanie danych

Szyfrowanie danych może działać w różny sposób, ale najbezpieczniejszy rodzaj szyfrowania i typ, najmniej lubiany przez władze, jest określany jako szyfrowanie "end-to-end". Oto jak to działa. Napisałeś e-mail do swojego przyjaciela. Twój komputer szyfruje e-mail, zanim zostanie wysłany. Następnie wiadomość e-mail zostaje wysłana do znajomego w zaszyfrowanej formie. Tak więc każdy, kto przechwyci wiadomość, nie może w rzeczywistości przeczytać tego, co w niej napisałeś. Po dotarciu do odbiorcy, jego komputer odszyfrowuje wiadomość. Ten rodzaj szyfrowania jest najbezpieczniejszy, ponieważ kody potrzebne do szyfrowania i odszyfrowywania wiadomości istnieją tylko na telefonach lub komputerach obu osób komunikujących się ze sobą. Ani firma, która świadczy usługi internetowe, ani firma, która stworzyła program mailowy, nie zna kodu. Co oznacza, że służby bezpieczeństwa również go nie znają.

Możesz być tego nieświadomy, ale prawdopodobnie regularnie używasz szyfrowania danych. Za każdym razem, gdy korzystasz z usług bankowych, robisz zakupy przez internet lub składasz zeznanie podatkowe online, używane jest szyfrowanie, aby zapobiec przechwyceniu Twoich danych przez inne osoby i odczytaniu informacji (lub danych), które wysyłasz. Dzięki temu Twoje pieniądze i dane osobowe są bezpieczne.

Od kiedy Edward Snowden opublikował tajne dokumenty w 2013 roku, pojawiło się wiele informacji o tym, jak służby bezpieczeństwa w USA, Wielkiej Brytanii i kilku innych krajach europejskich masowo inwigilują swoich własnych obywateli. Stało się jasne, że firmy technologiczne (takie jak Microsoft, Google, Facebook i Apple) rzeczywiście pomagały rządom szpiegować obywateli. Firmy technologiczne przekazywały władzom informacje zebrane od użytkowników. Czasami pozwalały nawet władzom na zbieranie informacji bezpośrednio, poprzez używanie ich kabli telefonicznych i baz danych. Po tym jak Snowden ujawnił amerkańską inwigilację, firmy technologiczne zaczęły się obawiać, że ich klienci stracą do nich zaufanie, więc niektóre z nich, w tym Apple, zaczęły wprowadzać do swoich usług szyfrowanie danych.

W przeważającej części służby bezpieczeństwa sprzeciwiają się szyfrowaniu, ponieważ twierdzą, że uniemożliwia im to monitorowanie osób podejrzanych o terroryzm. Niektóre kraje twierdzą, że szyfrowanie jest nielegalne. Inne myślą o zmuszaniu firm technologicznych do podawania kodów szyfrowania, których używają w ramach usług bezpieczeństwa, co pozwoliłoby władzom odszyfrować wiadomość, kiedy tylko zechcą. Taka umyślnie utworzona luka w zabezpieczeniach systemu to tzw. backdoor (z ang. "tylne drzwi", “furtka”).

Zakaz stosowania szyfrowania dotknąłby niewinne osoby

Dokonywanie nielegalnego szyfrowania lub tworzenie “tylnych drzwi” dla służb bezpieczeństwa nie utrudniłoby życia terrorystom. Gdyby terroryści chcieli używać szyfrowania, mogliby nadal tworzyć własne programy szyfrujące lub używać programów szyfrujących tworzonych w krajach, w których nie jest to nielegalne. Osoby atakujące mogą po prostu znaleźć inne sposoby na obejście masowego nadzoru, na przykład za pomocą zakodowanych wyrazów, często zmieniając numery telefonów komórkowych lub za pomocą kilku przedpłaconych kart SIM. Niektóre służby bezpieczeństwa stwierdziły, że francuskie władze nie były w stanie powstrzymać, ani szybciej interweniować w trakcie strzelaniny w Paryżu w 2015 r., ponieważ atakujący użyli szyfrowania danych, aby ukryć swoją komunikację. Wygląda jednak na to, że atakujący komunikowali się za pomocą staromodnych niezaszyfrowanych wiadomości tekstowych SMS.

Zdelegalizowanie szyfrowania lub tworzenie "tylnych drzwi" tak naprawdę nie ułatwi służbom bezpieczeństwa łapania terrorystów. Spowodowałoby jednak wiele problemów niewinnym osobom. Gdyby szyfrowanie stało się nielegalne, nie moglibyśmy już korzystać z internetu do robienia zakupów, ani korzystać z usług bankowych online. Byłoby to niekorzystne dla gospodarki i spowodowałoby wiele niedogodności. Szyfrowanie jest również wykorzystywane przez wiele osób pracujących w niebezpiecznych warunkach, takich jak dziennikarze badający korupcję i demokratyczni działacze w krajach rządzonych przez dyktatury. Pomaga to zapewnić im bezpieczeństwo poprzez ukrywanie ich działań i korespondencji. Jeśli szyfrowanie pozostanie legalne, ale firmy będą zmuszone podawać kody władzom, to prawdopodobnie zagraniczne rządy i hakerzy znajdą sposób na to, aby te kody uzyskać lub znaleźć inną drogę do "tylnych drzwi" stworzonych przez firmy technologiczne. W efekcie szyfrowanie stałoby się dość bezużyteczne.

Szyfrowanie nie zapewnia ochrony przed działaniami hakerskimi prowadzonymi przez organy państwa

Szyfrowanie danych jest nie tylko niezbędne do naszej codziennej ochrony, ale tak naprawdę nie utrudnia życia służbom bezpieczeństwa. Po pierwsze, szyfrowanie nie obejmuje metadanych - więc władze wciąż mogą zobaczyć pod jakie numery ktoś dzwoni, jakie odwiedza strony oraz tematy wiadomości e-mail. Jedyną rzeczą, która jest zaszyfrowana, jest zawartość wiadomości.

Po drugie, służby bezpieczeństwa mogą użyć specjalnej technologii, aby włamać się bezpośrednio do telefonu lub komputera osoby, która jest podejrzana - lub jej bliskich - aby przeczytać, jakie wiadomości wysyła i jakie otrzymuje. Tak właśnie stało się z telefonem, do którego FBI chciało uzyskać dostęp podczas śledztwa w San Bernardino. Nie mamy czasu, aby zagłębić się w szczegóły, ale coraz więcej rządów, na przykład w Belgii i Holandii, już zezwoliło lub chce zezwolić na to, aby ich służby bezpieczeństwa włamywały się do dowolnego urządzenia podłączonego do internetu. Weźmy pod uwagę, że obecnie nie tylko telefon i komputer łączą się z internetem. Coraz częściej taką opcję mają też samochody, telewizory, urządzenia audio, liczniki prądu i urządzenia domowe. Nawet twój toster może cię śledzić. To zła wiadomość, ponieważ oznacza, że rządy będą kupować więcej hakerskich oprogramowań, a niektóre z nich mogą zostać skradzione i wykorzystane przez przestępców. Pamiętasz jak złośliwe oprogramowanie WannaCry trafiło do szpitali w Wielkiej Brytanii? Możesz za to podziękować Agencji Bezpieczeństwa Narodowego USA.