A kriptográfia legnagyobb nevei jegyzik azt a dokumentumot, melyet a MIT (Massachusetts Institute of Technology) adott közre a titkosítás Keys under Doormats (Kulcsok a lábtörlők alatt) címmel. A szerzők között van többek között Daniel Weitzner, az MIT számítástudománnyal és mesterséges intelligenciával foglalkozó laborjának igazgatója, a neves – szintén MIT-s – kriptográfus, Ronald Rivest, valamint a digitális jogok egyik fontos gondolkodója, Bruce Schneier is.

A vitairat egy jó ideje húzódó problémára keres megoldást: a biztonságot és személyiségi jogok védelmét próbálja összehangolni. A 34 oldalas tanulmányról a Biztonságportál készített összefoglalót.

Örök konfliktus

Könnyen belátható, hogy az informatika és az elektronikus kommunikáció fejlődésével a nyomozati és titkosszolgálati módszereknek is tartaniuk kell a lépést. Ha ugyanis lemaradnak, egyre kevésbé tudják felderíteni a tervezett terrortámadásokat és más bűncselekményeket. Ugyanakkor az ügyfelek jogos elvárása – és a cégek, szolgáltatók próbálnak is ennek megfelelni –, hogy bizalmas adataik fokozott védelmet élvezzenek. Emiatt egyre több információ tárolódik titkosítottan, ahogy az adatcsere is kódoltan zajlik.

Kristóf Csaba
forensic-szakértő, a Biztonságportál főszerkesztője:

A MIT tanulmányban megfogalmazott titkosítási problémák globálisak, így hazánkban is tetten érhetőek. Miközben a szakemberek a kódolt tárolásra buzdítanak, aközben a bűnüldöző szervek küzdenek azzal a problémával, hogy nem férnek hozzá fontos bizonyítékként szolgáló adatokhoz.

Valóban az a tapasztalat, hogy hogy egyre nehezebb a titkosított információkhoz hozzáférni. Bár vannak módszerek a titkosytás megkerülésére – általában szoftveres sérülékenységek kihasználásával –, de általános érvényű módszer nincs.
A titkosítás kettős természetét jól illusztrálják az okostelefonok. Az elmúlt években az Apple és a Google is erősített a védelmén, és egyre több olyan készülék van, amelyet teljes körű titkosítás véd. A szakértői eszközöket fejlesztő vállalatok pedig azon dolgoznak, hogy ennek ellenére ki tudják nyerni az adatokat a mobilokból. Az eredmény: még a legdrágább forensic eszközökkel sem garantált a siker.

Az ellentmondásnak nincs kézenfekvő feloldása. Az adatok védelme fontos az egyénnek, a vállalatnak stb. (privacy), a biztonság pedig fontos az egész társadalomnak (kiberbiztonság). Ha a szoftverekben lenne – akár bírósági engedélyekhez kötött – adat-hozzáférési kiskapu a hatóságoknak, szinte biztos, hogy azt hamarosan a kiberbűnözők is kihasználnák, de a hatósági alkalmazásukat is nehéz lenne ellenőrizni. A középutat – és még csak nem is az arany középutat – informatikusok, biztonsági szakértők és a jogi szakemberek tudnák megtalálni. Arra azonban nem kell számítanunk, hogy ezek a beszélgetések hamarosan kikristályosítják a bölcsek kövét.

Az elkészült dokumentumból világosan kiderül, hogy ez komplex probléma, és nem is látszik a megoldás. A szerzők beismerik: a tanulmány elkészülte után főleg a kérdéseik gyarapodtak. Szerintük egy tanulság mindenképpen van: az kérdést szabályzó államoknak csak úgy szabadna bármiféle lépést tenni a kérdés rendezésére, hogy egyeztetnek a szakmával.

A hatóságoknak szükségük van eszközökre

A szerzők kutatók pontosan tisztában vannak azzal, hogy a hatósági vizsgálatokat megakaszthatja a titkosítás, és fontos bizonyítékokat leplezhet el az igazságszolgáltatás elől. Még aggasztóbb a helyzet akkor, amikor terrorcselekmények elkövetői kódolt kommunikációja megnehezíti a megelőzést.

"Az állampolgároknak szükségük van a rendvédelmi szervekre, hogy megvédhessék magukat a digitális világunkban. A rendőrségnek, a vállalatoknak, a kutatóknak és az egyéneknek is kötelességük, hogy együttműködjenek a globális információs infrastruktúra biztonságosabbá és megbízhatóbbá tétele érdekében. A jelentésünk elkészítése során a hatóságok azon igényét vizsgáltuk, amely szerint hozzáférést kellene biztosítani a magán kommunikációhoz. Az adatok azonban azt mutatják, hogy ezzel olyan ajtók nyílnának ki, amiket a kiberbűnözők és más államok is felhasználhatnának támadásokra" – írják a tanulmány szerzői. Mindemellett az ilyesfajta hozzáférések sok jogi, etikai és nem utolsósorban technikai kérdést is felvetnek.

Ne pusztítsuk el az internetet!

Amikor nyomozásokra, titkosszolgálati tevékenységekre terelődik a hangsúly, akkor nem egy esetben a hátsó kapuk kerülnek szóba. Ugyanakkor több javaslat is született arra, hogy a szoftverekben, hálózatokban olyan hozzáférési pontokat kellene létesíteni, amelyek létezéséről mindenki tud, de azokat csak megfelelő engedélyek, bírósági végzés stb. megléte esetén vehetnék igénybe az arra feljogosított szervezetek.

Ezek az ötletek azonban már többször elbuktak. A tanulmány példaként azt az 1997-ben született javaslatot (Clipper Chip) említi, amely a titkosításokhoz használt kulcsok lemásolásával segítette volna a hatóságokat az adatok megismerésében. A javaslatot végül nem fogadták el, vélhetőleg az internet nagy szerencséjére. A szerzők szerint ugyanis ha a Clipper Chip megvalósul, akkor nagyon kétséges, hogy ma létezhetnének olyan cégek, mint a Facebook vagy a Twitter. Azaz a titkosítások megléte komoly hatást gyakorol az innovációra és azon keresztül a gazdaságok teljesítőképességére is.

A jelentés szerint nagy kockázattal járna, ha egy állam tömegesen tárolna titkosítások feloldásához szükséges adatokat (kulcsokat). Többször volt már példa arra, hogy egy központi rendszer védelmének térdre kényszerítésével rengeteg felhasználó adata vált kiszolgáltatottá (jól példázza ezt a amerikai kormányzat Office of Personal Management (OPM) nevű hivatala elleni támadás is.

A nehézséget azonban nem kizárólag ez jelenti, hanem a technikai megvalósítás is. A kutatók felvázoltak egy olyan forgatókönyvet, amely azt mutatja meg, mi történne, ha a szoftverekben front doorok jelennének meg. Ekkor a fejlesztőknek biztosítaniuk kellene az alkalmazásaik által kezelt adatokhoz történő, szigorúan szabályozott külső hozzáférést, ami nyilvánvalóan jóval komplexebbé tenné a szoftvereket. Csakhogy a komplexitás növelésével a kockázatok is nőnek, és megugrik a potenciális sérülékenységek száma.

Ráadásul mindez nemzetközi jogi kérdések tömegét veti fel. Gondoljunk csak bele abba az esetbe, amikor egy brit fejlesztőcég olyan kommunikációs alkalmazást fejleszt, amelyet például kínai felhasználók is telepíthetnek. Ekkor vajon a brit vagy a kínai előírásoknak kellene megfelelnie a programnak? És egyáltalán ki ellenőrizné a megfelelőséget, ki tudna ezerszámra alkalmazásokat auditálni stb.

Megoldás nincs

A szerzők nem adnak megoldást, ugyanakkor újabb kérdéseket vetnek fel. Felhívják a figyelmet arra, hogy az adathozzáférések kezelése, a titkosítások alkalmazása komplex megközelítést igényel. Az szerintük egyértelmű, hogy nem a hatóságok számára kialakítandó "kapuk" jelentik a megoldást. Azok ugyanis több kárt okozhatnak a társadalom egészének, mint amennyi előnnyel járnának.

Különösen igaz ez akkor, ha olyan törvényi szabályozások születnének, amelyeket a tudósok, informatikusok, jogi szakértők nem vehetnek alaposan górcső alá, és nem világíthatnak rá még időben a negatív következményekre.

A tanulmány egy kattintásnyira tölthető le a MIT honlapjáról.