A napokban közöltünk rövid összefoglalót arról a MIT (Massachusetts Institute of Technology) által kiadott vitairatot, melyben a világ legnevesebb kriptográfusai közösen kerestek megoldást a személyiségi jogok védelmének és a biztonságnak az összehangolására. A szerzők – többek között Daniel Weitzner, az MIT számítástudománnyal és mesterséges intelligenciával foglalkozó laborjának igazgatója, a szintén MIT-es kriptográfus, Ronald Rivest vagy a digitális jogok egyik fontos gondolkodója, Bruce Schreier – azonban nem hogy megoldást nem találnak, de még több kérdéssel szembesülnek. (Az összefoglalót egy kattintásnyira találják.)

Megkértük Krasznay Csaba kiberbiztonsági szakértőt, a Balabit Security munkatársát, helyezze a tanulmány gondolatait kontextusba. Az alábbiakban az ő gondolatait olvashatják.

A szuper dekódoló kulcs problémája

Vannak cikkek, amikre érdemes odafigyelni. Az információbiztonság területén ez a pillanat akkor érkezik el, amikor a legnagyobb élő kriptográfusok közösen jegyeznek egy tanulmányt. Az MIT-en megjelent (szabadfordításban) Kulcsok a lábtörlő alatt: előírt biztonságvesztés a kormányzati adat- és kommunikáció-hozzáférés miatt című írás ilyen.

Az IT biztonságra figyelő közönség nyilván észrevette, hogy az utóbbi években elég magasra csaptak a kriptográfiával kapcsolatos viták. Miközben sorra dőlnek meg a titkosítást így-úgy megvalósító megoldások, törik fel a hitelesítésszolgáltatókat, foltozzák be a több évtizedes hibákat, a kormányzatok egyre több mindenhez szeretnének egyre könnyebben hozzáférni, kikerülve a kriptográfiai megoldásokat.

A szerzőket ez a helyzet késztette arra, hogy billentyűzetet ragadjanak.

Krasznay Csaba
kiberbiztonsági szakértő, Balabit Security

A vita kiváltó oka az, hogy mind az amerikai, mind a brit kormányzat szó szerint mindent szeretne látni, ha valamilyen érdeke azt kívánja. Ehhez pedig megkövetelné a gyártóktól és szolgáltatóktól, hogy adjanak hozzáférést a titkosított információkhoz, egyfajta "szuper dekódoló kulcs" segítségével. Az FBI igazgatója, James Comey ezt így fogalmazta meg: "Nem hátsókapukat keresünk. Mi a főbejáratot szeretnénk használni, világosan és átláthatóan, a jog egyértelmű útmutatásával."

Szép szavak, különösen a mai, veszélyes világban. Persze amikor a Snowden-aktákból sorra derülnek ki az amerikai "hátsókapuk", azaz backdoorok, valószínűleg ez a megközelítés védhetőbb is a nyilvánosság előtt.

A politika azonban nem feltétlenül kell, hogy tisztában legyen a műszaki realitásokkal. A jelek szerint nincs is. A szerzők számos kérdést tesznek fel, melyekre a válaszok egyelőre nem látszanak. Számomra a legérdekesebb felvetés ez: "Az egyik nem szándékos hatása az ilyen programoknak az, hogy a kriptográfiai erősség jelentősen csökkenni fog. Ez tovább fogja gyengíteni az egyébként is törékeny és nem biztonságos információs infrastruktúránkat. Hogyan fogjuk ösztönözni a vállalatokat, hogy továbbra is titkosítsák az érzékeny felhasználói kommunikációt?". Különösen úgy, ha a világ tudja, hogy gyenge a kriptográfia. Vajon hányan fogják ezeket a gyengítéseket keresni? Vajon mikor tűnik fel a feketepiacon az a bizonyos "szuper dekódoló kulcs", amivel a szervezett bűnözés mindennél jobban visszaélhet?

A politika mindig is így működött

Összességében tehát erős politikai nyomás nehezedik az információbiztonsággal foglalkozó közösségre. Ez a nyomás nem új. 1997-ben már volt egy ilyen, szerencsére hamvába holt kezdeményezés. Bruce Schneier, a tanulmány egyik társszerzője már 2005-ben leírta: "Vigyázzunk az Információs Apokalipszis négy lovasával: a terroristákkal, a drogdílerekkel, az emberrablókkal és a pedofilokkal. Úgy néz ki, hogy a társadalmat ezekkel bármikor meg lehet félemlíteni úgy, hogy erre a négyre hivatkozva a kormányzat bármit megtehessen."

Holott a tömeges megfigyelés, a "szuperkulcs" nyilván könnyebbé tenné a bűnüldöző hatóságok munkáját, de nem fogja helyettesíteni azokat a klasszikus módszereket, mint például az informátorok alkalmazása vagy a fedett nyomozás. A Hacking Team esete pedig rávilágít arra, hogy a végpontok célzott megfigyelésére is kiváló megoldások vannak. Akkor miért is kéne az átvitel-titkosítás vagy a tárolt adatok kódolása miatt annyira aggódniuk?