Létezik-e olyan erős titkosítás, amiről mindenki tudja, hogy van benne legalább egy backdoor? Az Európai Unió Tanácsa szerint igen – legalábbis annak a tervezetnek a szövege alapján, amely a titkosítás szabályozásával foglalkozik. A tervezet a Tanács honlapján nem nyilvános – ahhoz csak csak külön kérésre lehet hozzáférni –, de a Statewach jogvédő szervezet most nyilvánosságra hozta a rövid pdf dokumentumot. Első olvasatra is kiderül: a Tanácsnak sem sikerült fából vaskarikát kovácsolnia.
A téma világszerte – pontosabban a világ demokratikus felén, ahol ez egyáltalán kérdés lehet – évek óta napirenden van. A törvény őrei (nyomozó hatóságok, titkosszolgálatok), leglátványosabban talán az Öt Szem országok titkosszolgálatai folyamatosan követelik a technológiai cégektől, hogy kapjanak hozzáférést a titkosításokhoz egy csak általuk használható backdooron keresztül.
A Tanács sem oldja meg a megoldhatatlant
Leszámítva azt a lehetőséget, hogy egy titkosításba szándékoltan beépített backdoornak mekkora a biztonsági kockázata (nagy), a jogvédők szervezetek rendre arra figyelmeztetnek, hogy ezzel az emberi jogok is sérülnének. Az Öt Szem által a közelmúltban is követelt hozzáférés natív beépítése például veszélybe sodorná a demokráciapárti aktivistákat, és általában félelmetes eszköz lenne a diktatórikus kormányzatok kezében – véli az Electronic Frontier Foundation jogvédő szervezet.
De nem csak az Öt Szem titkosszolgálatainál, hanem az EU-n belül is van erős törekvés arra, hogy az államok titkosítás elleni szuperképességet kapjanak. Régebben is kiszivárogtak olyan dokumentumok Brüsszelből, melyek arra utalnak, hogy akár már jövőre az Európai Parlament elé kerülhet egy javaslat a végponti titkosítás korlátozásáról és a hátsó kapuk kikényszeríthetőségéről.
A mostani tervezet is ebbe a sorba illeszkedik, miközben szemernyit sem jut közelebb – a fentebb már említett technológiai dilemmán túl –, az egyik legfontosabb kérdés megnyugtató rendezéséhez: mennyit adjunk fel a személyes életünkből a vélt-valós biztonságunk érdekében?
A tervezet elismeri, hogy a titkosítás szükséges az alapvető jogok digitális biztonságának védelméhez, de közben a hatóságoknak a munkáját sem szabad akadályozni. Ez a kettősség jellemzi az anyag egészét. Például hangsúlyozza a titkosítás fejlesztésének szükségességét, mert az javítja az EU kiberfenyegetettségekkel szembeni ellenállóképességét. A Tanács pénzt is szánna erre (biztonságos kommunikációs környezet, kvantumtitkosítás fejlesztése), hiszen a titkosítási technológiáknak fontos szerepe van a köz- és a magánélet minden területén. Egyszerre védi a kormányokat, a civil társadalmat, egyenként az állampolgárokat, a gazdasági szereplőket stb. Ez azonban a bűnözők számára is lehetőség, hiszen a titkosítás számukra is elérhető. Ez a bűnüldöző szerveknek komoly kihívás: hatékonyságukat ugyanis egyre nagyobb mértékben befolyásolja, hogy képeseke-e hozzáférni elektronikus bizonyítékokhoz.
A Tanács szerint a mai technológiai környezettől függetlenül biztosítani kell a bűnüldözési és igazságügyi hatóságoknak azt, hogy a törvény által előírt feladatukat ellássák, ha kell, akkor azzal, hogy a titkosított tartalmakhoz is hozzáférést kapnak – természetesen a magánélet védelmének teljes biztosítása mellett. "Az Európai Unió továbbra is támogatja az erős titkosítást" – szögezi le a dokumentum, mert az a digitalizáció iránti bizalom alapja.
A két cél összhangba hozását a technológiai iparral összefogva látja elérhetőnek a Tanács. A technológiai cégekre várna annak megoldása, hogy a bűnüldöző és igazságügyi hatóságoknak mesterkulcsot adjanak a titkosításukhoz, és így is biztosítsák a maximális kiberbiztonságot. Az EU, valamint a tagállamok feladata pedig az, hogy megteremtse azt a jogi keretet, amely biztosítja az alapvető állampolgári jogokat, és lehetővé teszi a bűnüldöző és igazságügyi hatóságoknak, hogy akadálymentesen elláthassák feladatukat.
Krasznay: kételkedem abban, hogy ezek a kezdeményezések célt érnek
Az EU tervezete időben nagyjából egybeesik az angolszász országok alkotta Öt Szem Országok (Five Eyes Countries) hasonló kezdeményezésével, melynek elsődleges célja a végponttól végpontig tartó titkosítás (end-to-end encryption) feloldása a rendvédelmi szervek számára – hívta fel a figyelmünket Krasznay Csaba kiberbiztonsági szakértő, a Nemzeti Közszolgálati Egyetem Kiberbiztonsági Kutatóintézetének vezetője.
"A kezdeményezések egyidejűsége rámutat arra a kihívásra, mellyel a bűncselekmények felderítésében és a terrorista támadások elhárításában érdekelt szervezetek szembesülnek. A kommunikáció ezekben a körökben ugyanis ma már elsősorban erős titkosítást használó applikációkon keresztül történik, melyek operatív megfigyelése szinte lehetetlen. Indokoltnak tűnik tehát a kezdeményezés, a történelem azonban bizonyítja, hogy a titkosításokba épített hátsókapuk előbb-utóbb kiderülnek és több kárt okozhatnak, mint amennyi hasznuk lehet, ha a kontrollált állami használat mellett a kiberbűnözés is elkezdi ezeket használni. Arról nem is beszélve, hogy az ilyen backdoorokat a telefonlehallgatáshoz hasonló erős jogi kontrollokkal kell ellátni, nehogy a privát szféránk sérüljön. Összességében tehát kellő körültekintéssel, széles körű megegyezéssel lehet csak eredményeket elérni, de személy szerint én kételkedem abban, hogy ezek a kezdeményezések célt fognak érni" – nyilatkozta lapunknak Krasznay.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak