Azzal vádolják a ProtonMailt, hogy segített a hatóságoknak egy a szolgáltatást használó klímavédelmi aktivista felkutatásában, akit végül le is tartóztattak Franciaországban. Az antikapitalista csoportokkal is kapcsolatban álló aktivista ellen többek között illegális épületfoglalás és komoly anyagi károkat okozó rongálás a vád.

Mint a SecurityWeek írja, Svájc nem tagja az EU-nak, és így a francia rendőrség nem követelheti a svájci hatóságoktól, hogy adják ki a felhasználó IP-címét. Csakhogy a kérés nem a franciáktól, hanem Svájccal is együttműködő Europoltól, az Unió rendőségi együttműködési csúcsszervétől érkezett. Ezt a svájci hatóságok befogadták, és kötelezték a ProtonMailt a felhasználó IP-címének kiadására.

Reklám és valóság

A CERN és az MIT kutatóinak együttműködéséből létrejövő levelezőszolgáltatás elindítását a Snowden-ügy katalizálta: miután Edward Snowden kiteregette az NSA megfigyelési módszereit, világszerte megnőtt az igény az end-to-end titkosítású kommunikációs szolgáltatásokra. A ProtonMailre például annyian jelentkeztek már az első napokban, hogy átmenetileg be kellett vezetni a várólistát. Aztán 2016-ban Donald Trump megválasztása újabb lökést adott, az amerikaiak megrohamozták a svájci szolgáltatót, amely ezért választotta székhelyül Svájcot, mert közvélekedés szerint ott védik legszigorúbban a magánélethez való jogot.

Aki nem akarta, hogy belekukkantsanak levelezésébe, előszeretettel használta a szolgáltatást, hiszen az erős végponti titkosítás, valamint az, hogy a levelek nem tárolódnak, viszonylag megbízhatóvá tette a szolgáltatást. De a felhasználók továbbra is beazonosíthatók, ugyanis a felhasználók IP-címét a ProtonMail is látja.

De hogy ezzel bármilyen hatóságoknak segített volna, arra nem derült fény egészen idén tavaszig. Akkor ugyanis a Zürichi kantonban működő Kiberbűnözési Kompenetica Központ vezetője, Stephan Walder ügyész egy konferencián állítólag véletlenül elpöttyintette, hogy a ProtonMail is olyan szolgáltató, amely önként felajánlotta a bűnüldöző szerveknek, hogy akár bírósági végzés nélkül is segít célszemélyek valós idejű megfigyelésében.

A kijelentést megszellőztető ügyvéd szerint a ProtonMail egyszerűen csak marketingcélokra használja a szigorú svájci szabályokat, de valóság ettől nagyon távol esik ahhoz, hogy feltétlenül megbízzunk a szolgáltatóban. Walder egyébként azzal próbálta lezárni az ügyet, hogy az ügyvéd tévesen idézte az előadásában elhangzottakat.

Meddig titkos a titkosított kommunikáció?

A ProtonMail vádakra adott válasza pontosan megmutatja a korlátait egy a magánélet védelmét szigorú törvényekkel garantáló környezetben működő szolgáltatásnak. Egy blogbejegyzésben pontokba szedve elmagyarázzák, meddig terjed a hatáskörük, mire jó, és mire nem a ProtonMail.

Kezdjük a jó hírekkel. Állítják, hogy a végponti titkosítást nem lehet megkerülni, így az minden ProtonMailen keresztüli kommunikáció tartalmát védi az illetéktelen szemek elől. Ezt nem is veszélyeztethetik törvényi rendelkezések. A ProtonVPN-t szintén védi a törvény, például a hatóságok sem kényszeríthetik ki, hogy a szolgáltatás naplózza a felhasználói adatokat. Az is pozitív, hogy a ProtonMail a svájci törvények szerint nem adhat ki adatokat külföldi kormányoknak.

Csakhogy a svájci hatóságok kéréseinek eleget kell tenniük – ahogy a klímavédelmi aktivista esetében történt –, és erről az érintett felhasználót is értesíteni kell (csak így használhatók fel a kikért adatok egy büntetőügyben). A hatósági adatkérések számát a ProtonMail az átláthatósági jelentésében évente közzéteszi.

A cég állítja: a szolgáltatás szigorú adatvédelme miatt ők sem tudják felfedni felhasználóik kilétét. A klímaaktivista ügyében például csak annyi információjuk volt, súlyos bűncselekmény felderítéséhez kell adatokat szolgáltatniuk, és nem volt jogi lehetőségük a kérés megtagadására.

Tanulságok felhasználóknak és szolgáltatóknak

A SecurityWeeknek nyilatkozó neves svéd adatvédelmi aktivista, Peter Sunde Kolmisoppi szerint nem ringathatjuk magunkat abba az illúzióban, hogy bizonyos országok "golyóállóbbak" a magánélet védelme terén. És nincs olyan vállalat, amely garantáni tud ilyent, hiszen saját elveitől és preferenciáitól függetlenül a székhelye szerinti ország törvényeinek a hatálya alá tartozik.

Sunde szerint egyetlen megoldás létezik: a szolgáltatás decentralizálása, például a globális publikus felhőszolgáltatások segítségével. A legfőbb tanulság azonban az, hogy az embereknek nem szabad megbízniuk egyetlen olyan szolgáltatóban sem, amely titkosított kommunikációt ígér. Ez a biztonság ugyanis viszonylagos.

A Proton mindenesetre elnézést kért. És a felhasználási feltételek pontosítását ígéri, például annak részletezését, hogy a cég milyen esetben köteles felhasználói adatokat átadni a hatóságoknak. Szóval mégis csak lehet valami abban, amit a svájci ügyvéd tavasszal megírt.