Miről is van szó?
Az Európai Unió Tanácsa nemrégen állásfoglalást bocsátott ki azzal a kettős céllal, hogy „titkosítással védjük a kommunikáció biztonságát, ugyanakkor a titkosítás ellenére is garantáljuk a biztonságot”. Az állásfoglalás egyrészről messzemenően elismeri a titkosítás szükségességét mint személyiségi alapjogot, ugyanakkor teret kíván engedni a rendvédelmi szervek és a nemzetbiztonsági szolgálatok igényének, miszerint – megfelelő jogi keretek között – mégis belepillanthassanak a védett adatállományokba és -kommunikációba. Az informatikai szakma a szándékot a kör négyszögesítésének tartja, és hevesen tiltakozik ellene. A ProtonMail, a Tutanota, a Threema és a – magyar hátterű – TresorIT kommünikét bocsátott ki tiltakozása jeléül.
A technológia
A titkosítás lényege, hogy egy adatállományt olyan módon változtassanak meg, hogy azt csak az arra szánt technológia (algoritmus és kulcs) segítségével lehessen visszaállítani eredeti állapotába.
Titkosítanak adathordozón tárolt adatállományokat. Ilyen például a pendrive-on vagy a számítógép merevlemezén vagy annak egy részén történő művelet – nagyon sok minden más mellett – az ingyenes VeraCrypttel (ez a TrueCrypt Snowden utáni nyílt forrású, azaz az NSA által nem babrált változata).
Titkosított az adatkommunikáció a VPN-eken (virtual private network) vagy a TOR-on.
Népszerű az ún. e2e (end-to-end) titkosításra épülő kommunikáció például a telefonok között. Ilyen a Signal, többé-kevésbé megbízható a Telegram, és az volt a legutóbbi időkig a Facebook WhatsAppje. Ezeken az alkalmazástól függő mértékben biztonságosan lehet üzenni, telefonálni, mert a szoftver már magában a telefonban (egyik vég) titkosít, és csak a célszemély telefonjában (másik vég) oldja fel azt.
Természetesen a titkosított állományok megfejtése nem az egyetlen módja a megfigyelésnek. A különböző trójaiak képesek kinyerni és továbbítani mindent, mielőtt azt például a telefon titkosítaná. Ilyen többek között az izraeli NSO Group vagy a német FinFisher terméke. A technológia hátránya, hogy egyrészt drága, másrészt nem alkalmazható tömegesen.
Itt azért megemlítendő, hogy a gyorsan fejlődő kvantum-számítógépes technológia számára a most megfejthetetlen titkosítás másodpercek alatt megoldható feladat. Ez a világot pár éven belül megforgatja, mert a banki utalásoktól a kémek kommunikációjáig mindent újra kell majd szervezni és alkotni.
Érvek a feloldhatóság mellett
Kétségtelen, hogy az olcsó vagy éppen ingyenes titkosítási technológiákat széles körben használják nemcsak oknyomozó újságírók, digitális szabadságharcosok, politikai üldözöttek, korrupt vezetők, félrelépő férjek és feleségek, hanem a szervezett bűnözés tagjai, terroristák, pedofilok, zaklatók, drog- és emberkereskedők, kémek és köztörvényes bűnözők is. Az ő megfigyelésük nemzetbiztonsági érdek, amit nem lehet figyelmen kívül hagyni. A kriptoanalitika mai fejlettségi szintjén egy megbízható algoritmussal és egy elég hosszú, véletlenszám-generátorral előállított kulccsal rejtjelezett adatállományt életszerű időn belül nem lehet megfejteni, hacsak nem telepítenek egy külön bejáratot (backdoor) a hatóságoknak. Így a nemkívánatos elemek viszonylag szabadon működhetnek. Ennek kíván az állásfoglalás gátat vetni. Az alvilág számára különlegesen felkészített telefonok gyártása iparággá vált.
Érvek a feloldhatóság ellen
A titkosítás feloldhatósága ellen általában két érvet szoktak felhozni.
Az egyik lényege az, hogy a dolog természetéből fakadóan a megfigyelés titkos, a megfigyelteket – az országok törvényei szerint eltérően – vagy értesítik utólag, vagy sem. Így többé-kevésbé ellenőrizhetetlen, hogy a hatóságok mennyire sértik a személyiségi jogokat. Különösen igaz ez a tömeges megfigyelésekre (bulk search, dragnet search), ahol is nem érvényesül a célhoz kötöttség elve, hanem begyűjtenek mindent, amit csak elérnek, aztán a feldolgozás során kiszűrik a lényegesnek tartott elemeket.
A másik, különösen a nagy multik által is hangoztatott érv azt állítja, hogy nincsen kizárólag csak a hatóságok számára működő technológia. Számos példa mutatja (és feltehetőleg még sokkal több nem került a napvilágra,) hogy a minősített technológiák (government only) megtalálják az utat a szervezett bűnözéshez, és így azokat törvénytelenül felhasználhatják a magántitok megsértésére, zsarolásra. Ismert példák az Apple esetei az FBI-jal, amelyek során az Apple közölte többször is, hogy azért nem tudja kiadni a kulcsot, mert nincs, a cég maga sem tudja feltörni a titkosított állományt. Ha tudná, akkor mások is tudnák, és nem lenne garantálható az adatbiztonság. Más lapra tartozik, hogy az izraeli Cellebrite – feltehetőleg jó pénzért – megoldotta az FBI részére a problémát 2016-ban.
Szilánkok a múltból
A rejtjelezett üzenetek megfejtésére való törekvés egyidős a második legősibb mesterséggel. De míg évezredeken át főleg hadvezérek, katonák, királyok, királynők, kémek alkalmazták a technológiát, a számítógép és az internet elterjedésével a titkosítás tömegessé vált.
Érdekes fejezete a civil titkosítók és a hatóságok örök küzdelmének Philip R. Zimmermann esete. Ő hozta létre az aszimmetrikus kulcsokra épülő PGP-t (Pretty Good Privacy), ami ma is az egyik legelterjedtebb módszer. A PGP korai időszakában a módszert megfejthetetlennek tartották, és mivel kezdetben Zimmermann nem működött együtt a hatóságokkal, eljárást indított ellene az USA vámhatósága az exportkorlátozások megsértése okán. Érdekességként megemlítendő, hogy amikor e sorok szerény írója 1993-ban jelen volt San Franciscóban az RSA-konferencia keretében szervezett előadásán, igen sápadtnak és óvatosnak tűnt hívei körében. Később – talán némi megdolgozás eredményeként – együttműködő lett, és 1996-ban ejtették ellene a vádat. Céget alapított, amit később sikerrel értékesített.
A hatóságok másik ismert kísérlete a jogszerű megfigyelésre (lawful interception) a Carnivore kifejlesztése és működtetése. Itt az FBI az internetszolgáltatók szervereire telepített egy hátsó kaput, amit a kötelezően beszolgáltatandó kulcsmásolatok segítségével üzemeltetett. A felháborodás hatására a projektet 2001-ben átkeresztelték az első hallásra semmitmondó DCS1000-re (Digital Collection System).
2015-ben a párizsi terrortámadás után kampány indult a titkosítás ellen azzal a felkiáltással, hogy mindez elkerülhető lett volna, ha a terroristák nem tudtak volna rejtett módon kommunikálni.
Hasonló kezdeményezés követte a 2016-os nizzai támadást.
És végezetül…
Az EU Tanácsának jámbor próbálkozása csak egy újabb fejezet a szabadság kontra biztonság ősi vitájában, amelyben – a sorok szerény írója szerint – csak úgy lehetne igazságot tenni, ha a rendvédelmi szervek és nemzetbiztonsági szolgálatok számonkérhetőségét olyan mértékben és módon biztosítanák, hogy az kiérdemelje a széles körű közbizalmat.
Aki pedig azt hiszi, hogy e2e titkosítású kommunikációs eszközt csak szervezett bűnözők és terroristák használnak, az telepítse bátran a Signalt a telefonjára! Meg fog lepődni, hogy ki mindenki használja ezt a csatornát.
