„Průlom do soukromí a bezpečnostní riziko.“ Piráti kritizují plán EU prolomit šifrovaný obsah

Úřady, bezpečnostní služby a vyšetřovatelé by mohli dostat přístupy k šifrovaným elektronickým komunikacím. Alespoň o takový scénář bojuje návrh rezoluce, který německé předsednictví Evropské unie poslalo členským státům. Podle něj by mohla například policie za určitých podmínek přistupovat k šifrovaným zprávám na WhatsAppu, Telegramu a dalších komunikačních nástrojích a službách. Návrh zveřejnila rakouská veřejnoprávní rozhlasová stanice FM4. Proti podobným snažím vystupují kriticky například Piráti, podle nich by šlo o velký zásah do soukromí.

Samotný návrh, který si můžete přečíst níže, není příliš detailní a mluví o problematice v obecnější rovině. V textu je několikrát zdůrazněno, že EU v plné míře podporuje používání různých forem ochrany komunikace včetně end-to-end šifrování, na které se spoléhá řada aplikací, programů a služeb. Sama tuto část považuje za prostředek internetové bezpečnosti, možnost komunikovat přes zašifrované kanály pak jako právo na soukromí.

Přesto ve stejném dokumentu ale EU navrhuje, aby bezpečnostní orgány, kriminalisté a další složky získali možnosti, které by jim dovolily přistupovat k zašifrovanému obsahu, a to včetně těch, které chrání end-to-end šifrování. Dělo by se například se soudním povolením a za dalších okolností, ty ale dokument nijak podrobně nerozebírá.

Koncové šifrování (end-to-end encryption, zkratkou E2EE) chrání přenos dat proti odposlechu správcem komunikačního kanálu i serveru, jehož prostřednictvím daní uživatelé komunikují. Aplikací, které chrání komunikaci přes end-to-end šifrování, funguje celá řada, řadí se mezi ně WhatsApp, Telegram, Threema a nově i Zoom. Mimo mobilní zařízení ale obdobným způsobem funguje i spousta internetových služeb. 

Draft Council Resolution on Encryption - Security through encryption and security despite encryption by newsroom on Scribd

Text návrhu nemluví ani o konkrétním řešení, jakým způsobem by úřady dostaly přístup do šifrovaných komunikací, a spíše spoléhá na spolupráci s provozovateli daných služeb. Podle FM4 by bezpečnostní složky například nemusely nutně dostávat šifrovací klíče, což byla jedna z hlavních výtek bezpečnostních expertů, kterým se taková forma „zadních vrátek“ nelíbila. Místo toho by vyšetřovatele do komunikačního kanálu přidal samotný provozovatel jako dalšího (a neviditelného) účastníka diskuze, zkráceně řečeno.

Hlavním argumentem pro tento krok je podle Evropské unie boj proti kriminalitě a terorismu, po nedávných útocích ve Francii urgence po takových opatřeních posílila. Díky tomu by mohly bezpečnostní složky při monitorování a odposlouchávání odhalit komunikační kanály zločinců, šíření dětské pornografie či přípravy teroristických útoků.

Dokument dodává, že členské státy mohou tento návrh připomínkovat do 12. listopadu, následně ho bude probírat Stálý výbor pro vnitřní bezpečnost a Výbor stálých zástupců. Evropská Rada následně může rezoluci přijmout.

„Hrubé narušení soukromí a bezpečnostní riziko“

Proti evropskému návrhu již dříve vystupovali například Piráti. Podle nich jde nejen o narušení soukromí uživatelů, ale také bezpečnostních prvků komunikačních kanálů. Původní evropské návrhy z druhé poloviny října mluvily přímo o prolomení end-to-end šifrování za účelem posílení bezpečnosti a boje s kriminalitou. Ani nový návrh, který zveřejnila rakouská média, jim nepřidávají na klidu.

Co to znamená pro běžné uživatele? „Narušení soukromí. A chtěl bych podotknout, že neopodstatněné. Argument bezpečnosti a potřeby vyšetřování sice chápu, ale ten se dá použít vždy a na cokoliv. Co se týče technické části věci, je to ještě horší, tam to narušuje i bezpečnost,“ řekl redakci Echo24.cz pirátský poslanec a IT expert Ondřej Profant. Pokud existují v aplikacích nějaká zadní vrátka třeba v podobě dešifrovacího klíče, který někdo drží, aby dešifroval komunikaci, je zde podle něj velké riziko zneužití.

„A já bych třeba nechtěl, abych s bankou komunikoval tak, že by to stát mohl rozšifrovat, protože bych se bál toho, že stát svůj přístup ztratí a pak někdo zneužije mé údaje,“ vysvětlil redakci Profant. Co se týče nového návrhu rezoluce, podle něhož by byli zástupci bezpečnostních úřadů přidáni přímo do komunikačního kanálu samotným provozovatelem, stále jde o narušení soukromí.

„Ano, nemuselo by dojít k tomu technickému narušení, ale hlavně to popírá smysl samotného šifrování. Nevím, proč bych měl mít důvěru ve stát. Pokud si chci s kamarádem promluvit doma v soukromí, tak si ho pozvu a nesedí tam s námi policajt. Pokud by daný vyšetřovatel byl plnohodnotný účastník komunikace, zbylí účastníci konverzace by mohli odhalit, že je tam s nimi třetí osoba,“ dodává.

V samotném rozhraní aplikace by sice nebyl vidět, podle Profanta se ale stačí podívat, co se opravdu přenáší po síti na pozadí. „Uviděli by, že tam jsou aktivní tři privátní klíče, se kterými se to šifruje daná komunikace.“ Zpětný přístup k proběhlým komunikacím je rovněž rizikový. Pokud byly někde uchovány u soukromého subjektu, i ten může být hacknut. „A to se velkým firmám děje,“ varuje Profant na závěr.

Na konto prolomení šifrování se dříve vyjádřil pirátský místopředseda Evropského parlamentu Marcel Kolaja, podle něhož by případná zadní vrátka v šifrovaných komunikacích mohla ohrozit aktivisty, investigativní novináře a celkově občany obecně. „Filtry mapující její obsah mezi uživateli zneužívá například komunistická Čína na platformě WeChat. Díky tomu se jí daří monitorovat politicky nepohodlné konverzace a trestat odpůrce režimu. Není proto možné prolomit šifrování a zároveň se tvářit, že je soukromí lidí zachováno,” myslí Kolaja.