Privatnost nije moderni izum; to je dio ljudskog stanja povjerenja, neslaganja i intimnosti. Svako je društvo razvilo načine komuniciranja izvan dosega moći: šaputanje, zapečaćena pisma, kodirani jezik.
Potreba za čuvanjem tajni jednako je važna među moćnicima – vlade su, više nego pojedinci, ljubomorno čuvale vlastite tajne, čak i kad nastoje otkriti tajne drugih. Ono što je novo nije niti potreba niti želja za privatnom komunikacijom, već trenutna moć promatrača.
Sada živimo u onome što su neki nazvali “zlatnim dobom nadzora”, u kojem vlade, korporacije i protivnici posjeduju tehničku sposobnost za praćenje ljudske interakcije u neviđenim razmjerima. U ovoj eri sveprisutne digitalne povezanosti, većina digitalnih interakcija ostavlja trajan trag koji se može pretraživati, a potreba za zaštitom osjetljivih informacija postala je kritična.
End-to-end enkripcija (E2EE) stoga nije tehnička apstrakcija ili ideološka popustljivost; to je najučinkovitija obrana od neovlaštenog pristupa privatnim komunikacijama u potpuno umreženom svijetu. Kako se digitalna komunikacija nastavlja razvijati, rizici presretanja rastu s njom.
Sadržaj objave
Zašto je E2EE važan
E2EE čuva povjerljivost podataka maskiranjem podataka od neovlaštenih korisnika i osiguravanjem da samo namjeravani primatelji, s ključem za dešifriranje, mogu pristupiti podacima. Koristeći kriptografiju, E2EE pretvara čitljiv otvoreni tekst u nečitljiv šifrirani tekst na uređaju pošiljatelja, čuva ga šifriranim tijekom prijenosa i dešifrira ga natrag u izvorni oblik tek kada stigne na svoje odredište i dekodira se ispravnim ključem. Naširoko ga koriste vlade i korporacije i postaje sve češći među pojedinačnim korisnicima, odražavajući njegov status prevladavajućeg standarda za sigurnost podataka i privatnost.
Najčešća upotreba E2EE je za sigurnu komunikaciju na mobilnim i mrežnim servisima za slanje poruka. Također je široko korišten od strane upravitelji lozinki zaštititi korisničke lozinke; za potrebe pohrane podataka kako bi se osiguralo da su podaci zaštićeni kada se pohranjuju i kada se prenose između uređaja ili u oblak; i za dijeljenje datoteka svrhe, uključujući peer-to-peer dijeljenje datoteka, šifrirana pohrana u oblakute specijalizirane usluge prijenosa datoteka.
Korištenje E2EE znači da nitko drugi, uključujući davatelja usluge koji omogućuje komunikaciju, nema pristup nešifriranim podacima bez pristanka. Ako bi bili presretnuti, podaci bi se trećim stranama činili kao nasumični, nerazumljivi znakovi.
Budući da davatelj usluge koji omogućuje komunikaciju nema pristup nešifriranim podacima zbog E2EE, ne može ih dati nijednoj trećoj strani. To uključuje vlade i agencije za provođenje zakona koje kritiziraju E2EE kao prepreku istragama, dok se u isto vrijeme oslanjaju na najjaču dostupnu enkripciju i zahtijevaju je da zaštite vlastite sustave. Dakle, rasprava oko E2EE nije o balansiranju privatnosti i sigurnosti. Radi se o tome mogu li vlade zahtijevati sustavnu nesigurnost dok inzistiraju na apsolutnoj sigurnosti za sebe.
Rizici ‘izuzetnog pristupa’
“Izniman pristup” izraz je koji se koristi za opisivanje mehanizma za omogućavanje vladinog pristupa šifriranoj komunikaciji. Različite vlade imaju različite pristupe metodama koje koriste za traženje iznimnog pristupa. Dok namjere koje stoje iza iznimnog pristupa mogu biti plemenite, olakšavanje takvih mehanizama u E2EE komunikacijama može stvoriti više problema nego što se želi riješiti.
Stvaranje sigurnosnih ranjivosti koje je propisala vlada, poznatih kao stražnja vrata, u E2EE uslugama ugrožava sigurnost i privatnost globalnih komunikacija. Nakon što se backdoor izgradi, nitko ne može jamčiti da će mu pristup imati samo ovlaštena treća strana. Zlonamjerni će akteri pokušati upotrijebiti takva stražnja vrata za ulazak i dešifriranje komunikacije koja je namijenjena da bude sigurna na krajnjim točkama i dostupna samo pošiljatelju i primateljima. Iz tog su razloga vodeći svjetski pružatelji usluga javno obećali da to nikada neće učiniti.
Mehanizmi izvanrednog pristupa trećih strana u kojima kopiju korisničkih ključeva za dešifriranje drži “pouzdana” treća strana za potencijalnu buduću upotrebu od strane vlade trenutno su prepuni nepremostivih tehnoloških i sigurnosnih problema. Industrija, uz podršku velike većine relevantnih stručnjaka, kaže da jednostavno nije moguće imati E2EE gdje treća strana drži ključ. Pobija središnju premisu E2EE i namjerno je kršenje sigurnosnog jamstva koje pruža E2EE.
Bilo koja vrsta repozitorija u kojem su pružatelji prisiljeni pohranjivati ključeve postala bi riznica meta za napadače – posebno za sofisticirane državne aktere koji su, kao što smo više puta vidjeli, vješti u provaljivanju u svjetske telekomunikacijske mreže i kritičnu infrastrukturu.
Zašto enkripcija nije egzistencijalna prijetnja za provođenje zakona
U svakom slučaju, vlade su desetljećima upozoravale na egzistencijalnu prijetnju koju predstavlja enkripcija i na sumornu mogućnost “potamnjenja”. Ali nisu zatamnjeli i postoje drugi načini na koje vlade mogu doći do vrijednih podataka. Metapodaci ostaju dostupni. Poboljšana istražna sredstva i drugi istražni alati stalno se razvijaju i postaju sve sofisticiraniji.
Vlade bi trebale paziti što žele. U nastojanju da ograniče E2EE, oni bi mogli otjerati same aktere čiji su im podaci najpotrebniji od glavnih pružatelja usluga, od kojih većina ima dugogodišnje odnose suradnje s policijom. Čineći to, izgubit će mogućnost dobivanja podataka koje još uvijek mogu dobiti bez obzira na korištenje E2EE – ili, još gore, potkopat će samu tehnologiju na koju se također oslanjaju.
U ovoj fazi tehnološkog razvoja, ne postoji smisleni način da se vladama odobri “izniman pristup” šifriranim komunikacijama bez namjernog inženjeringa sistemske ranjivosti u digitalnoj infrastrukturi o kojoj ovise milijarde ljudi, institucija i samih vlada.
Jednom kad takve ranjivosti postoje, ne mogu se ograničiti na dobronamjerne ili zakonite; postaju dostupni neprijateljskim državama, kriminalnim akterima i svima koji ih mogu iskoristiti. Konsenzus među tehnolozima i sigurnosnim stručnjacima je nedvosmislen: E2EE ili radi za sve, ili je pokvaren za sve. Vlade mogu nastaviti upozoravati na nadolazeći mrak, ali veća opasnost leži u zahtijevanju nesigurnosti po dizajnu – ishodu koji bi temeljno potkopao povjerenje, otpornost i sigurnost globalnog komunikacijskog ekosustava.