21 października na całym świecie obchodzony jest Dzień Szyfrowania. Wydarzenie wpisuje się w program Europejskiego Miesiąca Cyberbezpieczeństwa #CyberSecMonth, ale jego zasięg jest globalny – od Rwandy, przez Boliwię, Japonię, Jemen, aż po Szwajcarię organizowane są wirtualne, hybrydowe i stacjonarne dyskusje oraz warsztaty na temat zastosowania kryptografii w internecie.

W tym roku europejski oddział Global Encryption Coalition – czyli działająca od 2019 r. organizacja Encryption Europe – zaprosiła do Zurychu kameralne grono europejskich przedsiębiorców i twórców rozwiązań technologicznych, którzy stosują szyfrowanie end-to-end w swoich produktach. Dyskusja miała na celu “odczarowanie” szyfrowania i wypracowanie wspólnego języka, który będzie zrozumiały zarówno przez mitycznego zwykłego użytkownika internetu, jak i europejskich prawodawców.

Szyfrowanie pod ostrzałem

Bezpośrednim bodźcem do organizacji spotkania były rozmaite inicjatywy ustawodawcze, które w świecie usług nastawionych na zachowanie względnej prywatności tworzą powoli zaciskającą się pętlę. Zgodnie z ustaleniami współorganizującego wydarzenie Internet Society, stosowanie technologii szyfrowania end-to-end jest obecnie zagrożone przez liczne inicjatywy ustawodawcze na całym świecie. Dlaczego?

Powody można odmieniać przez polityczne przypadki, w zależności od kraju i klimatu społecznego. Kontekst USA znamy dzięki Snowdenowi – tam szyfrowanie end-to-end stanowi problem głównie dla inwigilującej obywateli Agencji Bezpieczeństwa Narodowego (NSA). Sytuacja w Rosji, Chinach czy Turcji nie wymaga komentarza, ale już inicjatywy legislacyjne w krajach, gdzie prawo do zachowania prywatności jest jednym z praw człowieka, takie jak Wielka Brytania, Australia czy ostatnio Niemcy, sytuacja staje się bardziej zniuansowana.

We wszystkich wymienionych demokracjach, a także wewnątrz Parlamentu Europejskiego, istnieją frakcje, które w technologii szyfrowania widzą zagrożenie i dążą do jej oficjalnej delegalizacji. O ile przez ostatnie lata głównym straszakiem było stosowanie kryptografii przez zorganizowane grupy przestępcze, które za pomocą szyfrowanych narzędzi mogły bez trudu i nadzoru prowadzić zbrodnicze transakcje i operacje na globalną skalę, teraz koronnym argumentem jest modus operandi siatek pedofilskich.

Trudno polemizować z tak mocnym i emocjonalnym przykładem zastosowania szyfrowanych komunikatorów. To oczywiste, że należy zrobić wszystko, by zatrzymać obieg treści pedofilskich i handel ludźmi. Jednak argumentujący na rzecz złamania szyfrowania i stosowania tzw. backdoorów zdają się nie rozumieć jednej podstawowej rzeczy: konsekwencje dotkną nas wszystkich i będą przerażające.

Backdoory dla wybranych?

Zgodnie z diagnozą organizatorów spotkania, środowiska lobbujące przeciwko szyfrowaniu często popełniają błąd wynikający z braku wiedzy na temat tego, jak naprawdę działa enkrypcja.

Istnieją różne rodzaje szyfrowania – część z nich dopuszcza sytuację, w której dostęp do klucza szyfrującego jest po stronie usługodawcy. Czasem dane nie są szyfrowane w sposób ciągły i mają do nich dostęp różne urządzenia, typy oprogramowania czy wręcz osoby trzecie. W takim wypadku, przy wyraźnej decyzji organów ścigania, można uzyskać dostęp do zaszyfrowanych treści we współpracy z firmą przechowującą klucz, administratorem infrastruktury, gdzie przechowywane są dane, lub dzięki jakiejkolwiek dopuszczonej do treści “zaufanej trzeciej stronie”. Różne opcje tej technologii dają różne możliwości inwigilacji, a zrozumienie ich jest podstawą do dyskusji o jej zastosowaniach.

Tymczasem w dyskusji o szyfrowaniu end-to-end wystarczy zrozumieć jedno: to opcja, w której dostęp do danych mają tylko osoby posiadające klucze. Tak zaszyfrowana informacja jest nieczytelna z zewnątrz i nie można się do niej dostać inaczej, niż przez właściwy klucz. W świecie obecnej technologii to najrozsądniejszy sposób zapewnienia prywatności danych. Natomiast postulowane przez przeciwników szyfrowania backdoory, czyli luki w systemie, pozostawione specjalnie do późniejszego wykorzystania, to najmniej rozsądne rozwiązanie z możliwych. Porównałabym je do obosiecznej broni, stosowanej w szlachetnym celu i niszczącej absolutnie wszystko w swojej orbicie.

Nie da się zostawić backdoorów dla wybranych. Każda taka luka w systemie, każda pozostawiona w kodzie “dziura” powoduje konsekwencje, które dotykają wszystkich użytkowników tak samo boleśnie. W tej konkretnej sytuacji – naraża miliony użytkowników wykorzystujących szyfrowane narzędzia na inwigilację. Wystawia ich dane na przysłowiowym talerzu. Ergo – zagraża wolności, odziera z prywatności i poddaje demokrację (kolejnej) ciężkiej próbie.

Cyberbezpieczeństwo, komunikacja

Szyfrowanie end-to-end: nowy standard w biznesie

Wszyscy uczestnicy szwajcarskiej dyskusji rozumieli świetnie ten paradoks, bo w swoich działaniach biznesowych wykorzystują szyfrowanie na różnych poziomach: zabezpieczając komunikację klientów, dokumenty na dyskach i w chmurze oraz tworząc skrojone na miarę usługi w modelu “encryption as a service”. Podobnie jak nasz zespół w PrivMX, zmagają się na co dzień z wyzwaniami rynku, komunikując, jak naprawdę działa ta technologia, jak istotne jest zachowanie prywatności firmowych danych i dlaczego warto postawić na szyfrowane rozwiązania.

Na szczęście, stosowanie szyfrowania w biznesie to coraz powszechniejszy standard. Jak wynika z prezentowanego w ramach spotkania w Zurychu raportu “Encryption and Data Protection 2025” (premiera w styczniu 2023), opracowanego przez szwajcarski Cyber Defence Campus, prywatność staje się dominującym trendem, a enkrypcja – biznesową normą. Jej wdrożenie jest coraz mniej skomplikowane, a dzięki modelowi privacy-by-design, czyli stosowaniu domyślnych funkcji gwarantujących zachowanie poufności na każdym etapie korzystania z usługi, może być zupełnie naturalne i niewyczuwalne dla użytkownika. Taki model zastosowaliśmy budując PrivMX Fusion i dziś wiemy, że będzie nam towarzyszył we wszystkich rozwijanych w ramach marki PrivMX produktach. Niezależnie od dyskusji w politycznych kuluarach.

Dowiedz się więcej o PrivMX – https://privmx.com/pl