Kraj end-to-end enkripcije?

U posljednjih nekoliko godina, promatrajući globalne trendove, vidljivo je kako države donose nove zakonske regulative koje utječu na sigurnost na internetu. Ovi novi zakoni ponekad su usmjereni na povećanje sigurnosti korisnika interneta, dok drugi pokušavaju povećati opću sigurnost na račun privatnosti i sigurnosti na internetu.

Jedan od primjera zakona koji istinski povećava sigurnost internetskih korisnika jest "Product Security and Telecommunications Infrastructure Act 2022" uveden u Ujedinjenom Kraljevstvu. Ovaj zakon postavlja minimalne sigurnosne standarde koji ciljaju proizvođače IoT uređaja, obvezujući ih da svojim korisnicima jasno objave do kada će nuditi sigurnosne nadogradnje za njihove uređaje. Ključan dio zakona je kazna proizvođačima koji koriste jednostavne, lako predvidljive lozinke na svojim uređajima. Zabranjeno je korištenje univerzalnih lozinki poput "admin" ili "12345", te se potiče korištenje jedinstvenih lozinki za svaki pojedini uređaj. Time se sprječavaju sigurnosne prijetnje poput onih viđenih u Mirai napadu, gdje su napadači iskoristili loše lozinke IoT uređaja koji su imali nepromijenjene početne zaporke i koristili te uređaje za napad odbijanja usluge.

Međutim, postoje i zakonski prijedlozi koji nisu tako jasno definirani, poput onih koji predlažu "ukidanje" end-to-end enkripcije u pravom smislu riječi. Na primjeru Europola, vidimo kako je pozvano na prekid korištenja ove vrste enkripcije (barem u sadašnjoj tehničkoj implementaciji) kako bi se omogućilo daljnje praćenje poruka korisnika na internetu. Ovi pozivi su uslijedili nakon što je Meta odlučila implementirati end-to-end enkripciju u svoju platformu Messenger, što bi onemogućilo i samu Meta platformu i policiju da dolaze do podataka koje bi inače mogli koristiti u prevenciji kriminala i spašavanju žrtava.

Što je end-to-end enkripcija?

Prije nego nastavimo s drugim primjerima, važno je razumjeti što je točno end-to-end enkripcija, gdje se koristi i zašto je bitna. End-to-end enkripcija široko se koristi u računalnim sustavima, a najpoznatiji primjer su aplikacije za razmjenu poruka poput WhatsAppa, Telegrama i Signala. Ova vrsta enkripcije funkcionira na sljedeći način:

Kada se korisnik registrira u aplikaciji, automatski se generiraju dva ključa: javni i privatni. Javni ključ, kako mu i samo ime kaže, javan je i možete ga podijeliti sa svima. Koristi se tako da kad vam netko želi poslati poruku, na primjer preko WhatsAppa, ta osoba od WhatsAppa dobije vaš javni ključ. Pomoću tog ključa šifrira poruku koju vam želi poslati. Šifrirana poruka sigurno putuje internetom, i nitko osim vas je ne može pročitati, jer za dešifriranje je potreban vaš privatni ključ.

Vaš privatni ključ, koji držite samo vi i koji treba ostati strogo čuvana tajna, koristi se za dešifriranje poruka koje primate. Kada poruka stigne do vašeg uređaja, aplikacija koristi vaš privatni ključ i "otključava" poruku, čineći je čitljivom samo za vas.
Kroz složene matematičke operacije, osigurava se da nitko tko ima vaš javni ključ ne može saznati vaš privatni ključ. Jedini način da se pročitaju podaci je kroz napad 'grubom silom', što znači pokušavanje razbijanja šifre kroz ogroman broj kombinacija, što je izuzetno teško, gotovo nemoguće.

Ova metoda šifriranja osigurava da su vaše poruke sigurne tijekom prijenosa i štiti vašu privatnost od neželjenih pogleda, čineći end-to-end enkripciju ključnom za sigurnu digitalnu komunikaciju.

Zašto državne agencije vide problem u end-to-end enkripciji?

Glavni problem za državne tijela jest što end-to-end enkripcija ograničava njihovu mogućnost praćenja komunikacija na internetu. Državna tijela mogu zahtijevati od pružatelja internetskih usluga snimke korisničkog prometa, ali ne mogu doći do privatnih ključeva koji su pohranjeni isključivo lokalno (na uređaju korisnika). To smanjuje mogućnost nadzora i praćenja, stoga se nastoji naći balans između sigurnosti i privatnosti korisnika.

Koje države imaju problema s E2EE?

Države kao što su Australija, Kanada, Novi Zeland, Ujedinjeno Kraljevstvo i Sjedinjene Američke Države podržavaju end-to-end enkripciju, ali su također pokušavale zakonski prisiliti tehnološke kompanije da omoguće pristup korisničkim podacima. Ove države su svjesne da tehnološke kompanije neće lako odustati od svojih pravila privatnosti, pa predlažu razne načine na koje bi se moglo pratiti i prijavljivati potencijalno opasan sadržaj. Kompanije imaju odgovornost prema svojim korisnicima da će komunikacija biti privatna i ako bi popustili pritiscima prijeti im odlazak velikog broja korisnika.

Primjer njihove odlučnosti da reguliraju enkripciju može se vidjeti u nedavnoj prijetnji WhatsAppa da će se povući s indijskog tržišta ako mu bude naređeno da ukloni end-to-end enkripciju. Ovaj potez pokazuje koliko je end-to-end enkripcija ključna nekim aplikacijama.
Rusija je također pokušala prisiliti Telegram da pribavi podatke od jednog korisnika, te je taj slučaj došao čak do Europskog suda za ljudska prava. Sud je presudio u korist E2EE, iako je bilo jasno od samog početka da Telegram nema nikakve načine da pribavi te podatke i da su htjeli pomoći Rusiji.

Budućnost E2EE

Pritisci na ukidanje end-to-end enkripcije će se najvjerojatnije nastaviti i u budućnosti, no izgleda da tehnološke kompanije neće tako lako pokleknuti zahtjevima država. Hoće li u budućnosti velike države uspjeti u tom naumu i prisiliti velike kompanije da ugrade ranjivosti bez da njihovi korisnici to znaju, teško je za pretpostaviti. Jedno je sigurno, svi želimo spriječiti prijetnje koje se događaju u stvarnom svijetu a dogovaraju se na internetu, ali jesmo li spremni dozvoliti državama i potencijalno kriminalnim organizacijama da imaju pristup našim podacima?

#EndToEndEncryption
#DigitalPrivacy
#CyberSecurity
#TechLaws
#InternetSafety

Literatura:

Legislation.gov.uk. (2022). Product Security and Telecommunications Infrastructure Act 2022. [online] Available at: https://www.legislation.gov.uk/ukpga/2022/46/contents/enacted.therecord.media. Mirai Latest News. [online] Available at: https://therecord.media/tag/mirai [Accessed 15 May 2024].therecord.media.  UK becomes first country to ban default bad passwords on IoT devices. [online] Available at: https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices.‌Europol. European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out. [online] Available at: https://www.europol.europa.eu/media-press/newsroom/news/european-police-chiefs-call-for-industry-and-governments-to-take-action-against-end-to-end-encryption-roll-out.Woollacott, E. (2024). Europol Speaks Out Against End-To-End Encryption. [online] Forbes. Available at: https://www.forbes.com/sites/emmawoollacott/2024/04/22/europol-speaks-out-against-end-to-end-encryption/ [Accessed 15 May 2024].Fieldfisher. An end to end-to-end encryption? Not so soon. [online] Available at: https://www.fieldfisher.com/en/insights/an-end-to-end-to-end-encryption-not-so-soon [Accessed 15 May 2024].The Wire. (2024). Disappearing Messages: WhatsApp Says Will Leave India if Forced to Break Encryption. [online] Available at: https://thewire.in/law/disappearing-messages-whatsapp-says-will-leave-india-is-forced-to-break-encryption [Accessed 15 May 2024].