Еще одно террористическое нападение, еще один законопроект о наблюдении. Узнают ли когда-нибудь политики, что взлом шифрования принесет больше вреда, чем пользы?

После теракта в Вене Совет ЕС хочет получить общий ключ для зашифрованной связи в чате.

Всего через пять дней после теракта Совет министров ЕС предлагает проект черного хода WhatsApp, Signal и других зашифрованных посыльных приложений для борьбы с терроризмом. Пока это выглядит так, будто политики только и ждут очередного теракта, чтобы представить свой новейший законопроект о слежке, давайте посмотрим на факты этого конкретного дела: Смогли бы австрийские власти остановить теракт в Вене, имели ли они доступ к зашифрованной истории чата террориста до нападения?


Предложение с обратной стороны

Внутренний документ председательства Германии в Совете для делегаций государств-членов от 6 ноября проводит раунд в кругах ЕС, сообщает австрийский телепередатчик ORF. Цель заключается в том, чтобы заставить такие службы, как WhatsApp, Signal и многие другие, которые внедрили сквозное шифрование для своих пользователей, позволить властям получить доступ к зашифрованным сообщениям чата с помощью общего ключа. Очевидно, что теракт в Вене используется Советом министров ЕС для проталкивания закона, запрещающего безопасное шифрование для граждан ЕС.

В Брюсселе теракты регулярно используются для проталкивания давно запланированных мер наблюдения. Например, в ЕС после террористических актов в Мадриде (2004 г.) и Лондоне (2005 г.) было принято постановление о хранении данных. Общее хранение данных позднее было объявлено Европейским судом незаконным в ЕС, “сигнализируя о том, что соображения безопасности не оправдывают чрезмерных нарушений неприкосновенности частной жизни”, как, например, общее хранение данных для всех граждан.

Тем не менее, теперь Совет ЕС снова хочет настаивать на принятии жесткого закона о надзоре. На этот раз они хотят получить “исключительный доступ” к зашифрованной связи с помощью общего ключа, предоставляемого соответствующими службами. Подробности этого метода были опубликованы Politico в августе.

Предложение ЕС тщательно изучено

В “Проекте резолюции Совета о шифровании - безопасность посредством шифрования и надежность, несмотря на шифрование” подчеркивается тот факт, что “Европейский союз полностью поддерживает разработку, внедрение и использование надежного шифрования. Шифрование является необходимым средством защиты фундаментальных прав и цифровой безопасности правительств, промышленности и общества”.

Тем не менее, при дальнейшем использовании шифрования, оно воспринимается как “на словах”:

“Защита неприкосновенности частной жизни и безопасности коммуникаций с помощью шифрования и в то же время обеспечение возможности компетентным органам в области безопасности и уголовного правосудия законного доступа к соответствующим данным для законных, четко определенных целей в борьбе с серьезными и/или организованными преступлениями и терроризмом, в том числе в цифровом мире, имеют чрезвычайно важное значение. Любые принимаемые меры должны тщательно сбалансировать эти интересы”.

В то время как Совет ЕС называет этот раздел “Создание лучшего баланса”, на самом деле они означают: Наличие общего ключа для взлома шифрования в случае необходимости.

Однако, как защитники неприкосновенности частной жизни, мы понимаем здесь риски, но подробнее об этом позже. Основная причина, по которой власти заявляют, зачем им нужен такой общий ключ, заключается в том, что это помогло бы им предотвратить террористические атаки. Итак, давайте посмотрим на последний теракт в Вене. Если бы австрийские власти имели доступ к зашифрованному чату террориста, смогли бы они предотвратить теракт?

Венский теракт

В начале этого года немецкие власти попросили австрийских коллег проконтролировать встречу двух подозреваемых исламистов с будущим нападающим в Вене в июле. В приведенной ниже оценке риска будущего нападавшего, который был условно-досрочно освобожден после вынесения предыдущего обвинительного приговора по делу о терроризме, были допущены ошибки.

Несмотря на то, что власти Словакии также информировали австрийские власти о том, что террорист пытался закупить боеприпасы в Словакии, эта разведка не привела к постоянному наблюдению за будущим нападавшим. Австрийские власти могли бы даже выдать ордер на его арест из-за наличия у него судимости.

Становится все более очевидным, что, по всей видимости, ошибки в расследовании сделали это нападение возможным в первую очередь, а не отсутствие цифровых контрольных полномочий.

Сам министр внутренних дел Австрии признался: “Были допущены явные и недопустимые ошибки при расследовании”. Тем не менее, политики вновь призывают к наблюдению за всеми гражданами - вместо того, чтобы совершенствовать и обучать своих офицеров, чтобы они могли лучше оценивать потенциальные угрозы, используя уже имеющиеся у них данные.

ОРФ по иронии судьбы комментирует это так: “Это “компетентные органы”: GCHQ, DGSE, BND и т.д., чьи методы вакуумной уборки на оптическом волокне производят все меньше и меньше обрабатываемых данных за счет увеличения шифрования на транспорте. Для того чтобы предотвратить эту надвигающуюся нехватку данных, в настоящее время запрошены общие ключи, и похоже, что они будут одобрены Советом. Это означает, что BVT (Австрийское федеральное ведомство по защите конституции и борьбе с терроризмом), которое не в состоянии даже ликвидировать террориста, дважды обслуженного на серебряном блюдечке двумя другими службами, в будущем сможет безуспешно проводить расследования в течение нескольких недель в чате”.

Если бы это не было так грустно, это заставило бы нас улыбнуться.

Суть в том: Власти и спецслужбы уже располагают большим количеством данных о потенциальных угрозах. Глубокая оценка данных требует времени и квалифицированных специалистов, чтобы сузить круг наиболее опасных потенциальных угроз. Нет никаких доказательств того, что добавление дополнительных данных в базы данных каким-либо образом поможет найти потенциальных злоумышленников.

Опасность слежки

К сожалению, опасности такого общего наблюдения намного перевешивают преимущества. Поэтому приведение шифрования в “лучший” баланс с требованиями властей, как выразился Совет ЕС, далеко от истины.

Проблема в том, что - как всегда при шифровании - кто контролирует ключ? Как только появится общий ключ шифрования для зашифрованных сообщений чата, власти захотят его использовать. Вредоносные злоумышленники захотят его получить. Государственные органы захотят получить доступ к нему, чтобы использовать его не только против преступников, но и для промышленного шпионажа, для наблюдения за оппозицией в автократических странах и т.д.

Главные вопросы:

  • Кто решает, когда можно будет использовать ключ? (= Кто имеет доступ к ключам? Будут ли это только “хорошие” ребята?).
  • Для чьей истории чата? (= Кто будет объектом такого наблюдения? Будут ли это только потенциальные преступники или это будут также невинные граждане, активисты, противоборствующие политики?).
  • В случае каких преступлений? (= Кто определяет, для каких преступлений может быть использован ключ? Кто принимает законы для определения преступлений, в том числе и в недемократических странах?).

Учитывая, что у нас уже есть правительства в ЕС, которые имеют авторитарные тенденции, такие как Польша и Венгрия, страны, которые делают аборты незаконными, дискриминируют ЛГБТ и другие меньшинства, мы должны хорошо осознавать вред, который может быть нанесен, если мы дадим общий ключ расшифровки властям таких европейских государств-членов.

Общий ключ ко всем сообщениям WhatsApp и Signal будет громкой мишенью для преступников и (криминальных) государственных органов. Это был бы лишь вопрос времени, пока такой ключ не просочится в злонамеренные руки. Как это ни парадоксально, но сам Евросоюз недавно порекомендовал своим сотрудникам безопасно использовать Сигнал для общения в чате с посторонними лицами.

Усиленное наблюдение

Венское террористическое нападение - это всего лишь одно из продолжительных нападений в Европе, которое свидетельствует о том, что для борьбы с терроризмом не требуется усиленное наблюдение. Напротив, анализ, проведенный журналистами, пришел к выводу, что все исламские террористы, начиная с 2014 года, были известны властям еще до того, как теракты произошли.

Аналогичным образом, программа телефонного наблюдения АНБ в США не только была недавно объявлена незаконной, но и оказалась дорогостоящей и неэффективной. Она не остановила ни одного теракта.

Когда политики просят взломать шифрование - даже если оно предназначено только для “хороших” ребят - они не предлагают нам выбирать между большей или меньшей безопасностью. Они заставляют нас не выбирать никакой безопасности.

Призыв к политикам ЕС отказаться от наблюдения

Это предложение Совета ЕС никогда не должно стать законом, так как

  • Оно грубо нарушает права на неприкосновенность частной жизни и свободу слова каждого гражданина ЕС.
  • Это угроза безопасности и целостности данных каждого гражданина ЕС.
  • Он противодействует ВВП, который был создан для обеспечения безопасности данных граждан ЕС.

Мы призываем политиков ЕС прочитать об онлайн-безопасности, узнать о важности шифрования и об угрозах, которые оно представляет для отдельных лиц, запрещая шифрование, а также об угрозах, которые оно представляет для открытого и демократического общества.

Как свободное и открытое общество мы разделяем ценности свободы слова и неприкосновенности частной жизни в Европе. Теперь мы должны оставаться твердыми в защите этих ценностей.

Если эти свободы у нас отнимут, террористы уже победили.