Polska chce osłabienia szyfrowania lub instalowania tylnych furtek

Jak rozwiązać problem z dostępem policji do zaszyfrowanych danych? Polska niefrasobliwie proponuje, by producenci oprogramowania i sprzętu wstawiali do niego tylne furtki lub używali osłabionego szyfrowania.

Wiara w możliwość wstawienia do oprogramowania szyfrującego tylnej furtki, do której dostęp będą miały tylko organa ścigania, pokazuje niestety niski poziom wiedzy polskich decydentów i poważnie zagraża bezpieczeństwu danych obywateli.

Ciekawa ankieta

Latem tego roku Słowacja, przewodnicząca obecnie Radzie Unii Europejskiej, postanowiła zebrać od wszystkich krajów członkowskich ich doświadczenia, opinie i rekomendacje na temat tego, jak ich organy ścigania radzą sobie z napotykanym szyfrowaniem danych. Część odpowiedzi krajów członkowskich już spłynęła i udało się je zdobyć holenderskiej organizacji Bits of Freedom. Jest wśród nich ankieta wypełniona przez Polskę, a w niej sporo ciekawych i niepokojących informacji.

Na pierwsze pytanie, czyli jak często organy ścigania natrafiają na zaszyfrowany materiał dowodowy, Polska odpowiedziała, że dość często. W kolejnym pytaniu wskazała, że najczęściej jest to szyfrowanie poczty (PGP) lub dysków (VeraCrypt / TrueCrypt) oraz komunikatory (Skype, Messenger, WhatsApp). Te odpowiedzi są zbieżne z naszą wiedzą na ten temat – przestępcy nauczyli się już w większości przypadków posługiwać szyfrowaniem.

Kolejne pytania dotyczą obowiązujących w Polsce przepisów. Ciekawie robi się dopiero przy pytaniu nr 6, które brzmi „Na jakie problemy głównie natrafiają organy ścigania podczas próby odszyfrowania podsłuchanych danych”. Polska odpowiada „Głównie są to problemy finansowe. Dedykowane urządzenia i narzędzia do odszyfrowywania danych są bardzo drogie”. To ciekawa opinia – oczywiście zbudowanie farmy FPGA do łamania haszy nie jest tanim hobby, ale nie sądziliśmy, że jest to poza zasięgiem niektórych służb.

Następne pytanie dotyczy używanych technik łamania haseł oraz zabezpieczania dowodów rzeczowych. Polska odpowiada, że używa hashcata do odszyfrowywania danych oraz że próbuje używać ataków typu bruteforce, słownikowych oraz profilowanych słowników. Nie korzysta w tym zakresie z usług firm zewnętrznych. Do gwarantowania nienaruszalności zebranych dowodów cyfrowych używa sum MD5 i SHA1. Za hashcata szanujemy – przynajmniej nasze służby korzystają z nowoczesnych narzędzi.

Według odpowiedzi na kolejne pytanie główne problemy napotykane w Polsce przy przejmowaniu zaszyfrowanych danych to zlokalizowanie danych (trudne do odnalezienia i zidentyfikowania na nośniku), brak prawnych możliwości zmuszenia podejrzanego do wyjawienia hasła oraz wysokie ceny klastrów GPU.

Perełka na koniec

Ostatnie z 10 pytań dotyczy tego, jakie regulacje powinna przyjąć w przyszłości UE by ułatwić pracę organów ścigania. Polska wskazuje na konieczne zmiany legislacyjne i pisze:

Jednym z najbardziej kluczowych elementów będzie przyjęcie nowych przepisów umożliwiających pozyskiwanie danych przechowywanych w chmurze w innych krajach UE bez potrzeby powoływania się na traktaty o wzajemnej pomocy prawnej. Istnieje także potrzeba zachęcenia producentów sprzętu i oprogramowania do wstawienia pewnego rodzaju „tylnych furtek” dla organów ścigania lub do używania relatywnie słabszych algorytmów kryptograficznych.

O ile chęć ominięcia przeszkód biurokratycznych w pozyskiwaniu danych z innego kraju UE (proces ten może trwać miesiącami) możemy jakoś zrozumieć, to druga część propozycji budzi nasz poważny niepokój, a wręcz strach. Osłabienie stosowanych metod szyfrowania lub wstawienie tylnych furtek nieuchronnie prowadzi do osłabienia prywatności użytkowników nie tylko wobec organów ścigania, ale przede wszystkim wobec przestępców. Wiara, że uda się uchronić tylne furtki przed nadużyciami, jest naiwna a osłabienie algorytmów szyfrujących zawsze autorom takich pomysłów odbijało się potężną czkawką.

Niestety Polska nie jest jedynym krajem o podobnych pomysłach. Popierają je także Chorwacja, Łotwa, Włochy i Węgry. Z kolei Niemcy zdecydowanie sprzeciwiają się osłabianiu szyfrowania jako zagrażającemu prywatności uzytkowników, rekomendując jednocześnie używanie złośliwego oprogramowania na komputerach osób objętych śledztwem. Nie wszystkie kraje przesłały jeszcze swoje odpowiedzi, jednak na razie tok rozumowania unijnych urzędników nie wydaje się iść w dobrym kierunku.