Oliver Laas: Euroopas käivast krüptosõjast
Krüptosõjas võiksime kaastundele apelleerimise või hirmutamise asemel senisest rohkem analüüsida, kas meie turvalisust suurendada lubavad tehnoloogiad tegelikkuses täidavad oma lubadusi või mitte, märgib Oliver Laas Vikerraadio päevakommentaaris.
USA ja selle liitlased on alates teise maailmasõja lõpust püüdnud piirata oma vastaste ning avalikkuse juurdepääsu tugevale krüptograafiale. Põhjenduseks on, et see muudaks sõnumite pealtkuulamise julgeolekujõudude poolt võimatuks. Neid erinevaid tehnoloogiaid hõlmavaid ning siiani kestvaid katseid nimetatakse mitteametlikult krüptosõdadeks.
NSA ja GCHQ massijälgimise võimekus ning praktika tulid avalikuks 2013. aastal tänu Edward Snowdeni paljastustele. Selle mõjul on nüüdseks levinud turvalise hüperteksti edastusprotokolli (HTTPS), otspunktkrüpteerimise ja teiste kasutajate turvalisust ning privaatsust kaitsvate tehnoloogiate laialdasem kasutamine.
Juba nende muutuste alguses, 2014. aastal, kasutas tollane FBI direktor James Comey väljendit "tumedaks minemine" (going dark) kirjeldamaks olukorda, kus julgeolekuorganid ei suuda kuritegusid lahendada, sest nad ei pääse ligi kurjategijate krüpteeritud sõnumitele. Comey põhjendas krüpteeritud sõnumite lugemise vajadust mitme näitega, millest ühegi puhul ei olnud kahtlusaluste telefonide sisu nende tabamiseks ega süüdimõistmiseks tegelikult vajalik.
Rootsi eesistumise ajal 2023. aasta kevadel sai kliendipoolse skaneerimise plaaniga hõivatud Euroopa Komisjon lisaks ülesande panna kokku kõrgetasemeline ekspertgrupp, mis tegeleks "tumedaks minemise" ohtudega.
Kõrgetasemelisest ekspertgrupist sai peagi lihtsalt kõrgetasemeline grupp. Väljaanne Netzpolitik oletab, et nii sooviti mööda minna ekspertgruppidele kehtivatest läbipaistvuse nõuetest ja pidada kohtumisi suletud uste taga valdavalt korrakaitse, poliitikute ning nõunike vahel. Seda näib kinnitavat ka Euroopa digitaalõiguste organisatsiooni kogemus.
Grupi soovituste läbiv noot on soov tehnoloogiliste lahenduste järele, mis tagaksid korrakaitse juurdepääsu krüpteeritud andmetele ilma krüptograafiat nõrgestamata või õõnestamata. Matthew Green, krüptograaf ja Johns Hopkinsi ülikooli professor, leiab, et see eeldab selliste süsteemide kasutusele võtmist, mida keegi hetkel turvaliselt ehitada ei oska.
Enamik pakutud lahendusi, sealhulgas kliendipoolne skaneerimine, tuvastaksid illegaalse sisu räsivõrdluse põhjal. Siin on kaks tehnilist probleemi: erinevatel piltidel võivad olla identsed räsid ja olemasoleva räsiga pilte saab muuta nii, et neil on uus räsi, aga visuaalselt muutmata sisu. Esimene tekitab valepositiivseid tulemusi, sest nende kontrollimiseks peaksid teie sõnumeid lugema võõrad inimesed. Teine võimaldab illegaalse sisu peitmist legaalsete räside varju, mis lihtsustaks selle edasist levitamist kliendipoolsest skaneerimisest hoolimata.
Green leiab, et masinõppe mudelite kasutamine teeks asja hullemaks. Kuna kliendipoolseks skaneerimiseks peaks see vähemalt osaliselt jooksma kasutaja seadmes, siis on nüüd võimalik treenimiseks kasutatud illegaalne sisu mudelist ka uuesti kätte saada. Need on ainult mõned tehnilised väljakutsed seoses sisu kavandatava kliendipoolse skaneerimisega.
Seega, vastupidiselt sellele, mida Barbara Haage ja Kristi ning Rando Käsper ERR-i portaalis ilmunud kommentaaris väidavad, on probleem ikkagi ka massijälgimist võimaldavate "tehniliste lahenduste kui selliste olemasolus", sest need looksid ebaturvalisi süsteeme.
Veel soovitab grupp julgeolekuorganisatsioonide esindajate kaasamist uute tehnoloogiate ja standardite loomisse, et need "disainitaks seaduslikuks juurdepääsuks." NSA on juba ammu aktiivselt püüdnud krüptograafilisi standardeid nõrgestada, et tagada juurdepääs endale huvitavatele andmetele.
Ajalugu näitab, et sellised tagauksed kahandavad kõigi kasutajate turvalisust ning muudavad süsteemid haavatavamaks. Näiteks 2010. aastal tungisid hiina häkkerid Gmaili, kasutades selleks Google'i USA valitsuse jaoks loodud tagaust. Häkkerite rühmitus The Shadow Brokers varastas ja lekitas aastatel 2016–2017 suure hulga NSA poolt häkkimiseks kasutatavaid haavatavusi ning turvaauke. Ühes neist leketest oli Windowsi tagauks, nimetusega EternalBlue, mida kasutati 2017. aastal nii WannaCry lunavara kui ka NotPetya rünnakutes.
Seega ei ole mingit põhjust arvata, et "õilsatel" eesmärkidel loodud tagauksed ainult "headele" ligipääsetavaks jäävad.
Selle aasta aprillis tegi Europol avalduse, milles nad "ei aktsepteeri, et peab olema binaarne valik küberturvalisuse või privaatsuse ja avaliku turvalisuse vahel". Tegemist on aga nende endi loodud väärdilemmaga, sest privaatsus ja turvalisus, nagu Bruce Schneier kirjutab, toetavad teineteist: privaatsuse puudumisel tunneme end vähem turvaliselt ja turvalisuse puudumisel vähem privaatselt.
Osa tehnoloogiaid – otspunktkrüpteerimine või HTTPS – võivad toetada mõlemat, kuid teised tehnoloogiad – massijälgimine või näotuvastus – lubavad suurendada ühte teise arvelt. Euroopas käivas krüptosõjas võiksime kaastundele apelleerimise (laste kaitsmine) või hirmutamise (kuritegevus) asemel senisest rohkem analüüsida, kas meie turvalisust suurendada lubavad tehnoloogiad tegelikkuses täidavad oma lubadusi või mitte.
Kõiki Vikerraadio päevakommentaare on võimalik kuulata Vikerraadio päevakommentaaride lehelt.
ERR.ee võtab arvamusartikleid ja lugejakirju vastu aadressil [email protected]. Õigus otsustada artikli või lugejakirja avaldamise üle on toimetusel.
Toimetaja: Kaupo Meiel