Polskie służby za biedne na klastry GPU, chcą słabszych szyfrów i furtek w oprogramowaniu
Przyjęta przez brytyjski parlament ustawa Investigative PowersAct, dająca policji i służbom specjalnym niemal nieograniczonemożliwości inwigilowania obywateli w cyberprzestrzeni, zapewne niebędzie jedynym takim rozwiązaniem na Starym Kontynencie. Kilka dnitemu holenderska organizacja Bits of Freedom ujawniławyniki ankiety przygotowanej latem tego roku przez Słowację.Dotyczyła ona stosunku organów ścigania państw unijnych dokryptografii. Odpowiedzi pokazują,że istnieje wola polityczna, by skuteczniej inwigilować obywateli,a także działać na rzecz umieszczania w oprogramowaniu furtek takąinwigilację ułatwiających. Wśród krajów, które najbardziejzainteresowane są takimi rozwiązaniami, znalazła się Polska.
Kolejne pytania ankiety ujawniają problemy, z jakimi zderzająsię ludzie lubiący w majestacie prawa interesować się sprawamiobywateli. Przyjrzeliśmy się szczególnie odpowiedziom udzielonymprzez przedstawicieli naszego kraju – i to nie tylko ze względu nazainteresowanie własnym podwórkiem. Otóż Polska należy do grupypięciu państw (obok Chorwacji, Łotwy, Węgier i Włoch), którechcą znacznie sobie ułatwić łamanie używanych przez obywatelizabezpieczeń za pomocą instrumentów prawnych. Proponowane przez tęgrupę zmiany w prawie mają też pozwolić na łatwy dostęp dodanych przechowywanych w chmurach, i to nie tylko w UniiEuropejskiej, ale też na całym świecie.
Klasty GPU są za drogie – prosimy o słabszeszyfry
I tak oto polskie służby przyznają, że często napotykająszyfrowanie podczas zdobywania dowodów w trakcie aktywnościoperacyjnej. Najczęściej są to szyfrowane e-maile (PGP/GPG),komunikacja przez szyfrowane komunikatory (np. WhatsApp), jak równieżnarzędzia do blokowego szyfrowania dysków (np. VeraCrypt). Do tegodochodzi problem z zaszyfrowanymi danymi w kopiach zapasowychkomunikatorów i archiwów komunikacji smartfonowej przechowywanej nadyskach komputerów.
Polskie służby przyznają, że w naszym kraju nie mogą zmusićobywateli do wydania kluczy czy haseł – zabrania tego kodekspostępowania karnego, zwalniający podejrzanych z odpowiedzialnościza niedostarczenie dowodów przeciwko sobie. Tak samo nie mamożliwości zmuszenia dostawców usług do wydania kluczy czy haseł.Chwalą się za to, że nowa ustawa o Policji pozwala naprzechwytywanie szyfrowanych danych na potrzeby śledztwa.
Najbardziej ochronie prywatności polskich obywateli sprzyjająjednak nie rozwiązania prawne, lecz… skromne budżety służb. Wankiecie skarżą się one na to, że sprzęt i narzędzia niezbędnedo łamania szyfrów są bardzo drogie. Póki co najczęściejstosowane są opensource’owe narzędzia takie jak hashcat,oraz siłowe ataki słownikowe (co tylko pokazuje, jakzłym pomysłem jest posiadanie hasła prosto ze słownika). W naszymkraju brakować ma też rozwiązań prawnych pozwalających naefektywne zabezpieczenie zaszyfrowanych e-dowodów, szczególnie gdyprzechowywane są w chmurze.
W tej sytuacji faktycznie smutny jest los polskich służb. Polacysą kompetentni technicznie i coraz częściej szyfrują swoje dane,prawo nie pozwala zmusić obywateli do wydania haseł czy kluczy, apieniędzy na wielkie klastry GPU do siłowych ataków nie ma. Jednąz recept na ten stan rzeczy może być wprowadzenie nowych rozwiązańprawnych na poziomie całej Unii Europejskiej. Miałyby one pozwolićna pozyskanie danych bezpośrednio od dostawców usług, i to bezkonieczności występowania o zgodę sądów, jak również służyłybyzachęcaniu producentów oprogramowania do stosowania słabychkryptosystemów i umieszczania w oprogramowaniu specjalnych furtekdla organów ścigania.
Inne kraje, inne problemy
Opinia polskich służb nie jest uniwersalna. Niemcy już bitwy oprywatność toczyły wielokrotnie (np. z Francją podczaswprowadzania standardu GSM, gdy Berlin obawiając się radzieckichszpiegów chciał mocniejszego szyfrowania, a Francja chcącpodsłuchiwać swoich obywateli forsowała algorytmy o znanychsłabościach). Nie dziwi więc, że niemiecki rząd federalnyodrzuca pomysły osłabienia szyfrowania dla telekomunikacji i usługinternetowych, obawiając się o tajemnice biznesowe niemieckichfirm.
Włosi z kolei narzekają przede wszystkim na Tora i Bitcoina –nie mogą wyśledzić zabezpieczonej cebulowym routerem komunikacji,umykają im też prywatne transakcje za pomocą kryptowaluty.Chcieliby wspólnie z innymi państwami Unii Europejskiej pracowaćnad narzędziami deszyfrującymi.
Brytyjczycy chwalą się, że mogą swoich obywateli przymusić dowydania haseł czy kluczy, narzekają jednak, że wciąż nie mająwpływu na dostawców usług spoza Wielkiej Brytanii. Wyjaśniają,że rozumieją znaczenie szyfrowania dla bezpieczeństwa biznesu,jednak przypominają też, że te same narzędzia mogą byćwykorzystane przez terrorystów, pedofili i innych przestępców.