Australia uchwaliła drakońskie prawo o szyfrowaniu. To niebezpieczny precedens

Gdy Europa kłóci się o nieszczęsny Artykuł 13 dotyczący praw autorskich, a polska polityka zajmuje się kwestiami o wstrząsająco niskiej istotności, Australia postanowiła przypomnieć nam co to naprawdę jest „przerażająca legislacja” i właśnie uchwaliła wstrząsająco szkodliwa ustawę „Assistance and Access Bill” (#aabill). Wymusza ona na dostawcach oprogramowania stosowanie możliwości… ominięcia szyfrowania w komunikacji. Scenariusz, który przez wiele lat przytaczano jako przerysowany przykład idiokracji i nieodpowiedzialności, stosowany głównie podczas chwytu „reductio ad absurdum”, przeszedł właśnie przez Senat. W atmosferze chaosu i z zaskakująco wysoką prędkością procedowania. Szkody, jakie powstaną w razie pełnej implementacji jej przepisów (jeżeli stanie się prawem) doprowadzą do podważenia bezpieczeństwa wszelkiej komunikacji a co najgorsze, będą miały wpływ na cały świat, a nie tylko na Australię. Tymczasem w naszych rodzimych mediach nie padło o tym ani jedno słowo.

Stronnictwa polityczne w Australii wpadły jakiś czas temu w pułapkę dyskusji o terroryzmie i imigracji, czyli dwóch tematów niweczących zazwyczaj większość debat o bezpieczeństwa. Z tego powodu żadna ze stron nie chce odpuścić, by nie zyskać etykietki partii zbyt słabo reagującej na „zagrożenie terrorystyczne”. To nie pierwszy raz, gdy niedomagająca debata publiczna skutkuje uchwaleniem horrendalnych przepisów. W ten sam sposób wprowadzono przecież słynny PATRIOT Act.

Co uchwalono tym razem? Tekst całego przepisu jest długi i zawiły, ale przede wszystkim chodzi o wprowadzenie trzystopniowego mechanizmu kierowania żądań do dostawców narzędzi komunikacyjnych w sprawie wglądu do obsługiwanych wiadomości. Przepis, wg. The Inquirer, nie definiuje sankcji karnych, ale jednocześnie opisuje ścieżkę wdrożenia zgodności z przepisem. Inni słowy, firmie nic nie grozi za nieudostępnienie przesyłanych treści, ale jednocześnie musi ona wdrożyć mechanizm pozwalający na nie. W jaki sposób niniejsze żądanie ma więc być egzekwowane? Nie jest to obecnie jasne. Ale to jedynie problem legislacyjny, których w AA Bill jest pełno.

O wiele grosza kwestią jest fakt wymuszania dostępu do treści, które są przecież szyfrowane. Wbrew przekonaniu niektórych, matematyka nie działa tylko czasami i nie da się jej obejść pięknymi słówkami, więc udostępnianie zaszyfrowanych treści wymaga zdjęcia szyfrowania lub osłabienia go. Zastąpienie dziś zastosowanych szyfrów rozwiązaniem, które da się w jakiś sposób rozszczelnić oznacza wprowadzenie tylnych drzwi do infrastruktury komunikacyjnej. Klucze do owych drzwi mają być przechowywane przez podmiot domyślnie darzony bezgranicznym zaufaniem (to zawsze świetny pomysł!) I podlegający niezdefiniowanej formie kontroli.

Nawet zakładając, że instytucja kontrolująca dostęp do komunikacji spisze się na medal i nie dokona żadnych nadużyć ani niedopatrzeń, osłabione algorytmy mogą zostać złamane przez strony trzecie. Wiarygodność zabezpieczeń pisanych w pośpiechu zawsze będzie wszak niższa, niż tradycyjnych, sprawdzonych rozwiązań. Odnalezienie w nich słabości oznacza przekreślenie jakiejkolwiek wiarygodności komunikacji dokonywanej tak zaprojektowanym kanałem – w sposób o wiele bardziej dotkliwy, niż np. odkrycie słabości w TLS.

Jakim cudem tak koszmarny, dystopijny przepis w ogóle miał szansę na głosowanie w australijskim Senacie? Trudno powiedzieć. Anglojęzyczne serwisy informacyjne, eksplodujące wiadomościami i spekulacjami na ten temat (u nas jest zdumiewająca cisza) usiłują klecić jakieś hipotezy, sięgające głębiej niż tylko przytoczone wyżej tchórzostwo głównych partii. Gdzieś po drodze powinni się przecież przewijać jacyś fachowcy, albo chociaż lobbyści.

Istotnie, pojawili się. Financial Review donosi, że poza licznymi ekspertami, negatywne opinie wystawiły całe grupy korporacji, jak DIGI i BSA. A zrzeszają one nie byle kogo, bo chodzi tu o Google Microsoft, Adobe, Yahoo, Twitter i kilku innych sporych graczy. FR informuje także, że przegłosowanie ustawy (44 do 12 głosów) jest „szokujące” i powołując się na słowa szefa organizacji Digital Right Watch, Tima Nortona, używa wręcz określenia „farsa”, by opisać sam proces legislacyjny.

Internetowe wydanie Fortune podkreśla, że ustawę bombardowano poprawkami aż do samego końca, ale gdy zaczęła grać rolę presja czasu, zaniechano ich procedowania, by pokazać wyborcom, że „rząd nie boi się terrorystów”. W tym celu uchwalono ustawę w takim pośpiechu, w ostatniej sesji przed letnią (!) przerwą przypadającą na przełom roku. Fortune słusznie zwraca też uwagę na to, że Australia, wraz ze swoimi sojusznikami już nieraz wprost opowiadała się za likwidacją szyfrowania. Więcej o tym poniżej.

Electronic Frontier Foundation, służąc swą ekspertyzą, wydała silnie brzmiące oświadczenie w sprawie nowych przepisów, krytykując nie tylko pomysł omijania szyfrów, ale również metody kontroli owego procesu oraz ogólną niejasność przepisów, co podważa demokratyczny charakter regulacji. Warto tu również wspomnieć, że podczas konsultacji społecznych niemal nikt w całym kraju nie wyraził pozytywnej opinii na temat dokumentu AA Bill. Jedynym wyjątkiem był metodystyczny Synod Tasmanii Zjednoczonego Kościoła Australii (UCA).

Na uchwalenia ustawy zwrócił(a?) również uwagę, acz w dość luźnym stylu, SwiftOnSecurity na Twitterze. Ten zabawny głos jest wbrew pozorom dość istotny, jest jednym z bardziej znanych, wśród zalewu protestów specjalistów.

Zarówno wielcy gracze IT, jak i niezależni specjaliści oraz organizacje pozarządowe np. EFF zgodnie twierdzą zatem, że przeforsowana legislacja jest zawrotnie szkodliwa i potencjalnie przeciwskuteczna. Trudno wręcz liczyć na to, że przepisy zostaną potraktowane dosłownie i naprawdę rozpocznie się wdrażanie proponowanych, drakońskich rozwiązań. Bardzo możliwe, że wdrożenie zgodności z ustawą ograniczy się do kroków pozornych, o ile w ogóle zostanie rozważone. ProtonMail na przykład z marszu ogłosił, że nie ma zamiaru się przejmować nowymi regulacjami i nie tylko nic nie zmieni, ale i nie będzie blokował dostępu do swojej usługi pocztowej w Australii. Ale istnieje również alternatywna hipoteza, przeplatana z teoriami spiskowymi.

Australia należy do nieformalnego, acz zdecydowanie prężnego sojuszu instytucji wywiadowczych, znanego pod nazwą Five Eyes (FVEY). Zrzeszenie anglosaskich wywiadów, w tym cyfrowych, miało na celu forsowanie amerykańskich interesów w wymiarze globalnym, z wykorzystaniem metod wyprzedzających swą skutecznością tradycyjne kanały dyplomatyczne. Dominacji amerykańskiego wywiadu mocno sprzeciwiała się niegdyś Unia Europejska (słynna debata o systemie Echelon w PE), dziś jednak jest ona niepodważalna i nieusuwalna. Na podsłuchu jest dziś wszak cały internet.

O ile poszczególne kraje FVEY dokonują samodzielnych regulacji dotyczących przepływu danych cyfrowych i nierzadko bez powodu wybijają się na tym polu w niemal totalitarny i groteskowy sposób, jak Wielka Brytania, takie nagłe „przełomy” legislacyjne, jak środowe głosowanie w Australii nie musi być aktem nieskoordynowanym. Coraz częściej (ależ to okropnie zabrzmi!) pojawiają się głosy, że absurdalne i teoretycznie głośno krytykowane przepisy są okresowo wdrażane jako test i próba „przeciągania liny”. Jeżeli jakieś horrendalne przepisy nie wywołują masowych protestów i ulicznych zamieszek w jednym kraju, zapewne da się je stopniowo wprowadzać w pozostałych, narzucając forsowane ograniczenia całemu światu. Powstaje zatem pytanie – czy Australia jest pierwszym krajem testującym społeczny odbiór likwidacji szyfrowania? Czyżby naprawdę właśnie taki był kolejny krok na drodze do przyszłości informatyki i komunikacji?

Nie możemy tego wiedzieć. Pewnym jest, że drakońskie przepisy uchwalono w atmosferze politycznej gorączki, z zamiarem jak najszybszego wdrożenia i późniejszego naprawiania „w drodze”. Ale nawet jeżeli nie jest to wielki złowrogi plan zniewolenia ludzkości przez mroczną elitę, to jeżeli przepisy na świecie coraz częściej będą uchwalane w tak brutalny, nieparlamentarny sposób, efekty będą marne. Koszt poniesiemy wszyscy razem.