Most akkor jó nekünk a titkosítás, vagy sem?

Egyre nagyobb vita alakul ki a titkosítás és a kiberbűnözés elleni fellépés kapcsolatáról. Miközben a hatóságok mind több adathoz szeretnének hozzáférni, aközben mindenki más titokban szeretné tudni az információit.
 

Az informatika és az elektronikus kommunikáció fejlődésével a nyomozati, illetve a titkosszolgálati módszereknek is tartaniuk kell a lépést. E nélkül ugyanis mind a terrorcselekmények, mind a bűncselekmények megakadályozása, felderítése csorbát szenved. Ugyanakkor a cégek, szolgáltatók fokozott védelmi intézkedéseket léptetnek életbe az ügyfeleik bizalmas adatainak megóvása érdekében, ami ahhoz vezet, hogy egyre több információ titkosítottan tárolódik, illetve az adatcsere kódoltan zajlik. Nyilván mindez vitás kérdésekhez, konfliktusokhoz vezet, hiszen míg az egyik oldal titokban akarja tartani a digitális értékeit, addig a másik oldal - jelesül a rendvédelmi szervek - munkáját ez megnehezíti. Ahhoz pedig kétség sem fér, hogy ezzel a helyzettel a kiberbűnözés keményen visszaél.

Amerikai kutatók, köztük Daniel Weitzner, az MIT számítástudománnyal és mesterséges intelligenciával foglalkozó laborjának igazgatója, valamint a neves - szintén MIT-s - kriptográfus Ronald Rivest egy olyan tanulmányt készítettek, amelyben alaposabban megvizsgálták a titkosítás napjainkban betöltött szerepét. Az elkészült dokumentumból világosan kiderül, hogy egy nagyon komplex problémáról van szó akkor, amikor az adatok védelméről, illetve az azokhoz való hozzáférések kezeléséről beszélünk. Oly annyira, hogy a kutatók nem voltak restek beismerni, hogy a tanulmányuk befejezésekor több kérdésük volt, mint amikor nekiláttak a munkának. Ezért aztán óva intettek attól, hogy bármely állam olyan intézkedéseket foganatosítson, amelyeket nem egyeztet a szakmával. 

Segíteni kell a hatóságokat, de...

A kutatók pontosan tisztában vannak azzal, hogy a hatósági vizsgálatokat megakaszthatja a titkosítás, és fontos bizonyítékokat leplezhet el az igazságszolgáltatás elől. Még aggasztóbb a helyzet akkor, amikor terrorcselekmények elkövetői a technikai lehetőségek kihasználásával "kódoltan" szervezkednek, és ezáltal nehezítik meg a megelőzést. 

"Az állampolgároknak szükségük van a rendvédelmi szervekre annak érdekében, hogy megvédhessék magukat a digitális világunkban. A rendőrségnek, a vállalatoknak, a kutatóknak és az egyéneknek is kötelességük, hogy együttműködjenek a globális információs infrastruktúra biztonságosabbá és megbízhatóbbá tétele érdekében. A jelentésünk elkészítése során a hatóságok azon igényét vizsgáltuk, amely szerint hozzáférést kellene biztosítani a magán kommunikációhoz. Az adatok azonban azt mutatják, hogy ezzel olyan ajtók nyílnának ki, amiket a kiberbűnözők és más államok is felhasználhatnának támadásokra" - vélekedtek a tanulmány szerzői. Mindemellett az ilyesfajta hozzáférések sok jogi, etikai és nem utolsó sorban technikai kérdést is felvetnek.

Megölhetjük az internetet

Amikor nyomozásokra, titkosszolgálati tevékenységekre terelődik a hangsúly, akkor nem egy esetben a hátsó kapuk kerülnek szóba. Ugyanakkor több javaslat volt már arra vonatkozóan, hogy a szoftverekbe, hálózatokba olyan hozzáférési pontokat kellene létesíteni, amelyek létezéséről mindenki tud, de azokat csak megfelelő engedélyek, bírósági végzések stb. megléte esetén vehetnék igénybe az arra feljogosított szervezetek. Ezek az ötletek azonban már többször elbuktak. A tanulmány példaként azt az 1997-ben született (Clipper Chip) javaslatot említi, amely a titkosításokhoz használt kulcsok lemásolásával segítette volna a hatóságokat az adatok megismerésében. A javaslat soha nem került elfogadásra, vélhetőleg az internet nagy szerencséjére. A kutatók szerint ugyanis, ha ezen ötletek megvalósultak volna, akkor nagyon kétséges, hogy most léteznének olyan cégek, mint amilyen például a Facebook vagy a Twitter. Ez pedig rögtön felveti azt is, hogy a titkosítások megléte komoly hatást gyakorol az innovációkra és azokon keresztül a gazdaságok teljesítőképességére is.

A jelentés kifejti, hogy ha valamely állam titkosítások feloldásához szükséges adatokat (kulcsokat) tömegesen tárolna, akkor az komoly kockázatokat vetne fel. Többször volt már példa arra, hogy egy központi rendszer védelmének térdre kényszerítésével rengeteg felhasználó adata vált kiszolgáltatottá. A nehézséget azonban nem kizárólag ez jelenti, hanem a technikai megvalósítás is. A kutatók felvázoltak egy olyan eshetőséget, amikor a szoftverekben front doorok jelennének meg. Ekkor a fejlesztőknek biztosítaniuk kellene az alkalmazásaik által kezelt adatokhoz történő, szigorúan szabályozott külső hozzáférést, ami nyilvánvalóan jóval komplexebbé tenné a szoftvereket. Márpedig tudjuk, hogy a komplexitás növelésével a kockázatok fokozódnak, és a potenciális sérülékenységek száma növekszik. Ráadásul mindez nemzetközi jogi kérdések tömegét veti fel. Gondoljunk csak bele abba az esetbe, amikor egy brit fejlesztőcég olyan kommunikációs alkalmazást fejleszt, amelyet például kínai felhasználók is telepíthetnek. Ekkor vajon a brit vagy a kínai előírásoknak kellene megfelelnie a programnak? És egyáltalán ki ellenőrizné a megfelelőséget, ki tudna ezerszámra alkalmazásokat auditálni, stb.

Összegzés

A tanulmány ugyan nem szolgál megoldással a fenti problémákra, de sok gondolatébresztő kérdést vet fel. Felhívja a figyelmet arra, hogy az adatokhoz való hozzáférések kezelése, a titkosítások alkalmazása komplex megközelítést igényel. A hatóságok számára esetlegesen kialakítandó "kapuk" pedig több kárt okozhatnak a társadalom számára, mint amennyi előnnyel járnának. Különösen akkor, ha olyan megoldások születnének, amelyeket a tudósok, az informatikusok, a jogi szakemberek nem vehetnek alaposan górcső alá, és nem világíthatnak rá még időben a negatív következményekre, biztonsági rendellenességekre.