Hlavní navigace

Silné šifrování vs. bezpečnost společnosti. Jak je to s naším právem „zmizet do temnoty“?

Autor: Depositphotos
Karel Wolf

Zavádění silných šifrovacích technologií do koncových zařízení, ochrana soukromí a bezpečnost společnosti nevyhnutelně směřují k vzájemnému konfliktu. Máme právo na „Going Dark“?

Doba čtení: 7 minut

Sdílet

Ve středu 26. června zasedla v USA Národní bezpečnostní rada, pracovní skupina složená z vedoucích pracovníků americké vlády. Diskutovala o tom, zda nepožádat Kongres Spojených států o přijetí zákona, který by zakázal společnostem používat formy end-to-end šifrování, jež silové složky státu nemohou prolomit. 

Zákaz, s jehož návrhem přišel prezident Donald Trump, by měl poměrně rychle celosvětové dopady (například patrně konec šifrované komunikace v IM aplikacích i v řadě koncových mobilních zařízení). Úředníci se nakonec na jednotném postupu neshodli, problém samotný ale nezmizel. Existuje navíc poměrně dlouho a není z Trumpovy hlavy. Generální prokurátor Spojených států William Barr se pro změnu snaží do legislativy prosadit povinnost firem poskytovat k jejich šifrovaným technologiím zadní vrátka.

Spor mezi veřejností, technologickými společnostmi a federálními orgány USA v otázce „vstupu do temnoty“ (Going Dark) se táhne už od 70. let minulého století. National Bureau of Standards (dnešní NIST) tehdy začalo pracovat na Data Encryption Standardu (DES) a Národní bezpečnostní agentura (NSA) ve jménu národní bezpečnosti trvala na tom, aby byl DES omezen pouze na 56bitový klíč.

Spor od té doby prošel řadou kapitol. Obzvláště výrazné byly zejména „crypto wars“ 90. let. V roce 1997 tehdejší ředitel FBI Louis Freeh poprvé veřejně varoval před tím, že silné šifrování může ochromit schopnost země bojovat proti terorismu a zločinu. Stále ale ještě nešlo o téma, které by se těšilo zájmu široké veřejnosti. 

USA vs. Apple

To se změnilo v roce 2014, kdy je zviditelnil tehdejší šéf FBI James Comey svým proslovem na téma, zda šifrovací technologie, ochrana soukromí a bezpečnost společnosti nevyhnutelně nesměřují k vzájemnému konfliktu. Hlavní obavou Comeyho bylo to, že justiční orgány a policie nebudou mít do budoucna možnost proniknout do zařízení osob podezřelých z trestné nebo společensky nebezpečné činnosti. A to i přesto, že budou disponovat povolením soudu nebo jiného orgánu.

Dva roky na to celý svět napjatě sledoval kauzu USA vs. Apple, kdy federální úřady tlačily na výrobce iPhonů, aby jim odemkl zařízení Rizwana Farooka, jednoho z teroristů vraždících v roce 2015 v San Bernardinu. FBI se tehdy opírala o 200 let starý předpis Kongresu. Ten v roce 1789 přijal zákon All Writs Act, podle kterého získávají soudy obecné právo, které jim z pohledu práva umožňuje řešit veškeré nezbytné okolnosti nápomocné při výkonu jejich pravomoci. 

Toto generální zmocňující ustanovení později v řadě konkrétních situací ustoupilo novějším podrobnějším zákonům, jsou ale i takové situace, kde speciální zákonná úprava chybí. FBI tehdy požádala Apple, aby zpřístupnil backdoor iOS pro extrahování dat ze smartphonu, společnost to ale odmítla s odůvodněním, že by tak ohrozila kredibilitu a bezpečnost svého mobilního operačního systému. FBI se následně obrátila na soukromé společnosti nabízející průnik do mobilních zařízení a po úspěšném průlomu už naplánované soudní přelíčení s Applem zastavila.

Odevzdejte klíče

Pro používání silných end-to-end šifer veřejností, která pak není viditelná například pro orgány činné v trestním řízení, se vžil termín Going Dark, který se uchytil především u vládních kruhů. V současné době se výraz nejčastěji skloňuje v souvislosti s šifrováním mobilních elektronických zařízení nebo Instant Messagingu (IM). Termín samotný pochází ze slangu zpravodajských služeb a armády pro utajení stylem „ztichnout“ a nekomunikovat s nikým po stanovenou dobu.

Spor mezi složkami státu činnými v trestním řízení, společnostmi integrujícími silné end-to-end šifrování do nástrojů běžné komunikace a veřejností praktikující Going Dark jako nikdy před tím dále pokračuje. A to i přesto, že se zatím daří silovým orgánům zabezpečení a šifrování komunikace prolamovat. 

Kolem silného zabezpečení koncové komunikace se totiž vytvořil sekundární byznys s technologiemi, které se specializují na průniky do šifrovaných zařízení. Problém je, že takový postup řeší pouze dílčí následky. Obtížně prolomitelné end-to-end šifrování se navíc od roku 2014 rozšířilo tak, že se stává de facto standardem jak v chytrých mobilních zařízeních, tak v IM komunikaci. Stále dokola, a netýká se to pouze USA, se tak objevují návrhy na právní úpravu, která by v tomto aspektu omezila ochranu soukromí – např. by přinutila výrobce zařízení umístit backdoor nebo k zařízením odevzdávat „golden key“.

Přestože svět dnes v boji o právo na Going Dark upírá zrak hlavně na USA, existuje už nezanedbatelné procento jurisdikcí, které dešifrování na požádání nebo povinné vydávání klíčů vyžadují. Příklady nalezneme dokonce v Evropě. 

Dešifrovat, nebo jít do vězení

Belgie má například „Loi du 28 novembre 2000 relative à la criminalité informatique“ (Zákon o počítačové kriminalitě z 28. listopadu 2000), jehož článek 9 umožňuje soudci nařídit poskytnutí pomoci bezpečnostním složkám, včetně povinného dešifrování. Oslovený navíc musí o poskytnutí součinnosti zachovávat mlčenlivost. Zákon nicméně nelze použít přímo proti podezřelým a osobám jim blízkým. Za odmítnutí součinnosti hrozí až roční vězení nebo pokuta do 100 000 eur. 

Finsko má pro změnu „Pakkokeinolaki“, zákon o donucovacích prostředcích 1987/450 (ve znění zákona 2007/541), jehož § 4a přikazuje, aby oslovená osoba vydala policii nezbytná hesla a další informace, aby bylo možné získat přístup k uloženým informacím. Povinnost se opět netýká samotného podezřelého a „dalších určených osob“. 

Francie má svůj neblaze proslulý Loi no2001–1062 du 15 novembre 2001 relative à la sécurité quotidienne (Zákon 2001–1062 o komunitní bezpečnosti z 15. listopadu 2001), jehož článek 30 umožňuje soudci a státnímu zástupci vyžadovat prakticky po komkoli dešifrování nebo poskytnutí klíčů k získání jakékoli informace, která byla odhalena při vyšetřování. Za odmítnutí hrozí vězení na 3 roky a pokuta 45 000 eur. 

A konečně Spojené království má Regulation of Investigatory Powers Act 2000 (RIPA), který ukládá povinnost poskytovat zástupcům státu dešifrované informace nebo privátní klíče. Za odmítnutí hrozí vězení na dva roky. Velká Británie, Německo a Francie se navíc průběžně pokoušejí prosadit ještě konkrétnější legislativu, která by dále podkopávala možnosti kryptografie v rukou veřejnosti.

Na druhé straně spektra se objevují návrhy (většinou ze strany nevládních organizací) právních úprav, které by ochranu soukromí posílily (zavedením práva šifrovat, zákazem pro výrobce do zařízení zavést backdoor). Organizace věnující se ochraně lidských práv argumentují například tím, že zatímco oslabení ochrany soukromí ve vyvinutých zemích může sice (teoreticky) pomoci boji s terorismem a organizovaným zločinem, v rozvojových zemích nebo v zemích s nestabilní politickou situací může naopak vést ke sledování „nepohodlných“ osob, jejich uvěznění a případně i likvidaci. 

Ostatně je klidně možné, že je celá hysterie okolo šifrované komunikace silně přehnaná. Před příchodem internetu, mobilů a sociálních sítí také orgány vynucující právo neměly k dispozici každé slovo dotyčného jako důkaz. Místo toho od druhé světové války celkem úspěšně využívaly nepřímé metody, jako je analýza provozu (zkoumala čas, umístění, odesílatele, příjemce atd., nikoli ale přímo obsah). Možná je na čase se k tomu vrátit, komunikačních metadat ostatně dnes mají úřady k dispozici mnohem více než kdykoli předtím.

Going Dark z pohledu současného českého práva

„Z čistě koncepčního hlediska je Going Dark sporem mezi za a) obecně uznávaným právem složek pod názvem law enforcement (v českém právu orgány činné v trestním řízení, při řešení Going Dark pak nejčastěji policie), které mají právem aprobované oprávnění zachytit informace a přistupovat k informacím na základě svolení soudu, a za b) nemožností tyto informace zachytit nebo k nim přistoupit, protože jim chybí příslušná technická schopnost dané svolení soudu využít. Osoby používající příslušná zařízení pak mají možnost ‚zmizet do temnoty‘, kde na jejich data orgány činné v trestním řízení nedosáhnou,“ shrnuje problematiku právnička Hana Gawlasová, partnerka advokátní kanceláře Squire Patton Boggs. 

ebf19-tip-firmy

„Otázka Going Dark je často zjednodušována na otázku ochrany soukromí jednotlivce a otázku legitimního očekávání bezpečnosti veřejnosti a otázky, co by mělo dostat přednost, ale pod tím se skrývají další. Může legitimní vláda vyžadovat na výrobcích mobilů, aby v nich nechávali tzv. backdoor, tedy bezpečnostní pojistku, která orgánům činným v trestním řízení umožní se do mobilu dostat? Znamená povinnost zřídit backdoor omezení konkurenceschopnosti výrobců mobilních zařízení? Měla by existovat odlišná úprava pro data již uložená na zařízení a data in motion (probíhající telefonáty, přicházející e-maily a živé chaty)? Lze nějaké společnosti zakázat, aby vyráběla produkty s tak silným šifrováním, že ani samotný výrobce nebude schopen šifrování prolomit? Je možné někoho nutit, aby vytvořil takovou technologii, která na žádost orgánů činných v trestním řízení prolomí bezpečnost jeho vlastních výrobků?“ vyjmenovává dále.

„Soukromí je v Česku Ústavou a Listinou základních práv a svobod chráněný statek, který je velmi intaktní a jehož podmínky ochrany jsou rozumně definovány. Stejně tak jako možnost orgánů vymáhajících právo nebo činných v trestním řízení získávat informace nebo přístup k nim na základě svolení soudu (a ve výjimečných případech i předtím, než je svolení soudu získáno) je regulována v dostatečném detailu,“ uzavírá Gawlasová, která se domnívá, že další právní úprava u nás není potřeba.