30.10.2022
Šifrování v ohrožení: Evropská komise se chystá hrubě porušit naše soukromí
Česká verze komentáře, který původně vyšel v deníku Politico. Už i Evropská unie podlehla mýtu, že je možné zachovat naše bezpečí, oslabíme-li právě to, co nás chrání: koncové šifrování.
Silné koncové (end-to-end) šifrování je stěžejní součástí bezpečného a důvěryhodného internetu. Chrání nás, kdykoli provádíme online transakci, sdílíme zdravotní informace nebo komunikujeme s přáteli a rodinou.
Silné šifrování chrání i děti — umožňuje jim bez obav komunikovat s kamarády a rodinnými příslušníky, stejně jako jiným zase umožňuje důvěrně nahlašovat online zneužívání a obtěžování. Zachovává naše osobní data osobními, a naše soukromé konverzace soukromými.
Nyní ale tato základní technologie čelí ohrožení ze strany Evropské komise.
Nová regulace EU, která deklaruje cíl bojovat se sexuálním zneužíváním dětí online, požaduje po internetových platformách, včetně chatovacích aplikací s koncovým šifrováním, jako je Signal a WhatsApp, aby „detekovaly, nahlašovaly a odstraňovaly“ vyobrazení sexuálního zneužívání dětí sdílená na jejich platformách. Pokud by však měly něco takového dělat, musely by platformy automaticky prohlížet úplně každou zprávu — což je proces známý pod anglickým pojmem „client-side scanning“.
Nejen že jde o hrubé narušení soukromí — nemáme ani důkaz, že by existovala technologie, která něco takového dokáže dělat účinně a bezpečně, aniž by podrývala zabezpečení poskytované koncovým šifrováním. Ba co hůř, jakkoli je regulace motivovaná bohulibým záměrem, jejím výsledkem bude oslabení šifrování — a tedy méně bezpečný internet pro všechny.
Jen před dvěma měsíci informovaly The New York Times, že Google identifikoval lékařské fotografie intimních částí chlapcova těla, které pořídil jeho otec v San Franciscu, jako materiál sexuálního zneužívání dětí. Muž přitom poslal fotografie lékaři — s jeho souhlasem — s prosbou o lékařskou radu pro svoje dítě, dočkal se však zablokování svého účtu a stal se předmětem policejního vyšetřování.
Nové regulace by platformám udělovaly právě taková povinná opatření a vynucovaly je poměrně značnými pokutami až do výše šesti procent celosvětového obratu „pachatele“ — což by technologické společnosti motivovalo k přílišné horlivost čistě ze strachu, aby neporušily nová pravidla. Také to značně zvyšuje možnost označování podobných „falešně pozitivních“ výsledků se zničujícími potenciálními důsledky pro životy nevinných lidí.
EU přitom současně sama spoléhá na šifrování při ochraně bezpečnosti svých členských států i evropského bloku jako celku. Bezprostředně po invazi Putinova Ruska na Ukrajinu ovládly bezpečně šifrované aplikace statistiky online stahování, když občané Ukrajiny začali stahovat chatovací služby s koncovým šifrováním, aby mohli bezpečně komunikovat s přáteli a rodinou.
Stejně tak i sama Evropská komise vyzvala svoje zaměstnance k používání Signalu, aby zabezpečili svou komunikaci. Se stále agresivnější a nepředvídatelnější ruskou vládou za dveřmi by oslabení šifrování mohlo mít pro bezpečnost Evropské unie katastrofické důsledky.
Evropská Pirátská strana souhlasí s tím, že je potřeba dělat víc v boji se sexuálním zneužíváním dětí online, tato regulace ale není cesta. Návrh Evropské unie již kritizovali watchdogové organizace se specializací na ochranu soukromí — ozval se Evropský sbor pro ochranu osobních údajů a Evropský inspektor ochrany údajů. Ty také vydaly společné prohlášení, ve kterém volají po změnách v regulaci.
Organizace označují návrhy Komise jako „vysoce invazivní a nepřiměřené“ a argumentují, že vznesením požadavku, aby digitální platformy oslabovaly šifrování, navržené regulace porušují články 7 a 8 Listiny základních práv Evropské unie — jmenovitě právo respektování soukromého a rodinného života, stejně jako právo na ochranu osobních údajů.
Poslední návrhy regulací jsou jen poslední v dlouhé řadě snah vlád oslabit koncové šifrování. Byli jsme již svědky volání po tom, aby platformy nechávaly „zadní vrátka“ pro vymáhatele práva, kteří by tak získali přístup do soukromých konverzací. Teď ovšem žádají platformy rovnou o to, aby nás špehovaly.
Evropská unie podlehla mýtu, že je možné zachovat naše bezpečí tím, že oslabíme právě to, co nás chrání. Když ale vytvoříte zadní vrátka pro vymahatele práva, vytvoříte spolu s tím i slabinu v systému pro všechny.
Kriminální gangy a další „zlí“ aktéři budou umět těchto slabin využívat, aby se dostali k soukromým údajům, což může ohrozit národní bezpečnost, nebo třeba prolomit zabezpečení finančních institucí. Umožní jim to páchat podvody a získat přístup k osobním informacím, které budou moci využít k vydírání a obtěžování nevinných lidí po celém světě.
A kromě toho je rovněž pro platformy zhola nemožné oslabit šifrování výhradně pro uživatele v rámci Evropské unie — jakákoli redukce bezpečnosti by ovlivnila uživatele digitálních platforem po celém světě. Například v Británii, kde navrhli podobnou legislativu, společnost Whatsapp již naznačila svou ochotu opustit tamní trh, pokud bude nucena oslabit svoje šifrování.
To samé by se mohlo stát všude v Evropě — mohli bychom se stát digitální pouští, zcela bez větších platforem, které by byly ochotné plnit evropská pravidla. To by vytvořilo novou překážku pro evropské firmy soupeřící na globálních trzích.
Teprve před pár dny, 21. října, se spojila koalice organizací občanské společnosti, představitelů byznysu, bezpečnostních expertů a obhájců svobodného internetu, aby oslavila druhý Global Encryption Day, a postavila se tak za šifrování všude tam, kde je v ohrožení — od Brazílie a Indie přes Británii až po náš domov zde v Evropské unii. Je zapotřebí, abychom se přidali.
Všichni si přejeme internet, který bude bezpečný pro každého. Ale oslabit šifrování naši bezpečnost nezvýší, a rozhodně neuchrání děti před zneužíváním. Můžeme se však spolehnout, že se všichni staneme zranitelnějšími.