O solicitare de libertate de informare oferă informații despre activitatea grupului european de experți “Going Dark”, care are misiunea de a rezolva “problema criptării”.
Timp de aproape un an, așa-numitul Grup de experți la nivel înalt al UE privind accesul la date pentru o aplicare eficientă a legii (HLEG) a lucrat în spatele ușilor închise, în cadrul Războaielor criptografice, la găsirea unor soluții la “problema gravă” a criptării (“a deveni obscură”) identificată de politicienii și anchetatorii din domeniul afacerilor interne. Ca răspuns la o solicitare de libertate de informare din partea deputatului european Patrick Breyer (Partidul Piraților), Comisia Europeană a publicat acum o serie de prezentări – dintre care unele au fost redactate – care aruncă puțină lumină asupra discuțiilor. Astfel, practicienii și organismele de standardizare se concentrează în primul rând pe obținerea accesului la metadate și la datele de comunicare în timp real, chiar și pentru serviciile criptate de la un capăt la altul, precum WhatsApp, Signal și Threema.
Unitatea națională de asistență tehnică (NTSU) a poliției federale belgiene face cereri deosebit de importante în această direcție. “Accentul este pus pe datele în timp real – gestionate de OTT”, subliniază aceasta, referindu-se la platformele “over-the-top” care oferă utilizatorilor servicii precum mesageria direct prin intermediul internetului. Cel mai bun mod de a realiza acest lucru este prin contactul direct cu marile companii de tehnologie, de exemplu, care au de obicei sediul în UE și, prin urmare, trebuie să livreze. Unitatea de asistență tehnică se referă la acest lucru ca la o “abordare Yahoo”, deoarece se pare că această metodă funcționează deosebit de bine pentru furnizorul american, de exemplu pentru e-mail și căutare.
NTSU propagă o procedură prin “ușa din față”, care nu necesită uși din spate în produsele criptate. O autoritate de aplicare a legii ar trimite o cerere standardizată direct la unitatea de procesare a datelor a furnizorului de servicii OTT – eventual susținută de o autorizație a unui judecător. Aceasta din urmă trebuie să trimită un răspuns cu datele solicitate în aceeași formă standardizată, în mod securizat și într-un format “inteligibil” (aproape) în timp real. Acest lucru este “invizibil, discret și secret pentru ținta” investigației și neutru din punct de vedere tehnologic. “Ne place criptarea”, explică NTSU. “Chiar și atunci când este vorba despre criptarea end-to-end” (E2E). Cu toate acestea, astfel de mecanisme de protecție nu schimbă faptul că operatorul sau un furnizor terț comandat de acesta este obligat să predea datele în text simplu.
Revenirea centrelor de încredere nedemne de încredere?
Acest lucru nu se aplică comunicărilor din trecut, ci doar comunicărilor viitoare din momentul emiterii ordinului, precizează unitatea de poliție. Scopul este de a evita o cursă pentru tehnologiile de interceptare. NTSU respinge utilizarea alternativă a troienilor de stat și a altor forme de “hacking de stat”, care ar putea fi utilizate pentru a prelua date înainte sau după decriptarea pe dispozitivul utilizatorului final, de exemplu, ca fiind nesigură, costisitoare și uneori ineficientă. De asemenea, ar torpila cooperarea în cazul unor vulnerabilități. Operatorii de servicii cu E2E subliniază în mod repetat că ei înșiși nu au acces la comunicarea necriptată. Cu toate acestea, belgienii nu sunt interesați de acest lucru.
Comitetul Tehnic pentru Cibernetică al ETSI, autoritatea UE de standardizare a telecomunicațiilor, are în vedere o soluție în acest sens. Într-o diagramă, se face referire la o “parte autentificată de încredere”, care ar trebui să primească și să gestioneze o cheie de acces. Cu toate acestea, includerea unor astfel de părți terțe este considerată de ani de zile de către experții în securitate IT ca fiind un punct de ruptură incontestabil. De asemenea, echipa ETSI se arată interesată de un mandat de standardizare pentru “Lawful Access by Design”. De asemenea, Comisia Europeană pune în joc o standardizare mai intensă. De asemenea, aceasta face presiuni pentru “consolidarea și codificarea cooperării între societățile comerciale și autoritățile de aplicare a legii, astfel încât documentația tehnică a produselor și codurile sursă să fie partajate în mod voluntar”.
Instituția guvernamentală cu sediul la Bruxelles recomandă, de asemenea, “legi care să combată utilizarea dispozitivelor de criptare care se dovedește a fi folosite exclusiv pentru comunicarea între infractori”. Furnizorii de tehnologie ar trebui să fie obligați să “permită accesul la datele stocate pe dispozitivele utilizatorilor la cererea autorităților judiciare”. Alte prezentări includ păstrarea datelor și o potențială cooperare cu centrele de date Microsoft din Olanda.