Érthető, hogy az újkori népvándorlási hullám és a közel-keleti radikalizmus terjedése nyomán ismét igen élesen fogalmazódik meg a kérdés: a bűnüldözés vagy a személyiségi jogok védelme élvezzen elsőséget. Az ezredforduló tájékán már-már úgy tűnt, az adatvédők javára billen a mérleg, azóta azonban ismét erősödni látszik a rendvédelmi szervek pozíciója, annak ellenére, hogy a törvény az NSA-t adatbázisának felszámolására kötelezi.
Titkos üzenetek
Egymással szembenálló felek már az ókorban is alkalmaztak titkosítást: a spártai és athéni harcosok a küldöncök fejbőrére írt jelekkel hozták-vitték a kézbesítésig kinőtt haj által elrejtett, s így titkosított üzeneteket. A 21. században nagyságrendekkel több üzenetváltásról és teljesen más körülményekről beszélhetünk: a digitális térben ugyanazokon a csatornákon továbbítódnak nemzetbiztonsági szempontból veszélyes és teljesen magánjellegű üzenetek; ipari titkok és tőzsdei információk; sifrírozott jeladások és kódolt felhívások. A titkosszolgálatoknak a nap minden percében hanghívások és üzenetváltások milliói közül kell kiszűrniük azokat, amelyekért a kormányuk létrehozta és fenntartja őket - ez a cél persze lehet országonként eltérő, akárcsak a lakosság személyiségi jogait hangsúlyozó civilszervezetek érdekképviseleti ereje -, ám az ENSZ állásfoglalása szerint semmiképpen sem volna szabad átlépniük a magánélet védelmét szolgáló titkosítás küszöbét.
Jelenleg tehát igen keskeny mezsgyén egyensúlyoznak a szembenálló felek: a rendvédelmi szervek a bűnmegelőzésre, a civilek és a high-tech cégek a magánélet védelmére hivatkoznak. Utóbbiak közül csak három ismertebbet emelve ki: az Apple, a Google és a Microsoft szóvivői egyaránt az erős titkosítás mellett törnek lándzsát. Más kérdés, hogy a felhasználók igényeinek, érdeklődési körének feltérképezése - a csatornák végponttól végpontig tartó titkosítása ellenére is - fontos üzleti cél lehet az említett cégeknél, s hiába titkosított az adatáramlás, az adatbázisokba került metaadatokból személyes adatok is kibányászhatók. A nyomozóhatóságok kizárása az adatfolyamból tehát nem feltétlenül jelenti azt, hogy érzékeny felhasználói adatokat tartalmazó, kormányszervek nyomására vagy kérésére kiadható adatbázisok sem keletkeznek.
Kémkérések
Annyit Edward Snowden és a Wikileaks szivárogtatásai alapján biztosan tudunk, hogy az NSA emberek millióit, köztük politikusok, üzletemberek, vállalati és banki tisztviselők sokaságát hallgatta le éveken át. Ez azonban csak a hírek egyik, ismertebb fele. Kiberkémkedés és -háború a nyugati és keleti féltekén, az északi és a déli félgömbön egyaránt zajlik. Ez a háború globális, Snowden pedig csupán néhány szereplőjét tette közszemlére. Holott a hátsó ajtó megnyitása, függetlenül attól, hogyan tettek szert a kulcsokra, a gyorsabbaknak ad előnyt. A behatolók, jöjjenek bárhonnan, államigazgatási szervek működését béníthatják meg, mint néhány éve a balti államokban, illetve kormányzati tisztviselők aktáit, hadiipari gyártmányok tervrajzait szerezhetik meg, mint nemrégiben az Egyesült Államokban.
Mindezeket szem előtt tartva kellene mérlegelni, szabad-e kormányzati felhatalmazást adni a titkosszolgálatoknak akár az eddig gyűjtött adatok elemzésére, akár a további adatgyűjtésre (bár a kérdésben aligha dönt népszavazás). Politikai szempontból máris megosztottság látszik, hiszen például a brit miniszterelnök a terrorelhárítás érveire hajlik, műszaki szempontból viszont holtbiztos, hogy egyelőre maradnak nyitva hátsó ajtók.
Tartós nyomás
Noha a Nemzetbiztonsági Ügynökség, az NSA november 29-től már nem futtathat éles kereséseket az adatbázisokban, jövő februárban pedig fel is kell azokat számolnia, mert lejár az a hidegháborús időkből maradt passzus, amely engedélyezte az állami szerveknek a titkos adatgyűjtést, az adatbázisok megsemmisítése nem jelenti egyúttal a hátsó ajtók bezárását, hiszen a működő szoftverek és berendezések még használatban maradnak.
Indokoltnak tűnik tehát azoknak a kriptográfiai és IT-biztonsági szakembereknek az aggodalma, akik szerint kezelhetetlen helyzetekhez, sőt az internetes szolgáltatásokba vetett bizalom összeomlásához vezet, ha a titkosszolgálatok kivételes hozzáférést kapnak az informatikai rendszerekhez. Ugyanakkor James Comey FBI-igazgató és a mögötte felsorakozó titkosszolgálati és rendvédelmi szervek azt hangsúlyozzák, hogy behozhatatlan hátrányba kerülnek az internetes bűnözőkkel és az interneten szerveződő terrorista csoportokkal szemben, ha nem tudnak hátsó ajtókon belépni a kommunikációs csatornáikba; nem tudják meglepni a Torhoz hasonló titkosítást és anonimitást biztosító szolgáltatások mögé bújó személyeket.
Műszaki visszalépés
Ezzel szemben az MIT kutatói szerint az FBI
• ezekkel a módszerekkel sem tudott komoly sikereket elérni;
• ráadásul kivételes jogosultságai az internet egészére kiható biztonsági kockázatokat rejtenek;
• komoly jogi és etikai aggályokat vetnek fel;
• rombolják az online alkalmazások biztonságába vetett bizalmat;
• végül visszalépést jelentenek az elért biztonsági szinttől éppen egy olyan időszakban, amikor az internetes sérülékenységek amúgy is súlyos gazdasági károkat okoznak.
Mégis miért? Mindenekelőtt azért, mert a kormányzati hátsó ajtó meghagyása a már bevált módszerekkel való szakítást jelenti. E módszerek közé tartoznak a kulcsmegosztó algoritmusok, amelyeknél a munkamenet-kulcsok biztonsága akkor sem sérül, ha az állandó kulcsot feltörik, illetve hiába hallgatja le és tárolja el valaki a kommunikációt, azt a később megszerzett titkos kulcsok segítségével sem tudja visszafejteni, mert a kommunikáció során a felek minden üzenetváltáshoz külön véletlen generált kulcsot használnak. (A perfect forward secrecynek nevezett eljárás használata éppen az NSA 2013-as leleplezése óta terjed széles körben.) Amennyiben a gyártók engedni kényszerülnének a kormányzati szervek nyomásának, a jövőben le kellene mondanunk a hitelesített titkosításról is, amelynél ugyanaz az átmeneti kulcs szavatolja a bizalmas továbbítást és igazolja azt, hogy az üzenethez más nem fért hozzá, annak tartalmát nem változtatta meg.
Az MIT szakértői szerint a műszaki megoldások kidolgozásához, teszteléséhez és piaci bevezetéséhez szakemberek százezreinek közreműködésére volna szükség. A maximális titoktartást igénylő megoldások ilyen széleskörű biztonsági tesztelése aligha lehet igazán hatékony, a kész rendszer pedig lényegesen összetettebb volna, mint a ma használt elektronikus megfigyelő rendszerek - összegezte a kialakult helyzetet amerikai testvérlapunk.
Tegyük fel, hogy mégis sikerül hibátlan megoldást létrehozni! Kinél legyen a titkosítást feloldó kulcs? Az eszköz gyártójánál? A hatóságnál? Valamelyik harmadik félnél? A legjobb gyakorlatok szerint a kulcsokat célszerű elosztani vagy másutt tárolni. Ám ha így lesz, a bűnüldöző szervek ismét nem tudnának azonnal lecsapni, ha kiszagolnak valami gyanúsat.
Biztos helyen volnának a kulcsok az FBI-nál? Aligha. Elég, ha a szövetségi alkalmazottak és hozzátartozóik adatainak eltulajdonítására gondolunk. A hackereknek nem volna más dolguk, mint behatolni a titkosszolgálati adatbázisba, és máris a kezükbe kerülne a mindent nyitó kormányzati aranykulcs. Egy szó mint száz: nincs olyan hátsó ajtó, amit csak a jófiúk tudnak kinyitni.
Erkölcs és biztonság
Egyetért a testvérlapunkban írottakkal Dr. Muha Lajos alezredes, a Nemzeti Közszolgálati Egyetem főiskolai tanára, ugyanakkor rámutat: a titkosszolgálatok az államot védik, és az állam biztonsága érdekében - mondják - semmi sem nagy ár. A világ összes titkosszolgálatának érdeke, hogy létezzenek számukra ezek a bizonyos hátsó ajtók, s a saját szempontjukból igazuk is van!?
A probléma - folytatja a magyar informatikai biztonsági szakember - kettős: biztonsági és erkölcsi. "A biztonságit úgy tudom legjobban érzékeltetni, hogy a kulcsot nem szabad a lábtörlő alá tenni, mert ott a betörő is megtalál(hat)ja. Arról már ne is beszéljünk, hogy ha a rosszfiúk felfedeznek egy, a titkosszolgálatok számára létrehozott hátsó ajtót, akkor akár nagyobb kárt is okozhatnak, mint amit elhárítani igyekeztek ezzel."
Az erkölcsi dilemma pedig szerinte az, hogy az állam védelmezői, a katonák, rendőrök, titkosszolgák felesküsznek arra, hogy a hazájukat az életük árán is megvédik. Nekik ez a feladatuk. De vajon a cél tényleg szentesít minden eszközt? Meddig mehetünk el a "demokrácia védelmében" a demokrácia ellenében? Ezt - fogalmaz az alezredes - már nem a titkosszolgák (katonák, rendőrök) feladata meghatározni, hanem azoké a politikusoké, akik feladatot szabnak számukra. Csak nekik is nehéz megtalálni azt a bizonyos arany középutat.
Keleti Arthur, az ITBN főszervezője és ötletgazdája szerint ennek a témának olyan sok dimenziója és rétege van, hogy aligha találhatunk rá univerzálisan jó megoldást. Az emberiség történelmében először szembesül olyan helyzettel, amikor a kényes adatok felfoghatatlanul nagy mennyisége találkozik sokmilliárd felhasználó eltérő szándékával egyszerre, folyamatosan és valós időben. Gondoljunk csak a hacking motivációjának sokszínűségére a hacktivizmustól a katonai kiberműveleteken át a terrorizmusig!
A titkosítás jó ötletnek tűnik, de a technológia nem ismeri az adatkezelő szándékát, azt pedig végképp nem tudja eldönteni, hogy kiadhatja-e a titkát. Nyugodtan feltételezhetjük, hogy minden adatkezelő (a magánembertől a titkosszolgálatig) teljes mértékben a saját érdekei mentén reagál. Nem várhatjuk el a titkosszolgálatoktól vagy a bűnüldöző szervektől, hogy ilyen helyzetben ne gyűjtsék az adatainkat. Ugyanakkor minden magánembernek joga van ahhoz, hogy más ne tekinthesse meg az adatait az engedélye nélkül. A dolgot tovább nehezíti a gazdasági, állami szervezeteket és a társadalmi rendszert behálózó, globális és kölcsönös érdekrendszer, mert ennek köszönhetjük a szoftverekbe épített hátsó ajtókat, és ezért lesznek ott még egy jó darabig, valószínűleg örökké.
Természetesen Magyarországon ugyanúgy fáj, hogy léteznek ilyen hátsó kapuk, mint a világban máshol. Főleg azért, mert keveset tudunk róluk, és emiatt a bennük rejlő kockázatokat sem tudjuk megfelelően felmérni. De ne legyenek illúzióink, itthon pontosan ugyanúgy működnek azok a mechanizmusok, amelyek ezeket nyitva tartják, mint máshol.
