Departament Sprawiedliwości Stanów Zjednoczonych i kilka zagranicznych rządów chcą mieć dostęp do naszej komunikacji. Czyżby jeszcze jej nie mieli?

E2EE

Kiedy wysyłamy SMS-y za pośrednictwem iMessage czy WhatsApp wiadomości te są chronione w sposób, w jaki komunikacja na większości innych platform nie jest. Powodem jest to, że programiści tych aplikacji używają „pełnego szyfrowania” („end-to-end encryption”, „E2EE”), które szyfruje wszystkie wiadomości przed opuszczeniem urządzenia nadawcy i może być odszyfrowane tylko przez urządzenie odbiorcy. Jedynym sposobem uzyskania dostępu do tych wiadomości i ich przeglądania jest odblokowanie telefonu nadawcy lub odbiorcy i otwarcie aplikacji. Co ważne, ani sam twórca aplikacji, ani dostawcy usług internetowych nie mogą zobaczyć zaszyfrowanej komunikacji, nawet jeśli są one przechowywane na jednym z ich serwerów.

To się nie wszystkim podoba

Pisaliśmy już na TeamQuest o tym jak sojusz pięciorga oczu patrzy na to co piszemy i chce to rozumieć. Innymi słowy, urzędnicy wzywają twórców aplikacji do udostępnienia organom ścigania tylnych drzwi do zaszyfrowanych aplikacji.

To wypacza ideę szyfrowania E2EE. Szyfrowanie typu end-to-end to forma komunikacji, w ramach której tylko komunikujący się użytkownicy mogą czytać wiadomości.

Dlaczego to takie ważne

Zwolennicy E2EE chwalą jego zdolność do zwiększania prywatności i ochrony użytkowników przed hakowaniem danych podczas przesyłania danych. Co więcej, E2EE chroni nie tylko wiadomości tekstowe. Narzędzia te chronią dane bankowe czy finansowe i są używane między innymi przez firmy i konsumentów z branży transportowej, produkcyjnej, logistycznej, opieki zdrowotnej i obronnej. Szyfrowanie odgrywa kluczową rolę w ochronie danych osobowych, prywatności, własności intelektualnej, tajemnic handlowych i bezpieczeństwa cybernetycznego. To nie są tylko czcze słowa publicystów - Rada Praw Człowieka ONZ zwróciła ostatnio uwagę na znaczącą rolę, jaką prywatność odgrywa w wolnych społeczeństwach.

Z drugiej strony władze coraz większej liczby państw i inni przeciwnicy E2EE postrzegają E2EE jako zagrożenie dla zdolności krajów do prowadzenia dochodzeń w sprawie przestępstw oraz do utrzymania prawa i porządku.

Potrzebny balans

Powstaje zatem pytanie, czy szyfrowanie typu end-to-end stwarza tak poważne zagrożenie dla bezpieczeństwa i dobrobytu osób, że koszty te przeważają nad korzyściami wynikającymi z zastosowania technologii.

Sprawdź oferty pracy na TeamQuest

To co interesuje programistów to fakt, że stosowanie E2EE stwarza obecnie pewne ryzyko dla twórców aplikacji. Konsumenci - z których większość może nie rozumieć niuansów między różnymi metodami i narzędziami szyfrowania danych - wyraźnie chcą silnego szyfrowania i naturalnie woleliby żeby nikt nie był w stanie ukraść ich danych osobowych. Żądanie konsumentów wywiera presję biznesową na twórców aplikacji, aby dostarczali E2EE i inne narzędzia zabezpieczające dane.

Jednak twórcy aplikacji są narażeni na ryzyko sporów sądowych. Czemu? Obecnie tzw. typowy konsument może założyć, że wszystkie aplikacje komunikacyjne mają pewien poziom zaawansowanej ochrony i szyfrowania danych, czy to E2EE, czy coś podobnego. Gdy dane użytkownika zostaną zhakowane przez słabe zabezpieczenia w konkretnej aplikacji (słabsze niż stosowane u konkurencji, jako „średnia rynkowa”), sami twórcy aplikacji mogą stać się celami pozwów dotyczących domniemanego zaniedbania lub innych działań albo zaniechań związanych z naruszeniem bezpieczeństwa danych.