Walka o prywatność, czyli komu przeszkadza szyfrowanie?
Czy szyfrowanie komunikacji, będące gwarancją prywatności, stanowi zagrożenie dla bezpieczeństwa? Dlaczego Unia Europejska rozważa wymuszenie zmian w tym obszarze? Dzisiaj zajmiemy się tym ważnym i aktualnym tematem.
Autorem wpisu jest Łukasz Jachowicz (@ljachowicz) specjalista ds. cyberbezpieczeństwa, prezes stowarzyszenia Internet Society Poland oraz współautor podcastu „Cyber, cyber…” poświęconego kwestiom bezpieczeństwa w świecie nowoczesnych technologii.
Unia Europejska rozważa osłabienie mechanizmów szyfrowania wykorzystywanych w internecie. Pretekstem, jak zwykle przy tego typu próbach, jest walka z terroryzmem, zorganizowaną przestępczością i pedofilią. Choć na pierwszy rzut oka umożliwienie policji zaglądania na konta przestępców może wyglądać na świetny pomysł, to w praktyce jest rozwiązaniem niemożliwym do zaimplementowania bez całkowitej rezygnacji z ochrony danych w sieci.
Datowany na 6 listopada dokument Rady Unii Europejskiej jest projektem stanowiska zatytułowanego Bezpieczeństwo poprzez szyfrowanie i bezpieczeństwo pomimo szyfrowania. Dowiadujemy się z niego, że szyfrowanie chroni rządy, infrastrukturę krytyczną, społeczeństwo obywatelskie, obywateli i przemysł, zapewniając prywatność, poufność i integralność komunikacji i danych. Jednocześnie istnieje możliwość wykorzystywania gotowych narzędzi szyfrujących przez przestępców, co utrudnia działania obrońcom prawa.
W związku z tym powinno się, według RUE, podjąć prace nad znalezieniem mechanizmu zapewniającego uczciwym obywatelom możliwość skorzystania z dobrodziejstw szyfrowania, a jednocześnie pozwalającego odpowiednim służbom zaglądanie do chronionych danych.
Kłopot polega na tym, że jest to niewykonalne.
To nigdy nie działało
Próby zmniejszenia skuteczności powszechnie dostępnej kryptografii podejmowane są od lat. Najbardziej znanym przykładem jest Clipper – układ szyfrujący opracowany na potrzeby urządzeń szyfrujących przeznaczonych również na rynek cywilny. Każdy egzemplarz Clippera miał wbudowany unikalny backdoor i służba chcąca podsłuchać dane urządzenie mogła skorzystać z przechowywanego w “bezpiecznym” miejscu kodu umożliwiającego odszyfrowanie.
W praktyce Clipper nigdy nie osiągnął popularności, bo nikt nie chciał korzystać z urządzeń podsłuchiwalnych przez amerykańskie służby, a i w samym algorytmie szyfrowania znaleziono błędy pozwalające każdemu zdekodować chronione treści. Clipper szybko wylądował na śmietniku historii.
Innym przykładem prób ograniczenia szyfrowania było amerykańskie prawo zakazujące eksportu silnej kryptografii poza teren USA. Zostało ono ominięte przez twórców programu PGP, którego kod źródłowy został wydrukowany, a następnie wprowadzony ponownie do komputera już poza amerykańską jurysdykcją. Sądy uznały, że odbyło się to zgodnie z prawem, bo eksportowi podlegała książka – nie program – a książki są chronione przez prawo do wolności wypowiedzi.
Jedynym skutkiem długotrwałego ograniczania możliwości eksportu z USA silnych programów kryptograficznych było spowolnienie rozwoju raczkującej wówczas gospodarki internetowej. Powód był prosty – międzynarodowe wersje popularnych przeglądarek nie mogły szyfrować (na przykład) danych kart kredytowych w sensowny sposób.
Kto skorzysta na słabej kryptografii?
Powyższe przykłady doskonale obrazują największe problemy ze sztucznym ograniczaniem dostępu do silnej kryptografii. Po pierwsze – produkty o osłabionym bezpieczeństwie nie znajdą klientów. Obowiązkowe osłabienie europejskich programów otworzy szeroko drogę konkurencji z innych państw. Po drugie – potrzebujący silnej kryptografii i tak znajdą rozwiązanie. W czasach raczkującego internetu trzeba było obejść prawo, drukując kod źródłowy programu PGP, w dzisiejszych – wystarczy wejść na odpowiednią stronę i ściągnąć dostępny tam skuteczny program szyfrujący. Po trzecie – ograniczenie dostępu do silnej kryptografii mocno ułatwi życie dwóm grupom: przestępcom i szpiegom. Ci pierwsi uzyskają łatwiejszy dostęp do dziś dobrze chronionych danych. Ci drudzy – podobnie, tylko na masową skalę.
Warto pamiętać, że dobrze zaprojektowane rozwiązania kryptograficzne zapewniają poufność nawet w sytuacji, gdy kanał transmisji jest niezaufany. Obecnie, w kontekście łączności 5G, trwa dyskusja nad bezpieczeństwem instalacji dostarczanych przez Chiny.
Dziś wykorzystywana kryptografia end-to-end zapewnia bezpieczeństwo przesyłanych danych, nawet gdyby okazało się, że rację mają oskarżający chińskie koncerny o szpiegowanie na rzecz ChRL. Próba ograniczenia skuteczności szyfrowania zaowocuje ułatwieniem dostępu do przesyłanych danych wszystkim, którzy mają dostęp do infrastruktury telekomunikacyjnej.
Istotny problem, złe rozwiązanie
Co ciekawe, omawiany dokument doskonale diagnozuje problem ze współczesnymi służbami. Uzasadnienie wprowadzenia ograniczeń zaczyna się od słów: “W tym samym czasie służby są coraz bardziej zależne od dostępu do dowodów w formie elektronicznej, by skutecznie walczyć z terroryzmem, zorganizowaną przestępczością, wykorzystywaniem seksualnym dzieci […]”
Problemem współczesnych służb nie jest szyfrowanie komunikacji przez przestępców. Oni zawsze próbowali ukryć się przed policją – czy to spotykając się nocami na stacjach benzynowych i cmentarzach, czy zostawiając sobie przesyłki w wydrążonych kamieniach. Mimo to dobrze zorganizowani łowcy przestępców sobie radzili. Dobrymi przykładami z ostatnich lat są chociażby wyroki więzienia dla twórców (szyfrowanego!) serwisu cyberprzestępców SilkRoad czy niedawne aresztowania setek przestępców korzystających z (szyfrowanej!) sieci telefonicznej EncroChat.
Skutecznie działającym służbom szyfrowanie co najwyżej przeszkadza.”. Bezpieczna komunikacja uniemożliwia działanie tylko tym, którzy chcą mieć wszystko podane na tacy – ale chyba nie dążymy do tego, by europejskie służby stały się niewydolne?
Podobne wpisy
- Zapraszamy na studia podyplomowe z cyberbezpieczeństwa w Krakowie
- Operacja Triangulacja, czyli jak rosyjskie służby sieją dezinformację w oparciu o cudze badania
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
- Nawet najlepszy administrator nie poradzi sobie bez odpowiednich narzędzi
Warto przypomnieć kilka przypadków gdzie terroryści, np. w Paryżu, mimo że były na wafchlistach i komunikowali się otwartymi smsami nie zostali ujęci, bo służby, zalane informacjami, nie zauważyły tej komunikacji. Czyli tak jak pisze autor artykułu, problem organizacyjny.
Dajcie link do tego dokumentu UE
Proszę bardzo https://files.orf.at/vietnam2/files/fm4/202045/783284_fh_st12143-re01en20_783284.pdf
Prawo jest jak płot, wąż się prześliźnie, lew przeskoczy, a bydło się nie rozchodzi.
Może niech nieudacznicy z UE w końcu zrobią coś zmianami czasu z leteniego na zimowy i odwrotnie. Jakoś z tym sobie poradzić nie mogą.
Świetny artykuł ale bardzo niefortunny przykład SilkRoad.
https://www.change.org/p/clemency-for-ross-ulbricht-condemned-to-die-in-prison-for-a-website
„Problemem współczesnych służb nie jest szyfrowanie komunikacji przez przestępców. Oni zawsze próbowali ukryć się przed policją […]. Dobrymi przykładami z ostatnich lat są chociażby wyroki więzienia dla twórców (szyfrowanego!) serwisu cyberprzestępców SilkRoad”
Ross Ulbricht wpadł bo zgubiła go jego głupota i niedbalstwo.
Śledczy wykonali precyzyjny OSINT i na jednym z forów znaleźli jego stary wpis w którym posługiwał się emailem z prawdziwymi danymi. Poza tym, niedbalstwo – lub „błąd”, jak kto woli – Rossa przy konfiguracji serwera sprawiło że wyciekł jego prawdziwy adres IP (miejsca gdzie był hostowany). Złapanie go było kwestią czasu.
Nie zawiodło słabe szyfrowanie, bo ono w Torze słabe nie jest.
Unia może sobie roić o rozwiązaniach z ograniczonym szyfrowaniem, ale to marzenie ściętej głowy. Niewykonalne.
.
„czy niedawne aresztowania setek przestępców korzystających z (szyfrowanej!) sieci telefonicznej EncroChat.”
Przestępcy to jednak banda kretynów!
Sprzęt i usługi o zamkniętej architekturze i infrastrukturze i o zamkniętym sofcie, nigdy nie dają pewności co do prywatności i skuteczności użytego szyfrowania. Ale przygłupy uwierzyły w marketingową ściemę.
.
Pegasus używany na całym świecie, także w Polsce – niestety do grillowania przeciwników politycznych PiSu – daje sobie radę z każdym sprzętem, także szyfrowanym. Więc myślenie że można być bezpiecznym używając smartfona i jakiegoś tam szyfrowania jest naiwne. Naiwne jest też myślenie o ograniczeniu szyfrowania lub o jego zakazie, bo czy ono jest mocne czy żadne, Pegasus zawsze sobie da radę. Jedynym jego mankamentem jest na razie wysoka cena i sposób licencjonowania, co sprawia że nie może być użyty masowo. Ale i to może się kiedyś zmienić…
@Duży Pies
Ogólnie, rozpoznania, inteligencji i klasycznych działań operacyjnych nie da się zastąpić automatyką, choć wielu polityków miałoby ochotę ;) Może naoglądali się amerykańskiej sieczki propagandowej, gdzie w każdym serialu typu NCIS, CSI możliwości analizy automatycznej są pokazywane jako panaceum na wszelkie bolączki tego świata ;) I myślą że to naprawdę tak działa ;)
Pominąłeś jeden istotny fragment w cytowanym tekście: „Mimo to dobrze zorganizowani łowcy przestępców sobie radzili”. To w połączeniu z cytowanym „Problemem współczesnych służb nie jest szyfrowanie komunikacji przez przestępców” wcale nie sugeruje, że szyfrowanie zostało złamane czy było słabe. IMO to sugeruje słabą organizację czy brak odpowiednich kwalifikacji tudzież lenistwo wspomnianych służb.
Dzięki za streszczenie przypadków SilkRoad i EncroChat.
@Duży Pies
> także w Polsce – niestety do grillowania przeciwników
> politycznych PiSu
Konfabulujesz. Gdyby to była prawda, to Ci przeciwnicy już dawno byli by zeskwarzeni na węgiel.
Nie konfabuluję.
3-lierowa firma która Pegasusa posiada, jest w tej chwili najbardziej upolitycznioną ze służb. I najbardziej opresyjną. Zeszli się tam najbardziej niemoralni ludzie. Nie będą mieli skrupułów żeby cię wywlec o 6 rano z domu, umieścić w areszcie wydobywczym aż pękniesz i zrobisz czego od ciebie oczekują.
PiS jedzie po bandzie i nie może się już zatrzymać, to wojna totalna na wycieńczenie. Wiedzą że przyjdzie czas i na nich, że ich czas się skończy, że będą odpowiadać za gnój jaki zrobili. Żeby zabezpieczyć swoją przyszłość, idą teraz na całość: oskarżają, preparują śledztwa albo je spuszczają w kiblu, jak było z wypadkiem samochodowym Beci, albo tworzą legendę „walki z korupcją, z układem”, bo to może im kiedyś pomóc podczas długich sądowych batalii. Obrona przez wyprzedzający atak. Sprytni są.
Ale musimy wierzyć w sprawiedliwość, która w końcu nastanie!
8 gwiazdek: ***** ***
@Duży Pies
Facet nie pij tyle. Trzyliterowe służby tajne, jawne i dwupłciowe zawsze miały takie prerogatywy. I nie jest ważne czy rządzi PiS, PO czy inne lewactwo. Te służby zawsze stoją po stronie władzy. Cały ten cyrk zwany dla niepoznaki wymiarem sprawiedliwości został powołany do życia nie po to, żeby bronić obywateli, tylko po to, żeby bronić kasty rządzącej przed obywatelami. Kto sądzi inaczej jest naiwniakiem. Po następnych wyborach do koryta dopchają się ich przeciwnicy i wiesz co zrobią? Nie zrobią nic, a Ty wraz z resztą fantastów będziesz czekał aż do usranej śmierci na sprawiedliwość.
@Mad Snack
Dokładnie.
@Duży Pies
Nie ma sensu demonizować CBA jako niby bardziej brutalnego czy „upolitycznionego” niż policja, ABW i inni.
To wszystko są zbrojne grupy na usługach rządu. Wszystkie mają za duże uprawnienia, wszystkie są upolitycznione, wszystkie gnębią niewinnych ludzi, czasem nawet torturują, szantażują i niszczą im życie. Kto niewygodny dla PiSu, tych gnębią ich bardziej – tutaj zgoda. Za PO było dokładnie tak samo, wystarczy przypomnieć sobie teksty Sumlińskiego, który zalazł za skórę Komorowskiemu i co go za to spotkało ze strony między innymi ABW.
> myślenie że można być bezpiecznym
> używając smartfona i jakiegoś tam szyfrowania jest naiwne
Pegasus jest wszechstronny, ale nie działa na wszystko.
> Przestępcy to jednak banda kretynów!
Nie wszyscy, są tam też ludzie sprytni, o wiele inteligentniejsi niż przeciętny policjant czy abewiak. I dlatego nigdy nie są łapani…
Pseudoliberalowie już tak mają, że pod byle pretekstem ograniczają prawo, swobodę i wolność jednostki…
@Cyrk
Tak. I nie rozumieją w czym błąd.
Sprawa jest jak zwykle kilkuwątkowa
a) szyfrowanie dla „zwykłego szaraczka”. Osobiście mi osłabienie szyfrowania by nie przeszkadzało. Ot, wiem że odpowiedni funkcjonariusze mogą przechwycić moją sesję bankową, prywatne maile czy czat z kochanką – ale w gruncie rzeczy mi to lotto. Aż zrwóciłem uwagę u siebie – 99% tego co robię, mówię i przesyłam to nuuuuudne rzeczy dla potencjalnych podsłuchiwaczy. A ten 1% to zniknie w szumie informacyjnym i żaden to problem aby to jakoś ukryć.
b) szyfrowanie dla badguy-ów. Im również obniżenie szyfrowania nie przeszkodzi, bo gdybym ja był badguyem to bym nie polegał na ogólnie dostępnym szyfrowaniu – typu „jak jest zielona kłódka to super”. Wiadomości wysyłałbym w pgp, w ukrytym kontenerze truecrypt, podzielonym na dwie części jako strip i przesłane dwoma drogami przez tora. Jak funkcjonariusz się uprze to pewnie rozkoduje, ale sporo bitów w Wiśle upłynie zanim to mu się uda.
c) szyfrowanie dla VIP. O tu, jest problem. Nie sądzę aby Trump, Duda czy inny prezes Orlenu chciał się bawić w grepowanie i awkowanie – on chce mieć bezpieczny telefon i bezpiecznego maila bez jakichś geekowskich akrobacji. Więc wszyscy się trzęsą czy aby w stacji BTS czy jakimś innym laptopie nie ma jakiegoś dziwnego moduliku „Made in China” który robi jakieś ciekawe rzeczy.
TL;DR: obniżenie poziomu szyfrowania nie ma sensu, bo zwykłych ludzi dotyczy to w znikomym stopniu, a ci których to może uderzyć i tak znajdą sposoby aby to bez problemu obejść.
@Morris
Częściowo się z Tobą zgadzam (proporcje sygnału do szumu), ale z pewnymi zastrzeżeniami. 1) Dla „zwykłego szaraczka” problem, i to duży, zaczyna się wtedy, gdy mniejszym lub większym przypadkiem nadepnie na odcisk komuś mającemu dostęp do jego komunikacji. Pamiętajmy, że dane zbierane są nie tylko na bieżąco. Gdy w sytuacji konfliktu (nawet standardowego, np konkurencja biznesowa, spór o nieruchomość, o błąd lekarski, konkurencja o etat lub kontrakt) jest możliwość łatwego sięgnięcia do archiwum komunikacji osoby, to nie ma opcji, że nie znajdzie się czegoś do wykorzystania jako element szantażu lub deface’u. 2) Pomijasz obszar komunikacji biznesowej (kontrakty, negocjacje, przetargi) oraz aspekt ochrony danych osobowych i wrażliwych, do której w firmach jesteśmy zobowiązani prawnie.
Reasumując, osłabienie szyfrowania = nieograniczony dostęp do haków na osoby lub firmy, które w archiwach czekają na moment gdy trzeba się danego podmiotu pozbyć. Na przykład w momencie gdy zacznie głosić niewygodne poglądy, czy dążyć do poprawy swojej pozycji wchodząc w drogę komuś bliższemu władzy. Można to sobie dobrze wyobrazić, czytając historię II WŚ, konkretnie jak była utrzymywana dyscyplina wśród urzędników i wojskowych III Rzeszy. Z tym że wtedy możliwości techniczne były dużo mniejsze.
Jest to zatem kwestia określenia tego co jest godne, a co niegodne „ukrycia”. Jako „szaraczek”, w dużym przybliżeniu, szyfrowanie mnie nie interesuje. Niech sobie służby zadają trud i przejrzą pocztę na gmailu. Flaki z olejem tam znajdą. Oczywiście jakieś tam powiadomienia z Allegro, rejestracja w PZU czy reklama środka na potencję. Wiadomo, jak ktoś się uprze na profilowanie to sporo wyciągnie, ale w dalszym ciągu jestem tym trybikiem o znikomej potencjalnej szkodliwości.
Ale – jak chcę zrobić coś po kryjomu (*), typu napisać durny komentarz polityczny, podłożyć komuś świnię czy poszukać taniej viagry, o, to już sobie odpalam tora i profilowanie spada prawie do zera.
I dopiero gdybym na poważnie myślał o ukryciu swojego działania przed wścibskimi, to robiłbym zupełnie inaczej, typu laptop z live-cd, karta wifi z bazaru i tor na hotspocie z macdonalda poza kamerami.
A problem to zasadniczo leży zupełnie gdzie indziej – największą sztuką jest odsiew nieistotnej informacji. Mogą sobie mnie hakować, śledzić i szpiegować, ale wystarczy jak zamiast tora+pgp będę używać do komunikacji komentarzy na onecie („uwaga, zosia jest chora, drapie”, „OK, wysyłam lekarza, faktura za drapanie tam gdzie zwykle”) i hulaj dusza.
(*) oczywiście nie robię tego, przykłady wzięte dla przykładu
@Morris
I to jest z grubsza ta część, w której się z Tobą zgadzam. To znaczy, że zawsze się znajdą alternatywne sposoby prywatnej komunikacji, nierozpoznawalne powszechnie w początkowej fazie ich obecności w czasoprzestrzeni, a ukrywanie swoich spraw polega na czymś więcej niż tylko instalacja „prywatnej” apki. Natomiast argumentem na rzecz powszechnego mocnego szyfrowania pozostaje czasochłonność przełamywania zabezpieczeń. Czyli, pozostając przy Twoim przykładzie – kiedy władze będą miały więcej zasobów na wyszukiwanie utajnionych wiadomości w publicznych komentarzach? Gdy a) będą jednocześnie zajmować się próbami dostania się do zaszyfrowanej korespondencji Twoich współobywateli, czy gdy b) dostaną ją na tacy, odszyfrowaną? To działa trochę jak odporność stadna ;) Gdy jest, wszystkim jest bezpieczniej, gdy jej nie ma, trzeba się dużo narobić nad wzmocnieniem swoich zabezpieczeń. Wygrywa ten, kto ma więcej czasu lub raczej „czasu obliczeniowego” – dostępnych roboczogodzin infrastruktury. W praktyce częściej wygra ten, kto w danym momencie jest u władzy (politycznej lub ekonomicznej), chyba że popełni jakiś duży błąd. Bo wykończy oponentów dawaniem im zajęcia, by nie nadążyli się organizować i uczyć ;) Jedyna nadzieja, że na jakimś etapie w swoim zadufaniu popełni błąd.
> Jest to zatem kwestia określenia tego
> co jest godne, a co niegodne „ukrycia”.
Wcale nie.
Ukrywanie czegoś dotyczy informacji *TAJNYCH*. Na przykład niejawnych (w sensie ustawy o ochronie informacji niejawnych), cudzych danych wrażliwych (np. informacji o stanie zdrowia), strategicznych danych biznesowych. Krótko mówiąc: dotyczny danych, których ujawnienie może narazić kogoś na istotną szkodę; danych mogących służyć do szantażu, wyłudzeń, phisingu, nieuczciwego uzyskania przewagi konkurencyjnej itp. I szyfrowanie jest ważnym sposobem przeciwdziałania takim wydarzeniom.
Ale tu chodzi o coś więcej: o prywatność.
Prywatność to nie jest ukrywanie czegokolwiek. Prywatność to jest możliwość niepokazywania (się). Stąd argument „nie mam nic do ukrycia” jest bezwartościowy, bo prywatność oznacza „nie muszę się obnażać, nie muszę pokazywać tego, czego nie chcę”.
> Jako „szaraczek” (…) szyfrowanie mnie nie interesuje.
Błąd. „Szaraczek” też jest człowiekiem i też przynależy się mu prywatność. Nie chcesz szyfrować – nie szyfruj, ale władzy wara od szyfrowania. Tak samo jak pani na poczcie nie wolno otwierać kopert, tak samo władzy nie wolno interesować się treścią maili i dysków niewinnych ludzi.
> Niech (…) służby (…) przejrzą pocztę na gmailu.
> Flaki z olejem tam znajdą.
Nie ma to żadnego znaczenia co znajdą. Sam fakt grzebania w prywatnej poczcie jest niedopuszczalny, poza wyjątkowymi sytuacjami za uprzednią zgodą sądu. A zapewne dobrze wiesz, że akurat na Gmailu to grzebanie jest nieustanne przez Google’a (na pewno), a może i przez NSA (całkiem możliwe).
> Niech sobie służby zadają trud
Znów błąd. Trud to musiały sobie zadawać 50 lat temu gdy wszystko było analogowe.
Dziś jest inaczej: dane są cyfrowe i – co kluczowe – ustrukturalizowane, co uniemożliwia ukrycie się przed służbami na zasadzie „ach co mi tam, jestem jednym z setek milionów”. Nie jest to żadną przeszkodą, bo jedno zapytanie SELECT w języku SQL działa doskonale i dla małych, i dla dużych baz danych.
> jak ktoś się uprze na profilowanie to sporo
> wyciągnie, ale w dalszym ciągu jestem tym
> trybikiem o znikomej potencjalnej szkodliwości.
I znów: nie chodzi o szkodliwość, nie chodzi o wpływowość, nie chodzi o ważność. Chodzi o ludzką godność, którą chcą Ci już odebrać całkowicie. I szkoda, że tego nie zauważasz.
O, przykład z pocztą jest świetny! Czy listy i przesyłki wysyłamy w pancernej kopercie, wkladamy blachę z ołowiu i odbijamy pierścień rodowy? Nie, wysyłamy w standardowej kopercie, gdzie każdy – od pani w okienku do listonosza – może sobie zawartość odczytać, a jak się nieco bardziej uprze to przeczytać tak, że śladu po tym nie będzie.
Prywatność jest wtedy, gdy po prostu nie chcę aby mi ktoś zaglądał przez ramię. Wiec ustalamy reguły gry – jak koperta jest zaklejona to nie wolno otwierać, jak drzwi są zamknięte to nie wolno wchodzić a jak jest po 22.00 to nie wiercimy w ścianach. Każde z tych „zabezpieczeń” jest łatwo obejść, ale to nie znaczy że są złe. Po prostu dopóki nie każą wysyłać listów w przeźroczystej folii, zakażą używania kluczy czy zdelegalizują regulamin osiedla – uważam że nie ma co za bardzo panikować.
> Czy listy i przesyłki wysyłamy w pancernej kopercie
Możesz je wysyłać w tzw. kopercie bezpiecznej, którą bardzo trudno otworzyć w sposób niezauważalny dla odbiorcy. Przymusowe osłabienie szufrowania to odpowiednik delegalizacji takich kopert.
> Po prostu dopóki nie każą wysyłać listów w
> przeźroczystej folii
Polecam poczytać regulaminy usług Poczty Polskiej. Na przykład ten:
https://www.poczta-polska.pl/hermes/uploads/2013/11/R%C5%9AUP_21.05.2020.pdf
Bywają tam słuszne zapisy (np. zakaz przesyłania materiałów promieniotwórzych, wybuchowych itp.).
Ale niektóre są opresyjne – na przykład nie wolno Ci w liście przesyłać banknotów. Bo nie i już.
A jeśli spojrzeć na usilnie wciskaną Polakom przez rząd korespondencję cyfrową w postaci Profilu Zaufanego, to jest to czyste zło. W jednym miejscu bowiem władza ma całą Twoją korespondencję z urzędami, wszystkie Twoje zdjęcia z dowodów, niedługo też dostęp do całej Twojej dokumentacji medycznej. Wszystko na zawsze powiązane unikalnym i niezmienialnym numerem PESEL. O szyfrowaniu end-to-end mowy nie ma.
Chyba nie jesteś aż tak naiwny by mieć nadzieję że służby nie sięgną po te całość tych danych gdy będą chciały?
> uważam że nie ma co za bardzo panikować
Należy bić na alarm.
> dopóki nie każą wysyłać listów w przeźroczystej folii
Tego jeszcze nie ma, ale przypomnij sobie jak Poczta została bezprawnie zobowiązana do zażądania od samorządów spisów wyborców, to żądający tych danych określili, że mają być one przesłane BEZ SZYFROWANIA – a można było chociaż wymusić PGP.
To pokazuje, jak bardzo rząd gardzi Polakami i ich danymi osobowymi.
@Morris Właśnie wszystko co podałeś pokazuje, że na takim czymś władzom będzie bardzo zależało. Myślisz, że jeżeli używanie silnego szyfrowania nie będzie dozwolone to politycy albo VIPy z niego zrezygnują? Ich się przepisy nie tyczą, kto ich pociągnie do odpowiedzialności? W Rosji nie jest dozwolone korzystanie z VPN ale chyba nikt nie wierzy, że Kreml nie korzysta z bezpiecznej komunikacji? To dotyczy tylko zwykłych obywateli.
To jest jak z wprowadzeniem Patriot Act i innych ostrych przepisów po atakacach 9/11 na które w USA przez kolejne wieki nie byłoby zgody. A wystarczyło to błyskawicznie zrobić na fali strachu. Teraz jest dokładnie to samo. Niepokoje polityczne, protesty na całym świecie (Hong-Kong, USA, Polska, Włochy, Francja itp.) pandemia, fale imigrantów – świat jaki znamy chwieje się w posadach i żaden rząd nie przepuści takiej okazji aby zwiększyć kontrolę nad społeczeństwem. Oczywiście, jak zwykle, wszystko pod płaszczykiem bezpieczeństwa owieczek. A naprawdę chodzi o to, aby nie mogli ukryć się przed władzą, aby nie mogli się zwoływać, nie mogli protestować i nie mogli KONTROLOWAĆ WŁADZY ORAZ ICH POCZYNAŃ. Media można kupić i zastraszyć, internetu się nie da – i to jest solą w oku od wielu lat każdego rządu. Dlatego każde tego typu farmazony wypuszczane przez rządy należy natychmiast zwalczać i ubijać bo chwila nieuwagi i obudzimy się w innej rzeczywistości.
Jak dla mnie miecz jest obosieczny. Obniżenie siły szyfrowania pozwoli też zwykłym szaraczkom (z większą wiedzą i samozaparciem) również podsłuchwiać służby i rządy. Niech obywatele mają szyfrowanie A, a rządy szyfrowanie B, 10x silniejsze niż A. Przecież to jest kwestią czasu, gdy użytkownicy B uśpią swoją czujność (phi, 10x lepiej mamy, nikt tego nie rozgryzie!) i nagle okaże się że B jednak ma ułomności, scalaczek szyfrujący dawno wyciekł i od pół roku co bardziej łebscy gromadzą komunikację która wydawała się tajna.
Dokładnie tak… Obniżą crypto, to zainteresowani zbudują swoje komunikatory które zaszyfrują po swojemu i wg swojego widzi mi się.
Piękny przykład z płotem był wyżej…
https://www.codeproject.com/News.aspx?ntag=19837497700827674&_z=10064112
Miał być Clipper, teraz będzie MS Pluton.
Panowie potwierdźcie albo zaprzeczcie, jeśli się mylę ponoć do połowy 2021 roku, ma wejść w życie w krajach unii europejskiej tzw. Europejski identyfikator elektroniczny, czyli europejskie cyfrowe ID. Usługi będą przechowywane w chmurze i będą identyfikować nas po zdjęciu, czyli prawdopodobnie będziemy musieli pokazywać swoją twarz w kamerce, żeby mieć dostęp do internetu, bo to będzie przechodziło przez nowo utworzone bramki. Poszukajcie w informacji w austriackim Kronen Zeitung, na stronach parlamentu unii europejskiej i na stronie id2020 kropka org
Digital ID nie ma nic wspólnego z obowiązkową identyfikacją w celu dostępu do internetu. Chodzi o to, by dało się zidentyfikować (np w celu korzystania z usług publicznych – ale też np byś zdalnie podpisał umowę z (np) francuskim telekomem) w innych krajach UE.
W tej chwili jest problem, bo nasz e-dowód jest uznawany przez administrację publiczną w Polsce, ale poza nią już nie. A fajnie by było móc założyć konto w jakimś next-revolucie BEZ konieczności robienia sobie selfiaka z dowodem w ręku.
Trochę nietechnicznie na ten temat: https://www.euractiv.com/section/digital/news/eu-leaders-to-call-for-an-eu-electronic-id-by-mid-2021/
Ł.
To jest śmieszne. Przecież to jest jawna próba kontroli społeczeństwa. Przestępcy/terroryści itp i tak będą mieli w d**** takie przepisy (przecież i tak łamią prawo, jeden paragraf mniej czy więcej – zero różnicy). Algorytmy takie jak AES, SHA-512 i PFS czy DH są jawne i dostępne w książkach w bibliotece, je też zdelegalizują?
Za dużo TVN :)
Re „za dużo TVN” – pewnie tak. Podejrzewam, że muszę założyć aluminiową czapeczkę, bo to chyba jedyny sposób odbioru sygnałów TV przeze mnie od jakiś 20 lat :>
Pozdrawiam,
autor :)
Dziękuję że napisałeś ten artykuł.
Tzw. „Unia europejska” wp1erdala się tam gdzie nie powinna!
Pełna wolność szyfrowania – PRECZ Z CENZURĄ!
Nie da się wycofać całkowcie silnego szyfrowania z użytku przez każdego.
Nie da się „odwynaleźć” algorytmów szyfrujących.
Ale da się (i niewykluczone, że to nastąpi) skłonić popularne usługi typu WhatsApp do założenia backdoorów bez informowania o tym jego użytkowników.
Wtedy bezpieczną komunikację będzie miała tylko garstka komputerowców, którzy umieją skonfigurować XMPP+OMEMO/OTR.
Ludzie nietechniczni, którzy oczekują szyfrowania „jednym kliknięciem”, bezpiecznej komunikacji nie będą mieli.
Rejestracja kart SIM też miała zlikwidować przestępczość w Polsce i nie zlikwidowała. Za to łatwiej namierzać osoby chodzące na protesty.
@Marcin
Nie chodzi o protesty. Nie chodzi tu nawet o śledzenie „aktywistów” czy ludzi niewygodnych dla władzy – tych i tak usiłuje się śledzić różnymi metodami. Brak rejestracji karty nie jest w ich przypadku przeszkodą do ich inwigilowania, bo robi się wtedy zaawansowaną korelację danych z BTS-ów.
Rejestracja kart SIM została wprowadzona z innej przyczyny.
Chodzi o gromadzenie pełnej informacji dla władzy o poruszaniu się i kontaktach wszystkich tych Polaków, którzy nie wiedzą jak działa sieć komórkowa, nie interesują się nowoczesnymi technologiami i myślą, że „nie mają nic do ukrycia, nie robią nic złego i nie muszą się niczego bać”. Na codzień władza się nimi nie interesuje.
Dane są zbierane „na zapas”, „na wszelki wypadek” i przechowywane przez 12 miesięcy. Zawsze można sięgnąć po nie, by natychmiast uzyskać szczegółowy obraz życia danej osoby. Rejestracja kart bardzo to ułatwia i przyspiesza, bo ma się dane „na tacy” i nie trzeba robić korelacji.
Niestety, większość ludzi tego nie rozumie, dlatego nie było w Polsce masowych protestów przy wprowadzeniu obowiązkowej rejestracji kart.
I dlatego pan Staszek spod Tesco użycza swojego dowodu osobistego za 5 zł.
Nie da się zdelegalizować praw fizyki i praw matematyki. Nawet jeśli komuś marzy się grzebanie przy tym to nikt juz powrotu do pełnej izolacji fizycznej nie zaproponuje choćby z uwagi na globalizację gospodarki. Nie można mieć ciastka i zjeść ciastka. Już wyłania się zmierzch starych zasad. Przeanalizujcie tylko co sprawiło stworzenie Internetu. Jaką panikę w finansjerze wywołały kryptowaluty. Swobodny przepływ informacji, środków płatniczych spędza sen z powiek.Do kompletu „wolności” brakuje tylko swobodnego i bezpiecznego przepływu dóbr materialnych. Wtedy przekazanie klucza do szyfru Gilberta Vernama rozwiązywało by wszelkie opisywane tu obawy o naruszenie poufności. Dobrze, że jeszcze ktoś rozumie że jak nie masz wyłącznej fizycznej kontroli nad czymkolwiek w świecie cyfrowym to nie masz poufności a jedynie jej pozory :)
> Nawet jeśli komuś marzy się grzebanie przy tym
> to nikt juz powrotu do pełnej izolacji fizycznej
> nie zaproponuje choćby z uwagi na globalizację
> gospodarki. Nie można mieć ciastka i zjeść ciastka.
Chyba nie zrozumiałem. O jakiej „pełnej izolacji fizycznej” mówisz?
> Jaką panikę w finansjerze wywołały kryptowaluty.
> Swobodny przepływ informacji, środków płatniczych
> spędza sen z powiek.
Zapewne, ale po tym jak – pod naciskiem polskich służb – polskie giełdy kryptowalut wycofały się z obsługi Monero (kryptowaluty, która jest niezwykle trudna do śledzenia przez służby), to Polacy tak jak korzystali z giełd obracających w pełni jawnym Bitcoinem oraz wymagających skanu dowodu, tak nadal korzystają.
Kluczowe jest podejście mas, a nie pilnujących prywatności geeków. A masy mają wtłoczone do głów przez rządy, że „nie robiąc nic złego, nie mają nic do ukrycia i niczego nie muszą się bać”…
> Dobrze, że jeszcze ktoś rozumie że jak nie masz
> wyłącznej fizycznej kontroli nad czymkolwiek w
> świecie cyfrowym to nie masz poufności a jedynie
> jej pozory :)
Co masz na myśli? Przecież mając portfel kryptowalutowy albo klucze szyfrujące na swoim twardym dysku i operacje szyfrowania/deszyfrowania robiąc tylko na swoim komputerze, to masz przecież pełną kontrolę nad swoją kryptowalutą i swoją szyfrowaną korespondencją czy innymi danymi…
„to Polacy tak jak korzystali z giełd obracających w pełni jawnym Bitcoinem oraz wymagających skanu dowodu, tak nadal korzystają.”
a może groźny przestępca który kiedyś założyłby konto na Bitbay i wpłacił swoje monero, teraz tego nie zrobi, będzie trzymał się z dala?
tak samo jak przed rejestracją kart SIM groźny przestępca kupiłby telefon i kartę SIM i zostałby namierzony za pomocą triangulacji BTS, a teraz nawet nie przejdzie mu przez myśl korzystanie z telefonu?
„Groźni” przestępcy (cokolwiek znaczy słowo „groźny”, bo groźny jest każdy człowiek – każdy jest zdolny do popełnienia zbrodni) robią swoje niezależnie od działań władzy.
Wszystkie rejestracje, centralne ewidencje i inne rządowe „zwiększające bezpieczeństwo Polaków” pomysły nie mają istotnego wpływu na działania przestępcze, bo są masowe (każda karta jest rejestrowana, każde konto bankowe wpisywane do rejestru itd.).
*Zawsze* da się obejść takie przepisy. „Bydło nie przejdzie, ale wąż…”
Rejestracja kart SIM czy wymuszanie KYC na giełdach w żaden sposób nie utrudniła działań przestępczych, a ułatwiła rządowi masową inwigilację całego narodu. Wcześniej to też było możliwe, ale teraz stało się bardzo łatwe, bo uczciwi ludzie nie kupują kart na słupa czy za granicą i tych wszystkich – uczciwych (sic!) – ludzi władza ma na widelcu.
Pełna izolacja to taka przy której nie puścisz zaufanego kuriera z kluczem.
Fizycznej kontroli nie masz jak twój serwer jest w chmurze lub nie Twojej serwerowni.
W internecie, dzięki właśnie „gmeraniu” nie mamy juz równorzędności hostów i nie tak łatwo zorganizować alternatywną zaufaną szyfrowaną nie łamalnym kluczem sieć.
To prawda ze przeciętny kowalski może być na wskroś zarchiwizowany i sprofilowany ale równie łatwo może dziś sobie wykreować i podkręcić tożsamość. to juz niedługo będzie walka botów Ai kontra Ai. :)
Oj robaczki… Z tym swoim „nie da się”.
Oczywiście że się da i jeszcze się pewnie zdziwimy jak łatwo.
Prosta sprawa – whitelista usług do których użytkownicy będą mieli dostęp (żadnych swoich IP i przesyłania „nie wiadomo czego” pakietami P2P).
I te usługi będą prowadzone przez profesjonalnych operatorów którzy na życzenie prokuratora wszystko mu grzecznie dostarczą wydrukowane (bądź na dyskietkach jeśli prokurator idzie z duchem czasu).
W razie gdyby ktoś zaczął certyfikowanym komunikatorem przesyłać na czacie do znajomego jakieś podejrzane rzeczy (binaria nie pasujące do żadnego formatu), to natychmiast na lokalnym posterunku policji uruchomi się dalekopis podające personalia podejrzanego.
Następnie funkcjonariusz w trosce o bezpieczeństwo odwiedzi zarejestrowanego użytkownika tego terminala i rozłoży teleskopową pałkę dekryptażową i za pomocą kolejnych uderzeń będzie rozszyfrowywał transmisję.
Raczej mu się uda.
Tak więc nie chojraczcie z tym że się „nie da odwynaleźć praw matematyki”, bo nie da to się drzwiami obrotowymi trzasnąć.
A z akumulatorem na jajach jeszcze nikt nie kłamał.
Nie znacie dnia ani godziny.
>Prosta sprawa – whitelista usług do których użytkownicy będą mieli dostęp (żadnych swoich IP i przesyłania „nie wiadomo czego” pakietami P2P).
proste rozwiązanie – https://blog.torproject.org/how-use-meek-pluggable-transport
i okaże się że jeszcze trudniej łapać przestępców którzy np. teraz gadają sobie na WhatsAppach, Signalach i Encrochatach
> W razie gdyby ktoś zaczął certyfikowanym
> komunikatorem przesyłać na czacie do znajomego
> jakieś podejrzane rzeczy (binaria nie pasujące
> do żadnego formatu), to natychmiast na lokalnym
> posterunku policji uruchomi się dalekopis
> podające personalia podejrzanego.
Aha, i /dev/urandom też zostanie zdelegalizowany?
Poza tym, jeszcze jest steganografia. I ona do wysyłania krótkich, zaszyfrowanych wiadomości w pełni wystarczy.
> Tak więc nie chojraczcie
„Chojraczyć” to usiłuje władza, interesując się korespondencją wolnego człowieka i próbując nam wmówić, że to dla „bezpieczeństwa”.
> z tym że się „nie da odwynaleźć praw matematyki”,
No bo się nie da. Można zdelegalizować szyfrowanie, ale nie da się tego egzekwować.
> A z akumulatorem na jajach jeszcze nikt nie kłamał.
Odważnie się posługujesz wielkim kwantyfikatorem.
Historia uczy, że byli ludzie którzy nie wydali tajemnic nawet na największych mękach. Bardzo rzadko, ale byli.
> Nie znacie dnia ani godziny.
Dnia i godziny czego?
Mówicie tu wszyscy jakieś dziwne rzeczy. Albo jest szyfrowanie , albo go nie ma. Nie ma nic pośrodku. To tak jakby mówić że kobieta jest trochę w ciąży , tak odrobinkę :) W związku z tym te pomysły są całkowicie utopijne, a w połączeniu z bezmózgimi urzędnikami całkowicie niemożliwe do egzekwowania
Nawet z Accu na waznej częsci ciala nie wyspowiadam klucza o dlugosci rownej z przekazywaną informacją. A co do badania jedynie charakteru ruchu w sieci to trzeba tylko stale wysylać szum losowy korespondenci dysponujacy kluczem skorelują i wyłowią to co trzeba. Ddyby byla wolność a w zasadzie rownoprawność i symetryczność (pod względem technicznym) wszystkich węzłów internetu to prawo do generowania szumu binarnego na dowolnej trasie pomiędzy dowolnymi węzlami mialby kazdy węzel. Tak bylo jeszcze w latach 90′ „i komu to przeszkadzało” Dzis trzeba szukać alternatywnych rozwiązań i innego medium.