Zašto policajci mrze nove Appleove i Googleove pametne telefone?
Ono što iOS 8 i Android Lollipop čini različitima od ostalih jest i mjesto gdje je pohranjen ključ. Za razliku od višestrukih mrežnih poslužitelja (servera), što je uobičajeno rješenje, ovdje je ključ jedinstven i pohranjen samo i isključivo na jednom mjestu – samom uređaju. On se stvara i pohranjuje u memoriji pametnog telefona pa podatke na njemu ne mogu dešifrirati čak ni njegovi proizvođači
Foto: Cnet.com
Najnoviji pametni telefoni koje su izbacili Apple i Google već zadaju glavobolje američkoj policiji. Naime, iOS 8 i Android Lollipop 5.0 operativni sustavi u svojim prvotnim, defaultnim postavkama imaju uključenu enkripciju podataka, a ne postoji generalni ključ koji bi Apple i Google mogli dati policijskim istražiteljima, čak i ako im oni dođu sa sudskim nalogom za to.
»Za razliku od naše konkurencije, Apple ne može zaobići vašu lozinku i stoga ne može niti pristupiti vašim privatnim podacima«, samohvala je koja se mogla pročitati na Appleovim mrežnim stranicama. »Stoga nemamo tehničke mogućnosti kojima bismo odgovorili na državne naloge«.
Googleovci nisu toliko izravni u naglašavanju sigurnosnih značajki svog novog Android 5.0 Lolipop OS-a: »Puna enkripcija pojavljuje se već prilikom prvog pokretanja, pri čemu se koristi jedinstveni ključ (lozinka) koja se ne može zaobići«.
Nepotrebna »napast« ili nužnost?
Ono što Apple i Google naglašavaju kao važnu funkcionalnost policija vidi kao opasnost i nepotrebnu napast, kao nešto što im onemogućava praćenje, prisluškivanje i istraživanje »negativaca«. Ili, kako kaže FBI-jev čelnik James Comey, »enkripcija bi nas mogla dovesti u mrak«.
Kako bismo shvatili zbog čega su Comey i »plavci« zabrinuti, moramo znati kako funkcionira kriptografija. Njome se uz vrlo komplicirane matematičke radnje stvara digitalna brava koja se ne može otvoriti, barem ne u nekom razumnom vremenskom razdoblju. U slučaju da se želi ući u komunikaciju telefona zaštićenih kriptografijom potrebno je isporučiti lozinku ili – odustati.
Primjera radi, i vaš webmail koji upotrebljavate najvjerojatnije koristi enkripciju, što znači da vaše poruke ne mogu biti pročitane čak ni u slučaju da ih netko presretne.
No ono što iOS 8 i Android Lollipop čini različitima od ostalih jest i mjesto gdje je pohranjen ključ. Za razliku od višestrukih mrežnih poslužitelja (servera), što je uobičajeno rješenje, ovdje je ključ jedinstven i pohranjen samo i isključivo na jednom mjestu – samom uređaju. On se stvara i pohranjuje u memoriji pametnog telefona pa podatke na njemu ne mogu dešifrirati čak ni njegovi proizvođači.
Comey i policijski veterani stoga traže od Apple i Google da popuste u robusnoti njihove enkripcije. Naime, nameće se pitanje što bi se dogodilo kada bi se u svijetu naširoko počela upotrebljavati neporbojna kriptografija.
Podsjetimo na primjer s početka 1990-ih, kada je Phil Zimmermann napravio PGP kriptografski računalni program otvorenoga koda (Pretty Good Privacy – u slobodnom prijevodu – prilično dobra privatnost), koji omogućava korisnicima da izmjenjuju šifrirane datoteke i poruke uz dodatnu garanciju autentičnosti izvora poruke, za koji također ne postoji »zlatni ključ«, odnosno generalna šifra koja bi se dostavila policiji. Američka vlada pokušala je ugasiti ovaj program tako što je Zimmermanna podvrgnula ispitivanjima temeljem navodnog kršenja zakona o izvozu oružja.
Što kaže Edward Snowden?
I dok PGP nije baš najjednostavnija aplikacija za podesiti, s Appleovom aplikacijom FileVault koja je dio njihova OS X-a još od 2011. je zato lakše raditi, a Microsoftov BitLocker za Windowse još je dulje u upotrebi. Važno je istaći da nema dokaza da su Apple i Microsoft pripremili tajni (backdoor) pristup tako generiranim datotekama za policiju i vladine agencije.
No unatoč svemu policija i dalje uspijeva uhvatiti »zločeste momke«. U ekstremnim situacijama, istražitelji su dobili čak i sudske naloge da na uređaje sumnjivaca instaliraju zloćudni softver (malware) koji snima unesene lozinke. S druge strane, tu je i standardni policijski rad. I sam Comey je izjavio da u rješavanju tri od četiri zločina u kojima su počinitelji koristili enkripciju, sama enkripcija nije imala nikakvog značenja.
A da enkripcija može doprinijeti i nečijoj sigurnosti svjesni su i u samom FBI-ju kad poslovnim ljudima savjetuju da ju koriste na svojim putovanjima. Ali čak i one koji ne napuštaju Sjedinjene Države umiruje spoznaja da njihovi podaci ne mogu biti isisani iz njihovih telefona ili računala.
A spoznaja da postoji nekakav glavni (master) ključ koji može biti ustupljen policiji ili vladinoj agenciji i možda biti ukraden od kriminalaca takvu umirujuću spoznaju poprilično raspršuje jer se time otvara prostor za moguće zlouporabe. Radi li se tu tek o neznatnoj ili maloj ranjivosti (kako neki tvrde), s obzirom da bi se šifre čuvale u jednom laboratoriju? Bivši zaposlenik vladine sigurnosne agencije (NSA) Edward Snowden s takvom se konstatacijom ne bi složio.
»Takve se stvari onda znaju naći posvuda i čine proizvod potpuno nepovjerljivim i nepouzdanim«, izjavio je on putem enkriptirane video veze u svojem razgovoru s novinarima na temu digitalne sigurnosti 7. studenoga. »Onda vidite da cijeli niz obavještajnih agencija koristi tu mogućnost«.
Veću sigurnost tražili i policija i pravosuđe
Adam Wandt, profesor na John Jay College of Criminal Justice u New Yorku izjavio je da je enkripcije na iOS 8 i Androidu 5.0 teže razbiti nego protekle sustave šifriranja – dijelom zbog zahtjeva policije i sudstva za boljom sigurnošću na njihovim uređajima.
No dok se istovremeno pojačalo šifriranje uređaja, mreža na kojoj ti uređaji rade ostala je i dalje vrlo izložena i ranjiva. Novinar Wall Street Journala Devlin Barrett prenio je informaciju da Ministarstvo pravosuđa koristi avione opremljene s uređajima koji su prozvani »kutijama za smeće«, a koji se pretvaraju da su odašiljači za mobilnu telefoniju, dok zapravo »njuškaju« kroz podatke koji se primaju i šalju putem mreže.
Policija već ima uređaje koji prate odašiljače, ali male »cessne« iznad grada hvataju još više signala, a ljudi nisu imali ni pojma da je odnedavno započeo ovakav zračni nadzor. U međuvremenu, svi podaci poslani s telefona sinhronizirani se šalju na računalni oblak (cloud server) koji je podložan čak i nižem nivou hakiranja, da uopće ne spominjemo nivo na kojem radi agencija kao što je NSA.
Stoga će kompanije kao što su Apple i Google napraviti veliku pogrešku ako svoja velika nastojanja u osiguranju privatnih podataka ograniče samo na uređaje korisnika, bez da porade i na sigurnosti mreža na kojma ti uređaji »žive«.
U međuvremenu, provoditelji zakona ljuti na Apple i Google se trebaju zapitati kako njihovi zahtjevi za dostavljanjem šifri izgledaju nakon što su razotkriveni toliki oblici motrenja, prisluškivanja i presretanja svekolikih podataka. (pripremio: B. J.; izovr: Rob Pegoraro / Yahoo.com / Wikipedija)