Jakiś czas temu można było znaleźć w sieci kilka ciekawych informacji na temat tego, jak działa szyfrowanie danych na smartfonach posiadających najnowszą wersję iOS 8 albo Androida 5.0 Lollipop. Uogólniając – oba urządzenia zaczynają korzystać z podobnych mechanizmów kryptograficznych – by wygenerować klucz deszyfrujący wykorzystują nie tylko hasło w postaci ciągu znaków, ale „przeplatają” je danymi unikalnymi dla egzemplarza danego smartfona (niezmienialnymi, nadanymi w fabryce). Mechanizmy te bardzo fajnie zostały jakiś czas temu opisane przez Nikolaya Elenkova, a przetłumaczone przez Zaufaną Trzecią Stronę, więc jeśli chciałbyś poczytać więcej to tutaj znajdziesz pierwszą, a tutaj drugą część.
Cała ta sytuacja nieźle napsuła krwi przedstawicielom organów ścigania za oceanem. Nieco histerycznie niektóre media wskazywały, że iPhone będzie teraz telefonem idealnym dla pedofila. Nie wiem bowiem czy słyszałeś, ale wcześniej, jeszcze do wersji iOS 7, było możliwe bezproblemowe odszyfrowanie iPhone. FBI robiło to w sposób nagminny wysyłając tzw. National Security Letters – to specjalne listy nakazujące wydanie określonej informacji, jednocześnie zakazujące poinformowania tej osoby o tym, że jakiś organ rządowy wystąpił w tej formie po jego dane. Odszyfrowanie iPhone’a było możliwe dlatego, że nie był szyfrowany za pomocą klucza generowanego np. z numeru PIN czy hasła wprowadzanego przez użytkownika, ale z unikalnych dla danego egzemplarza danych przypisanych w fabryce. Dzięki temu gdy organy ścigania weszły w posiadanie iPhona danego użytkownika i chciały go rozszyfrować, to po prostu występowały do Apple o wydanie klucza. Apple klucze wydawało, ale za 1000 dolarów od sztuki (biznes to biznes, sprzedaż własnych klientów też ma swoją cenę).
To co napisałem powyżej to jednak tylko tło tego, do czego zmierzam. Otóż niestrudzeni federalni, w okresie zmian programowych uniemożliwiających odszyfrowanie smartfonów przez Apple, postanowili sięgnąć po oręż prawny. Tym razem jednak użyli nieco bardziej leciwej podstawy prawnej niż w przypadku National Security Letter i sięgnęli po… ustawę z 1789 roku. Ten akt prawny – podpisany przez samego George’a Washington’a – był był po drodze oczywiście nowelizowany, a obecne jego brzmienie zostało ukształtowane w XX wieku. Odpowiednio interpretując przepisy All Writs Act można zażądać od sądu wydania nakazu, w którym sąd zobowiąże podmiot trzeci (np. Google albo Apple) do wydania klucza deszyfrującego w celu wyegzekwowania prawa (tzw. federalnej gwarancji poszukiwania przestępcy). Amerykańskie sądy przystają na tę argumentację i już kilka razy wydały takie nakazy! (klik klik)
Jeden z nich dotyczy osoby podejrzanej o karding, drugi osoby oskarżanej o bliżej nie znane nam przestępstwo. Oczywiście to sprytne prawne zagranie amerykańskich organów ścigania raczej nie będzie możliwe do zrealizowania z powyższych powodów. Zastanawia jednak fakt, że sądy zobowiązują do uzasadnionej pomocy technicznej, czyli nie nakazują wprost wydać klucz (którego w tym przypadku producent telefonu nie posiada) lub cokolwiek innego (zwróćcie więc uwagę na kopie zapasowe w chmurach, które mogą być szyfrowane według innych algorytmów, albo co gorsza w ogóle nie szyfrowane). Idąc za ciosem, co też zauważają amerykańscy komentatorzy, być może organy ścigania lub inne służby (NSA?) spróbują wykorzystać tę furtkę by po raz kolejny usiłować wymusić instalację backdoorów w oprogramowaniu. Szczerze mówiąc nie byłbym zdziwiony.
Mamy do czynienia więc z wzorcowym przykładem tego, jak bardzo organy ścigania (a więc w pewnym sensie i samo państwo jako instytucja) potrafią ingerować i naciskać na podmioty trzecie, by realizować swoje interesy – w tym przypadku chodzi o zwalczanie przestępczości. Cel wydaje się w pewnym sensie słuszną ideą, ale też jednoznacznie kojarzy się z nadużyciami. Literatura, głównie ta próbująca ocierać o filozofię prawa i cyberprzestrzeni, kojarzy takie sytuacje z tzw. czterema jeźdźcami infokalipsy. To w uproszczeniu cztery główne przyczyny, dla których rządy próbują usprawiedliwiać czyny ograniczające naszą wolność – terroryści, mafia, pedofile, handlarze narkotyków. By z nimi wszystkimi skutecznie walczyć (no bo kto o zdrowych zmysłach ich nie potępia?) rządy będą chciały ograniczać wprowadzać backdoory i inne rozwiązania ułatwiające między innymi inwigilację. Pewnie myślisz, że brzmi to nieco kosmicznie, ale jest w tym niestety ziarno prawdy, a w zasadzie to cała łyżka dziegciu. Całkiem podobnie było bowiem podczas tzw. wojen kryptograficznych w latach ’90 XX wieku. Warto też zauważyć, o czym zresztą często mówi Bruce Schneier, że nie da się wprowadzić rozwiązań jedynie dla tych dobrych. Są one bowiem po pierwsze rutynowo wykorzystywane przez cyberprzestępców, a po drugie są zwykłym biciem piany. W całych Stanach Zjednoczonych w 2013 roku szyfrowanie przeszkodziło policji 9 razy, a w 2012 roku cztery razy. Czyli kilka razy na 316 milionów obywateli. Śledztwa te mimo takiej przeszkody i tak były kontynuowane z wykorzystaniem innych dowodów. A silna kryptografia pomaga nam przecież chronić nasze przedsiębiorstwa przed cyberprzestępcami czy nieuczciwą konkurencją. Chyba już teraz wiesz, dlaczego jestem zwolennikiem kryptografii? Bo wolę rozwiązania dzięki którym można zabezpieczyć się przed wszystkimi, niż być potencjalną ofiarą kogokolwiek. I to też zawsze doradzam klientom, którym zależy na ochronie przed cyberprzestępcami czy konkurencją.
Inna sprawa tego wątku to fakt, że mamy do czynienia z kolejną próbą dostania się FBI do zawartości urządzenia działającego na Androidzie. Już jakiś czas temu, w czasach poczciwego Androida Jelly Bean, sąd w Nowym Jorku próbował zmusić Google do odszyfrowania telefonu jednego z aresztowanych (bezskutecznie). Wiemy o tym tylko dlatego, że ów sąd wówczas nie użył wspomnianych już National Security Letters. Cała zaś sytuacja potwierdziła wówczas skuteczność szyfrowania w przypadku tego systemu operacyjnego.