„JAV Vyriausybė mūsų paprašė to, ko mes neturime ir ko, mūsų nuomone, sukūrimas būtų pernelyg pavojingas: jie mūsų paprašė sukurti „galines duris“ išmaniesiems telefonams. (…) FTB teigia, kad visa tai būtų panaudota tik vienintelį kartą tiriamam telefonui, bet tai netiesa. Jei tik tokia įranga bus sukurta, ji galės būti naudojama daugybę kartų daugybėje telefonų – tai taps visrakčiu, atrakinančiu šimtus milijonų spynų“, taip vasarį kalbėjo Apple vadovas Timas Kukas (Tim Cook) atsakydamas į JAV Federalinio tyrimo biuro (FTB) reikalavimą atrakinti San Bernardino žudiko telefoną.
Kovo pabaigoje FTB atsiėmė savo reikalavimą, paaiškindama, kad gavo priėjimą prie duomenų kitu būdu. Įrangą, kuri buvo panaudota įsilaužiant į telefono operacinę sistemą FTB įsigijo iš trečiojo asmens, kurio duomenų nenorėjo atskleisti. Tiesa, anot FTB, ši įranga yra tinkama „atrakinti“ tik iPhone 5C ir senesnius modelius.
Panašioje į Apple situacijoje buvo atsidūręs Lavabit, kuris nuo 2004-tųjų teikė šifruoto elektroninio pašto paslaugas. 2013 metais paaiškėjo, kad Edvardas Snoudenas (Edward Snowden) naudojosi Lavabit teikiamu el. paštu, todėl JAV teisėsauga pareikalavo, kad Lavabit pateiktų visų vartotojų šifravimo raktus, tikėdamasi gauti tiesioginę prieigą prie el. laiškų turinio. Šis reikalavimas nebuvo įvykdytas: Lavabit vadovas Ladaras Levisonas (Ladar Levison) nusprendė apsaugoti savo klientų privatumą ir sustabdė Lavabit veiklą.
Tad, kuo yra ypatingas elektroninės komunikacijos šifravimas ir ar klysta teisėsaugos institucijos, siekdamos jį apeiti?
Kas yra šifravimas ir kaip jis naudojamas?
Kiekvieną dieną žmonės susiduria su asmens duomenų apsaugos grėsmėmis: tampa asmens duomenų ir tapatybės vagystės aukomis, pameta savo išmaniuosius telefonus ar kompiuterius, nukenčia nuo programišių kibernetinių atakų. Tad natūralu, kad ieškome priemonių apsaugoti savo asmeninius duomenis ir kitokią informaciją. Kol kas efektyviausia priemonė tam – šifravimas. Be jo neįsivaizduojame ir kasdien naudojamų e-paslaugų: el. bankininkystės, el. prekybos, el. parašo.
Šifravimas užtikrina, kad siunčiama informacija (trumposios žinutės, el. laiškai ir kt.) bus pasiekiama tik jos kūrėjui ar gavėjui. Pavyzdžiui, šifruojant elektroninius laiškus, juos gali perskaityti tik siuntėjas ir gavėjas, kurie naudojasi savo šifravimo raktais, o pašaliniam asmeniui įsilaužus į el. paštą matomas tik nesuprantamas, jokios reikšmės neturintis įvairių simbolių kratinys. Taigi šifravimas – metodas, kuris paprastą ir perskaitomą tekstą paverčia į daugybę tarpusavyje nesusijusių simbolių. Šifravimas pagrįstas matematiniais algoritmais, kurie sugeneruoja šifravimo raktus, naudojamus informacijos užšifravimui ir jos iššifravimui.
Kokiomis šifravimo priemonėmis gali pasinaudoti aš?
– Kompiuterio disko ar įrenginio šifravimas (angl. full-disk or device encryption) užtikrina, kad visa kompiuteryje, išmaniajame telefone ar kitame įrenginyje sukaupta informacija yra užšifruota ir nepasiekiama asmenims, neturintiems slaptažodžio ar identifikacinio numerio. Labai dažnai naujausiuose įrenginiuose tokia galimybė jau yra įdiegta paties gamintojo, o senesniuose įrenginiuose tai galima padaryti savarankiškai, naudojantis, pavyzdžiui, BitLocker, Symantec Drive Encryption, DiskCryptor, Linux Unified Key Setup ir kt.
– El. pašto korespondencijos šifravimas (angl. end-to-end encryption) garantuoja, kad el. susirašinėjimas tarp siuntėjo ir gavėjo nebus perimtas ir perskaitytas interneto paslaugų tiekėjo ar bet kurio kito asmens, besinaudojančio tuo pačiu tinklu ar į jį įsilaužusio (pvz., viešose bevielio interneto ryšio prieigos vietose). Tam užtikrinti naudojama pora šifravimo raktų: viešasis raktas užšifruoja informaciją, siunčiamą gavėjui, o jo privatusis raktas informaciją iššifruoja. Viešasis raktas yra skelbiamas viešai, o privatusis raktas saugomas įrenginyje ir naudojamas kartu su vartotojo sukurtu slaptažodžiu. Tas, kas turi kito asmens viešąjį raktą, gali užšifruoti informaciją, kuri bus skirta būtent tam asmeniui ir tik jis galės ją perskaityti. Tokiu šifravimo būdu galima naudotis siunčiant trumpąsias žinutes per iMessages ar Signal, o el. laiškus užšifruoti gali PGP arba GPG.
– SSL (angl. Secure Sockets Layer) ir TLS (angl. Transport Layer Security) protokolų naudojimas arba, paprasčiau tariant, naršymas https pažymėtuose tinklalapiuose užtikrina, kad interneto tinklais siunčiamas duomenų srautas tarp kompiuterio, kuriuo naršoma, ir norimo pasiekti tinklalapio yra užšifruotas. Tai reiškia, kad vartotojas, prisijungęs prie https pažymėto tinklalapio, gauna galimybę siunčiamus duomenis (pvz., vartotojo vardą ir slaptažodį paskyros prisijungimo tinklalapyje) užšifruoti. Tokiu būdu siunčiami duomenys yra apsaugomi nuo įsilaužimo į juos siuntimo metu, kadangi įsilaužėlis negali pasiekti jų turinio. Taip pat tai reiškia, kad tinklalapis, prie kurio prisijungta, yra tikras ir jam galima atskleisti savo asmens duomenis. Tokį įrankį reikėtų aktyvuoti savo interneto naršyklėje ir vengti tinklalapių, nepažymėtų https.
Valstybės institucijų požiūris į šifravimą
Kartais manoma, kad tas, kas naudoja šifravimą, užsiima neteisėta veikla ir nori ją nuslėpti, tačiau dažniausiai taip nėra. Siekdami išvengti neteisėto duomenų pasisavinimo, gamintojai diegia šifravimą į naujus įrenginius ir programas, o vartotojai jį kasdien naudoja net to nežinodami.
Nepaisant to, kai kurios šalys yra nusiteikusios priešiškai šifravimo atžvilgiu: Pakistanas, Indija ir Kuba draudžia šifravimą, riboja jo teisėto naudojimo galimybes ar reikalauja, jog asmenys, norintys naudoti šifravimą, gautų oficialų leidimą. Tai ypatingai apsunkina žmogaus teisių gynėjų ir opozicinės žiniasklaidos darbą tose valstybėse. Turkija reikalauja, kad šifravimo programų gamintojai institucijoms įteiktų šifravimo raktus. Prancūzija, Jungtinė Karalystė ir JAV daugelį metų kritikavo galimybę naudoti šifravimą, teigdamos, kad tai apsunkina teisėsaugos institucijų darbą ir nusikalstamų veikų tyrimą, kadangi šifruoti duomenys nėra lengvai pasiekiami. Šiuos šalys jau parengė teisės aktus, kurie ketina numatyti įkalinimą ar dideles finansines sankcijas kompanijų vadovams, atsisakiusiems teisėsaugoms institucijoms pateikti šifruotą informaciją, ir ruošiasi įpareigoti kompanijas bendradarbiauti su tyrėjais, įsilaužiant į šifruotus duomenis.
Tuo tarpu kitos Europos valstybės: Olandija ir Vokietija, griežtai kritikuoja tokias iniciatyvas, teigdamos, kad bet kokie šifravimo naudojimo suvaržymai ar ribojimai stipriai pakenks el. komunikacijos ir informacinių sistemų saugumui. Joms pritaria ir Europos tinklų ir informacijos saugumo agentūros vadovas Udo Helmbrecht, akcentuodamas, kad Europoje jau veikia terorizmo nusikaltimų tyrimo teisinis mechanizmas, tačiau nėra išnaudojamos visos jo priemonės. Jo nuomone, daugeliu atveju neįmanoma patvirtinti, kad „galinių durų“ sukūrimas būtų galėjęs padėti užkirsti kelią naujiems teroristiniams išpuoliams.
Norėdami sužinoti kaip apsaugoti savo informaciją, apsilankykite organizacijos Tactical Tech iniciatyvos „Aš ir mano šešėlis“ puslapyje.
Šis straipsnis yra Žmogaus teisių stebėjimo instituto rengiamos straipsnių serijos „Skaitmeninės teisės“ dalis.
Prie šios straipsnių serijos galite prisidėti ir jūs, atsiųsdami savo pageidavimus ar klausimus dėl naujų jus dominančių temų el. paštu skaitmeninesteises@gmail.com.
