Eurounijní politici dali v minulosti najevo, že jsou všemi deseti pro šifrovanou online komunikaci, sami ji ostatně ke své práci vyžadují. Zároveň se však začínají rýsovat výjimky, které by šifrování narušily či obešly.
Boj s dětskou pornografií a zneužíváním
Po dvou letech od schválení začne 21. prosince 2020 v zemích EU platit tzv. EECC, evropský kodex pro elektronické komunikace, který zavede regulaci interpersonálních komunikačních služeb nezávislých na číslech. Pod tímto krkolomným názvem se schovávají e-maily, chaty nebo internetová telefonie bez klasických operátorů. Toto nařízení velmi vysoko staví dodržování důvěrnosti komunikací.
Jenže mezi schválením a zavedením do národních legislativ letos v červenci Evropská komise přijala novou strategii pro účinnější boj proti pohlavnímu zneužívání dětí. Tato strategie může být v rozporu s EECC.
Komise tvrdí, že poskytovatelé služeb již dnes dobrovolně monitorují komunikaci mezi uživateli, hledají stopy pohlavního zneužívání dětí a informace předávají soudům či příslušným vyšetřovacím orgánům. V návrhu EECC prý ale není žádný právní rámec, který by provozovatelům služeb takové dobrovolné monitorování umožnil.
Evropský parlament a Evropská rada proto navrhly v září letošního roku úpravu směrnice 2002/58/ES. Chtějí zavést dočasnou odchylku platnou pět let či kratší dobu, pokud by vznikla nová směrnice s propracovanějšími zárukami.
Prolomené šifrování?
Piráti si dokument vyložili tak, že Komise chce prolomit šifrování, čímž se poruší listovní tajemství. Zavede se umělá inteligence na vyhledávání závadného obsahu. Ta však i dle provozovatelů služeb může být chybová, tj. regulérní obsah označit za závadný a naopak ten závadný vůbec nedetekuje.
Při podrobnějším přečtení návrh EK jsem ale osobně nic o prolomení šifrování nenašel. Znění pouze počítá s tím, aby po zavedení EECC mohly všechny ty whatsappy a messengery nadále dělat to, co doposud. A to, co dělají, mají stanoveno v obchodních podmínkách, s nimiž uživatelé museli souhlasit. I dnes tam teoreticky mohou mít bod, který jim zajišťuje tzv. master key či jiná zadní vrátka, jak se k šifrované komunikaci dostat.
TIP: Jaké šifrování nabízí chatovací aplikace?
WhatsApp se boji se zneužíváním dětí věnuje velmi podrobně. Jenže také přiznává, že k obsahu zpráv s end-to-end šifrováním se nedostane. Detekci provádí jen na úrovni metadat a nešifrovaných informacích o uživatelích. Analyzuje tak profilové fotky nebo reaguje na hlášení uživatelů o závadném obsahu. I s těmito omezenými prostředky prý měsíčně odhalí 250 000 závadných účtů.
Takže ještě jednou. Úpravy navržené Komisí a Radou nenutí provozovatelům služeb prolamovat šifrování, ale povolují jim chránit děti tak, jako to dělali doposud. Pokud některý stát tu směrnici do svých zákonů převede jinak a přísněji (nebylo by to poprvé), to už by bylo na jinou pohádku.
Teroristy v sítích nechceme
Je tady ovšem ještě druhý bod. Německo, které teď předsedá Radě EU, podle rakouského FM4 navrhlo 6. listopadu rezoluci (znění zde), podle níž by k prolamování šifrované komunikace docházet mohlo a mělo. Dokument zmiňuje boj s terorismem, organizovaným zločinem, zneužíváním dětí a dalším kyberzločinem. Podle rakouského rádia tak Německo učinilo v reakci na útok ve Vídni (více na E15.cz).
V textu stojí, že šifrování je v EU pilířem důvěry v digitálním prostředí, že Unie dbá na soukromí a práva občanů a že všechny kroky narušující tuto rovnováhu je třeba pořádně promyslet. Vyšetřovatelé však mají zákonem povolenou možnost komunikaci se soudním povolením číst, avšak technické prostředky (šifrování) jim v tom brání. Logicky tedy musí tuto rovnováhu narušit. Prý by se tak činilo při zachování zásad zákonnosti, proporcionality, nezbytnosti a hlavně transparentnosti podobně jako u telefonních odposlechů.
Jenže tady už vzniká problém. Pokud by šifrovanou komunikaci mohli provozovatelé komunikačních služeb na žádost úřadů a policie otevřít, už by se ztratila ona důvěra. Kdo prolomí chat teroristů a sexuálních predátorů, prolomí i chat „slušných lidí“.
Zde už by se daly aplikovat argumenty Pirátů, o tom, že podobný krok může ohrožené skupiny naopak dostat do problémů. To kdyby někdo hacknul sociální síť a vytěžil z ní „šifrovaná“ data dětí. Nehledě na to, že zločinci by si vždy našli způsob, jak se dorozumívat.
Rada EU nicméně nemá mandát k tomu, aby takový návrh uvedla do praxe. To by jej musela nejdřív zpracovat Evropská komise, projednat členské státy, odhlasovat europarlament… Zkrátka je ještě hodně daleko a čeká jej několik úrovní, na kterých by se mohl zamítnout či připomínkovat.
via Ondřej Malý