Παρασκευή, 28 Σεπτεμβρίου 2018

«Υπεύθυνη κρυπτογράφηση» ή επικίνδυνη ηλιθιότητα;


Το άρθρο «‘Υπεύθυνη κρυπτογράφηση’ ή επικίνδυνη ηλιθιότητα;» δημοσιεύτηκε τον προηγούμενο μήνα στο OSARENA.NET.

Η αλήθεια είναι πως φαντάζει κάπως παράδοξο να μιλάμε για κρυπτογράφηση στις μέρες μας, όταν χιλιάδες (εκατομμύρια;) άνθρωποι αποκαλύπτουν οικειοθελώς σχεδόν κάθε πτυχή της καθημερινότητάς τους στα «κοινωνικά δίκτυα» και σε πλείστες άλλες υπηρεσίες.




Φαντάζει επίσης μάχη χαμένη εξαρχής το να προσπαθούμε να ενημερώσουμε τους συνανθρώπους μας για τη σημασία και τον αντίκτυπο που έχει η κρυπτογράφηση ή η απουσία της στις ζωές μας, ακόμα και αν δεν το αντιλαμβανόμαστε.


Ίσως να σκέφτεστε κι εσείς που διαβάζετε αυτές τις γραμμές ότι δεν έχετε τίποτα να κρύψετε και πως σιγά μην ασχοληθούν ολόκληρες υπηρεσίες με απλούς, καθημερινούς ανθρώπους όπως εσείς. Αν και, σας διαβεβαιώ, θα τρομάζατε στην περίπτωση που σας παρουσιάζονταν συγκεντρωμένες όλες οι πληροφορίες που μπορούν να αντληθούν για εσάς χωρίς καν να χρειαστεί να επέμβει κάποια «μυστική υπηρεσία» (θυμηθείτε εδώ ότι κάθε πληροφορία μπορεί να χρησιμοποιηθεί για καλό ή λιγότερο καλό σκοπό), δε θα επεκταθούμε περαιτέρω στο παρόν άρθρο.

Να διευκρινίσουμε όμως κάτι εξόχως σημαντικό: η κρυπτογράφηση δεν έχει στόχο να κρύψει αλλά να προστατεύσει. Και δεν αφορά μόνο εσάς. Κάθε φορά που αδιαφορείτε για το θέμα, συμβάλλετε έμμεσα ακόμα και στο να τεθεί σε κίνδυνο η ζωή κάποιου ανθρώπου που ζει στην άλλη άκρη του πλανήτη. Γιατί; Γιατί ο άνθρωπος αυτός τυγχάνει να είναι αντιφρονών ενάντια σε κάποιο καταπιεστικό καθεστώς αλλά να μην έχει τη δυνατότητα να εκφραστεί χωρίς να απειληθεί άμεσα, επειδή τα πάντα παρακολουθούνται διότι οι άνθρωποι αδιαφορούν κι έτσι δεν εφαρμόζεται σε ευρεία κλίμακα η πρακτική που θα βοηθήσει αυτόν τον άνθρωπο να μην ξεχωρίζει μέσα στο πλήθος, ψηφιακό και μη. Δεν το είχατε σκεφτεί αυτό το ντόμινο, έτσι δεν είναι;


Ας περάσουμε τώρα στο λόγο για τον οποίο γράφεται αυτό το κείμενο. Και ο λόγος αυτός δεν είναι άλλος παρά μια ιδέα ιδιοφυούς σύλληψης που γεννήθηκε σε κάποιον ανθρώπινο εγκέφαλο. Ως γεγονός δεν είναι πρόσφατο, η συζήτηση όμως γύρω από αυτό δεν έχει πάψει και θα καταλάβετε αμέσως το γιατί.

Ο τελευταίος υπέρμαχος αυτής της μεγαλειώδους ιδέας ονομάζεται Rod Jay Rosenstein και φέρει την ιδιότητα του Αναπληρωτή Γενικού Εισαγγελέα των Ηνωμένων Πολιτειών. Προσέξτε, όχι κάποιου δικαστηρίου ή μιας πολιτείας. Ολόκληρης της χώρας. Ο τίτλος αυτός είναι ο δεύτερος τη τάξει του αντίστοιχου Υπουργείου Δικαιοσύνης. Αναλογιστείτε ποιες αρμοδιότητες αλλά και πόση εξουσία συγκεντρώνει.

Σκέφτηκε λοιπόν αυτός ο κύριος ότι κάπως θα πρέπει να λυθεί το πρόβλημα του ότι κακοποιοί, εγκληματίες και τρομοκράτες -με ή χωρίς εισαγωγικά- εκμεταλλεύονται και χρησιμοποιούν τις ίδιες μεθόδους που προορίζονται για να προστατεύσουν αθώους ανθρώπους, ώστε να ξεφύγουν από το μακρύ χέρι του νόμου, και πιο συγκεκριμένα την end-to-end κρυπτογράφηση.

Το βασικό επιχείρημα που χρησιμοποιείται σε αυτές τις περιπτώσεις είναι πάντα μα πάντα μια παραλλαγή αυτού που ανέφερε και ο Rosenstein, πως δηλαδή οι κρυπτογραφημένες επικοινωνίες που δεν μπορούν να παρακαμφθούν και οι κλειδωμένες συσκευές που δεν μπορούν να ανοιχτούν είναι ζώνες-χωρίς-νόμο που επιτρέπουν σε εγκληματίες και τρομοκράτες να λειτουργούν χωρίς ανίχνευση από την αστυνομία και χωρίς λογοδοσία σε δικαστές και ενόρκους.

Κι έτσι, χωρίς να διστάσει στιγμή, έφερε ξανά στο προσκήνιο αυτό που αποκαλείται «υπεύθυνη κρυπτογράφηση».

Τι είναι όμως αυτό και γιατί η κρυπτογράφηση ονομάζεται υπεύθυνη; Δεν είναι καινούργια σκέψη αλλά υπάρχει εδώ και αρκετά χρόνια και απλοποιημένα έχει ως εξής: σε αντιδιαστολή με τις υφιστάμενες μεθόδους, θα δημιουργηθούν νέες μορφές ισχυρής κρυπτογράφησης, που θα προστατεύουν την ιδιωτικότητα και την ασφάλεια των πολιτών (αλλά και τα εταιρικά μυστικά, διότι είναι «σημαντικά για την άνθηση της οικονομίας») και που θα μπορούν να εφαρμόζονται χωρίς εμπόδια μα με τη σύμφωνη γνώμη των «υπηρεσιών ασφαλείας». Γιατί θα φροντίζεται ώστε, για κάθε μία από αυτές, να υπάρχει ένα μυστικό κλειδί που θα επιτρέπει στις υπηρεσίες αυτές να βλέπουν το κρυπτογραφημένο περιεχόμενο αν χρειαστεί.

Όχι, δε θα επιχειρούν να παραβιάσουν την κρυπτογράφηση, ούτε θα προσπαθούν να εξαναγκάσουν κάποια υπηρεσία ή εταιρεία να κάνει το ίδιο. Θα υπάρχει μέθοδος αποκρυπτογράφησης που θα γνωρίζει μόνο η εκάστοτε κυβέρνηση και θα εφαρμόζεται «μόνο κατόπιν δικαστικής εντολής», θα το ξέρουν οι πολίτες και θα γίνει και νόμος του κράτους. Ή τουλάχιστον αυτή είναι η ιδέα.

Όπως ήταν φυσικό, υπήρξε έντονη αντίδραση ειδικών του χώρου, οι οποίοι πρόσεξαν να μην πατήσουν τη λογική που είχε πέσει στο πάτωμα και έκλαιγε με λυγμούς και, αφού αναρωτήθηκαν μέσα τους αν κάποιοι άνθρωποι σε υπεύθυνες θέσεις μπορούν να σκέφτονται χωρίς διακοπή για περισσότερο από πέντε λεπτά ή αν αυτό είναι το όριο και ο εγκέφαλός τους κάνει επανεκκίνηση, απάντησαν σαφέστατα ότι δεν είναι δυνατό να δημιουργηθεί καμία μέθοδος ισχυρής κρυπτογράφησης που ταυτόχρονα θα έχει και ένα μικρό παραθυράκι. Πρόσθεσαν επίσης ότι ακόμα και ως σκέψη είναι άκρως επικίνδυνη.

Το ίδιο έκανε και σχεδόν κάθε ειδήμων της κρυπτογράφησης αλλά και νομικοί από διάφορες περιοχές του πλανήτη και η απάντηση φυσικά δεν έχει αλλάξει από όλες τις προηγούμενες φορές που ανακινήθηκε το θέμα από κυβέρνηση κάποιας άλλης χώρας, όπως της Αυστραλίας και βεβαίως του «surveillance state» που είναι γνωστό και ως Ηνωμένο Βασίλειο. Πώς θα μπορούσε άλλωστε να αλλάξει;

Αν επιθυμείτε να εμβαθύνετε περισσότερο, καλή περίπτωση αποτελεί μια δημοσίευση (PDF, στα Αγγλικά) της Riana Pfefferkorn με τίτλο «ΤΑ ΡΙΣΚΑ ΤΗΣ ΥΠΕΥΘΥΝΗΣ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ». Η δημοσίευση αυτή χαρακτηρίζεται ως τεχνική απάντηση στην ως άνω πρόταση. Η Riana Pfefferkorn είναι Συνεργάτιδα Κρυπτογράφησης (Cryptography Fellow) του Κέντρου για το Διαδίκτυο και την Κοινωνία του Πανεπιστημίου Στάνφορντ και ασχολείται ιδιαίτερα με την έρευνα και την ανάλυση της πολιτικής και των πρακτικών της κυβέρνησης των Η.Π.Α. για τον εξαναγκασμό της αποκρυπτογράφησης ή/και την επιρροή που αυτή ασκεί στο σχετικό με την κρυπτογράφηση σχεδιασμό διαδικτυακών πλατφορμών, υπηρεσιών, συσκευών και προϊόντων, τόσο με τεχνικά μέσα όσο και μέσω των δικαστηρίων και του νομοθετικού σώματος.

Η άλλη πλευρά βέβαια έχει ισχυρά επιχειρήματα, όπως το αμίμητο «Γνωρίζουμε από την εμπειρία μας ότι οι μεγαλύτερες εταιρείες έχουν τα μέσα για να κάνουν ό,τι είναι απαραίτητο για την προώθηση της ασφάλειας στον κυβερνοχώρο, προστατεύοντας παράλληλα τη δημόσια ασφάλεια.» Για παράδειγμα, ένας σημαντικός πάροχος hardware διατηρεί ιδιωτικά κλειδιά που μπορεί να χρησιμοποιήσει για να υπογράψει ενημερώσεις λογισμικού για κάθε συσκευή του. Αυτό θα αποτελούσε τεράστιο δυνητικό πρόβλημα ασφάλειας εάν τα κλειδιά διέρρεαν. Αλλά δεν διαρρέουν, επειδή η εταιρεία ξέρει πώς να προστατεύσει αυτό που είναι σημαντικό. Οι εταιρείες μπορούν να προστατεύσουν την ικανότητά τους να ανταποκρίνονται σε νόμιμες δικαστικές εντολές με την ίδια επιμέλεια.

Ενδεχομένως να ζουν σε άλλο σύμπαν και να μην έχουν ενημερωθεί για τις μαζικές διαρροές χιλιάδων τέτοιων, «καλά προστατευμένων», κλειδιών που ανακύπτουν κατά καιρούς, είτε εξαιτίας στοχευμένης επίθεσης είτε απλά επειδή κάποιος υπεύθυνος έστειλε κατά λάθος ως συνημμένα μέσω email σε πολλούς παραλήπτες περισσότερα από 23.000 ιδιωτικά κλειδιά κρυπτογράφησης πελατών που διατηρούσε η εταιρεία του (ναι, έχει συμβεί ακριβώς αυτό). Πιθανόν δε να μη γνωρίζουν ούτε ότι crackers έχουν στο παρελθόν υποκλέψει και διαθέσει προς πώληση λογισμικό παρακολούθησης από την ίδια την N.S.A.

Το θέμα είναι αρκετά σημαντικό και δεν επαρκεί ένα άρθρο για να το καλύψει στην ολότητά του, πολλώ δε μάλλον όταν έχουν γραφτεί δεκάδες αντίστοιχα άρθρα, σε διάφορες γλώσσες, και πάλι δεν φτάνουν. Είναι μια συζήτηση που έχει ανοίξει εδώ και δεκαετίες και που δεν πρόκειται να τελειώσει στο κοντινό μέλλον.

Για να είμαστε δίκαιοι όμως, ας προσπαθήσουμε συνοπτικά να το ερμηνεύσουμε και από τις δύο ενδεχόμενες πλευρές του.

Η μία, η απλούστερη και που χρειάζεται λιγότερο περίπλοκες υποθέσεις, είναι πως στην κυβέρνηση των Η.Π.Α. αλλά και των υπόλοιπων χωρών που θεωρούν λογική την πρόταση περί «υπεύθυνης κρυπτογράφησης», συμμετέχουν –σε θέσεις ευθύνης– άνθρωποι οι οποίοι δεν διαθέτουν καν στοιχειώδεις γνώσεις πάνω στο αντικείμενο που καλούνται να λάβουν αποφάσεις και να νομοθετήσουν. Επιπλέον, έχουν την ατυχία να μην υπάρχει ούτε ένας υφιστάμενός τους που να μπορεί να τους ενημερώσει σχετικά.

Δεν είναι διόλου απίθανο και έχουμε σχετικά παραδείγματα και στη δική μας χώρα αλλά, αν δεχθούμε αυτή την εκδοχή ως αληθή, προκύπτει εύλογα το συμπέρασμα ότι οι άνθρωποι αυτοί μπορεί να μην είναι κακόβουλοι, είναι όμως άκρως επικίνδυνοι για το κοινό καλό και για τις ζωές των πολιτών.

Η άλλη πλευρά, η περισσότερο περίπλοκη, μας οδηγεί με τη βοήθεια και άλλων γεγονότων παρόμοιας φύσης στη σκέψη ότι η προαναφερθείσα πρόταση δεν είναι τίποτα παραπάνω από άλλη μία προσπάθεια κυβέρνησης (κυβερνήσεων για την ακρίβεια) να νομιμοποιήσει τη μαζική παρακολούθηση και την παραβίαση ανωνυμίας και ιδιωτικότητας. Σε αυτήν την περίπτωση, εκτός από επικίνδυνοι για το κοινό καλό και για τις ζωές των πολιτών είναι πλέον και κακόβουλοι.

Θα σας αφήσω να επιλέξετε εσείς τι από τα δύο θα πιστέψετε. Το μόνο βέβαιο είναι ότι δεν υπάρχει καμία άλλη εξήγηση.

Είναι όμως αδιαμφισβήτητο γεγονός πως ο κόσμος δεν αρχίζει και τελειώνει γύρω από το άτομό μας και πως οτιδήποτε κάνουμε ή δεν κάνουμε επιδρά στις ζωές άλλων. Μπορεί να είναι ο διπλανός μας ή ο αντιφρονών στην άλλη άκρη του πλανήτη που αναφέραμε νωρίτερα. Την επόμενη φορά λοιπόν που θα αδιαφορήσετε για την κρυπτογράφηση ή θα θεωρήσετε ότι δε σας αφορά προσωπικά, θα σας παρακαλούσα να το σκεφτείτε λίγο περισσότερο. Ίσως δεν υφίσταται «υπεύθυνη κρυπτογράφηση» αλλά η ίδια η κρυπτογράφηση αποτελεί στάση ευθύνης για τη ζωή σας και για τις ζωές ανθρώπων ακριβώς όπως εσείς.

Πηγή: OSARENA.NET

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου