Poniższy artykuł pochodzi z serwisu IPSec
Komisja Europejska w nowym projekcie prawa telekomunikacyjnego zawarła kontrowersyjną propozycję, która została tam umieszczona z inicjatywy instytucji walczących z przestępczością. Te ostatnie wielokrotnie żądały legalnego przyznania im znacznie większych niż obecne uprawnień w zakresie podsłuchu i kontroli użytkowników sieci telekomunikacyjnych, jednak ta propozycja idzie szczególnie daleko.
Gdyby nowe prawo weszło w życie, wszyscy operatorzy telekomunikacyjni w Unii byliby zobowiązani do zapisywania i archiwizowania całego przesyłanego ich łączami ruchu internetowego przez okres… 7 lat. Krok taki jest wskazywany jako konieczność dla skutecznej walki z przestępczością zorganizowaną, pornografią i innymi zagrożeniami, tradycyjnie już wymieniamymi przy okazji dyskusji nad administracyjną kontrolą Internetu czy są one realne, czy nie. Zwolennicy ścisłej kontroli zdają się jednak zapominać, że policja posiada już przecież odpowiednie mechanizmy, odpowiadające funkcjonalnie wykorzystywanym od dawna np. selektywnym podsłuchom na centralach telefonicznych. Nowy pomysł byłby więc równie absurdalny, jak nagrywanie i przechowywanie przez 7 lat wszystkich rozmów telefonicznych prowadzonych przez wszystkie europejskie centrale.
Pomijając fakt rażącego naruszania prywatności telekomunikacyjnej przez globalne i prewencyjne rejestrowanie łączności internetowej, pomysł ten jest w praktyce niewykonalny technicznie. Przez typowe międzymiastowe łącze o przepustowości 34 Mbit/sek teoretycznie przepływać może dziennie ponad 350 GB danych. Ilość danych, którą należałoby zapisać i przechowywać przez okres 7 lat urasta do niemal 1000 TB danych – dla samych potrzeb rejestrowania tego ruchu należałoby stworzyć system porównywalny z całą infrastrukturą routerów i innych urządzeń sieciowych służących do przesyłania danych. Nie mówiąc już o problemach z wydajnością i opóźnieniach wprowadzanych przez same rejestratory – wszystkie te czynniki razem wzięte radykalnie zmieniłyby zapewne oblicze sieci w krajach, gdzie stałyby się one obowiązującym prawem. Równocześnie zachowanie dotychczasowej wolności w pozostałych krajach zniweczyłoby tym samym wysiłki np. zwolenników cenzury i filtrowania Internetu.
Problem globalnego podsłuchu pojawia się nieprzerwanie od kilku lat, wypływając w różnych miejscach z inicjatywy różnych instytucji. Jego analizę z technicznego punktu widzenia można znaleźć w interesującym artykule ,,The Crypto Myth” autorstwa Petera Tippeta, napisanym dla Information Security Magazine. Na wniosek FBI próbowano w firmie MCI wprowadzić rejestrację tygodniowego ruchu z łącza OC-3 (155 Mbit/sek). Cytując autora: ,,po kilku miesiącach wytężonych prac z użyciem najszybszych procesorów, narzędzi i macierzy dyskowych MCI było jedynie w stanie rejestrować nagłówki przesyłanych pakietów”. Autor przypomina także, że obecnie w użyciu są łącza OC-192, przesyłające 10 Gbit danych na sekundę.
Kolejne ograniczenie swobody korzystania z Internetu działają od niedawna w Bombaju, gdzie wprowadzono przepis, zobowiązujący wszystkich użytkowników kawiarni interenetowych do legitymowania się specjalnymi identyfikatorami, wydawanymi przez lokalne władze (obcokrajowcy muszą okazać paszport). I również tutaj argumentuje się takie naruszenie prywatności dużą liczbą przestępstw dokonywanych z miejsc takich jak kawiarnie interenetowe. Gdyby jednak przenieść ten pomysł na tradycyjną telefonię, to doszlibyśmy do absurdu – musielibyśmy legitymować się podczas każdej próby skorzystania z publicznych automatów telefonicznych. I owszem, mieliśmy coś podobnego, ale w latach 80-tych podczas stanu wojennego.
W innym kierunku poszły służby specjalne Holandii – w dokumentach ujawnionych niedawno przez tamtejszą organizację Bits of Freedom znajduje się strategia, która miała zapewnić instytucjom rządowym współpracę ze strony centrów certyfikujących, obsługujących krajową infrastrukturę klucza publicznego. Centra te – mające możliwość generowania kluczy kryptograficznych dla swoich klientów i z reguły w regulaminie zastrzegające ich zniszczenie po dostarczeniu odbiorcy – miały być za pomocą półoficjalnych nacisków zmuszane do ujawniania tych kluczy lub, jeśli miałyby taką możliwość, do dostarczenia od razu rozszyfrowanych informacji. Z obowiązku tego miałyby być zwolnione instytucje nie mające dostepu do kluczy prywatnych klientów, jednak autorzy dokumentu wspomnieli wyraźnie że należy podjąć środki zapobiegające używaniu takiego wykrętu w przypadkach, gdy centrum jednak takie klucze posiada. O tym, że inicjatorzy powstania tej strategii doskonale zdawali sobie sprawę z tego, że działają na granicy prawa świadczy fakt, że w jednym z akapitów wspominają wyraźnie konieczność podjęcia odpowiednich kroków ustawodawczych dopiero w przypadku, gdyby centra certyfikacyjne nie były skłonne do współpracy.
Przypadek holenderski powinien być dla nas szczególnie ważną przestrogą, bo Polska pracuje właśnie nad własną wersją ustawy o podpisie elektronicznym. Niepokojący w tym kontekście jest komentarz, który w odniesieniu do aktualnie rozpatrywanego projektu ustawy opublikowali kryptologowie Marian Srebrny i Andrzej M. Borzyszkowski. Stwierdza on że ,,w projekcie rządowym nie rozważa się w ogóle możliwości, że to klient przychodzi do dostawcy certyfikatów ze swoją parą kluczy i wnosi jedynie o potwierdzenie swojej tożsamości. Z technicznego punktu widzenia nie ma potrzeby by dostawca certyfikatów generował te klucze”. Warto pamiętać, że jeśli tak sformułowana ustawa stanie się obowiązującym prawem, to instytucje rządowe będą mogły uznawać za nieważne certyfikaty wygenerowane poprawnie, ale gdzie indziej niż w akredytowanym centrum. Podczas gdy faktycznie nie ma praktycznie żadnego uzasadnienia dla sytuacji w której to centrum generuje klucz prywatny klienta. Istnieje natomiast w tym wypadku zagrożenie, że dostęp do tego klucza będzie nadużywany, czy to przez samo centrum czy też przez wywierające na niego presję służby specjalne.
ZDNet: ,,Europe moves to monitor all Internet traffic” http://news.zdnet.co.uk/story/0,,s2086599,00.html
Yahoo: ,,Mumbai cops place obstacle…” http://in.news.yahoo.com/010516/48/vla9.html
Heise: ,,Dutch government puts Trusted Third Parties under pressure” http://www.heise.de/tp/english/inhalt/te/7571/1.html
Archiwalny news dodany przez użytkownika: kravietz.
Kliknij tutaj by zobaczyć archiwalne komentarze.