Salakuuntelut paljastuvat: Miten salausten takaovet tulevat avaamaan tulvaportit hakkereille
Signal-johtaja Meredith Whittakerin käsitys siitä, ketkä ovat ”hyviä tyyppejä”, saattaa poiketa muiden käsityksistä, koska hän on tehnyt aiemmin loistavan ja näkyvän uran suurten teknologiayritysten parissa.
Toiset eivät ehkä ajattele, että ”hyviä tyyppejä” on olemassa, kun on kyse siitä, että kuka tahansa voi yrittää tuhota yleisen verkon salauksen.
Mutta Whittaker, joka vastaa Signal-sovelluksesta, joka tekee kovasti töitä asemoidakseen itsensä ”huippuyksityisyyden ja turvallisuuden kannalta ystävällisenä” viestintävälineenä, joko tekee tämän syvällä vakaumuksella tai hänellä ei ole muuta vaihtoehtoa kuin tehdä se (kun otetaan huomioon Signalin luonne): hän puolustaa salausta.
Taustaa: Turvallisuusrikkomukset ja salausten takaovet
Tällä kertaa taustalla on tietoturvaloukkaus, jonka kiinalaisten hakkerien kerrotaan kohdistuneen useisiin yhdysvaltalaisiin televiestintä- ja Internet-palveluntarjoajiin.
Tästä tulee viittaus ”hyviin tyyppeihin” – Whittaker sanoo, että jos Yhdysvallat rakentaa salaus- ja salausportteja periaatteessa koko internetiin, ei voida mitenkään varmistaa, että vain Yhdysvallat voi käyttää niitä hyväkseen.
Tässä vaiheessa tuntuu lähes tarpeettomalta toistaa, miksi näin on ja miten salaus, internet ja erilaiset valtiolliset ja rikolliset toimijat toimivat. Mutta takapirun ihmisille – ja siihen kuuluu paljon lainsäätäjiä ja poliitikkoja ympäri maailmaa – ehkä pitäisi sanoa se ”kovempaa”:
Kun salauksen takaovet on kerran heikennetty ja murrettu, ne palvelevat kaikkia, jotka ovat tarpeeksi fiksuja käyttämään niitä – ja siihen ei selvästikään kuulu vain yksi hallitus tai vain hallitusten hakkerit yleensä.
Panokset: Yksityisen viestinnän tulevaisuus
Vahvasta ja luotettavasta salauksesta eivät ole riippuvaisia vain ihmisten yksityisviestit, chatit ja muut vastaavat: myös heidän pankkitilinsä, liiketoimintansa ja siten toimeentulonsa riippuvat siitä.
Siitä huolimatta monet hallitukset ympäri maailmaa tekevät kovasti töitä salauksen purkamiseksi, jotta ne voisivat tyydyttää usein puhtaasti poliittisen tarpeen päästä koko ajan käsiksi kaikkien viestintään – ja piilottaakseen tämän sen savuverhon taakse, jonka mukaan se on lainvalvonnan edellytys, jotta se voi puuttua esimerkiksi terrorismiin ja lasten hyväksikäyttöön – ja jotta salaus voitaisiin purkaa, sellaisena kuin se tällä hetkellä on.
Whittaker julkaisi uudelleen jutun väitetystä ”katastrofaalisesta ja massiivisesta” kiinalaisesta salakuuntelukampanjasta, jossa mainittiin amerikkalaisten internet-liikenteen ”laaja kerääminen”. Hän lisäsi omat sanansa: ”Kun koko tekninen yhteisö sanoo, että EU:n ChatControl-lainsäädäntö ja vastaavat aiheuttavat vakavia kyberturvallisuusuhkia, emme liioittele vaikutuksen vuoksi.”
Historiallinen tausta ja oikeudelliset kehykset
Wall Street Journalin artikkelissa, johon hän viittasi, sanottiin, että kiinalaiset hakkerit ovat vaarantaneet ”Yhdysvaltain lainsäädännön mukaiset kuunteluportaalit (salakuuntelujärjestelmät)” – ja varoitettiin: ”Muista tämä, kun hallitus seuraavan kerran vaatii salausjärjestelmien takaovia.”
Juttu on myös hyvä muistutus siitä, miten telekommunikaatio- ja internet-palveluntarjoajien salakuuntelujärjestelmät toimivat Yhdysvalloissa.
Vuonna 1994 hyväksytyn Communications Assistance for Law Enforcement Act -lain (CALEA) nojalla sallittiin takaovi, jonka avulla lainvalvontaviranomaiset pystyivät kuuntelemaan tuolloin syntymässä ollutta matkapuhelinalaa. Nyt joku näyttää kuunteleneen sitä ilman oikeuden päätöstä – ainakaan Yhdysvaltain tuomioistuinten antamaa.
CALEA:n on tarkoitus mahdollistaa ”asiakastietojen toimittaminen helpommin (Yhdysvaltojen) lainvalvontaviranomaisille ja hallituksille”. Se tarkoittaa, että Internet-palveluntarjoajilla ja televiestintäyrityksillä on pääsy asiakkaidensa tietoihin liikennettä ja selaushistoriaa myöten ja että pyydettäessä nämä tiedot menevät – no, lain takana oleville tahoille.
Tämä on jälleen yksi niistä laeista, jotka hyväksyttiin vuosikymmeniä sitten, sen alkuaikoina, mitä nykyään kutsutaan internetiksi ja sen päälle nopeasti laajentuneeksi palvelujen ja alustojen verkoksi.
Raporteissa todetaan myös, että ”tutkinta” on tällä hetkellä alkuvaiheessa, mutta jos kiinalaiset ovat tämän takana – kuka tietää, onko jokin tuomioistuin todellakin antanut siihen luvan, tai onko jokin hallitus sen takana.
Mutta muotoillakseni Whittakerin pointin uudelleen, tällä kertaa se ei satu olemaan Yhdysvallat.
Johtopäätös voi olla, että kun on kyse näennäisesti täysin huolettomasta siirtymisestä kohti salauksen heikentämistä päivittäisen politiikan vuoksi, josta kaikki internetissä toimivat ovat riippuvaisia turvallisuuden ja yksityisyyden suojaamiseksi, voi olla aika lopettaa puhuminen ”hyvistä pojista” – tai määritellä viesti uudelleen.
Se ei ole mitään rakettitiedettä, vaan pelkkää hyvää (teknistä) järkeä: hyviä tyyppejä ovat ne, jotka kannattavat vahvaa salausta. Pahiksia ovat ne, jotka haluavat heikentää sitä – tai ovat jo heikentäneet sitä hämärällä lainsäädännöllä, jollaisesta amerikkalaiset saavat nyt muistutuksen väitetystä kiinalaisesta hakkeroinnista.
Salauskeskustelun toisella puolella on virkamiehiä, jotka ajavat salausjärjestelmien takaovia, jotka on peitetty ”kansallisen turvallisuuden” ja ”rikosten ehkäisyn” lohdulliseen retoriikkaan. Toisella puolella kaikki, joilla on edes heikko käsitys digitaalisen turvallisuuden toiminnasta, huutavat kovaan ääneen: ”Älkää tehkö sitä, senkin typerykset!”. Mutta hei, milloin terve järki on koskaan estänyt hallituksen toimeksiantoja?
Pääsyyn liittyvä liukas rinne
Tehdään yksi asia selväksi. Heti kun salaukseen rakennetaan takaovi, voit yhtä hyvin antaa avaimet jokaiselle hakkerille, roistovaltiolle ja tylsistyneelle teini-ikäiselle, jolla on kannettava tietokone ja kaunaa. Ajatus siitä, että takaovi voitaisiin rakentaa vain ”hyville”, on niin arvokas, että se pitäisi kehystää kullalla ja myydä Etsyssä poliittisen naiiviuden retrojäänteenä.
Historia on osoittanut meille, mitä tapahtuu, kun avaat väärän oven – kaikki valssaavat sisään. Muistatko, kun NSA:n hakkerointityökalut vuotivat ”vahingossa” vuonna 2017? Tuo pieni kömmähdys käynnisti maailmanlaajuisen lunnasohjelmahyökkäysten aallon, joka rampautti niin sairaalat, yritykset kuin hallituksetkin. Jos maailman parhaiten rahoitettu vakoiluvirasto ei pystynyt pitämään lelujaan lukkojen takana, miten tämän takaoven pitäisi pysyä ”vain valtuutetun henkilöstön” yksinoikeudella?
Ei, kun vaarannat järjestelmän – olivatpa syysi kuinka jalot tahansa – annat internetin avaimet kenelle tahansa, joka osaa murtaa lukon. Ja uskokaa minua, aina löytyy joku, joka pystyy.
Tilaamasi taloudellinen maailmanloppu on matkalla
Puhutaanpa rahasta. Sillä jos jokin saa ihmiset kiinnittämään huomiota, se on pankkisaldon romahtaminen.
Elämme maailmassa, jossa kaikki riippuu salauksesta. Jokainen verkko-ostos, jokainen liikesalaisuus, jokainen rahoitustapahtuma. Monikansalliset yritykset eivät salaa tietojaan huvin vuoksi, vaan koska kyse on miljardeista dollareista. Jos salausta heikennetään, luottamus näihin liiketoimiin heikkenee, ja yhtäkkiä kuka tahansa voi varastaa nopeasti miljardeja. Hakkerit riehuvat, ja yritykset vuotavat rahaa nopeammin kuin ne ehtivät paikata aukkoja. Luottamus? Mennyt. Ja sen myötä triljoonien dollarien taloudellinen vakaus. Mutta toki muutama takaovi rikollisuuden torjumiseksi. Kuulostaa sen arvoiselta, eikö?
Yksityisyys vs. turvallisuus: Keinotekoinen valinta, jonka kaikki rakastavat tehdä
Niille, jotka pitävät kirjaa, tässä kohtaa tulee klassinen ”No, meidän on valittava yksityisyyden ja turvallisuuden välillä” -argumentti. Spoilerihälytys: se ei ole valinta. Itse asiassa se on kaikkein epärehellisin väärä kahtiajako. Väite, että meidän on luovuttava yksityiselämästämme turvallisuuden vuoksi, on yhtä vanha kuin väärä. Se ei ole vain laiskaa, se on vaarallista.
Asia on näin: vahva salaus suojaa molempia. Siinä on pointtini. Sinun ei tarvitse valita! Vankka salaus pitää pahikset poissa sähköposteistasi ja kyllä, pitää ne poissa myös kriittisestä infrastruktuurista. Ajattele sähköverkkoja, vesijärjestelmiä, ydinlaitoksia – tällaisia pieniä asioita. Aina kun joku esittää tämän ”yksityisyys vs. turvallisuus” -hölynpölynpölyn, hän yrittää vain siirtää huomion pois siitä, että vahva salaus mahdollistaa molemmat. Salauksen heikentäminen ei paranna turvallisuutta – se tuhoaa sen kaikkien osalta.
Kun luottamus kuolee, Internet kuolee sen mukana
Niille, jotka pitävät kirjaa, tässä kohtaa tulee klassinen ”No, meidän on valittava yksityisyyden ja turvallisuuden välillä” -argumentti. Spoilerihälytys: se ei ole valinta. Itse asiassa se on kaikkein epärehellisin väärä kahtiajako. Väite, että meidän on luovuttava yksityiselämästämme turvallisuuden vuoksi, on yhtä vanha kuin väärä. Se ei ole vain laiskaa, se on vaarallista.
Asia on näin: vahva salaus suojaa molempia. Siinä on pointtini. Sinun ei tarvitse valita! Vankka salaus pitää pahikset poissa sähköposteistasi ja kyllä, pitää ne poissa myös kriittisestä infrastruktuurista. Ajattele sähköverkkoja, vesijärjestelmiä, ydinlaitoksia – tällaisia pieniä asioita. Aina kun joku esittää tämän ”yksityisyys vs. turvallisuus” -hölynpölynpölyn, hän yrittää vain siirtää huomion pois siitä, että vahva salaus mahdollistaa molemmat. Salauksen heikentäminen ei paranna turvallisuutta – se tuhoaa sen kaikkien osalta.