FBI pelaa kaksoisagenttia salauksen suhteen
Politiikka Teknologia

FBI pelaa kaksoisagenttia salauksen suhteen

Publication-X
5 lukukertaa

Tämä on kyberturvallisuuspolitiikan maailma, jossa jokainen teko on uusi versio edellisestä, ja Yhdysvaltojen kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) antoi tällä viikolla yksiselitteisen neuvon: käytä vain päästä päähän salattua viestintää.

Aivan oikein, ihmiset, hallitus itse kehottaa teitä lukitsemaan digitaaliset ovenne niin tiukasti, ettei edes se voi kurkistaa sisään. Tämä tapahtui 3. joulukuuta julkaistun ohjeistuksen jälkeen, jonka Yhdysvallat, Australia, Kanada, Uusi-Seelanti ja Yhdistynyt kuningaskunta ovat hyväksyneet ja jossa yrityksiä kehotetaan tekemään juuri näin.

Jossain taustalla FBI kuitenkin laulaa salauksesta eri sävelmää, joka kuulostaa epäilyttävästi uusinnalta kappaleesta ”We Just Want Lawful Access”.

Viime viikolla Riadissa pidetty YK:n Internetin hallintofoorumi oli FBI:n salauskaksikon viimeisin näyttämö. Toisaalta FBI:n osastopäällikkö Katie Noyes vakuutti osallistujille: ”Tuemme salaustekniikoita hyvin paljon.”

Mutta sitten tuli väistämätön ”mutta”, joka esitettiin poliitikon hienovaraisuudella, joka lupaa budjettileikkauksia koskematta terveydenhuoltoon tai puolustukseen: ”Haluamme vain, että niitä hallinnoidaan tavalla, joka on samanlainen kuin televiestinnässä.” Käännös? Päästä-päähän-salaus on hyvä, kunhan voimme tarpeen vaatiessa livahtaa luukun läpi.

Hänen kollegansa, FBI:n apulaisjohtaja Bryan Vorndran toisti Noyesin kannan, ja hän esiintyi hiljattain viraston videolla, jossa hän toisti viraston johdonmukaisen, mutta jatkuvasti sekavan kannan. ”FBI on ollut todella, todella johdonmukainen kantamme laillisen pääsyn salaukseen”, Vorndran sanoi. ”Olemme itse asiassa sen suuria kannattajia, mutta sitä on hallittava kohtuullisen vastuullisesti, jotta voimme saada tarvitsemamme vastapuolen.” Voi kysyä, mitä ”kohtuullisen vastuullisesti hallittu” tarkoittaa, sillä tämä ilmaisu on yhtä käyttökelpoinen kuin sääennuste, jossa sanotaan, että ”ehkä sataa vähän, jos olosuhteet ovat oikeat”.

”We Need To See!” – Maailmanlaajuinen vaatimus pääsystä
FBI ei ollut yksin Riadin salausparadoksessa. Ehdoin varustetun salauksen kannattajien kuoroon liittyi Dan Suter, Yhdistyneen kuningaskunnan, Australian ja Uuden-Seelannin hallituksissa kierroksia tehnyt virkamies.

Suter ei kaunistellut sanojaan ja julisti suoraan: ”Me tarvitsemme sisältöä!”. Sillä totta puhuen: Metatiedot voivat kertoa, kuka soittaa kenellekin, mutta aikaleimaa ei voi laittaa käsirautoihin.

Suter hylkäsi myös käyttäjien raportoinnin käyttökelpoisena välineenä verkossa tapahtuvan hyväksikäytön torjunnassa ja hylkäsi mekanismin, johon monet alustat luottavat pitääkseen saalistajat loitolla. Mikä on lopputulos?

Salaus on lainvalvontaviranomaisten verkko-ongelmien vihollinen, vaikka se suojaa miljoonia ihmisiä tietoverkkorikollisuudelta ja invasiiviselta valvonnalta. Ja vaikka ”täysin homomorfinen salaus” kuiskattiin ilmeisesti taustalla, se pysyi kuitenkin kaukana taivaasta – se puuttui silmiinpistävästi kaikista vakavista keskusteluista, jotka koskivat todellista toteutusta.

Suuri salauksen tekopyhyys
Tässä on ironia, joka haisee koko keskustelulle: CISA ja sen kansainväliset kumppanit kannustavat salauksen käyttöönottoa viestinnän turvaamisen kultaisena standardina.

Samaan aikaan FBI ja sen liittolaiset vääntävät käsiään siitä, miten salaus haittaa tutkimuksia. Tarina on yhtä vanha kuin aika, tai ainakin yhtä vanha kuin ensimmäinen iPhone-kiista FBI:n kanssa.

Lainvalvontaviranomaisten väite tiivistyy valitukseen siitä, että salaus ei ole vain digitaalinen lukko, vaan lukko, jonka avaimet eivät ole heidän hallussaan. Ja se on ilmeisesti ongelma.

Mutta tehdäänpä asia selväksi: FBI:n vaatimus ”laillisesta pääsystä” ei ole mikään suppea tekninen korjaus, vaan se on kiertoilmaus haavoittuvuuksien lisäämiselle järjestelmiin, joiden pitäisi olla luodinkestäviä. Se vastaa sitä, että asennetaan salainen sisäänkäynti jokaiseen amerikkalaiseen kotiin ja luvataan, etteivät murtovarkaat löydä sitä. Spoileri: he löytävät.

Vuoden 2024 katastrofeista huolimatta FBI ja sen Five Eyes -liittolaiset pitävät itsepintaisesti kiinni salaushaaveistaan. Pelkästään tämän vuoden olisi pitänyt murskata kaikki illuusiot tällaisen politiikan elinkelpoisuudesta. Lokakuussa tapahtunut Salt Typhoon -hakkerointi osoitti, miten CALEA-lain (Communications Assistance for Law Enforcement Act) mukaisista takaovista voi tulla vastustajien aseita. Kiinalaiset hakkerit hyödynsivät televerkkojen laillisia sieppausmahdollisuuksia ja muuttivat ne pääsypisteiksi tuhoisaan, jatkuvaan hyökkäykseen.

Samaan aikaan Australian kovaotteinen lähestymistapa ajoi salatun sovelluksen Session pois sen lainkäyttöalueelta, jolloin viranomaisilla oli entistäkin vähemmän pääsyä tietoihin. Tämä siirto loi vaarallisen ennakkotapauksen: yritykset, jotka asettavat käyttäjien yksityisyyden etusijalle, saattavat yhä useammin hylätä markkinat, joilla hallitukset vaativat takaportteja, mikä vaikeuttaa tutkimuksia, ei helpota niitä.

Euroopassa kaoottinen taistelu chatin valvontaa koskevasta lainsäädännöstä ajautui kolmanteen umpikujaan, koska lainvalvontaviranomaiset vaativat pakollisia takaovia. Näiden lastensuojelutoimenpiteiksi naamioitujen valtuutusten kannattajat kohtasivat kiivaita vastareaktioita niin teknologien, ihmisoikeusryhmien kuin yksityisyydensuojan puolestapuhujienkin taholta. Kuten Ella Jakubowska European Digital Rights -järjestöstä totesi osuvasti, ”valvonta-alan ääriliikkeet” ovat jo vuosia jarruttaneet todellisia lastensuojelutoimia kieltäytymällä luopumasta pakkomielteestään murtaa salaus.

Nämä epäonnistumiset eivät ole abstrakteja, vaan selviä varoituksia salauksen heikentämisen vaaroista. Takaportit eivät paranna turvallisuutta, vaan heikentävät sitä ja tekevät järjestelmistä hakkerien ja vastustajien pesäkkeitä. Huolimatta lisääntyvästä todistusaineistosta lainvalvontaviranomaiset kieltäytyvät sopeutumasta ja pitävät kiinni rikkinäisestä tarinasta, joka vaarantaa kaikkien yksityisyyden, mutta jolla ei saavuteta mitään heidän tavoitteistaan. Kuinka monta tietoturvaloukkausta ja harha-askelta vielä tarvitaan, ennen kuin he vihdoin kuuntelevat?

FBI:n jatkuva pyrkimys salausjärjestelmien takaoviin on suora uhka kaikkien digitaalista viestintää käyttävien yksityisyydelle ja turvallisuudelle. Huolimatta siitä, että he vaativat, että tällaisia toimenpiteitä hallinnoitaisiin ”kohtuullisen vastuullisesti”, todellisuus on karu: takaovi on avoin kutsu hyväksikäyttöön.

Salaus toimii, koska se on ehdoton. Kukaan muu kuin lähettäjä ja vastaanottaja – eivät hakkerit, hallitukset tai edes palvelun tarjoavat yritykset – eivät voi lukea päästä päähän-salauksella suojattuja viestejä.

Järjestelmä on suunniteltu suojaamaan digitaalisen viestinnän luontaisilta riskeiltä. Kun luodaan takaovi, järjestelmä romahtaa. Et enää rakenna kassakaappia, vaan asennat takaseinään salaisen luukun.

Ja tässä on ongelmana se, että takaovet eivät tee eroa. Samasta ”laillista” viranomaiskäyttöä varten luodusta piilotetusta pääsypisteestä tulee houkutteleva kohde vihollisille.

Hakkerit, ulkomaiset hallitukset, sisäpiirin sisäpiiriläiset ja verkkorikolliset haluavat löytää nämä heikot kohdat tietäen, että ne avaavat saman tietovarannon, johon FBI haluaa päästä käsiksi.

Kyse ei ole hypoteettisesta riskistä, vaan olemme nähneet sen tapahtuvan. Salt Typhoon -hakkerointi, jossa kiinalaiset hakkerit käyttivät hyväkseen televiestinnän laillisia sieppausmahdollisuuksia, ja lukemattomat oletetusti turvattujen järjestelmien murrot osoittavat selvästi, että jos rakennat haavoittuvuuden, joku käyttää sitä hyväkseen.

FBI väittää mielellään, että salakirjoituksen takaovet olisivat lainvalvontaviranomaisten käytettävissä vain tiukasti valvotuissa olosuhteissa. Tämä on kuitenkin kuvitelmaa. Internet ei toimi siiloissa. Kun takaovi on olemassa, se on osa ekosysteemiä ja alttiina samoille riskeille ja hyökkäyksille kuin mikä tahansa muukin koodi. Toisin kuin FBI:n teoreettiset suojatoimet, hakkereiden ja vihamielisten toimijoiden motiivit eivät rajoitu pelkästään hyviin aikomuksiin.

Mikä pahinta, yhden hallituksen takaovesta tulee väistämättä takaovi kaikille. Kun ennakkotapaus on luotu, autoritaariset hallitukset vaativat samaa pääsyä ja vetoavat ”laillisen” salakuuntelun tarpeellisuuteen rikollisuuden torjumiseksi – tai todennäköisemmin toisinajattelijoiden valvomiseksi. FBI voi kuvitella olevansa näiden välineiden vastuullinen vartija, mutta teknologian yhdistämässä maailmassa niiden olemassaolo takaa maailmanlaajuisen väärinkäytön.

Takaportti vaarantaa jokaisen järjestelmää käyttävän henkilön turvallisuuden. Se muuttaa salauksen suojasta seulaksi, jolloin yksityinen viestintä on haavoittuvaista kaikille, joilla on välineet ja päättäväisyys hyödyntää sitä.

Tämä ei ole FBI:n ensimmäinen rodeo. Vuonna 2022 virasto järjesti Yhdysvalloissa samanlaisen IGF-istunnon, jossa sen silloinen apulaisjohtaja Darrin Jones käsitteli täsmälleen samaa aihetta: lasten turvallisuutta ja salausta. Kaksi vuotta ja lukemattomia teknologisia ja poliittisia muutoksia myöhemmin FBI otti vanhan käsikirjoituksen esiin, vaihtoi muutaman sanan ja esitti saman turhan viestin. Ainoa asia, joka on selvä, on heidän väitteensä siitä, että mikään ei ole muuttunut – ja juuri se on ongelma.

FBI ei pelkää julkista keskustelua salauksesta, vaan itse asiassa se elää siitä. Nämä paneelit tarjoavat täydellisen näyttämön toistaa sen kulunut vaatimus ”laillisesta pääsystä” ja sivuuttaa samalla ne räikeät riskit, joita salakirjoituksen takaovet aiheuttavat yksityisyydelle ja turvallisuudelle. Kaikista puheista huolimatta niiden keskeinen kanta pysyy kuitenkin muuttumattomana: salaus on hyvä, kunhan se voidaan tarvittaessa murtaa.
Eteenpäin ei pääse enää keskustelemalla salauksen heikentämisestä, vaan vahvistamalla vahvaa, kaikkialla käytössä olevaa ja yhteentoimivaa päästä päähän -salausta.

Näin voimme suojella lapsia, yksityisyyttä ja viestintää maailmassa, joka on yhä alttiimpi digitaalisille uhkille. Onneksi julkiset eturyhmät ja alan johtajat ovat jo ottaneet tämän tehtävän hoitaakseen ja työskentelevät kaikkien viestinnän turvaamiseksi avoimien standardien ja vankan salauksen avulla.

Yhdysvaltain hallitus on CISA:n kaltaisten virastojen kautta jopa antanut selkeän ja yksiselitteisen neuvon: käytä päästä päähän -salausmenetelmää.

Se on harvinainen ja hyödyllinen ohje muuten hajanaisessa politiikassa. Jos vain FBI ottaisi vihjeen vastaan, voisimme vihdoinkin alkaa viedä salauskeskustelua oikeaan suuntaan. Siihen asti todellinen työ yksityisyyden – ja sitä kautta kaikkien turvallisuuden – suojelemiseksi on niiden käsissä, jotka ymmärtävät, että turvallisuus ilman vahvaa salausta ei ole turvallisuutta lainkaan.
Vuosi 2025 tulee todennäköisesti kohtaamaan tähän mennessä suurimman salaushaasteen.

Paavi Franciscus: Yhteinen Hallitus Välttämätön Eksistentiaalisten Uhkausten Edessä Previous post Paavi Franciscus: Yhteinen Hallitus Välttämätön Eksistentiaalisten Uhkausten Edessä
WEF:n terveysvaroitus: Lintuinfluenssan tappava potentiaali ja mRNA-rokotusten tarve ennen Trumpin valtaantuloa Next post WEF:n terveysvaroitus: Lintuinfluenssan tappava potentiaali ja mRNA-rokotusten tarve ennen Trumpin valtaantuloa