Chat Control: koń trojański Unii Europejskiej

Niniejszy wpis został opracowany wraz z jedną z osób współpracujących z „Kontrabandą” (z uwagi na ograniczenia WordPressa nie mogłem przypisać obu osób jednocześnie) i został on opublikowany na moim blogu w czasach, kiedy półroczną prezydencję w Unii Europejskiej obejmowały Węgry.

Walka rządów państw z szyfrowaniem, w którym widzą one zagrożenie, nie jest niczym nowym. W Stanach Zjednoczonych próby regulacji tych technologii sięgają lat 70. XX wieku, kiedy powstały prawa ograniczające eksport technologii szyfrowania poza terytorium kraju. Od tamtego czasu dyskusje na temat szyfrowania jako przeszkody w zbieraniu dowodów cyfrowych powracały wielokrotnie. Zasadniczo właśnie taka jest jego funkcja – ochrona informacji przed dostępem nieuprawnionych osób.

W 2016 roku – już po ujawnieniu programów szpiegowskich NSA przez Edwarda Snowdena, po którym szyfrowanie rozpowszechniło się w sieci i popularnych usługach – przeprowadzono dyskusję w Unii Europejskiej, z której wnioski w dużej mierze zostały upublicznione. Wynikało z niej, że rządy większości państw w mniejszym lub większym stopniu zainteresowane były uzyskiwaniem dostępu do zabezpieczonych danych, niektóre kraje wprost nawoływały do osłabienia szyfrowania albo wprowadzenia backdoorów. Jak to pytali w pewnym memie – how would you like it packed?

Nierozwiązywalne problemy Chat Control

O Chat Control pierwszy raz dało się słyszeć w 2020 roku, chociaż w Polsce temat przeszedł bez większego echa. Wówczas Rada Europejska opublikowała dokument, w którym użyła sformułowania „bezpieczeństwo dzięki szyfrowaniu i bezpieczeństwo pomimo szyfrowania” (ang. „Security through encryption and security despite encryption”). Podkreślono w nim konieczność dostępu do danych podczas prowadzenia śledztw w sprawie poważnych przestępstw (terroryzm, seksualne wykorzystywanie dzieci, przestępczość zorganizowana) ale także fakt, iż szyfrowanie zwiększa ogólne bezpieczeństwo wszystkich stron. Autorzy wskazywali na konieczność zachowania odpowiedniego balansu, kiedy „uprawnione instytucje” będą uzyskiwać dostęp do chronionych danych, przy jednoczesnym „poszanowaniu prawa obywateli europejskich do prywatności i poufnej komunikacji”.

Już na tym etapie te dwa założenia są ze sobą sprzeczne. Szyfrowanie jest skuteczne, albo nie jest, dane są chronione, albo dostępne do odzyskania. Nie jest możliwe selektywne łamanie szyfrowania tylko w niektórych przypadkach, cały system musiałby zostać w tym celu skompromitowany. Jeżeli oprogramowanie zawiera backdoor, będzie on w równym stopniu możliwy do wykorzystania przez każdego – policję, wyznaczoną do tego instytucję, ale także rządy wrogich państw albo zwyczajnych cyberprzestępców. Osłabiony system stanie się podatny na ataki a zagrożony będzie każdy użytkownik tak skompromitowanej aplikacji. Nie za dobrze komponuje się to ze wspomnianymi już w dokumentach z tamtego okresu zasadach proporcjonalności i konieczności.

W dokumentach przedstawiano założenia, bez konkretnych propozycji technicznych. Opisywano cele do osiągnięcia, nie wyjaśniając w jaki sposób powinno się je osiągnąć. Wspominano jedynie, że samo użycie szyfrowania nie zostanie zakazane. Kwestia pozostała do dalszej dyskusji z firmami technologicznymi – z których część, wraz z ekspertami do spraw bezpieczeństwa i prywatności, z góry określiła podobne plany jako technicznie niewykonalne.

Prawa, które wówczas uchwalono pozwalały natomiast na dobrowolne automatyczne skanowanie treści użytkowników przez operatorów poczty elektronicznej, usług chmurowych i mediów społecznościowych w poszukiwaniu nielegalnych materiałów i w razie potrzeby zgłaszanie takich treści odpowiednim służbom. Dotyczyło to materiałów dostępnych dla usługodawców w postaci niezaszyfrowanej. Uzasadniono to koniecznością walki z seksualnych wykorzystywaniem dzieci. W praktyce, najgłośniejsze sprawy, które w związku z tym się pojawiły, dotyczyły wskazań fałszywie pozytywnych. Było to jedno z zagrożeń, przed którym od początku ostrzegali związani z prywatnością eksperci. Automatyczne rozwiązania oparte o AI były – i nadal są – podatne na błędy. Duża liczba fałszywych alarmów jest w takich przypadkach nieunikniona i poza stratami ponoszonymi przez zupełnie niewinne osoby spowoduje to również utrudnienie pracy służb walczących z przestępczością. Nawet jeżeli nielegalne treści zostaną w kilku przypadkach wykryte, zwyczajnie zaginą one w ogromniej ilości informacyjnego szumu. Te ograniczenia nigdy nie zostaną wyeliminowane do końca choćby z tego prostego powodu, że żadna technologia nie jest i nie będzie w stanie rozpoznawać kontekstów. Użytkownicy niesłusznie oskarżani o pedofilię i odcięci od swoich kont są tego dowodem.

Mimo problemów wskazanych już wtedy i ciągłego podkreślania przez ekspertów nieuniknionych zagrożeń, dyskusje i kolejne propozycje Komisji Europejskiej powracały w różnych formach w 2021 i 2022 roku. Zaproponowano wtedy rozwiązanie dla szyfrowanych komunikatorów, które w teorii miało nie ingerować w używane przez aplikacje szyfrowanie. Mianowicie wiadomości miały być skanowane przez podobne automaty na urządzeniu użytkownika, jeszcze przed zaszyfrowaniem ich i przesłaniem. W praktyce, czaty są wciąż znacznie mniej bezpieczne. Jeżeli do treści wiadomości mają (potencjalny) dostęp strony trzecie, szyfrowanie w transporcie niewiele zmienia. Taka komunikacja nie będzie poufna.

Większość obywateli państw europejskich słusznie opowiedziała się przeciwko takim rozwiązaniom, domyślnie traktującym każdego użytkownika internetowych komunikatorów jako wymagającego nadzoru potencjalnego przestępcę. Wyniki ankiet wskazywały na niezgodę na masową inwigilacje na poziomie od 70 do 80%. W 2022, kiedy Komisja Europejska próbowała uczynić dotychczas dobrowolne skanowanie obowiązkowym, Patrick Breyer z europejskiej Partii Piratów pozwał Facebooka za automatyczne skanowanie treści komunikacji w Messengerze. Uzasadniał to tym, że domyślne skanowanie komunikacji wszystkich obywateli jest niezgodne z prawem człowieka do prywatności i nieproporcjonalne do celów, które miałby zostać w ten sposób uzyskane.

W 2023 przy wysiłku Partii Piratów, organizacji pozarządowych i ekspertów związanych z bezpieczeństwem Parlament Europejski odrzucił ówczesne wersje Chat Control jako niezgodne z europejskimi prawami człowieka. Nie oznaczało to jednak odrzucenia projektu raz na zawsze. Parlament Europejski wezwał po prostu do wprowadzenia zmian w projekcie, aby nie był on niezgodny z prawami podstawowymi. Jego pomysłodawcy mogli wznowić prace i przedstawić nowe wersje w przyszłości.

Łamanie własnych zasad ostatnią deską ratunku

I jak można się było spodziewać, wiosną tego roku dyskusje na temat uzyskania dostępu do treści szyfrowanych czatów powróciły. Rada Europejska podjęła próby klasyfikowania usług internetowych według stopnia zagrożenia jakie potencjalnie mogłyby stwarzać. Oczywiście „zagrożenie” w tym przypadku związane było z możliwością prywatnego i anonimowego korzystania z usług, używanym szyfrowaniem i innymi chroniącymi użytkownika technologiami jak VPN, Tor i komunikacja peer-to-peer. Pod hasłem „Going Dark” rozpoczęto kampanię demonizowania szyfrowania i bezpiecznych komunikatorów, we współpracy z powiązanymi ze sobą organizacjami pozarządowymi i firmami. Ciekawym zbiegiem okoliczności wśród tych firm byli producenci oprogramowania szpiegowskiego, którzy potencjalnie mogliby przy okazji odnieść własne korzyści. Czy to już potencjalny konflikt interesów?

Antyreklamę szyfrowania przeprowadzono na najpopularniejszych mediach społecznościowych w sposób niezgodny z prawem, kierując wiadomości do określonych grup demograficznych, wykorzystując m.in. informacje o politycznych i religijnych poglądach obywateli, czyli danych wrażliwych i podlegających ochronie. Była to praktycznie jawna próba manipulowania opinią publiczną przez wyszukiwanie grupy docelowej podatnej na propagandowy przekaz. Co więcej, sami politycy i służby zaangażowane w kolejne projekty Chat Control zaproponowały wykluczenie własnych urządzeń z programu masowej inwigilacji. Czyżby sami dobrze wiedzieli, że forsowane przez nich rozwiązania będą nieskuteczne i niebezpieczne?

W zaktualizowanej wersji propozycji skanowanie miało dotyczyć tylko linków i obrazów/zdjęć przesyłanych przez szyfrowane komunikatory, z pominięciem treści. A także, w duchu zgodności z RODO, włączenie skanowania (łagodnie nazywanego moderacją) miało być opt-in ze świadomą zgodą użytkownika. Co w przypadku odmowy? Wówczas usługi miałyby działać w okrojonej wersji, pozwalając użytkownikowi wysyłanie jedynie tekstu, bez dodatkowych elementów.

Głosowanie miało odbyć się w czerwcu 2024. Było jednak wielokrotnie przekładane o kilka dni, a pod koniec czerwca odsunięte na czas nieokreślony z powodu nieuzyskania wystarczającej większości. Według niektórych źródeł dyskusje na ten temat kolejny raz powrócą w październiku bieżącego roku, ze względu na to, że od lipca 2024 roku prezydencję w Radzie Europejskiej objęły Węgry – które, w przeciwieństwie do Polski, są za wprowadzeniem Chat Control.

Dlaczego Chat Control jest niebezpieczny?

Przypomnijmy sobie punkty, które powielał między innymi Patrick Breyer za swojej kadencji europosła.

• Technicznie nie jest możliwe stworzenie backdoora dostępnego tylko dla określonych osób – raz stworzony dostęp będzie otwarty dla wszystkich. Mogą wykorzystać to autorytarne rządy w celu inwigilacji przeciwników politycznych i aktywistów broniących praw człowieka;
• Osłabienie szyfrowania spowoduje globalną podatność w objętych prawem systemach, czyniąc usługi sieciowe niebezpiecznymi dla wszystkich użytkowników, których dane będą narażone na włamania i wycieki;
• Technologie oparte na automatycznym skanowaniu i uczeniu maszynowym nie są wolne od błędów, co spowoduje dużo fałszywie pozytywnych wskazań; ucierpią niewinni obywatele omyłkowo oznaczeni przez system i wzrośnie szum informacyjny, przekraczając wydajność pracy służb (co w efekcie znacznie zmniejszy wykrywalność poważnych przestępstw);
• Technologia nie „rozumie” kontekstów, co zwiększa szansę fałszywie pozytywnych wskazań – może na przykład doprowadzić do kryminalizacji nastolatków wymieniających intymną korespondencję między sobą (w szczególności tych, którzy się na to obustronnie zgodzili) albo rodziców wysyłających zdjęcia dzieci lekarzom (już występujące przypadki). Problem NIE MA możliwego rozwiązania technicznego;
• Porównywanie obrazów z bazami danych znanych nielegalnych treści nie pomogą w ściganiu tych nowo powstających; zdjęcia można również modyfikować aby unikać takiego wykrycia – bardziej elastyczne algorytmy z kolei dodatkowo zwiększą fałszywie pozytywne wyniki;
• Zorganizowana przestępczość już teraz nie korzysta z popularnych konsumenckich usług, ale własnych, zarządzanych przez siebie czatów i forów, na które proponowane rozwiązania nie wpłyną. Wykryci zostaną tylko pomniejsi przestępcy, część też zejdzie głębiej do podziemia;
• Kiedy techniczna możliwość skanowania zostanie już wprowadzona, nic nie przeszkodzi w przyszłym rozszerzaniu zakresu „niebezpiecznych” treści do monitorowania i zwalczania; dzisiaj będzie to „walka z terroryzmem i pedofilią”, w przyszłości, przykładowo, tematy o aborcji (zwłaszcza przy ostatnich niepokojących zmianach prawnych, już teraz nastolatka została skazana na podstawie nieszyfrowanych konwersacji na Messengerze, bardziej totalitarne rządy mogą korzystać z tego do zwalczania przeciwników politycznych; zresztą służby same wprost starały się dążyć do nieograniczonego dostępu do danych „na wypadek znalezienia czegokolwiek potencjalnie przydatnego w przyszłości”;
• I najważniejsze: Chat Control wystawi na niebezpieczeństwo osoby, które powyższe propozycje mają chronić, czyli ofiary przemocy; nie będzie możliwości poufnej komunikacji z grupami wsparcia, psychologami i terapeutami; może to zniechęcić do prób szukania pomocy. Instytucje proponujące te rozwiązania wiedzą o ich nieskuteczności i płynących z nich zagrożeniach i zamierzają uczynić dla siebie wyjątek w skanowaniu wiadomości.

Organizacje odpowiedzialne za usługi takie jak Signal, ProtonMail czy Tutanota wypowiedziały się na ten temat i otwarcie skrytykowały proponowane prawo. Zapowiedziały, że nie zamierzają podporządkować się regulacjom, jeżeli wejdą one w życie i dalej będą walczyć o prywatność użytkowników. Czy Unia Europejska się ugnie, i odrzuci jedną z najbardziej kontrowersyjnych legislacji, która zniszczy dobrą passę tej międzynarodowej organizacji (np. poprzez RODO czy DSA/DMA)? Miejmy nadzieję, że półroczna prezydencja Viktora Orbána do akceptacji Chat Control nie doprowadzi (która zresztą już wylądowała na dywaniku).

Źródła

Zdjęcie tytułowe zostało zrobione przez użytkownika o pseudonimie C.Suthorn i jest ono dostępne na Wikimedia Commons na licencji Creative Commons BY-SA 4.0 International.

Opracowanie: Mel Majak oraz Oliwier Jaszczyszyn, dodatkowa edycja oraz kontrola merytoryczna/faktograficzna: Oliwier Jaszczyszyn