Państwa członkowskie Unii Europejskiej (UE) poproszono o zebranie przykładów tego, jak technologie szyfrowania utrudniają dochodzenia w sprawach karnych, ponieważ policja i rządy wzmagają żądania dotyczące zgodnego z prawem dostępu do usług szyfrowania wiadomości typu end-to-end.
Agencja potwierdziła, iż Europol ma zamiar zebrać dowody pokazujące, w jaki sposób zaszyfrowane usługi komunikacyjne świadczone przez firmy technologiczne, w tym WhatsApp, Meta i Signal, są wykorzystywane przez przestępców do ukrywania swoich śladów.
Według grupy roboczej Komisji Europejskiej organy ścigania mają trudności z „ilościowym określeniem” wyzwań, jakie stwarza kompleksowe szyfrowanie w monitorowaniu komunikacji przestępców i terrorystów, ponieważ gromadzenie danych nie było możliwe.
Znane przykłady obejmują sprawę Khalida Masooda, który przeprowadził atak na London Bridge w 2017 r., w wyniku którego zginęło 29 osób, a sześć zostało rannych.
Kilka minut przed atakiem okazało się, iż wysłał on dokument PDF zatytułowany „Dżihad” do dużej liczby swoich kontaktów w WhatsApp i Apple iMessage, które są domyślnie szyfrowane.
W innej sprawie brytyjska policja twierdzi, iż śledztwo w sprawie gwałtu było utrudnione, ponieważ podejrzani używali WhatsApp do wysyłania zaszyfrowanych wiadomości.
Komisja Europejska potwierdziła wczoraj wieczorem, iż stara się zebrać przykłady z państw europejskich, aby pokazać, w jaki sposób szyfrowanie zakłóca dochodzenia policyjne. Rzecznik powiedział, iż nie pozostało jasne, czy przykłady zostaną upublicznione.
Szef Europolu zwiększa presję
Posunięcie to następuje po tym, jak dyrektor generalna Europolu, Catherine De Bolle, zwiększyła presję społeczną na Big Tech Światowe Forum Ekonomiczne w Davosw Szwajcarii, wzywając ich do udzielenia wywiadu w gazecie, aby umożliwili organom ścigania dostęp do zaszyfrowanych wiadomości i danych.
De Bolle powiedział „Financial Times”. iż firmy Big Tech ponoszą „społeczną odpowiedzialność” za zapewnienie policji dostępu do zaszyfrowanych wiadomości wykorzystywanych przez przestępców do ochrony ich tożsamości. Twierdziła, iż firmy technologiczne, które nie zastosują się do tych przepisów, mogą zagrozić demokracji w Europie.
Jej komentarze pokazują, jak duża jest przepaść między firmami technologicznymi, ekspertami komputerowymi i kryptografami a policją i agencjami wywiadowczymi. Eksperci ds. technologii argumentują, iż jakakolwiek próba osłabienia szyfrowania naraziłaby społeczeństwo i firmy na większe ryzyko ze strony cyberprzestępców.
Komisji Europejskiej grupa robocza wysokiego szczeblatwierdzi, iż chociaż zaszyfrowane aplikacje i urządzenia chronią prywatność legalnych użytkowników, pozwalają one również przestępcom na ukrywanie swojej tożsamości, wprowadzanie na rynek nielegalnych produktów i usług oraz pranie pieniędzy bez wykrycia.
Policja powinna uzyskać „zgodny z prawem i ściśle kontrolowany, skuteczny dostęp do danych” – stwierdził. Organy normalizacyjne powinny także angażować organy ścigania, aby zapewnić „kształt” produktów zapewniający, iż wymagania techniczne organów ścigania zostaną „uwzględnione na wczesnym etapie”.
„Współpraca między przedsiębiorstwami a organami ścigania jest niewystarczająca i niewystarczająca i należy ją uzupełnić jasnymi zasadami” – stwierdziła grupa. Raport z listopada 2024 r powiedział. „Bez jasnych i wykonalnych zobowiązań prawnych firmy często nie są w stanie pomóc organom ścigania w uzyskiwaniu dostępu do danych”.
Droga do legalnego dostępu do zaszyfrowanych danych
Grupa wysokiego szczebla stwierdziła, iż przechwytywanie wiadomości telekomunikacyjnych jest niezbędnym narzędziem w dochodzeniach, jednak jego skuteczność spadła w następstwie wykorzystania aplikacji do szyfrowania wiadomości, w tym WhatsApp, Facebook i WeChat, z których pochodzi 97% wiadomości.
Zdaniem grupy roboczej eksperci ds. egzekwowania prawa zasugerowali ostrożne podejście. Nie należy prosić firm technologicznych o integrację z jakimkolwiek systemem, który mógłby systematycznie osłabiać szyfrowanie w przypadku wszystkich użytkowników usługi. Dostęp zgodny z prawem powinien opierać się na zasadzie „komunikacja dzięki komunikacji”.
W raporcie argumentuje się, iż należy „stopniowo osiągać postępy” i angażować firmy technologiczne, ekspertów ds. bezpieczeństwa cybernetycznego i prywatności, biorąc pod uwagę „potencjalne ryzyko” i delikatny charakter debaty publicznej.
De Bolle powiedział, iż w świecie fizycznym, gdy policja ma nakaz przeszukania domu, a drzwi są zamknięte, a przestępca jest w środku, społeczeństwo zażądałoby, aby policja mogła wejść do domu. Argumentowała, iż te same zasady powinny mieć zastosowanie do wiadomości i danych zamkniętych w szyfrowaniu.
Ostrzeżenie szefów europejskiej policji dotyczące szyfrowania
Szefowie europejskiej policji i brytyjska Narodowa Agencja ds. Przestępczości ostrzegli w: Deklaracja z kwietnia 2024 r iż środki ochrony prywatności, w tym kompleksowe szyfrowanie, uniemożliwią organom ścigania ściganie najpoważniejszych przestępstw, w tym niegodziwego traktowania dzieci w celach seksualnych, handlu narkotykami, handlu ludźmi, morderstw, przestępstw gospodarczych i terroryzmu.
Według Deklaracja podpisana przez 32 krajeszefowie policji byli „głęboko zaniepokojeni”, iż kompleksowe szyfrowanie osłabi zdolność organów ścigania i firm technologicznych do wykrywania przestępstw.
„Firmy nie będą w stanie skutecznie zareagować przed legalnym organem” – stwierdza deklaracja. „Nie będą też w stanie zidentyfikować ani zgłosić nielegalnej działalności na swoich platformach. W rezultacie po prostu nie będziemy w stanie zapewnić bezpieczeństwa społeczeństwu”.
Szefowie policji oświadczyli, iż nie zgadzają się z istnieniem binarnego wyboru między bezpieczeństwem cybernetycznym i prywatnością a bezpieczeństwem publicznym, argumentując, iż istnieją rozwiązania techniczne, które umożliwiłyby jedno i drugie, gdyby przemysł i rządy były elastyczne.
Jednak twierdzenia policji i rządu, iż możliwe jest zapewnienie organom ścigania dostępu do zaszyfrowanej komunikacji, są kwestionowane przez firmy technologiczne i ekspertów w dziedzinie kryptografii.
Według eksperta ds. bezpieczeństwa Bruce’a Schneiera: Wygląda na to, iż chińscy hakerzy uzyskali dostęp do tylnych drzwi wykorzystywane przez rząd Stanów Zjednoczonych do wykonywania żądań podsłuchu w celu włamania się do amerykańskich sieci telekomunikacyjnych podczas ataku Salt Typhoon, co stwarza poważne zagrożenie dla bezpieczeństwa kraju.
Wiele na świecie ostrzegali najlepsi informatycy i kryptografowie na przykład w 2017 r. propozycje Apple dotyczące skanowania zaszyfrowanych wiadomości pod kątem nielegalnych treści w imieniu organów ścigania były niewykonalne, podatne na nadużycia i stanowiły zagrożenie dla bezpieczeństwa.
Osłabienie szyfrowania „zagrożeniem dla demokracji”
Amandine Le Pape, współzałożycielka usługi szyfrowania wiadomości Matrix, z której korzystają siły policyjne, rządy i organizacje wojskowe w Europie, powiedział Computer Weekly, iż obniżenie poziomu szyfrowania w celu zapewnienia dostępu organom ścigania osłabiłoby bezpieczeństwo wszystkich, w tym policji.
„Uważam, iż osłabienie szyfrowania stanowi zagrożenie dla demokracji, ponieważ daje każdemu państwu możliwość szpiegowania swoich obywateli” – stwierdziła. „Być może dzisiaj możemy zaufać naszym europejskim rządom, ale co będzie jutro?”
Le Page powiedział, iż organy ścigania mogą prowadzić dochodzenia w sprawie przestępstw bez konieczności włamywania się do szyfrowania, co obejmuje monitorowanie niezaszyfrowanych czatów, mediów społecznościowych i analizowanie metadanych z komunikacji.
Założyciel Matrix powiedział, iż zgodnie z analogią De Bolle’a do zamkniętych drzwi w domu, zapewnienie organom ścigania dostępu do zaszyfrowanych wiadomości jest równoznaczne z osłabieniem zamka w drzwiach.
„Jeśli dom nie ma drzwi, każdy może do niego wejść, niezależnie od tego, czy jest to policja, czy przestępca chcący się włamać” – stwierdziła.
