siirry sisältöön
Kirjaudu sisään LIITY
Yksityisyys

Olet pian tiedusteluväline.

Sinun viestisi halutaan avata viranomaisten jatkuvaan tarkkailuun haamukäyttäjien ja haamuavainten avustuksella.

 and  Henrik Valkeapää
6 minuuttia lukuaika
Viranomaisilla on suunnitelmissa luoda pääsy sinun yksityisiin keskusteluihisi

Sisällysluettelo

Esimerkiksi Suomessa on laajat tiedonsaantioikeudet myönnetty useille viranomaisille, kuten Ulosotto, Verohallinto, jopa lastensuojelu. Ja mikä tahansa viranomainen voi käyttää poliisia käsikassarana saadakseen lisää tietoa. Tätä väkivaltamonopolin käyttöä kutsutaan viranomaisyhteistyöksi.


Keskustelu asiasta on jatkunut jo vuosikaupalla ja EU:n salausten purkamista tavoittelevien toimien (kuten Telegramin perustajan pidätys Ranskassa) myötä ajankohtaisempaa kuin koskaan. Tämän kirjoituksen lopputulema on hyvin yleinen; kun yleisölle myydään erinäisiä rajoituksia ja kieltoja vetoamalla turvallisuuteen.

Mistä on kyse?

Viranomaistrendinä ympäri länsimaita on haamukäyttäjän lisääminen, Suomessa ollaan varsin aallonharjalla asian kanssa, mutta siitä ei toistaiseksi puhuta.

Ehdotus ”haamukäyttäjän” lisäämisestä ryhmäkeskusteluihin ja -puheluihin rikkoo ihmisoikeuksia. Virkamiehet väittävät, että heidän suunnitelmansa toteuttamiseksi ”salaukseen ei tarvitse edes koskea”, mutta ”haamukäyttäjä”-ehdotus aiheuttaisi vakavia uhkia kyberturvallisuudelle ja siten myös perusihmisoikeuksille, kuten yksityisyydelle ja sananvapaudelle.

Haamuehdotus aiheuttaisi digitaalisen turvallisuuden riskejä heikentämällä todennusjärjestelmiä, ottamalla käyttöön mahdollisia tahattomia haavoittuvuuksia ja luomalla uusia järjestelmien väärinkäytön riskejä. Tärkeää on, että se heikentäisi periaatteita, jotka koskevat käyttäjien luottamusta ja avoimuutta.

Miten tämä haamuehdotus toimisi?

Nykyaikaisimpien nykyaikaisten viestipalveluiden tietoturva perustuu tekniikkaan nimeltä julkisen avaimen salakirjoitus. Tällaisissa järjestelmissä kukin laite luo parin hyvin suuria, matemaattisesti toisiinsa liittyviä numeroita, joita kutsutaan yleensä ”avaimiksi”. Toinen näistä avaimista - julkinen avain - voidaan jakaa kenelle tahansa, kun taas vastaava yksityinen avain on pidettävä salassa eikä sitä saa jakaa kenenkään kanssa. Yleisesti ottaen kuka tahansa voi käyttää henkilön julkista avainta lähettääkseen salatun viestin, jonka vain vastaanottajan vastaava yksityinen avain voi purkaa. Haasteena on kuitenkin edelleen oikean julkisen avaimen todentaminen aiotulle vastaanottajalle. Jos pahantahtoinen toimija pystyy huijaamaan kohteen luulemaan, että väärennetty julkinen avain kuuluu aiotulle viestijälle, salattu viestintä on kolmannen osapuolen saatavilla.

Salatut viestipalvelut, kuten vaikka iMessage, Signal ja WhatsApp, joita käyttää reilusti yli miljardi ihmistä ympäri maailmaa, tallentavat kaikkien julkiset avaimet alustojen palvelimille ja jakavat uuden keskustelun aloittaville käyttäjille vastaavat julkiset avaimet. tämä on kätevä ratkaisu, joka tekee salauksen käytöstä paljon helpompaa. Tämä edellyttää kuitenkin, että käyttäjät luottavat siihen, että palvelut toimittavat pyydettäessä oikeat julkiset avaimet keskustelun osapuolille. Eri viestijärjestelmien taustalla olevat protokollat vaihtelevat, ja ne ovat monimutkaisia. esimerkiksi kahden osapuolen välisessä viestinnässä, kuten toimittajan ja lähteen välisessä viestinnässä, jotkin palvelut tarjoavat tavan varmistaa, että henkilö viestii vain aiottujen osapuolten kanssa. Tätä todennusmekanismia kutsutaan Signalissa ”turvanumeroksi” ja WhatsAppissa ”turvakoodiksi” (käytetään jatkossa termiä ”turvanumero”). 

Mitä turvanumerot ovat?

Ne ovat pitkiä numerosarjoja, jotka on johdettu keskustelun kahden osapuolen julkisista avaimista ja joita voidaan verrata keskenään - jonkin muun todennettavissa olevan viestintäkanavan, kuten puhelinsoiton, välityksellä - merkkijonojen yhteensopivuuden vahvistamiseksi. Turvanumero on parikohtainen - tarkemmin sanottuna avainparikohtainen - joten arvon muuttuminen tarkoittaa, että avain on vaihtunut, ja se voi tarkoittaa, että kyseessä on täysin eri osapuoli.

Ihmiset voivat halutessaan saada ilmoituksen, kun nämä turvanumerot muuttuvat, jotta he voivat varmistaa, että he voivat säilyttää tämän todentamistason. Käyttäjät voivat myös tarkistaa turvanumeron ennen jokaista uutta viestintää varmistaakseen, että avaimet eivät ole vaihtuneet tai että salakuuntelijoita ei ole ollut. Järjestelmät, joissa ei ole turvanumeroa tai turvakoodia, eivät tarjoa käyttäjälle menetelmää, jolla voidaan taata, että käyttäjä kommunikoi turvallisesti vain aiotun vastaanottajan kanssa. Muut järjestelmät tarjoavat turvaa muilla tavoin. Esimerkiksi iMessagessa on joukko julkisia avaimia - yksi per laite - joita se pitää yhdistettynä tiliin, joka vastaa todellisen henkilön identiteettiä. Kun tiliin lisätään uusi laite, avainten joukko muuttuu, ja jokainen käyttäjän laite näyttää ilmoituksen, että tiliin on lisätty uusi laite, kun se huomaa muutoksen.

Mitä viranomaiset aikovat?

Tämän haamuavain ehdotuksen ansiosta kolmas osapuoli voisi nähdä salatun keskustelun selkokielisen tekstin ilmoittamatta siitä osallistujille, mutta tämä heikentäisi vakavasti käyttäjien turvallisuutta ja luottamusta. Toteutuessaan tämä edellyttää kahta järjestelmämuutosta: ensinnäkin palveluntarjoajien olisi salaa syötettävä keskusteluun uusi julkinen avain vastauksena hallituksen ja virkamiehistön vaatimukseen. Tämä muuttaisi kaksisuuntaisen keskustelun ryhmäkeskusteluksi, jossa hallituksesta tulisi ylimääräinen osallistuja, tai lisäisi salaisen hallituksen osallistujan olemassa olevaan ryhmäkeskusteluun. Toiseksi tämä edellyttäisi, että viestisovellukset, palveluntarjoajat ja käyttöjärjestelmät muuttaisivat ohjelmistojaan siten, että ne:

1) muuttaisivat käytettyjä salausmenetelmiä

ja/tai

2) johtaisivat käyttäjiä harhaan poistamalla ilmoitukset, jotka näkyvät rutiininomaisesti, kun uusi viestijä liittyy chattiin.

Haamuehdotus aiheuttaa vakavia uhkia digitaaliselle turvallisuudelle. Jos se toteutetaan, se heikentää todentamisprosessia, jonka avulla käyttäjät voivat varmistaa, että he ovat yhteydessä oikeisiin henkilöihin, aiheuttaa mahdollisia tahattomia haavoittuvuuksia ja lisää riskiä siitä, että viestintäjärjestelmiä voidaan käyttää väärin tai väärinkäyttää. Nämä kyberturvallisuusriskit merkitsevät sitä, että käyttäjät eivät voi luottaa siihen, että heidän viestintänsä on turvallista, koska he eivät enää voi luottaa siihen, että he tietävät, kuka on heidän viestinsä toisessa päässä. Tämä uhkaa perusihmisoikeuksia, kuten yksityisyyttä ja sananvapautta. Lisäksi järjestelmät mitä todennäköisimmin altistuisivat uusille mahdollisille haavoittuvuuksille ja väärinkäytösten riskeille.

Yhdenmukaisuuteen ja todennukseen liittyvät huolenaiheet

Kuten edellä on käytyläpi, haamuehdotus edellyttää todentamistavan muuttamista. Loppupäästä toiseen tapahtuva salaus on elintärkeää viestinnän suojaamiseksi lähetyksen aikana, ja todennus on digitaalisen turvallisuuden ja arkaluonteisten tietojen eheyden kulmakivi. On tärkeää, että käyttäjät voivat luottaa siihen, että muut osapuolet, joiden kanssa he ovat yhteydessä toisiinsa, ovat niitä, joita he väittävät olevansa. Ilman luotettavia todennusmenetelmiä käyttäjät eivät voi olla varmoja viestinnän turvallisuudesta salausalgoritmin vahvuudesta riippumatta, koska he eivät voi varmistaa niiden osapuolten henkilöllisyyttä, joiden kanssa he ovat yhteydessä. Tämä on erityisen tärkeää monille, jotka ovat riippuvaisia turvallisista salausvälineistä suojellakseen kontaktejaan ja tehdäkseen työtään. Tällä hetkellä useimmat käyttäjät luottavat hyvämaineisiin palveluntarjoajiin keskustelun osallistujien henkilöllisyyden todentamisessa ja tarkistamisessa. Haamuehdotus tuhoaa täysin tätä tärkeää luottamussuhdetta ja todentamisprosessia.

Tunnistaminen ja sen tutkiminen

Tunnistaminen on edelleen vaikea haaste teknologioille, ja se on tällä hetkellä aktiivinen tutkimusalue. Tiedossa on esimerkiksi avoimia tutkimusongelmia, jotka liittyvät merkityksellisen ja käyttökelpoisen tietueen tuottamiseen käyttäjän avainten siirroista, ja avainten todentaminen on käyttöliittymätutkimuksen jatkuva aihe. Jos tietoturvatutkijat kuitenkin saavat tietää, että kolmannet osapuolet, kuten valtion virastot, voivat ohittaa todentamisjärjestelmät ja tulevat ohittamaan ne, se vähentää voimakkaasti halua jatkaa tutkimusta tällä kriittisellä alalla.

Mitä haamuehdotus aiheuttaa?

Haamuehdotus voisi aiheuttaa merkittäviä uusia turvallisuusuhkia heikentämällä nykyisiä tietoturvatyökaluja ja järjestelmää, jonka avulla salatun keskustelun keskustelijat voidaan todentaa. On myös avoimia kysymyksiä siitä, miten ehdotus voitaisiin panna tehokkaasti täytäntöön. Haamuehdotus aiheuttaisi turvallisuusuhan kaikille salatun viestisovelluksen käyttäjille, koska ehdotettuja muutoksia ei voitaisi paljastaa vain yhdelle kohteelle. Jotta ilmoitukset haamukäyttäjän lisäämisestä voitaisiin estää, sanomanvälityssovellusten olisi kirjoitettava uudelleen ohjelmisto, johon jokainen käyttäjä luottaa. Tämä tarkoittaa, että tämän uuden toiminnon kehittämisessä tehdyt virheet voisivat aiheuttaa tahattoman haavoittuvuuden, joka vaikuttaa kaikkiin sovelluksen käyttäjiin.

Kuten tietoturvatutkijat huomauttavat, haamuehdotus edellyttää salausavainten neuvottelutavan muuttamista äänettömän kuuntelijan huomioon ottamiseksi, mikä luo paljon monimutkaisemman protokollan, mikä lisää virheriskiä. (Tämä riippuu siitä, miten algoritmi toimii; iMessagen tapauksessa Apple ei ole julkistanut koodia). Viimeaikaiset uutiset tahattomista haavoittuvuuksista, joita on löydetty iMessagen kaltaisista salatuista viestisovelluksista ja laitteista iPhonesta Googlen Android-käyttöjärjestelmää käyttäviin älypuhelimiin, vahvistavat tämän huolen. Kolmannet tahattomat osapuolet voisivat käyttää hyväkseen tällaisia tahattomia haavoittuvuuksia tai "tahattomia" haavoittuvuuksia.

Haamutoiminnon väärinkäytön tai väärinkäytön mahdollisuus

Haamuehdotus sisältää myös tahallisen haavoittuvuuden. Tällä hetkellä WhatsAppin ja Signalin kaltaisten päästä päähän salattujen viestisovellusten tarjoajat eivät voi nähdä käyttäjiensä keskusteluja.Vaatimalla haamuehdotuksen kaltaista poikkeuksellista käyttöoikeusmekanismia lainvalvontaviranomaiset edellyttäisivät, että viestialustat avaisivat oven valvontaan liittyville väärinkäytöksille, jotka eivät ole nykyisin mahdollisia.

Lainvalvontaviranomaisille ei pitäisi olla mitään poikkeuksellista pääsymekanismia. Ollaan erityisen huolissaan siitä, että tämä uhkaa lukemattomin tavoin turvallisuutta. Väärinkäyttäjät voisivat työskennellä yksiköissä, jotka voisivat käyttää hyväkseen poikkeuksellista käyttöoikeusmekanismia, tai heillä voisi olla tarvittavat tekniset taidot murtautua alustoille, jotka antoivat haavoittuvuuden tapahtua.

Vaikka yritykset ja jotkin lainvalvonta- ja tiedusteluviranomaiset toteuttaisivat varmasti tiukkoja menettelyjä tämän uuden valvontatoiminnon hyödyntämiseksi, nämä sisäiset suojatoimet ovat takuuvarmasti riittämättömät. Joissakin tapauksissa tällaisia menettelyjä ei ole lainkaan.



Vuonna 2016 Ison-Britannian tuomioistuin päätti, että turvallisuus- ja tiedusteluviranomaisten suorittama henkilötietojen ja viestinnän massatietojen kerääminen oli lainvastaista, koska yleisö ei ollut tietoinen tätä koskevista säännöistä. Tämän seurauksena virastoja - GCHQ:ta, MI5:tä ja MI6:ta - pyydettiin tarkistamaan, olivatko ne keränneet lainvastaisesti tietoja. Virastot myönsivät sittemmin, että ne olivat laittomasti tarkkailleet useita toimijoita.


Vaikka nykyisten valvontaviranomaisten oikeuksien nojalla kerättyihin tietoihin pääsyä varten on olemassa menettelyjä, valtion virastot eivät ole olleet immuuneja valvonnan väärinkäytöksille ja väärinkäytöksille huolimatta mahdollisesti käytössä olleista suojatoimista. Suomessa tulee tämän tästä ilmi, miten valtion tietokantaa käytetään käytännössä henkilökohtaisena instagram/facebook palveluna. On täysin selvää, kun uusia haavoittuvuuksia, kuten haamuprotokollaa, luodaan, syntyy väistämättä uusia mahdollisuuksia väärinkäytöksiin ja väärinkäytöksiin.

Ehdotus loukkaa käyttäjien luottamuksen suojelun periaatetta. Viranomaisten yleinen tarina on: poikkeuksellinen käyttöoikeusratkaisu ei saisi muuttaa perusteellisesti palveluntarjoajan ja sen käyttäjien välistä luottamussuhdetta. Tämä tarkoittaa sitä, että palveluntarjoajaa ei saa vaatia tekemään mitään, mikä poikkeaa olennaisesti siitä, mitä se jo tekee liiketoimintansa pyörittämiseksi. Samassa hengenvedossa kuvatulla poikkeuksellisen pääsyn mekanismilla olisi kuitenkin juuri se vaikutus, jota he sanovat haluavansa välttää: se heikentäisi käyttäjien luottamusta ja vaatisi palveluntarjoajaa muuttamaan palveluitaan olennaisesti.

Vaikutukset alkavat heti

Heti kun käyttäjät saavat tietää, että heidän turvalliseen, päästä päähän salattuun viestisovellukseensa tehty ohjelmistopäivitys voi antaa salaisille osallistujille mahdollisuuden tarkkailla heidän keskustelujaan, he menettävät luottamuksensa kyseiseen palveluun.

Vuonna 2017 Brittilehti Guardian julkaisi virheellisen raportin, jossa se väitti virheellisesti, että WhatsAppissa olisi takaovi, jonka avulla kolmannet osapuolet voisivat vakoilla käyttäjien keskusteluja. Tämä herätti suurta hälyä WhatsApp-käyttäjien keskuudessa, erityisesti toimittajien ja aktivistien keskuudessa, jotka käyttävät sovellusta arkaluonteiseen viestintään. Käyttäjien luottamukselle aiheutunut vahinko jäi mahdollisimman vähäiseksi, koska salakirjoittajat ja tietoturvajärjestöt ymmärsivät ja levittivät raportin kriittisiä puutteita ja kustantaja perui jutun.

Jos käyttäjät kuitenkin saisivat tietää, että heidän salattu viestipalvelunsa on tarkoituksella rakentanut toiminnon, joka mahdollistaa kolmansien osapuolten suorittaman viestinnän valvonnan, luottamuksen menetys olisi laaja ja pysyvä.

Yksittäiset käyttäjät, jotka ovat tietoisia laitteisiinsa kohdistuvista etäkäytön riskistä, voisivat myös halutessaan kytkeä ohjelmistopäivitykset pois päältä, jolloin heidän laitteensa eivät olisi enää niin turvallisia, kun aikaa kuluu ja haavoittuvuuksia löydetään, mutta niitä ei korjata.

Kaikki ehdotukset, jotka heikentävät käyttäjien luottamusta, rankaisevat teknologian käyttäjien ylivoimaista enemmistöä ja antavat samalla muutamille niin sanotuille pahantekijöille mahdollisuuden siirtyä helposti saatavilla oleviin tuotteisiin, jotka ovat lain ulottumattomissa. Salaustuotteita on saatavilla kaikkialla maailmassa, eikä niitä voida helposti rajoittaa alueellisilla rajoilla. Näin ollen, vaikka lain kohteena olevat harvat niin sanotut pahantekijät voivat edelleen käyttää muita palveluja, keskivertokäyttäjät - jotka voivat myös valita muita palveluja - kärsivät suhteettomasti turvallisuuden ja luottamuksen heikkenemisen seurauksista.

Tämä lopputulema on hyvin yleinen, kun yleisölle myydään erinäisiä rajoituksia ja kieltoja vetoamalla turvallisuuteen.


Kommentit

Liittyy aihepiiriin

Sinun elämäsi nauhoitetaan. Valvontatietokannat osa 1.
Yksityisyys

Sinun elämäsi nauhoitetaan. Valvontatietokannat osa 1.

Valvontatietokantoja on kehitetty, myös Suomessa, jo pitkään. Niihin kerätään jatkuvasti lisää aineistoa, vaikkakin joissain maissa tätä aineistoa ei voi vielä käyttää esim todistusaineistona. Tätä kuitenkin kierretään jatkuvasti hakemalla tietokannoista suuntaa antavia tietoja.

 and  Henrik Valkeapää
Jäsenet Julkinen
Puolueellisen algoritmin uhri
Yksityisyys

Puolueellisen algoritmin uhri

Algoritmien puolueellisuus syntyy mallin koulutusvaiheessa ja sitä on vaikea huomata ilman mittavaa työtä. Usein algoritmien puolueellisuus on täysin tahallista ja osa poliittista tai ideologista vaikuttamista.

 and  Henrik Valkeapää
Jäsenet Julkinen

Viimeisimmät