22 března 2016

Šifrování mobilů a debata „going dark“

Teroristé z kalifornského San Bernardina používali mobil iPhone 5C, který po jejich zastřelení našla FBI. V tomto typu telefonů je bezpečnostní slabina a policie požádala výrobce, aby telefon vykuchali a předali obsah. Apple odmítl a strhla se další kapitola boje mezi Silicon Valley a americkou federální vládou, který navazuje na “crypto wars” z 90. let, a který pomalu přesidluje i do Evropy.

Bezpečnostní slabinu v iPhone 5C už nemusí mít novější modely, takže debata samozřejmě není jen o tom, jestli lze někoho nutit předložit obsah mobilu. Zásadní také je, zda lze nějaké společnosti zakázat, aby vyráběla produkty s tak silným šifrováním, že ani samotný výrobce nebude schopen šifrování prolomit. Případně, je možné někoho nutit, aby vytvořil novou technologii, která na žádost policie prolomí bezpečnost jeho vlastních produktů?

Zpátky do dnů

Na základě jaké pravomoci FBI nutí Apple, aby bezpečnost iPhonu prolomil? Nic menšího než 200 let starý předpis přijatý prvním Kongresem, který měl překonávat přílišnou formalitu starého common law, a který soudům nabízí široké pole působnosti.

V roce 1789 přijal Kongres zákon All Writs Act (AWA), podle kterého mají soudy obecnou pravomoc řešit veškeré nezbytné okolnosti při výkonu své pravomoci.
[A federal court] may issue all writs necessary or appropriate in aid of their respective jurisdictions and agreeable to the usages and principles of law.
Jedná se o generální zmocňující ustanovení, které v řadě konkrétních případů ustupuje detailním zákonům. Často ale speciální zákonná úprava chybí.

V roce 1977 doputoval k Nejvyššímu soudu USA případ United States v. New York Telephone, který zákon AWA z roku 1789 vyložil v kontextu telefonních linek a ustanovil precedent, který je závazný pro nižší soudy i v případě iPhonu. FBI sledovala nezákonné sázkaře a potřebovala zjistit, komu volají. Soud využil zákon AWA a přikázal telefonní společnosti, aby na telefonní linky podezřelých instalovala tzv. “pen register”, tedy přístroj, který zaznamená čísla volaná sledovaným telefonem. Telefonní společnost to odmítla a případ se dostal k soudu.

Nejdříve nižší soud (Second Circuit) žádost vlády odmítl s tím, že důsledkem takové pravomoci by byl příliš velký a nerozlišující zásah do soukromí mnoha lidí. Soud by ztratil jakoukoliv kontrolu nad dalším vývojem a stát si tedy musí základní pravidla stanovit detailně, a to zákonem. S tímto ale nesouhlasil Nejvyšší soud. Podle SCOTUS je zákon AWA jasný a uděluje soudu pravomoc, o jejíž použití stát řádně požádal. Na základě zákona může tedy soud uložit třetím stranám, které s danou věcí v zásadě nemají nic společného, aby uposlechly příkaz soudu. Co konkrétně Nejvyšší soud řekl?

Ne úplně jasný standard

Podle SCOTUS musí subjekt spolupracovat, ledaže by požadavek vlády byl přespříliš tíživý.
We agree that the power of federal courts to impose duties upon third parties is not without limits; unreasonable burdens may not be imposed.
Problém je, že soud přidal další pasáže, které tento klíčový paragraf dále rozpracovávají, ale jsou dost nejasné. Jsou tam další problémy. K zákonu AWA například není moc judikatury. Jednak platí to, že pravomoc soudů požadovat spolupráci třetích stran v jiných případech je detailně popsaná ve speciálních zákonech (např. Communications Assistance to Law Enforcement Act z roku 1994), takže AWA není často posuzován. Pak taky platí, že soukromé společnosti se kvůli AWA s vládou moc nesoudily a raději poslechnou. A dále, co znamená “unreasonable burden”? Absolutní nebo relativní test? Co když společnost schválně udělá produkty tak, aby šly jen obtížně otevřít? Mají se na mysli “náklady” na otevření jednoho mobilu? Nebo všech podobných mobilů v budoucnosti? V současnosti totiž existuje třeba dvanáct podobných soudních případů ohledně dešifrování iPhonů a prý stovky dalších, o které se ještě nesoudí.

Apple ve svém podání tvrdí, že k vyhovění žádosti policie by bylo potřeba až 10 zaměstnanců po dobu 2 až 4 týdnů. Tato práce by pak prý musela být opakována znovu v každém jednotlivém případě. Jsou to příliš velké náklady?

Pokud by se někdo náhodou chtěl podívat, jak vypadají podání stran v této věci, tak zde je podání americké vlády, zde soudní příkaz, zde veřejné vyjádření společnosti Apple, a zde odpor společnosti Apple proti soudnímu příkazu. Zde další podání vlády.

Trochu o vnitřnostech iPhonu

V případě iPhonu ze San Bernardina FBI po výrobci požaduje vytvoření speciální verze operačního systému (“FBiOS”:), který by se na mobil nahrál a umožnil ignorovat bezpečnostní prvky softwaru. Ty jsou tyto: omezený počet pokusů na vložení bezpečnostního kódu (PIN), nutnost PIN vložit prstem přímo na mobil a časové prodlevy mezi pokusy v případě chyby. FBI by pak mohla pomocí silných počítačů heslo uhodnout.

Teroristé ze San Bernardina měli starší mobil iPhone 5C. U tohoto typu mobilu stačilo hacknout software, u novějších existuje navíc speciální bezpečnostní čip (“Secure Enclave”), tedy samostatný počítač, který má další bezpečnostní prvky. Viz nedávné pozdvižení ohledně “chyby 53” v případě neautorizované manipulace s TouchID. Hacknout bezpečnostní čip je složitější, nicméně také to zřejmě jde. Otázka je, zda příště Apple nevytvoří iPhone bez podobných možností k hacknutí.

Going Dark vs. Golden Age of Surveillance

Debata ohledně šifrování mobilů (“going dark”) už několik let v USA běží (viz např. zde, zde a zde). Policii totiž samozřejmě straší představa, že každý bude mít u sebe mobil, do kterého se nikdo nedostane. Centrem debaty je otázka, zda vláda může vyžadovat na výrobcích mobilů, aby v nich nechávali tzv. “back doors”, tedy bezpečnostní pojistku, která vládě umožní se do mobilu dostat. Znamená to přílišné oslabení bezpečnosti mobilu? Znamená to, že američtí výrobci mobilů nebudou moci konkurovat cizím?

Na druhou stranu, policie dnes má oproti dřívějšku možnosti jako ze sci-fi. Vždyť bývaly doby, když stačilo zavolat z telefonní budky na rohu a nikdy nikdo už nemohl vědět, kdo a jak telefon využil. Debata ostatně není omezena jen na mobily, ale potenciálně i na mikrofony, kamery nebo GPS trackery. Tak to připadá části účastníků této debaty, kteří ji nenazývají po vzoru FBI jako „Going Dark“, ale „Golden Age of Surveillance“.


P.S.: Jak by se takováto věc řešila v ČR?


5 komentářů:

Jonas řekl(a)...

Souhlas, Komunikační pakety se archivují a FBI je má k dispozici. Jde ale o to, že se chtějí dostat do archívu a adresáře telefonu.

Jakub Harašta řekl(a)...

Z

Lukas Hoder řekl(a)...

Jinak v březnu s ukázalo, že FBI koupila asi za 1 mil. USD přístup k iPhonu od izraelských hackerů, takže stáhla svoji žádost u soudu. http://www.nytimes.com/2016/04/22/us/politics/fbi-director-suggests-bill-for-iphone-hacking-was-1-3-million.html

Následně Apple požadoval po FBI, aby mu způsob hacknutí prozradila. http://www.bloomberg.com/news/articles/2016-03-23/thank-you-for-hacking-iphone-now-tell-apple-how-you-did-it

V dubnu se pak ukázalo, že FBI zřejmě nemůže Applu prozradit způsob hacknutí, protože tuto znalost si od hackerů nekoupila. Koupila pouze výsledek, nikoliv způsob.

In a statement Wednesday, FBI official Amy Hess said that although the FBI had purchased the method to access the phone — FBI Director James Comey suggested last week it had paid more than $1 million — the agency did not "purchase the rights to technical details about how the method functions, or the nature and extent of any vulnerability upon which the method may rely in order to operate."

Alena Novotná řekl(a)...

Tuhle debatu v USA moc nechápu. Ono je přeci jednodušší stáhnout záznam hovoru z přenosového paketu od telekomunikační společnosti , na kterém kromě čísla je i celý obsah hovoru. Nejsou tam samozřejmě fotky z mobilu, i když Apple to snad také ukádá na cloud.
Nadávno mě pobavil justiční kolega, co stále řeší bezpečnost dat a přitom má nainstalovaný jeden známý antivir/internet security. Na otázku, co a kolik toho antivir posílá výrobci odpověděl, že přeci nic :-) . Ono je to podobné i u lidí, co mají nstaveno ovládání mobilu pro případ jeho krádeže a netuší, že celá kopie telefonu je na cizím serveru..
Přijde mi řešit internetovou bezpečnost víc jako přežitek, protože technicky to prostě neumíme, takže všechny zákony budou buď zaručovat nezaručitelné anebo nařizovat technicky neproveditelné věci. Začíná to připomínat současnou ochranu autorských práv. Lpíme na tradici typu gramofonová deska, anebo listovní "tajemství", protože nic jiného nemáme, ale mezitím vlak ze stanice Bejvávalo odjel.

Ondrej Pivarči řekl(a)...

"Ono je přeci jednodušší stáhnout záznam hovoru z přenosového paketu od
telekomunikační společnosti, na kterém kromě čísla je i celý obsah
hovoru." Samozrejme, v USA o tom ešte nevedia, že sa to dá aj takto, obzvlášť pri šifrovanom P2P telefonickom spojení cez internet je to vcelku jednoduché. Okrem toho sa príslušný orgán nezaoberá "going dark" témou len preto, že azda by nevedel, že čo je "paketový prenos" a ako ho odpočúvať. Keď napr. kvalitne zašifrujem text správy do obrázku, tak ani d-wave 2 sa z toho nevysomári, keď tie "pakety" nejaké zariadenie aj odchytí (čo pri dobre zvolenom druhu prenosu neodchytí), a nie ešte "klasický" PC (a to ešte sú aj kvalitnejšie šifrovacie metódy, ktoré sú náročnejšie na nabúranie).

Internetová bezpečnosť nie je prežitok, práve naopak, bude naberať na dôležitosti (už ste počuli o "augmented reality", "internete vecí", "zabíjaní kardiostimulátorom" a iných pálčivých otázkach tejto oblasti?), a súkromiu užívateľov by náramne pomohli legálne "PET" (privacy enhancing technologies), no a tých sa federálne orgány boja, pretože by kryptované informácie sotva mohli tak nerušene zhromažďovať, agregovať a zneužívať, ako to odhalil známy whistleblower. Jablko samozrejme rado zablokuje prístup vláde, lebo tým nepriamo zablokuje aj prístup konkurencii.

Ochrana autorských práv je v súčasnej podobe nezmysel, ale nie kvôli technickej nerealizovateľnosti ochrany autorských práv (teoreticky je možné niektoré diela autorizovať tak, že by bez neodhaliteľného kľúča neboli ani použiteľné, nieto kopírovateľné, ale na tom žiadny autor nemá ekonomický záujem, viď DRM fiasko), ale kvôli úplnej nekorešpondencii s reálnou ekonomikou a modernými právnymi pravidlami.



Zádrhel skôr vidím v tom, že obavy z "global era of surveillance" sú opodstatnené, pretože štátna moc má možnosť zasahovať do súkromnej sféry najširšiu z celej doterajšie histórie, a množstvo "privacy issues" svedčí o tom, že tak nerobí len proporčne a subsidiárne so zákonným cieľom. Navyše, túto možnosť má aj korporátna moc, a tá už vôbec nie je nejako prakticky obmedzovaná pravidlami platnými pre štátnu moc (obzvlášť to platí pre podprahové vnímanie človeka, veď prečo sú napr. ázijské reštaurácie ladené zväčša do oranžova? [odpoveď - oranžová farba vo všeobecnosti stimuluje hlad, čo človeka na podprahovej úrovni ovplyvňuje, zo strany ovplyvňujúceho vedome]), tobôž v USA, kde sa predpokladá najmä "due process to law", v ktorom si kvalitné zastúpenie nie každý môže dovoliť.