RCMP potvrzuje, že zákon C-22 míří na šifrovanou komunikaci

RCMP potvrzuje, že zákon C-22 míří na šifrovanou komunikaci

Kanadská federální vláda opakovaně tvrdila, že navrhovaný zákon C-22, zákon o zákonném přístupu, neohrožuje šifrování. Královská kanadská jízdní policie (RCMP) toto tvrzení nyní přímo vyvrátila. Během slyšení parlamentního výboru národní policejní sbor potvrdil, že přístup k šifrované komunikaci je přesně tím důvodem, proč chtějí orgány činné v trestním řízení tento zákon prosadit. Toto přiznání ještě vyostřilo už tak vyhrocenou debatu o tom, zda Ottawa pod líbivějším označením potichu neusiluje o zadní vrátka do šifrování.

Co RCMP ve výboru skutečně řekla a proč je to v rozporu s postojem Ottawy

Svědectví RCMP je významné nikoli proto, že by bylo pro obhájce soukromí překvapivé, ale proto, že je explicitní. Představitelé donucovacích orgánů se obvykle vyhýbají formulování dohledové legislativy v termínech prolomení šifrování a dávají přednost výrazům jako „zákonný přístup“ nebo „technická pomoc“. Při tomto slyšení ve výboru však RCMP potvrdila, že přístup k šifrované komunikaci je základním cílem zákona C-22, nikoli vedlejším účinkem či teoretickou možností.

To přímo podkopává veřejná prohlášení kanadské vlády. Úředníci zákon prezentovali jako modernizaci stávajících vyšetřovacích nástrojů, nikoli jako útok na kryptografické ochrany, které zabezpečují bankovní aplikace, komunikační platformy a soukromá data milionů Kanaďanů. Pokud policejní sbor, jemuž má legislativa dodat pravomoci, otevřeně říká, že cílem je přístup k šifrovanému obsahu, vládní rámování se udržuje jen velmi obtížně.

Nadace Electronic Frontier Foundation upozornila, že zákon C-22 jde těsně ve stopách loňského zákona C-2, dalšího návrhu zaměřeného na sledování, který čelil značné kritice. Tento vzorec naznačuje trvalou legislativní snahu spíše než jednorázový pokus.

Jak zadní vrátka do šifrování fungují a proč podkopávají bezpečnost pro všechny

Abychom pochopili, o co jde, je třeba přesně definovat, co zadní vrátka technicky znamenají. Koncové šifrování chrání komunikaci tím, že zajišťuje, aby zprávu mohl číst pouze odesílatel a příjemce. Žádná třetí strana, včetně poskytovatele služby nebo vlády, nemá k obsahu během přenosu přístup. Zadní vrátka to mění tím, že do systému zabudovávají mechanismus, který umožňuje určené straně (v tomto případě orgánům činným v trestním řízení) tuto ochranu obejít.

Základní problém je matematické povahy. Zadní vrátka, která fungují pro kanadskou policii, fungují i pro kohokoli jiného, kdo tento mechanismus objeví nebo k němu získá přístup. Zahraniční zpravodajské služby, zločinecké organizace i škodliví hackeři těží ze stejné slabiny. Neexistuje nic takového jako zadní vrátka do šifrování, která by byla selektivně dostupná pouze důvěryhodným aktérům. Bezpečnostní výzkumníci a kryptografové tento argument konzistentně předkládají po desetiletí a žádný technický návrh ho dosud úspěšně nevyvrátil.

Společnost Apple, která k zákonu C-22 předložila formální připomínky, výslovně uvedla, že by tento zákon kanadské vládě umožnil nutit firmy, aby do svých produktů zadní vrátka instalovaly. To není jazyk lobbistů, nýbrž technický popis toho, co by legislativa vyžadovala.

Co znamená zákon C-22 pro uživatele VPN a šifrované komunikace v Kanadě

Pro Kanaďany, kteří se spoléhají na šifrované komunikační aplikace, zabezpečený e-mail nebo virtuální privátní sítě k ochraně svých komunikací, vytváří zákon C-22 skutečnou nejistotu. Pokud by byl zákon schválen ve své současné podobě, mohli by být poskytovatelé služeb působící v Kanadě nuceni vytvářet mechanismy pro přístup, čímž by se oslabila ochrana, kterou by tyto nástroje měly poskytovat.

Uživatelé VPN čelí specifické obavě: VPN bez logování provozovaná mimo kanadskou jurisdikci a řídící se přísnou politikou neukládání záznamů by byla mnohem méně náchylná k příkazu k zákonnému přístupu podle kanadského práva než domácí poskytovatel. Pokud však kanadské právo bude nakonec vyžadovat, aby poskytovatelé VPN uchovávali nebo umožňovali přístup k uživatelské komunikaci, právní prostředí se podstatně změní. Současné znění zákona ohledně „technické pomoci“ je natolik široké, že jeho praktický rozsah zůstává sporný.

Pro šifrovanou komunikaci jsou důsledky stejně závažné. Platformy, které technicky nemohou splnit příkaz k implementaci zadních vrátek, aniž by přepracovaly svou architekturu, mohou čelit tlaku, aby buď oslabily své šifrování, nebo kanadský trh zcela opustily, jak se to již stalo v jiných jurisdikcích, které podobnou legislativu prosadily.

Kanadská snaha o zadní vrátka v globálním kontextu: Five Eyes a dál

Kanada neprovozuje svou politiku sledování v izolaci. Jako člen zpravodajské aliance Five Eyes spolu se Spojenými státy, Spojeným královstvím, Austrálií a Novým Zélandem se Kanada podílí na sdíleném rámci pro signální zpravodajství a stále častěji i na prosazování koordinovaných postojů k přístupu k šifrování. Austrálie přijala v roce 2018 zákon Assistance and Access Act, který podobně nutil poskytovatele pomáhat donucovacím orgánům s přístupem k šifrovanému obsahu. Britský zákon o bezpečnosti na internetu (Online Safety Act) obsahuje srovnatelná ustanovení. Kanadský zákon C-22 zapadá do tohoto rozpoznatelného vzorce napříč aliancí.

Tento kontext je pro kanadské obyvatele důležitý, protože naznačuje, že legislativní tlak pravděpodobně nepomine, i kdyby byl zákon C-22 pozměněn či odložen. Zprávy naznačují, že Kanada po značné zpětné vazbě z technologického průmyslu přislíbila pozměnit ustanovení o šifrování a metadatech, avšak změny v textu nemusí nutně ovlivnit základní cíl, který nyní RCMP potvrdila v záznamu.

Co to znamená pro vás

Pokud jste obyvatelem Kanady a spoléháte na šifrovanou komunikaci kvůli ochraně osobního soukromí, profesního tajemství nebo obecné digitální bezpečnosti, svědectví RCMP ve výboru je signálem, který stojí za to brát vážně. Ujišťování vlády, že šifrování není ohroženo, je nyní v otevřeném rozporu s tím, co policie usilující o tento zákon nahlas řekla.

Prakticky existují kroky, které můžete podniknout, zatímco se zákon C-22 pohybuje parlamentem. Prověření zásad ochrany soukromí a postupů logování u jakékoli služby VPN, kterou používáte, je rozumným výchozím bodem. Poskytovatel s ověřenou politikou neukládání záznamů a jurisdikcí mimo Kanadu nabízí smysluplnou vrstvu ochrany před kanadskými příkazy k zákonnému přístupu. Podobně volba komunikačních platforem s otevřeným zdrojovým kódem, auditovaným koncovým šifrováním a prokázanou ochotou trh raději opustit než kompromitovat svou architekturu poskytuje silnější ochranu než spoléhání se pouze na ujišťování vlády.

Průvodci VPN a soukromím od VPN.social sítě Kanada nabízejí užitečný výchozí bod pro zhodnocení vašich možností. Stejně důležité je sledovat vývoj zákona v průběhu jeho projednávání ve výboru: propast mezi tím, co úředníci říkají veřejně, a tím, co RCMP potvrdila ve výboru, je přesně tím druhem detailu, který rozhoduje o tom, zda bude konečná legislativa tak nebezpečná, jak se kritici obávají, nebo zda půjde o něco s omezenějším rozsahem.