Az RCMP megerősíti, hogy a C-22-es törvényjavaslat a titkosított kommunikációt célozza

Az RCMP megerősíti, hogy a C-22-es törvényjavaslat a titkosított kommunikációt célozza

Kanada szövetségi kormánya többször hangsúlyozta, hogy a C-22-es törvényjavaslat, a javasolt törvényes hozzáférésről szóló jogszabály, nem fenyegeti a titkosítást. Az RCMP most közvetlenül ellentmondott ennek az állításnak. Egy parlamenti bizottsági meghallgatás során Kanada nemzeti rendőrsége megerősítette, hogy a titkosított kommunikációhoz való hozzáférés pontosan az, amiért a rendfenntartó szervek a törvényjavaslat elfogadását szeretnék. Ez a beismerés tovább élezte az amúgy is heves vitát arról, hogy Ottawa csendben egy titkosítási hátsó ajtót vezet-e be egy elfogadhatóbb címke alatt.

Mit mondott valójában az RCMP a bizottság előtt, és miért mond ellent Ottawának

Az RCMP vallomása nem azért jelentős, mert meglepő lenne az adatvédelmi jogvédők számára, hanem mert egyértelmű. A rendfenntartó szervek tisztviselői általában kerülik, hogy a megfigyelési jogszabályokat a titkosítás feltörésének szempontjából fogalmazzák meg, inkább olyan kifejezéseket részesítenek előnyben, mint a „törvényes hozzáférés” vagy a „technikai segítségnyújtás”. Ezen a bizottsági meghallgatáson azonban az RCMP megerősítette, hogy a titkosított kommunikációhoz való hozzáférés a C-22-es törvényjavaslat alapvető célja, nem pedig mellékhatása vagy elméleti lehetősége.

Ez közvetlenül aláássa a kanadai kormány nyilvános üzeneteit. A tisztviselők a törvényjavaslatot a meglévő nyomozati eszközök modernizálásaként pozícionálták, nem pedig a kriptográfiai védelem elleni támadásként, amely banki alkalmazásokat, üzenetküldő platformokat és kanadaiak millióinak magánadatait biztosítja. Amikor az a rendőri erő, amelynek megerősítésére a jogszabály szolgál, nyíltan kijelenti, hogy a cél a titkosított tartalomhoz való hozzáférés, a kormányzati keretezés nagyon nehezen tartható fenn.

Az Electronic Frontier Foundation megjegyezte, hogy a C-22-es törvényjavaslat szorosan követi a tavalyi C-2-es törvényjavaslat nyomdokait, amely egy másik, szintén jelentős kritikát kapott megfigyelés-központú javaslat volt. A minta tartós jogalkotási törekvésre utal, nem pedig egyszeri erőfeszítésre.

Hogyan működnek a titkosítási hátsó ajtók, és miért ássák alá mindenki biztonságát

Ahhoz, hogy megértsük, mi forog kockán, segít tisztázni, mit is jelent pontosan technikai értelemben a hátsó ajtó. A végponttól végpontig terjedő titkosítás úgy védi a kommunikációt, hogy biztosítja: csak a küldő és a címzett olvashatja az üzenetet. Semmilyen harmadik fél, beleértve a szolgáltatót vagy a kormányt, nem férhet hozzá a tartalomhoz a továbbítás során. A hátsó ajtó ezt azáltal változtatja meg, hogy beépít egy olyan mechanizmust, amely lehetővé teszi egy kijelölt fél (ebben az esetben a rendfenntartó szervek) számára, hogy megkerülje ezt a védelmet.

Az alapvető probléma matematikai. Egy olyan hátsó ajtó, amely a kanadai rendőrség számára működik, ugyanúgy működik bárki más számára is, aki felfedezi vagy hozzáférést szerez ehhez a mechanizmushoz. A külföldi hírszerző szolgálatok, bűnszervezetek és rosszindulatú hackerek mind ugyanabból a gyengeségből profitálnak. Nem létezik olyan titkosítási hátsó ajtó, amely szelektíven csak megbízható szereplők számára lenne elérhető. A biztonsági kutatók és kriptográfusok évtizedek óta következetesen ezt az érvet hozzák fel, és egyetlen technikai javaslat sem cáfolta meg sikeresen.

Az Apple, amely hivatalos észrevételeket nyújtott be a C-22-es törvényjavaslathoz, egyenesen kijelentette, hogy a törvényjavaslat lehetővé tenné a kanadai kormány számára, hogy a vállalatokat hátsó ajtók beépítésére kényszerítse termékeikbe. Ez nem érdekvédelmi nyelvezet; ez egy technikai leírás arról, amit a jogszabály megkövetelne.

Mit jelent a C-22-es törvényjavaslat a VPN-felhasználók és a titkosított üzenetküldés számára Kanadában

Azoknak a kanadaiaknak, akik titkosított üzenetküldő alkalmazásokra, biztonságos e-mailekre vagy virtuális magánhálózatokra támaszkodnak kommunikációjuk védelme érdekében, a C-22-es törvényjavaslat valódi bizonytalanságot teremt. Ha a törvényjavaslat jelenlegi formájában elfogadásra kerül, a Kanadában működő szolgáltatók arra kényszerülhetnek, hogy hozzáférési mechanizmusokat építsenek be, aláásva ezzel azokat a védelmeket, amelyeket ezeknek az eszközöknek nyújtaniuk kellene.

A VPN-felhasználók sajátos aggállyal szembesülnek: egy olyan naplózásmentes VPN, amely nem kanadai joghatóság alatt működik, és szigorú naplózásmentes szabályzat hatálya alá tartozik, sokkal kevésbé lenne kitéve egy kanadai törvényes hozzáférési végzésnek, mint egy belföldi szolgáltató. Ha azonban a kanadai jog végül megköveteli a VPN-szolgáltatóktól, hogy rögzítsék vagy hozzáférést biztosítsanak a felhasználói kommunikációhoz, a jogi környezet jelentősen megváltozik. A törvényjavaslat jelenlegi nyelvezete a „technikai segítségnyújtásról” elég tág ahhoz, hogy gyakorlati hatálya vitatott maradjon.

A titkosított üzenetküldés esetében a következmények ugyanilyen súlyosak. Azok a platformok, amelyek technikailag nem tudnak megfelelni a hátsó ajtó elrendelésének anélkül, hogy újraterveznék architektúrájukat, nyomás alá kerülhetnek, hogy vagy gyengítsék a titkosításukat, vagy teljesen elhagyják a kanadai piacot, ahogy az más joghatóságokban is történt, amelyek hasonló jogszabályokat fogadtak el.

Kanada hátsó ajtós törekvései globális kontextusban: az Öt Szem és azon túl

Kanada nem elszigetelten működteti megfigyelési politikáját. Az Öt Szem hírszerzési szövetség tagjaként, az Egyesült Államokkal, az Egyesült Királysággal, Ausztráliával és Új-Zélanddal együtt, Kanada részt vesz a jelfelderítés közös keretrendszerében, és egyre inkább a titkosítási hozzáféréssel kapcsolatos összehangolt álláspontok előmozdításában. Ausztrália 2018-ban fogadta el a Támogatásról és Hozzáférésről szóló törvényét, amely hasonlóképpen kötelezte a szolgáltatókat, hogy segítsék a rendfenntartó szerveket a titkosított tartalomhoz való hozzáférésben. Az Egyesült Királyság Online Biztonsági Törvénye hasonló rendelkezéseket tartalmaz. Kanada C-22-es törvényjavaslata felismerhető mintába illik a szövetségen belül.

Ez a kontextus azért fontos a kanadai lakosok számára, mert arra utal, hogy a jogalkotási nyomás valószínűleg nem fog eltűnni, még akkor sem, ha a C-22-es törvényjavaslatot módosítják vagy késleltetik. Jelentések szerint Kanada megfogadta, hogy a technológiai iparág jelentős visszajelzései nyomán módosítja a törvényjavaslat titkosítási és metaadat-rendelkezéseit, de a nyelvezet módosítása nem feltétlenül változtatja meg azt az alapvető célt, amelyet az RCMP most jegyzőkönyvben erősített meg.

Mit jelent ez Önnek

Ha Ön kanadai lakos, aki titkosított kommunikációra támaszkodik a személyes adatvédelem, a szakmai titoktartás vagy az általános digitális biztonság érdekében, az RCMP bizottsági vallomása olyan jelzés, amelyet érdemes komolyan venni. A kormány biztosítékai, miszerint a titkosítás nincs veszélyben, most nyíltan ellentmondanak annak, amit a jogszabályt szorgalmazó rendőri erő hangosan kijelentett.

Gyakorlati szempontból vannak lépések, amelyeket megtehet, amíg a C-22-es törvényjavaslat a Parlamentben halad. Az Ön által használt VPN-szolgáltatás adatvédelmi irányelveinek és naplózási gyakorlatának áttekintése ésszerű kiindulópont. Egy olyan szolgáltató, amely rendelkezik ellenőrzött naplózásmentes szabályzattal, és joghatósága Kanadán kívül található, jelentős védelmi réteget nyújt a kanadai törvényes hozzáférési végzésekkel szemben. Hasonlóképpen, ha olyan üzenetküldő platformokat választ, amelyek nyílt forráskódú, auditált végponttól végpontig terjedő titkosítással rendelkeznek, és bizonyítottan hajlandóak elhagyni a piacokat ahelyett, hogy veszélyeztetnék architektúrájukat, erősebb védelmet nyújt, mint ha pusztán a kormányzati biztosítékokra hagyatkozna.

A VPN.social Kanada VPN- és adatvédelmi útmutatói hasznos kiindulópontot kínálnak a lehetőségek értékeléséhez. Ugyanilyen fontos, hogy tájékozott maradjon, ahogy a törvényjavaslat a bizottság előtt halad: a különbség aközött, amit a tisztviselők nyilvánosan mondanak, és amit az RCMP a bizottság előtt megerősített, pontosan az a részlet, amely meghatározza, hogy a végső jogszabály olyan veszélyes-e, mint amennyire a kritikusok tartanak tőle, vagy valami korlátozottabb hatókörű.