RCMP potwierdza, że ustawa C-22 celuje w komunikację szyfrowaną

RCMP potwierdza, że ustawa C-22 celuje w komunikację szyfrowaną

Kanadyjski rząd federalny wielokrotnie podkreślał, że ustawa C-22, proponowane przepisy o legalnym dostępie, nie zagraża szyfrowaniu. RCMP właśnie bezpośrednio zaprzeczyła temu twierdzeniu. Podczas przesłuchania przed komisją parlamentarną kanadyjska policja federalna potwierdziła, że uzyskanie dostępu do szyfrowanej komunikacji jest właśnie tym, czemu służyć ma ta ustawa w oczach organów ścigania. To przyznanie zaostrzyło i tak już gorącą debatę na temat tego, czy Ottawa po cichu dąży do wprowadzenia tylnych drzwi do szyfrowania pod bardziej strawną nazwą.

Co RCMP faktycznie powiedziała przed komisją i dlaczego stoi to w sprzeczności ze stanowiskiem Ottawy

Zeznania RCMP są znaczące nie dlatego, że zaskakują obrońców prywatności, ale dlatego, że są jednoznaczne. Przedstawiciele organów ścigania zazwyczaj unikają przedstawiania przepisów inwigilacyjnych w kategoriach łamania szyfrowania, preferując określenia takie jak „legalny dostęp” czy „pomoc techniczna”. Jednak podczas tego przesłuchania RCMP potwierdziła, że uzyskanie dostępu do szyfrowanej komunikacji jest głównym celem ustawy C-22, a nie efektem ubocznym czy teoretyczną możliwością.

Stoi to w bezpośredniej sprzeczności z publicznym przekazem kanadyjskiego rządu. Urzędnicy przedstawiali ustawę jako modernizację istniejących narzędzi dochodzeniowych, a nie jako atak na kryptograficzne zabezpieczenia chroniące aplikacje bankowe, komunikatory i prywatne dane milionów Kanadyjczyków. Kiedy formacja policyjna, której ustawa ma dawać nowe uprawnienia, otwarcie mówi, że chodzi o dostęp do szyfrowanych treści, rządowe stanowisko staje się bardzo trudne do utrzymania.

Fundacja Electronic Frontier Foundation zauważyła, że ustawa C-22 podąża ściśle śladami ubiegłorocznej ustawy C-2, innej propozycji skoncentrowanej na inwigilacji, która spotkała się z poważną krytyką. Ten schemat sugeruje trwałe dążenie legislacyjne, a nie jednorazowy wysiłek.

Jak działają tylne drzwi do szyfrowania i dlaczego osłabiają bezpieczeństwo wszystkich

Aby zrozumieć, o co toczy się gra, warto sprecyzować, co technicznie oznaczają tylne drzwi. Szyfrowanie end-to-end chroni komunikację, zapewniając, że tylko nadawca i odbiorca mogą odczytać wiadomość. Żadna strona trzecia, w tym dostawca usługi czy rząd, nie ma dostępu do treści podczas przesyłania. Tylne drzwi zmieniają to, wprowadzając mechanizm umożliwiający wskazanej stronie (w tym przypadku organom ścigania) ominięcie tego zabezpieczenia.

Podstawowy problem ma charakter matematyczny. Tylne drzwi, które działają dla kanadyjskiej policji, działają także dla każdego, kto odkryje lub uzyska dostęp do tego mechanizmu. Obce służby wywiadowcze, organizacje przestępcze i złośliwi hakerzy korzystają z tej samej słabości. Nie istnieje coś takiego, jak tylne drzwi do szyfrowania dostępne selektywnie tylko dla godnych zaufania podmiotów. Badacze bezpieczeństwa i kryptografowie konsekwentnie podnoszą ten argument od dziesięcioleci i żadna propozycja techniczna nie zdołała go skutecznie obalić.

Apple, które złożyło formalne uwagi do ustawy C-22, stwierdziło wprost, że ustawa pozwoliłaby kanadyjskiemu rządowi zmusić firmy do umieszczania tylnych drzwi w swoich produktach. Nie jest to język rzecznictwa; to techniczny opis tego, czego wymagałaby ta legislacja.

Co ustawa C-22 oznacza dla użytkowników VPN i szyfrowanych komunikatorów w Kanadzie

Dla Kanadyjczyków, którzy polegają na szyfrowanych komunikatorach, bezpiecznej poczcie elektronicznej lub wirtualnych sieciach prywatnych (VPN) w celu ochrony swojej komunikacji, ustawa C-22 stwarza realną niepewność. Jeśli ustawa przejdzie w obecnym kształcie, dostawcy usług działający w Kanadzie mogą zostać zmuszeni do wbudowania mechanizmów dostępu, co podważy ochronę, jaką te narzędzia mają zapewniać.

Użytkownicy VPN mają szczególny powód do obaw: VPN nieprowadzący logów, działający poza kanadyjską jurysdykcją i objęty surową polityką braku logów, byłby znacznie mniej podatny na kanadyjskie nakazy legalnego dostępu niż dostawca krajowy. Jeśli jednak prawo kanadyjskie ostatecznie zobowiąże dostawców VPN do przechowywania lub udostępniania komunikacji użytkowników, krajobraz prawny ulegnie istotnej zmianie. Obecny język ustawy dotyczący "pomocy technicznej" jest na tyle szeroki, że jej praktyczny zakres pozostaje przedmiotem sporów.

Dla szyfrowanych komunikatorów implikacje są równie poważne. Platformy, które technicznie nie mogą spełnić nakazu wprowadzenia tylnych drzwi bez przeprojektowania swojej architektury, mogą stanąć przed presją, aby albo osłabić swoje szyfrowanie, albo całkowicie opuścić rynek kanadyjski, jak to miało miejsce w innych jurysdykcjach, które przyjęły podobne przepisy.

Kanadyjskie dążenie do tylnych drzwi w kontekście globalnym: Five Eyes i nie tylko

Kanada nie prowadzi polityki inwigilacji w izolacji. Jako członek sojuszu wywiadowczego Five Eyes, obok Stanów Zjednoczonych, Wielkiej Brytanii, Australii i Nowej Zelandii, Kanada uczestniczy we wspólnym systemie wywiadu elektronicznego i coraz częściej w forsowaniu skoordynowanych stanowisk w sprawie dostępu do szyfrowania. Australia przyjęła swoją ustawę Assistance and Access w 2018 roku, która podobnie zobowiązała dostawców do pomocy organom ścigania w dostępie do szyfrowanych treści. Brytyjska ustawa Online Safety Act zawiera porównywalne przepisy. Kanadyjska ustawa C-22 wpisuje się w rozpoznawalny wzorzec w całym sojuszu.

Ten kontekst ma znaczenie dla mieszkańców Kanady, ponieważ sugeruje, że presja legislacyjna raczej nie zniknie, nawet jeśli ustawa C-22 zostanie zmieniona lub opóźniona. Raporty wskazują, że Kanada zobowiązała się do zmiany przepisów ustawy dotyczących szyfrowania i metadanych po znaczącym sprzeciwie branży technologicznej, jednak poprawki w języku ustawy niekoniecznie zmieniają jej podstawowy cel, który RCMP właśnie potwierdziła oficjalnie.

Co to oznacza dla Ciebie

Jeśli jesteś mieszkańcem Kanady i polegasz na szyfrowanej komunikacji dla prywatności osobistej, tajemnicy zawodowej lub ogólnego bezpieczeństwa cyfrowego, zeznania RCMP przed komisją są sygnałem, który warto potraktować poważnie. Zapewnienia rządu, że szyfrowanie nie jest zagrożone, stoją obecnie w otwartej sprzeczności z tym, co policja, dla której ustawa ma być narzędziem, powiedziała na głos.

W praktyce, podczas gdy ustawa C-22 przechodzi przez parlament, możesz podjąć pewne kroki. Przejrzenie polityki prywatności i praktyk dotyczących logowania każdej używanej usługi VPN jest rozsądnym punktem wyjścia. Dostawca z udokumentowaną polityką braku logów i jurysdykcją poza Kanadą oferuje istotną warstwę izolacji od kanadyjskich nakazów legalnego dostępu. Podobnie wybór komunikatorów z otwartym, poddanym audytowi szyfrowaniem end-to-end i wykazaną gotowością do wyjścia z rynków, zamiast osłabiania swojej architektury, zapewnia silniejszą ochronę niż poleganie wyłącznie na rządowych zapewnieniach.

Kanadyjski VPN i przewodniki po prywatności na VPN.social stanowią przydatny punkt wyjścia do oceny dostępnych opcji. Równie ważne jest śledzenie postępów ustawy w komisji: różnica między tym, co urzędnicy mówią publicznie, a tym, co RCMP potwierdziła przed komisją, jest właśnie tym detalem, który decyduje o tym, czy ostateczne przepisy będą tak niebezpieczne, jak obawiają się krytycy, czy też będą miały bardziej ograniczony zakres.