Mind Dump, Tech And Life Blog
written by Ivan Alenko

EÚ plánuje zákaz E2E

Dokument: https://www.statewatch.org/media/1434/eu-council-draft-declaration-against-encryption-12143-20.pdf
A článok: https://www.computerweekly.com/news/252491755/EU-moves-closer-to-encryption-ban-after-Austria-France-attacks

Tak na začiatok oznamujem, že EÚ mám relatívne rád.

Posledné dni sa píše o tom, že EÚ v mene “efektívnemu boju proti terorizmu, organizovanému zločinu a zneužívaniu maloletých” chce v podstate zakázať E2E šifrovanie pre súkromné použitie, lebo majú problém získavať dôkazy. Ako, to v podstate chápem. Ale nesúhlasím s plošným obmedzením E2E šifrovania. V tomto kontexte je E2E šifrovanie priamo medzi dvomi “klientami”, nie medzi klientom a serverom.

Nakoniec by to mohlo dopadnúť celkom kyberpunkovo, kde šifrovanie budú mať vládne organizácie, vojensko-priemyselný komplex a dosť veľké priemyselné konglomeráty, stredné a malé spoločnosti budú môcť používať iba schválené riešenia, lebo si iné nebudú môcť dovoliť. Technicky zdatní užívatelia budú žiť v ilegalite a už len z presvedčenia šifrovať svoje diskusie o anime a hrách a čierno-červených stromov a zvyšok bude buď otravovať technicky zdatných ľudí, budú hladať pirátené predpripravené riešenia alebo sa na to vybodnú. Kým sa nezavedie sociálne skóre a automaticky sa im nezačnú odčítať body za “neposlušnosť”.

Trochu ma udivuje tento krok, keďže, ako nám Snowden ukázal, tak sa už sleduje všetko. Je dosť možné, že EÚ nevysávajú toľko dát ako súdruhovia z USA. Neschopná EÚ, že? Večne v chaose a neefektivite. Hoši z USA často prehlasovali, že zbierajú informácie iba o ľuďoch mimo ich krajinu, teda iba o zvyšnej 7.45 miliardy ľudí na Zemi. Potom sa prevalilo, že zbierajú pre istotu všetko.

Čo máme a čo sa sleduje (digitálne)?

  • obecné zachytávanie slov na SMS a hovoroch…tieto nie sú šifrované
  • sú napichnuté podmorské káble…toto dá minimálne metadáta, kto s kým komunikoval, DNS, metadáta z HTTPS spojenia a podobne
  • Five Eyes a ECHELON
  • v ČR telekomunikační operátori musia uchovávať metadáta zo spojení
  • telekomunikační operátori su napichnutí tajnými službami
  • bizardné zetabajtové datacentra NSA
  • dáta sa analyzujú, Snowden vravel, že stačilo zadať do ich analyického systému meno alebo email a našlo to všetky ďalšie spojenia ako fotku, kontá na ďalších službách a kopu iným dát, taký mega veľký OSINT systém
  • nie všetky dáta idú len do amerického rybníka, britská GCHQ s NSA uzko spolupracuje na zbieraní údajov
  • pre vyvolených sú tu vládne trojany ako Bundestrojaner
  • v amerike sa často používajú gag ordery, kde spoločnosť ani nemôže muknúť, že sa niečo deje
  • známe spoločnosti s reputáciou spolupracujú s tajnými službami, viď RSA (spoločnosť) a Dual_EC_DRBG
  • rôzny fingerprinting zariadení a deanonymizovanie ľudí na onione
  • vlády kupujúce zero day exploity
  • Áustrália má zákon na backdoory v šifrovaní
  • budovanie OSINT z verejných údajov, sociálnych sietí, fór a príspevkov naprieč internetom
  • uniknuté databázové dumpy zo spoločností, ale aj údaje o daňových poplatníkoch a zdravotné údaje
  • a asi tak milión ďalšich spôsobov

Väčšina týchto vecí je dosť cielená nielen na ľudí, ale aj priemyselnú špionáž a dosť vysoké hry.

E2E šifrovaná komunikácia správ priamo medzi ľuďmi je naozaj tvrdý oriešok na rozlúsknutie, lebo bola vytvorená presne na to, aby obe strany mali istotu, že ich nikto neodpočúva. Lebo jediný spôsob ako dostať obsah správ je - narušiť prvotnú komunikáciu (MItM), čo dá asi pár hodín odpočúvania v Signale. V iných sieťach teoreticky nastálo, strany si musia skontrolovať fingerprinty. A druhý spôsob je dostať sa do zariadenia, kde sa dá dostať k histórii. Mobily sú v súčasnosti povinne šifrované (iOS, Android 8+) vrátane SD kariet, takže zhabanie nepomôže. Jedine trojany alebo využitie backdoorov a zraniteľností v softvére. Ale to neškáluje. Úprimne netuším, prečo taký Facebook, Whatsapp a dokonca aj Skype majú E2E šifrovanie (založené na Signal protokole). Údajne. Ale už tak dva roky dozadu sa šuškalo, že to nebude E2E, ale pomôže tomu server a bude sa to dať rozšifrovať, takže úplne neverím týmto prehláseniam.

Myslím si, že EÚ operuje s tým, že ak by mohli čítať na všetkých sieťach, tak by mohli kontrolovať terorizmus, organizovaný zločin a zneužívanie maloletých. Príde mi to v tejto situácii mega nerealistické, to nedajú. Boli teraz články, kde písali, že tie teroristické skupiny sa prelievajú sem a tam cez všetky možné siete. Uznávam, že musí byť sakra frustrujúce, keď nábor z teroristických skupín spamuje skupiny a jednotlivcov na rôznych komunikačných platformách a snaží sa ich presvedčiť. V mojej divokej fantázii si viem predstaviť, že keby Slovensko bolo hniezdom terorizmu a z nejakého dôvodu by nenávidelo Česko, tak asi aj mňa by spamovali fanatickí neokotlebovci. Pridaj sa. Splň svoju úlohu, znič brnenské metro a dostaneš sa rovno do neba. Za národ! Za vlasť!

Ale organizovaný zločin? Obchodovanie s deťmi alebo detské pornografia? To je svet v úplne inej lige. Občas preniknú správy ako niekto rozbil zločincov, lebo si kúpili zlý mobil alebo sú fakt blbí. Riziko podnikania, tipujem. Keď som čítal knihu ako funguje svet detskej pornografie od Anonyma X (alebo tak nejak), tak tí operujú úplne inde. A organiznovaný zločin? Ten si môže dovoliť zaplatiť schopných ľudí a utajiť, čo sa dá.

Príde mi bizardné, že je mega veľa kontrol, už aj blbá banka si v 2020 pýta vysvetlenie prečo mám účet v českej banke, keď som Slovák. Vypĺňam hento tamto, daňové priznanie, zdravotná poisťovňa a sociálna má tiež čosi. Na letisku mi skenujú pas, fotia ma, v istej krajine dávam otlačky prstov a predkladám pas milión krát kade tade. Každý zanecháva digitálnu stopu, keďže tieto dáta sú už digitálne.

Technicky vzaté vytvoriť minimálnu databázu s údajmi o 7.8 miliardy ľudí (populácia Zeme) je možné vytvoriť celkom ľahko a zvládne to bežať na priemernom počítači. Ale ani s mnohými informáciami to nie je také ťažké. Zjavne je problém tam nasypať dáta. Kto kde bol, kto s kým komunikuje, koho pozná.

Ale čo tam po dátach a tak. Problém je samozrejme hlbší. Spoločenský.

Potom si čítam správy ako si globálne banky si veselo presúvajú špinavé peniaze z organizovaného zločinu a terorizmu. Ako sa vraví, bez peňazí ani kura nehrabe.

Na jednu stranu - “hej, fakt to musíme urobiť pre vaše dobro”. A na druhú stranu toto…cítim sa oklamaný. Nie som kurva taký retard, aby som nevidel väčšie súvislosti a iné súvisiace problémy.


A úplné a dokonalé riešenie? Fakt neviem. Môj osobný názor je ten, že stojí za to si uchovať súkromie za každú cenu. Minimálne tí, kto na to majú dosť vysoký intelekt a fakt neoblomnú vieru. Vždy sa nájdu dosť blbí, nezodpovední a arogantní ľudia, ktorým by sa niečo také asi nemalo dostať do ruky. V tomto je mi to jedno.

Stále si pamätám v začiatkoch sysadminovania ako som sa krvopotne snažil skompilovať EAP_TLS do freeradiusu a fakt som netušil, prečo to nejde. Úprimne, mal som za sebou len pár rokov adminovania, programoval som len v PHP, nevedel som moc dobre po anglicky a podarilo sa mi to skompilovať len raz. Ale nešlo to. Prišla mi ako spása, keď USA prestalo klasifikovať silnú kryptografiu ako muníciu a nemohlo sa to exportovať do iných zemí, a niekto to skompiloval za mňa a dal do balíku. Toľko frustrácie a trápenia sa.

Veľa technicky zdatných ľudí dokáže používať komplikované veci, ale vyžaduje ešte ďalšie hlboké znalosti zvládnuť to skompilovať.

Ak budeme donekonečna riešiť vec ako digitálne súkromie, nikde sa nepohneme. To sa mám kurva celý život obzerať za seba a dávať pozor na to, čo napíšem? Byť donekonečna v móde prežitia a tráviť hodiny riešením krypta a súkromia?

Desivé je to, že teraz je technicky možné uložiť komunikáciu za posledné desiatky rokov. Facebook už banuje retrospektívne. Na Twitteri sa už nedá písať všetko, čo si človek myslí. Ale nejak sa treba dekomprimovať a písať priamo. Bez rizika, že to niekto zoberie a o 10 rokov použije proti mne. Bez rizika, že keď som príliš toxický a nasratý, tak potom jedného dňa príde systém a zničí ma, lebo sa mu to práve hodí a bude mať “usvedčujúci dôkaz”.

Úprimne, jebem na to, celkom ma to frustruje, ale ak by som to zhrnul do jednej vety, tak by to bolo, že s elektronizáciou všetkého, prichádza veľká zodpovednosť a stojí za to si uchovať súkromie za každú cenu a hľadať iné riešenia na problémy, ktoré máme. A zakončil by som to klasickým “to, že som paranoidný neznamená, že po mne nikto nejde”.