Evropská unie chce do roku 2030 prohlížet vaše soukromé zprávy. Prý pro vaše dobro

Fakt je těžké udržet si v posledních týdnech proevropsky optimistické naladění. Po střelbě do vlastní nohy s povolenkami pro domácnosti tu máme další dějství nekonečné policejní soap opery s leitmotivem „kdo je bezúhonný, nemusí se odposlechů bát!“

Pamatujete si na českého policejního prezidenta, který vedl podobné řeči už před lety? Už tenkrát to byla pitomost a pitomost to je pořád, ovšem vrací se stále jako neodbytná Lassie pro piškot. Není divu, policajti tuhle vizi milují. Jak Hašek poznamenal: „Kdybys měl zavřít pět jednoročáků, tak jich zavřeš deset a pět pustíš!“ Tak přesně tak funguje mentalita průměrného policejního činovníka.

Tentokrát se to děje na evropské úrovni. A opět platí: Když se politici rozhodnou „změnit myšlení“ v oblasti bezpečnosti, občané by měli začít počítat peníze a kontrolovat zámky. Teď vám ale žádný zámek nepomůže. Evropská komise se totiž rozhodla, že všechny klíče od vašich digitálních zámků by měly být uloženy v centrálním trezoru, ke kterému budou mít přístup ti správní lidé. A jak všichni víme, ti správní lidé nikdy neudělají chybu, nikdy nezneužijí moc a jejich systémy se nikdy nestanou terčem hackerů.

Strategie ProtectEU není jen další byrokratický dokument. Je to promyšlený plán, jak do roku 2030 umožnit orgánům činným v trestním řízení přístup k šifrovaným datům občanů. Jinými slovy, Evropská unie si přeje, aby policie mohla číst vaše soukromé zprávy, e-maily a další komunikaci bez ohledu na to, jak důkladně si myslíte, že je máte zašifrované.

Plán vychází z práce takzvané High-Level Group on Access to Data for Effective Law Enforcement, známé pod zkratkou ADELE. Skupina vznikla z iniciativy Going Dark, kterou kritici označovali za „neprůhlednou fabriku na dozor“. Ostatně komu jinému byste svěřili přípravu plánu na masové sledování než skupině složené převážně ze zástupců bezpečnostních složek a vládních představitelů? Přece do toho nebudeme tahat sprosté podezřelé… Tedy občany.

Je to jako nechat plánovat jídelníček školní kantýny výhradně pracovníky z McDonald's a pak se divit, že na talíři bude hamburger a hranolky.

Plán se zaměřuje na šest klíčových oblastí, které zní nevinně, ale jejich implementace by znamenala konec digitálního soukromí, jak ho známe.

Uchovávání dat: Komise plánuje rozšířit povinnosti v oblasti uchovávání dat a posílit spolupráci mezi poskytovateli služeb a orgány. Představte si to jako digitální ekvivalent nucení všech občanů nosit permanentně zapnutý mikrofon.

Zákonné odposlouchávání: Do roku 2027 chtějí zlepšit přeshraniční spolupráci při odposlouchávání. Snad proto, že nic nevyjadřuje ducha „evropské integrace“ tak jako společné odposlouchávání občanů.

Digitální forenzní analýza: Cílem je vyvinout technická řešení pro analýzu digitálních důkazů na elektronických zařízeních. Váš telefon se tak stane otevřenou knihou pro každého úředníka s příslušným oprávněním.

Dešifrování: Příští rok představí Komise Technology Roadmap k šifrování. Tyto technologie mají být k dispozici důstojníkům Europolu od roku 2030. To je asi jako plánovat, jak nejlépe rozbít nerozbitný sejf.

Standardizace: Komise se zavazuje standardizovat nový přístup k vnitřní bezpečnosti. Standardizace dozoru zní jako název dystopické sci-fi novely.

AI řešení pro orgány činné v trestním řízení – Do roku 2028 chtějí nasadit AI nástroje pro zpracovávání zabavených dat. Umělá inteligence ve službách sledování – co by se tu mohlo pokazit, že?

Jádrem celého plánu je vytvoření takzvaných backdoorů, tedy zadních vrátek do šifrovaných systémů. Komise trvá na tom, že by poskytovatelé služeb měli najít způsob, jak poskytnout data v „srozumitelné formě“ na zákonný požadavek orgánů.

Problém je v tom, že backdoory, v podstatě „díry do zabezpečení“, fungují podle jednoduchého principu: pokud je může otevřít někdo s dobrým úmyslem, může je otevřít kdokoli s jakýmkoli úmyslem. Není možné vytvořit backdoor, který by fungoval pouze pro „dobré“. Pokud k němu má přístup FBI nebo česká Policie, mohou jej využít i zločinci, teroristé a nepřátelské vlády.

Historické precedenty hovoří jasně. V roce 2009 čínští hackeři napadli databázi Googlu právě prostřednictvím backdooru, který byl vytvořen výhradně pro americkou vládu. Bezpečnostní expert Bruce Schneier to shrnul výstižně: „Pro splnění vládních příkazů k prohledávání uživatelských dat vytvořil Google systém backdoor přístupu k účtům Gmail. Tuto funkci využili čínští hackeři.“

Zatímco Evropská unie plánuje oslabení šifrování, americké bezpečnostní agentury CISA a FBI po nedávném útoku Salt Typhoon naopak důrazně doporučují používání end-to-end šifrovaných aplikací. Jeff Greene z CISA dokonce prohlásil: „Šifrování je váš přítel.“

Útok Salt Typhoon, připisovaný čínským státem sponzorovaným hackerům, kompromitoval sítě AT&T, Verizon a dalších velkých telekomunikačních společností. Výsledek? Americké agentury zcela změnily svůj postoj k šifrování a nyní jej prosazují jako nutnou obranu.

Jsme v situaci, kdy hasič doporučuje používat protipovodňovou zábranu, zatímco místní starosta zároveň nařizuje udělat do ní povinně otvory kvůli lepšímu přístupu v případě potřeby.

Situace je ještě komplikovanější díky rozhodnutí Evropského soudu pro lidská práva z února 2024 v případě Podchasov v. Rusko. Soud jednoznačně rozhodl, že oslabení end-to-end šifrování nebo vytváření backdoorů porušuje lidské právo na soukromí podle článku 8 Evropské úmluvy o lidských právech.

ESLP zdůraznil, že „technická řešení pro zabezpečení a ochranu soukromí elektronické komunikace, včetně opatření pro šifrování, přispívají k zajištění užívání dalších základních práv, jako je svoboda projevu“.

Evropská komise se tak ocitá v paradoxní situaci – chce implementovat opatření, která evropský soud označil za porušování lidských práv.

Plány Komise čelí ještě jednomu, možná nejzásadnějšímu problému: matematice. Ta je základem šifrovacích metod a, podobně jako třeba Kirchhoffovy zákony, se moc neohlíží na přání politiků či ideologů.

EU může regulovat aplikace dostupné v oficiálních obchodech, ale nemůže zabránit stahování aplikací z celého světa nebo používání open-source šifrovacích knihoven. Nové šifrovací aplikace, které obejdou jakákoli omezení, se budou nevyhnutelně objevovat rychleji, než je dokážou úřady zakázat.

Jednou z navrhovaných technologií je client-side scanning (CSS), tedy systém, který by skenoval obsah zpráv přímo na vašem zařízení ještě před jejich odesláním. Představte si to jako osobního cenzora, kterého máte v mobilu a který kontroluje každé slovo dříve, než jej odešlete.

Výzkum z University of Bristol potvrdil obavy ohledně CSS: „Náš audit prototypových nástrojů CSS potvrdil dříve vznesené obavy před nebezpečím client-side scanningu: kompromitování E2EE, neefektivnost technologie a vysokou míru falešných pozitivních i negativních výsledků.“

Navrhovaná technologie tedy nejen že narušuje šifrování, ale ještě k tomu nefunguje správně.

Koalice 89 organizací občanské společnosti, společností a technických expertů vyjádřila „hluboké znepokojení“ nad plány ProtectEU. Internet Architecture Board (IAB), vedoucí organizace pro vývoj internetových standardů, varuje, že client-side scanning „ohrožuje technologie, které vyžadují neomezený přístup k soukromému obsahu, a tedy podkopávají end-to-end šifrování“.

Úsilí o vývoj dešifrovacích technik téměř nevyhnutelně zavádí nové zranitelnosti, které může zneužít kdokoli s motivací a know-how. Ale proč poslouchat experty, když můžete poslouchat politiky, kteří slibují, že tentokrát to bude jiné!

Nejvíce absurdní na celé situaci je to, že Komise prezentuje oslabení šifrování jako opatření pro zvýšení bezpečnosti. Zase. To je jako tvrdit, že nejlepší způsob, jak zabezpečit svůj dům, je nechat klíče v zámku a vchodové dveře dokořán.

Silné šifrování chrání nejen kriminálníky, ale i novináře, disidenty, whistleblowery a obyčejné občany, kteří prostě chtějí, aby jejich soukromé rozhovory zůstaly soukromé. Oslabení šifrování všechny tyto skupiny vystaví zvýšenému riziku.

Plány Evropské komise v rámci ProtectEU představují možná největší útok na digitální soukromí v historii Evropské unie. Ne první, a ani ne poslední. Pod záminkou boje proti zločinu se EU chystá systematicky oslabit technologie, které chrání nejen občany, ale i kritickou infrastrukturu, podniky a státní instituce. Na šifrování spoléháte nejen když si domlouváte pokec s kamarádem, ale i když používáte online bankovnictví. V takovém případě chcete, aby se váš příkaz zašifroval ve vašem telefonu a rozšifroval až uvnitř banky. Jakmile tuhle šifru zmrzačíte nějakou možností prolomení, tak online služby skončí.

Komisař Brunner mluví o „správné rovnováze“ mezi bezpečností a soukromím, ale opomíjí základní fakt: v kryptografii neexistuje střední cesta. Buď je šifrování silné, nebo není žádné. Backdoory nejsou kompromis, jsou to bezpečnostní díry, které ohrožují všechny.

Možná je čas připomenout politikům jednoduchou pravdu: silné šifrování není nepřítelem bezpečnosti; je jejím základem. A pokud chcete skutečně chránit evropské občany, začněte tím, že nebudete systematicky oslabovat nástroje, které je chrání.

Ale to by bylo možná příliš jednoduché řešení pro evropské politiky, kteří se evidentně rozhodli, že nejlepší cesta k bezpečnosti vede přes vytvoření nových nebezpečí. Vítejte v roce 2030, kde bude vaše soukromí chráněno tak účinně, že k němu budou mít přístup všichni.