Zakázat šifrování? Nemožné, říká bezpečnostní expert

Různé šifrovací systémy v Česku používá odhadem kolem 100 tisíc lidí. Ne všichni z nich ale šifrují telefonní hovory. Nejvíce jich si šifruje například notebook pro případ krádeže či ztráty, říká Marian Kechlibar, spolumajitel softwarové společnosti CircleTech,
zabývající se vývojem šifrovacích systémů. Každá země má své strašáky: Amerika straší lidi terorismem, v Německu pedofily, u nás korupcí, v Rusku celým zbytkem světa, dodává.

Policie se prostřednictvím deníku Právo pochlubila, že se jí podařilo prolomit šifrování telefonů, které k důvěrné komunikaci používala Jana Nagyová. Je to možné?

Informace, která se objevila v tisku, je natolik neurčitá, že je těžké usuzovat, co skutečně znamená. Spousta všeobecně rozšířených komunikačních prostředků, které nejsou určeny k bezpečnostním účelům – jmenujme například Skype, Viber nebo Blackberry – používá nějaký druh šifrování, a o mnohých je známo, že toto jejich šifrování je slabé.
Šifrovací systémy, které jsou jako takové konstruovány, používají kvalitní a světově dlouhodobě osvědčené šifry jako např. TWOFISH. Prorazit takovou šifru podle současného stavu vědeckého poznání nejde. Povšimněme si, že ani v nedávných Snowdenových odhaleních nevyšlo najevo, že by dejme tomu americká NSA uměla luštit tento typ šifer. Přitom NSA má rozpočet větší než celá Česká republika a zaměstnává tisíce vynikajících matematiků.
Něco jiného jsou data typu „uložené kontakty“ a „seznamy hovorů“, popř. v telefonu uložené přijaté a odeslané zprávy. Pokud vám někdo sebere telefon a zjistí přihlašovací heslo (které si uživatelé dost často volí jako slabé, popř. žádné), tak takové informace odhalí. To ale není žádný mimořádný výkon, to je postup stejně starý jako počítače samy. Nijak zásadně se neliší od stavu, kdy vám někdo vytáhne mobilní telefon v tramvaji z kapsy. Pokud uživatelé zvolí dostatečně silná hesla, jsou odolní i proti útokům, kdy se někdo zmocní jejich telefonu.
Nakonec je potřeba si uvědomit, že šifrovací telefon není magický amulet. Neochrání vás například před tím, budete-li své hovory vyřizovat v místnosti, kde je nasazen prostorový odposlech. Pokud jej navíc nehlídáte a dáváte jej z ruky, může protivník zkusit nahrát do něj špionážní software. Takový speciální software existuje, prodává se (vcelku otevřeně) i soukromým osobám a nahrává zvuky přímo z mikrofonu. No a hlasivky si samozřejmě nezašifrujete.  To není odborně vzato prolomení, to je obejití. Když si člověk nechá v přízemním bytě otevřené okno dokořán, který zloděj by se namáhal překonáváním bezpečnostních dveří? V textu zprávy se objevila informace o tom, že se zdařila „část“. Pokud ji vezmeme vážně, naznačuje to spíše použití štěnice v místnosti apod. „Rozlomení“ kryptosystému matematickými prostředky totiž obvykle znamená, že získáte přístup úplně ke všemu.

Jak šifrovací systém funguje?

Správný šifrovací systém funguje na end-to-end šifrování. Jinými slovy, klíče pro sestavování šifrovaných hovorů a posílání šifrovaných zpráv se nacházejí pouze na zařízení uživatele a nikdo jiný je nemá. Správný šifrovací systém rovněž používá známé, časem a lety ověřené algoritmy a protokoly. Nevyplatí se vymýšlet si vlastní šifry. Pokud je šifra veřejně známa desítky let a žádný výzkumník ji neprolomil, je to velmi dobré osvědčení kvality. Správný šifrovací systém se rovněž maximálně snaží využít vlastnost zvanou „perfect forward secrecy“. Ta znamená, že po ukončení komunikace se klíče zničí a zpětně už je nelze zrekonstruovat. Tuto vlastnost není technicky možné využít všude, ale kde to jde, tam by být měla.

Je zde vytvářen dojem, jako by používání takových telefonů bylo něco nelegálního. Nebo minimálně podle vzoru když jsem hodný, nemám co skrývat se na takové lidi ukazuje prstem. Jak je to s legálností?

Ano, to je celosvětový problém, ve spoustě zemí se nyní mocenské složky snaží získat co největší přístup k datům uživatelů (nejen hovorům, ale kdečemu), a všude používají nějakého kulturně specifického strašáka. V Americe straší lidi terorismem, v Německu pedofily, u nás korupcí, v Rusku celým zbytkem světa.
V podstatě přitom jde o to, že informace znamenají moc, a čím více informací, tím více moci. Od určitých
typů lidí ani nelze nic jiného čekat, neumějí přemýšlet jinak, než v kategoriích dozoru, dohledu a represe. Další motivace k odposlechům a sledování je zcela obyčejná průmyslová špionáž. To jsou stamiliardy dolarů, to bych nepodceňoval.
Zajímavější je spíš zamyslet se, proč této propagandě část obyvatel podléhá. První kategorií jsou „nepoučitelní naivkové“, kteří si nedokážou představit, že by někdo mohl svoji moc zneužívat. To jsou jedinci, na jejichž nadšené podpoře stojí každá diktatura světa. Druhou kategorii představují ti, kteří si sice realisticky uvědomují, že moc se zneužívá, ale domnívají se, že jsou sami natolik nevýznamní, že jich osobně se to nemůže dotknout…
Je třeba si uvědomit, že nemluvíme jen ve schématu „policie vs. zbytek světa“. To je také věc, která mnohým lidem uniká. Schopnosti odposlouchávat lidi má dneska kdejaká bohatší soukromá organizace, rovněž bezpečnostní složky cizích států, ale i nadšený hacker s vybavením za pár tisíc korun. Z technického hlediska je vcelku jedno, kdo to koná. K tomu, abyste se ocitl v něčím hledáčku, stačí se někomu znelíbit. Možná ani to ne, stačí podniknout dovolenou v cizím státě, a kdo ví, zda se nevrátíte označkován jako podezřelý jedinec. Nakonec takové Rusko v rámci olympiády v Soči jasně deklarovalo, že bude sledovat všechny návštěvníky. To, co Rusové říkají otevřeně, řada dalších zemí dělá potají. Šifrování je ve vyspělém světě legální. Zakázat šifrování v technologicky vyspělém světě v podstatě nelze, protože na něm stojí celá infrastruktura Internetu (bez šifrování by žádný server nebyl v bezpečí). Samozřejmě, Kuba nebo Severní Korea si s tím lámat hlavu nemusí.

Čili jestli to dobře chápu, jsou zde lidé, kteří jsou prostě otrávení tím, že si tady policie poslouchá koho chce a neexistuje nad tím žádná kontrola.

Místo „policie“ si dosaďte „úplně kdokoliv s vhodným vybavením“. Odposlechová technika, zvláště ta pasivní, se „kontroluje“ asi stejně snadno jako epidemie chřipky. Nikdo z nás by asi nechtěl mít doma tlupu neznámých lidí z různých koutů světa, kteří by fotili a nahrávali každý jeho pohyb. Z elektronického hlediska se různé organizace snaží o to samé.

Kolik podle vašeho odhadu používá kryptovací technologie v ČR lidí?

V jistém smyslu každý, kdo má Internet Banking apod. Asi ale myslíte spíše uživatele, kteří si šifrovací technologie opravdu sami kupují, instalují a vědomě používají. Tam bych to v privátní sféře odhadl tak na 100 000. Ne všichni z nich ale šifrují dejme tomu hovory. Nejvíce těchto lidí si šifruje např. notebook pro případ krádeže či ztráty.

Jak se na tyto otázky dívají ve světě?

Téma ochrany soukromí se nejspíš stane velkým tématem této doby. Snowdenova odhalení byla svým způsobem ta poslední kapka, po které pohár přetekl. Mnoho lidí si uvědomilo, že s prudkým nárůstem elektronického sledování je ohrožena sama podstata svobodné společnosti. Informace znamenají moc, a jestliže se taková moc koncentruje u několika málo lidí, neznamená to nikdy nic dobrého pro ty ostatní.
Nepříjemným zjištěním posledních let je, že v zemích, které byly dříve brány jako určité „pevnosti“ osobní svobody, se tajné složky vymkly kontrole natolik, že je čím dál těžší najít rozdíly mezi jejich činností a činností států, o kterých nikdo žádné iluze nemá. V tomto znepokojivém vývoji se občas najdou až komické prvky. Před pár dny vyšlo najevo, že britská tajná služba GCHQ sbírala video-hovory dvou milionů běžných lidí. Ani ti lidé nebyli z ničeho specifického podezřelí, prostě jen tak do zásoby. Řada z těch hovorů měla intimní obsah. Člověk se musí ptát: jak přesně slouží zájmům britského daňového poplatníka, když tajná služba, která jej má chránit před skutečně vážným nebezpečím, místo toho za jeho peníze buduje v podstatě voyeurský systém průmyslových rozměrů? Nemají nic vážnějšího na práci? Pak by možná byl čas omezit jejich rozpočet a dát ty peníze na něco užitečnějšího.
Čím dál více lidí si uvědomuje, jak nebezpečná může být situace, kdy na každého jedince někde leží „složka“. Pro Karla Nováka to může být jedno, ale jestliže nějaká anonymní klika může vydírat každého soudce, poslance či ministra něčím v jejich minulosti, tak je pak otázka, kdo vlastně vládne.

Jaké jsou trendy v takto vyspělých technologiích, o kterých mluvíme?

Velké téma je rovněž průmyslová špionáž. Ukrást něco je mnohem snazší než to vymyslet, a některé země se v této činnosti angažují vcelku nezakrytě. Právě nedávno se jistá vláda jisté velmoci veřejně zapřísahala, že jejich výzvědná agentura něco takového nedělá. Reakcí zbytku světa bylo zdvořilé mlčení, prakticky ovšem totální skepse.
Strohá logika říká: když už někdo vybuduje světový špionážní systém za neskutečné peníze, proč by se dobrovolně omezoval v jeho použití a nechal si ujít příležitost k nějakému „výdělku stranou“? Každý výrobce něčeho pokročilejšího si musí být tohoto nebezpečí vědom. Myslím si, že v průběhu následujících let budeme svědky velkého souboje těch mocenských struktur, jejichž snem je totální kontrola obyvatelstva, se všemi, kterým to z různých důvodů vadí. Je předčasné říkat, kdo vyhraje. Každopádně počet uživatelů šifrování zásadně narůstá a narůstat ještě nějakou dobu bude.

-rm-