Katere uporabniške podatke lahko ameriški zvezni organi pregona pridobijo od ponudnikov storitev šifriranega sporočanja?
Nedavno razkrit dokument Zveznega preiskovalnega urada (FBI) iz januarja 2021 prinaša jedrnat povzetek v zvezi z devetimi različnimi aplikacijami za "varno sporočanje". Iz njega je razvidno, da lahko FBI s pravnim postopkom pridobi različne vrste metapodatkov in v nekaterih primerih celo shranjeno vsebino sporočil. Vendar se točno to, kar je na voljo, zelo razlikuje glede na aplikacijo. Dokument na eni strani naj bi bil koristno vodilo ljudem, ki se zavedajo zasebnosti - vključno z novinarji, žvižgači in aktivisti -, hkrati pa naj bi pomagal razbliniti napačne predstave o zmožnostih nadzora FBI (ali njihovem pomanjkanju) v okviru šifriranih sporočil. Pohvala vladni neprofitni organizaciji za transparentnost Property of the People (POTP), ki jo vodita "guru FOIA" Ryan Shapiro in neutrudni odvetnik Jeffrey Light, za pridobitev tega zapisa na podlagi zakona o svobodi obveščanja.
V dokumentu z datumom 7. januar 2021 je navedeno, da odraža zmogljivosti FBI od novembra 2020. Aplikacije, vključene v preglednico, so iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (v lasti podjetja Meta, fka Facebook) in Wickr (ki ga je junija prevzel AWS). Večina teh aplikacij - iMessage, Signal, Threema, Viber, WhatsApp in Wickr- privzeto šifrira sporočila. Kar zadeva preostale, Telegram v nekaterih kontekstih uporablja privzeto šifriranje od konca do konca (E2EE), v drugih pa ne. E2EE je privzeto vklopljen v novejših različicah programa LINE, v starejših odjemalcih pa morda ni vklopljen. WeChat, ki je v lasti kitajskega velikana Tencent, pa sploh ne podpira šifriranja od konca do konca (samo šifriranje med odjemalci in strežniki). Ta razlika morda pojasnjuje, zakaj so v dokumentu aplikacije označene kot "varne" in ne kot "E2EE".
Katere uporabniške podatke lahko pridobi FBI?
Preglednica osvetljuje razlike v tem, koliko podatkov različne storitve zbirajo in hranijo o uporabnikih in njihovih komunikacijah - in posledično katere podatke bodo na podlagi veljavnega naloga, sodnega poziva ali sodne odredbe posredovale organom pregona. (Pomislite na primer na nalog, ki zahteva "vse zapise", ki jih ima ponudnik v zvezi z uporabnikom: več podatkov o svojih uporabnikih hrani, več jih lahko zahteva, da jih posreduje organom pregona). Gre za različne vrste informacij, od minimalnih informacij, ki so na voljo pri storitvah Signal in Telegram, do osnovnih podatkov o naročnikih in drugih metapodatkov, ki jih več storitev razkrije FBI, in celo "omejene" vsebine shranjenih sporočil pri treh od devetih aplikacij: LINE (ki, kot rečeno, še vedno podpira klepete brez E2EE), iMessage in WhatsApp.
Ta zadnji del bo morda presenetil nekatere uporabnike iMessage in WhatsApp, saj govorimo o sporočilih E2EE. Res je, da E2EE onemogoča dostop do uporabnikovih sporočil organom pregona med prenosom, vendar je to drugačna zgodba za shranjevanje v oblaku. Če ima uporabnik storitve iMessage vklopljeno varnostno kopiranje iCloud, se skupaj s sporočili varnostno kopira tudi kopija šifrirnega ključa (za namene obnovitve), ki bo razkrita kot del vrnitve naloga družbe Apple, kar bo omogočilo branje sporočil. Sporočila WhatsApp se lahko varnostno kopirajo v oblaku iCloud ali Google Drive, zato lahko nalog za preiskavo ene od teh storitev v oblaku pokaže podatke WhatsApp, vključno z vsebino sporočil (čeprav nalog za preiskavo aplikacije WhatsApp ne bo pokazal vsebine sporočil). (WhatsApp je pred kratkim začel uvajati možnost E2EE varnostnih kopij sporočil v oblaku, zato je FBI-jeva tabela nekoliko zastarela.)
Čeprav je nekatere informacije iz preglednice mogoče zbrati s pregledovanjem javne dokumentacije proizvajalcev aplikacij in kazenskih spisov sodišč, jih je FBI priročno zbral na eni pregledni strani. Če ste seznanjeni z zakonodajo, ki ureja zasebnost elektronskih komunikacij, in s tehničnimi novostmi izbranih aplikacij za šifrirano sporočanje, je to za vas morda že stara novica. To morda opisuje veliko bralcev revije Just Security in novinarjev, ki poročajo o vladnem nadzoru, vendar verjetno ne odraža miselnega modela povprečnega uporabnika o tem, kako deluje storitev za sporočanje E2EE.
Preglednica razkriva tudi podrobnosti, o katerih izdelovalci aplikacij v svojih javno dostopnih smernicah o zahtevah organov pregona ne govorijo odkrito, če sploh. Z odredbo bo WhatsApp razkril, kateri uporabniki WhatsAppa imajo ciljnega uporabnika v svojih imenikih, kar ni omenjeno na WhatsAppovi strani z informacijami o kazenskem pregonu. Apple pa bo zagotovil 25-dnevne vpoglede v iMessage na ciljno številko in z nje, ne glede na to, ali je prišlo do pogovora, kar je opisano v Applovih smernicah o kazenskem pregonu, vendar je treba malo kopati, da bi to razumeli, saj niti FBI niti Apple ne razložita, kaj to pomeni v preprosti angleščini. V vsakem primeru podjetje razkrije seznam svojih drugih uporabnikov, ki imajo kontaktne podatke ciljnega uporabnika, ne glede na to, ali je ciljni uporabnik komuniciral z njimi ali ne. (Če imajo druge storitve sporočanja prakso razkrivanja podobnih informacij, to ni razvidno iz tabele.) Te podrobnosti poudarjajo širok domet ameriške zakonodaje o elektronskem nadzoru, ki preiskovalcem na podlagi odredbe 2703(d) ali naloga za preiskavo omogoča, da zahtevajo vse "zapise ali druge informacije, ki se nanašajo na [ciljnega] naročnika". Čeprav sta se Apple in Meta borila za zasebnost uporabnikov pred pretiranimi vladnimi zahtevami, je zaradi zakona veliko uporabniških podatkov vseeno v igri.
Splošne napačne predstave o zasebnosti sporočil
Skratka, za povprečnega človeka ni enostavno natančno razumeti, kateri podatki iz aplikacij za sporočanje lahko končajo v rokah zveznih preiskovalcev. Ne le, da imajo različne aplikacije različne lastnosti, tudi ustvarjalci aplikacij nimajo veliko spodbude, da bi bili glede takšnih podrobnosti jasni. Kot kaže preglednica FBI, je trg brezplačnih in varnih aplikacij za sporočanje zelo natrpan in konkurenčen. Ponudniki želijo sedanjim in bodočim uporabnikom dati vtis, da je njihova aplikacija vrhunska, kar zadeva varnost in zasebnost uporabnikov, ne glede na to, ali uporabnika skrbijo zlonamerni hekerji, vlade ali sam ponudnik. Ponudniki so se naučili, da morajo biti previdni pri precenjevanju varnostnih lastnosti svojih storitev, vendar stavijo na to, da bo marketinški zapis pritegnil več pozornosti kot tehnične bele knjige ali poročila o preglednosti.
V tem pogledu so spodbude proizvajalcev aplikacij usklajene s spodbudami FBI. Glede na dolgoletno kampanjo FBI proti šifriranju so ponudniki šifriranih storitev, ki jih je v javnih govorih poimensko obsodil, nenavadni sopotniki. Vendar imajo tako ponudniki storitev kot FBI koristi od splošnega napačnega prepričanja, ki podcenjuje uporabniške podatke, ki so preiskovalcem na voljo iz nekaterih storitev E2EE. To napačno razumevanje hkrati ohranja podobo ponudnikov v očeh uporabnikov, ki se zavedajo zasebnosti, hkrati pa podpira pripoved FBI, da je zaradi šifriranja v kriminalnih preiskavah "v temi".
Čeprav lahko to napačno razumevanje pomaga preiskovalcem organov pregona, ima lahko pomembne posledice za njihove tarče. Ne samo kriminalci, ampak tudi novinarji in njihovi viri, žvižgači in aktivisti so zelo odvisni od izbire komunikacijske storitve.
Kot je navedeno v članku revije Rolling Stoneo tabeli FBI, so bili metapodatki aplikacije WhatsApp ključni za aretacijo in obsodbo Natalie Edwards, nekdanje uradnice ameriškega ministrstva za finance, ki je novinarju, s katerim si je izmenjala več sto sporočil prek aplikacije WhatsApp, razkrila notranje dokumente. Edwardsova (in verjetno tudi novinar, ki je bil dolžan Edwardsovi etično zaščititi vir) je verjela, da je aplikacija WhatsApp varna za komunikacijo med novinarjem in virom. Ta nesporazum je Edwardsovo stal svobode.
Realnost v ozadju mita
Zahvaljujoč FOIA in njenim gorečim učencem na POTP lahko javnost zdaj vidi interni dokument FBI, ki lepo povzema resničnost za mitom. Iz njega je razvidno, da lahko FBI kljub svojim trditvam o "temnenju" iz aplikacij za sporočanje, ki imajo skupaj več milijard uporabnikov po vsem svetu, pridobi izjemno količino podatkov o uporabnikih. (Možnost preverjanja javnih trditev vlade z njenimi notranjimi izjavami je eden od razlogov, zakaj je javni dostop do vladnih evidenc, ki je smisel obstoja POTP, tako ključen). Prikazana je vloga, ki jo imata shranjevanje v oblaku in metapodatki pri zmanjševanju vpliva šifriranja od konca do konca na nadzor komunikacij v realnem času. In kaže, katere priljubljene storitve sporočanja E2EE resnično ne vedo skoraj ničesar o svojih uporabnikih.
Če uporabniki menijo, da šifrirane aplikacije, ki jih uporabljajo, o njih ne hranijo veliko informacij, FBI-jeva tabela kaže, da je to prepričanje večinoma napačno. Z nekaterimi izjemami številne glavne storitve sporočanja E2EE zveznim organom pregona posredujejo vse vrste podatkov, varnostne kopije v oblaku pa lahko omogočijo celo razkritje shranjenih sporočil, poslanih v dveh največjih aplikacijah za sporočanje E2EE. Četudi je malo ali nič od tega, kar je navedeno v dokumentu, prava novica, je še vedno koristno videti, da je vse skupaj tako jedrnato predstavljeno na eni sami strani. Če vas skrbi zasebnost sporočil, si s to preglednico (skupaj s priročniki o zasebnosti in varnosti, ki so specifični za vaš položaj, na primer za novinarstvo ali proteste) pomagajte pri odločitvi, katera aplikacija je najboljša za vas - in jo delite tudi z ljudmi, s katerimi klepetate. Tako boste lahko sprejeli bolj premišljeno odločitev o tem, katero aplikacijo ali aplikacije obdržati (in katero ali katere opustiti).
