keskiviikko 11. marraskuuta 2020

Takaovi salattuun viestintään viranomaisia varten?

Viranomaisten halu päästä lukemaan salattuja viestiyhteyksiä on autoilijoiden gps-seurannan tavoin ikuisuushanke, joka pullahtaa esiin säännöllisin väliajoin. Uusin tapaus on ajankohtainen juuri nyt ja sitä on (kuinka sattuukin!) valmisteltu melkein salassa.

Kiista alkoi jo 1990-luvulla, kun ensimmäiset kuluttajille suunnatut digitaaliset viestintäkanavat alkoivat yleistyä (USA:n Clipper-hanke). Kerta toisensa jälkeen länsimaat ovat joutuneet luopumaan haluamastaan takaovesta. Tai no, NSA:lla kumppaneineen on ollut siihen omia, laittomia keinoja, kuten salausalgoritmien tahallinen heikentäminen ja tuotteisiin salaa upotetut takaovet, mutta perinteinen poliisityö on joutunut turvautumaan muihin keinoihin.

Viimeksi asia oli laajemmin esillä Ranskan ja San Bernardinon terrori-iskujen yhteydessä (2015) sekä vähän myöhemmin Suomessa tiedustelulain valmistelun vuoksi. Tiedustelu arvioitiin tehokkaaksi salauksesta huolimatta, mikä sekin kertoo jotain.

It-ammattilaisten kanta on selvä: kaikkinaiset takaovet poliisia varten ovat huono idea, koska niillä on taipumus vuotaa muidenkin käyttöön. Tiedonsiirrosta pitää tehdä mahdollisimman turvallista, ei lisätä sen keskelle tahallisia heikkoja kohtia.

Tämä on tietenkin pelkkä insinöörinäkökulma eikä ota huomioon yhteiskunnan muita tarpeita. Mutta nekin huomioiden poliisin takaovi herättää paljon enemmän kysymyksiä kuin vastauksia.

Terroriteot ovat fyysisiä tapahtumia, joiden valmistelusta jää runsaasti jälkiä. Viime aikojen tekijät ovat toimineet yksin, mikä kieltämättä vaikeuttaa perinteistä poliisityötä ja suunnitelmien paljastumista, mutta toisaalta lähes kaikki tekijät ovat olleet jo ennestään poliisin tiedossa. Resurssit eivät vain riitä kaikkien valvontaan, joten viestiliikenteen urkinnasta halutaan nopeaa apua.

Ennen arviointia pitäisi tietää, kuinka paljon terroristit ovat oikeasti käyttäneet salattuja viestintäsovelluksia kuten WhatsApp, Telegram ja Signal. Salatut ryhmät ovat luultavasti suurin ongelma, ne radikalisoivat ja levittävät vaarallisia viestejä ulkopuolisten näkemättä. Tällaisia ryhmiä on myös Facebookissa ja muilla somealustoilla. Ryhmät ovat joukkoviestinnän rajalla, eivät enää henkilökohtaista käyttöä. Ehkä ryhmien valvontaa voisi lisätä, vaikka sitten tekoälyn voimin, kunhan kahdenvälinen salattu viestintä jätetään rauhaan.

Jos tunnetut palvelut velvoitetaan avaamaan takaovia, niiden käyttäjiksi jäävät vain tavalliset kansalaiset. Rikolliset ja terroristit löytävät aina uusia keinoja salattuun viestintään. Chat-ohjelmia on lukuisia, monet niistä länsimaiden ulkopuolelta, eikä niitä kaikkia voida velvoittaa takaoviin.

Takaovi on tässä yhteydessä turhan raflaava termi. EU haluaa lopettaa päästä-päähän salatut yhteydet, joissa edes palvelu itse ei pääse näkemään viestinnän sisältöä. Tähän asti päästä-päähän-salausta on pidetty turvallisuuden takeena, koska se estää palvelua urkkimasta liikennettä -- esimerkiksi Facebookia katsomasta asiakkaiden keskinäistä WhatsApp-viestintää. 

Nyt EU siis vaatii, että Facebookin pitäisi tarjota poliisivoimille ja tiedustelulle mahdollisuus liikenteen salakuunteluun. Vaatimus on täysin käänteinen GDPR:ään verrattuna, koska siinä EU-tuomioistuin viimeksi heinäkuussa päätti, ettei EU-kansalaisten tietoja voi säilyttää jenkkipalvelimilla niiden turvattomuuden ja tiedustelun vuoksi. Nyt EU haluaa siis itse tehdä päinvastoin kuin mitä tuomioistuin juuri päätti.

Ehkä meidän on vain hyväksyttävä, että kaikella teknologialla on kielteisiä seurauksia. Autoja ei voida kieltää, vaikka niitä on ajettu tahallaan päin ihmisiä ja aiheutettu suuria vahinkoja. Veitset ovat ehkä turhankin triviaali esimerkki siitä, miten samalla laitteella voi tehdä sekä hyvää että pahaa.

Salauksen purkamisen sijaan olisi parempi panostaa jälkien lisäämiseen. Rahaliikenne, autoilu, nettiseuranta, mainosten kohdentaminen ja monet muut tuottavat valtavia datamassoja joka päivä. Valvontakameroita on kaikkialla. Lisää lokitietoja voidaan määrätä kerättäväksi, se on pienempi paha kuin viestinnän luottamuksellisuuteen puuttuminen.

Data on oikein käytettynä mahtava ase -- myös terroristien paljastamiseksi.

18 kommenttia:

Anonyymi kirjoitti...

Jos kaksi terroristia viestittelee keskenään Gmailin sähköpostiviesteillä niin todennäköisesti jäävät kiinni ennen iskua. Mutta jos kaksi terroristia lähettääkin Gmaililla viestit sisältävät tekstitiedostot salattuna zippinä niin jäävätkö silloin kiinni?

Petteri Järvinen kirjoitti...

Viestin sisältö on helppo salata, mutta em. tapauksessa käy ilmi, ketkä kaksi terroristia ovat viestineet keskenään. Se voi olla hyvinkin paljastavaa.

9/11-terroristit viestivät Hotmailin kautta lähettämättä viestejä lainkaan, ne luettiin suoraan laatikosta kun useat henkilöt lukivat yhteistä laatikkoa. Jos vielä käyttää sopivia kiertoilmaisuja eikä suoraan kutsu pommia pommiksi, mikään tekstifiltteri ei paljasta viestintää.

Keinoja valvonnan kiertämiseen siis löytyy.

Markus kirjoitti...

Minä en ymmärrä, mitä viranomaiset tekevät takaovilla viestintävälineissä, ainakaan jatkuvien joukkosurmien mekassa - yhdysvalloissa.

Yhdysvalloissa on runsaasti esimerkkejä, joissa iskun tekijä on ilmoittanut tekosistaan täysin julkisella youtube/twitter yms kanavalla kertoen kuukausia etukäteen mitä aikoo tehdä, missä aikoo tehdä, miten aikoo tehdä. Pumppuhaulikkoa heilutellen. Harjoitellen. Suunnitellen. Satoja tilaajia yleensä vähintään.

Esimerkkeinä vaikka Randy Stair, Elliot Rodger, Nikolas Cruz...

Mitä ne viranomaiset tekee jollain signalin murtamis-mekanismilla jos eivät osaa youtubea katsoa. Tai vielä pahempi. Viranomaisten kyvyttömyyden motiivit ovat jotain ihan muuta. Ainakaan yhdysvalloissa eivät ole kovin oppivaisia kun lisää samanlaisia vain tulee.

Anonyymi kirjoitti...

Varsin monet käyttävät viestintään vaikka google docsissa säilöttyä dokumenttia. Ei sovelluksen tarvitse olla "viestintäsovellus".

Anonyymi kirjoitti...

Varsinkin valkoiset ihmiset voivat julkisessa, salaamattomassa netissä levittää uhkauksia ketä tahansa kohtaan huolehtimatta juurikaan seurauksista. Näin myös Suomessa. Siksi tuntuu täysin järjenvastaiselta yrittää EU-tasolla heikentää kahdenvälisen viestinnän salausta ja olettaa sillä olevan suurempia vaikutuksia laajamittaiseen terrorismiin, niin ääriuskonnolliseen tai äärioikeistolaiseen, jotka ovat oikeasti ne realistiset uhkat tällä hetkellä.

Suomessa tiedustelu on viime vuosina onnistunut estämään ainakin Helsingin yliopistoon kohdistuneen suhteellisen uskottavan terroriuhan ilman tiedustelua, ja Turun puukottajakin oli ollut tiedossa etukäteen. Salauksen heikentämiseen pyrkivät tahot eivät ymmärrä juuri mitään digitaalisesta viestinnästä, eivätkä käsitä miten se vaikuttaa kaikkein haavoittuvaisimmassa asemassa oleviin sekä meillä että muualla.

Toisaalta - miten salauksen "kieltäminen" tai pakolliset takaovet käytännössä toimisivat? Avoimen lähdekoodin salattuja chat-ohjelmia on saatavilla niin iOS:lle kuin Androidillekin. Tulisiko salaamattoman keskustelusovelluksen suoritustiedoston hallussapidossa sellaisenaan kiellettyä? Luultavasti tämä aloite tulee kaatumaan, mutta se, että sitä edes harkitaan, on äärimmäisen huolestuttavaa, ja ajoitus juuri Yhdysvaltain presidentinvaalien alle tuntuu keinolta upottaa se paljon häiritsevämmän uutisvirran sekaan.

Markus kirjoitti...

Itsekin ihmettelen, miten tällaista edes voisi käytännössä toteuttaa.

Tietotekniikka kun itsessään on niin monta miljoonaa eri vaihtoehtoa toteuttaa asia "saada viesti jossain muodossa kohteesta a kohteeseen b". Sen voi tehdä joko nykyaikaisilla tavoilla tai niin muinaisilla, ettei rikostutkintapuoli edes muista enää koko metodin olemassa oloa.

Eli voihan rikollisryhmä käyttää vaikka ikivanhaa irc:iä viestintään. Tietääkö nykyajan tutkijat koko protokollan olemassaolosta enää? Ehkä suurin suoja on se, että se on unohtunut koko tapa. Kuka tahansa voi rakentaa salasanasuojatun IRC-servun. Sitä ei voi millään estää. Sinällään ne viestit ei ole salattuja, mutta sinne keskusteluun ei mitenkään pääse.

Tai sitten käyttää vanhaa "net send"-metodia.

Tosin, onhan se nyt nähtävillä, ettei tällaisen hankkeen tarkoituksena ole mitään rikollisryhmiä kiinni saada. Eihän poliisi oikeasti ole mitenkään kyvykäs/kiinnostunut katsomaan edes niitä julkisia tapauksia. Yhdysvalloissa näitä on tapahtunut niin paljon ja niin kauan, että se jo osoittaa poliisin olevan joko täysin kyvytön tai sitten sitä ei kiinosta. Eiköhän tämän koko viestinnän murtamis-hankkeen ajatuksena ole jokin ihan muu ;) Siinä on tietysti helppo vedota terrorismiin. Sehän kelpaa tekosyyksi ihan kaikkeen.

Anonyymi kirjoitti...

Ainakin eräässä suomalaisessa dc-hubissa (onkohan oikea nimitys) myydään laajaltikin varastettua tavaraa ja ruokakasseja. Ruokakassissa esim. paistia ja erilaista lohta. Yv-llä kait tilaavat tavaraa toisiltaan...

Jari kirjoitti...

Entä jos Vastaamossa olisi viranomaisten mentävä takaovi?

En puhu uhrien suulla, mutta koska monenlaista on asian tiimoilta keskusteltu, haluan tuoda esiin seikan: Kiristäminen on yhtä keskeistä kuin murtautuminen.

Joku voisi ajatella, että kiristäminen pikemminkin auttaa tietojen salaamisessa: Mitä vähemmän kiristäjä julkaisee tietoja, sitä enemmän hän menettää potentiaalisia maksajia. Näin hyötyvät sekä kiristäjä että kiristettävät. Tämä ajattelu on kuitenkin kestämätöntä, koska siinä rikollinen nähdään liikekumppanina.

Vastaamon tietovuototapauksessa monien it-ammattilaisten reaktio oli, että miksi tietoja ei salattu yksityisillä avaimilla. Tai miksi tietoihin ei ollut oikeaa salasanaa. Tietomurron jälkeen asetelma kääntyy yleensä toisin päin: Ensinnäkin liikenteen salaaminen mahdollistaa potilastietojen hallussapidon ja julkaisemisen verkossa ilman, että tekijä paljastuu. Muutenhan tekijän jäljittämiseen riittäisi verkkoliikenteen laajamittainen kuuntelu?

Toisaalta rikoksen tekijälle jäävä hyöty rajoittuu siihen, että se pystyy julkaisemaan tietoja "yksinoikeudella". Tällä kertaa Vastaamon tietoja ei hävitetty (kuten usein on tapana), joten rikollinen ei ole tietojen ainoa haltija.

En osaa olla spekuloimatta tietoturvan strategista heikentämistä. Valtio voisi devalvoida kiristäjän hallussa olevan tiedon arvoa julkaisemalla potilaskertomukset Creative Commons -lisenssilä ennen, kun kiristäjä ehtii.

Jos Vastaamossa olisi takaovi ja jos viranomainen voisi loukata yksityisten yksityisyyttä.

Anonyymi kirjoitti...

ehkä ohi aiheen mutta osaako joku vastata erään henkilön kysymykseen liittyen facebookin.

Henkilö haki eräästä syystä Googlesta itsensä ex-miehensä sukunimisenä. Haku oli siis etunimi ja entinen sukunimi

Google tarjosi henkilön nykyisen voimassaolevan Facebook-sivuston, vaikka hän ei ole ikinä ollut siellä sen nimisenä.

(Siis aiempi nimi "löysi" nykyisellä nimellä olevan FB-tilin)

Hän kysyykin kuinka tuo on mahdollista; aivan kuin Facebook tietäisi hänen aiemman nimensä ja siten osaisi yhdistää nykyisellke tilille.

Anonyymi kirjoitti...

"Vastaamon tietovuototapauksessa monien it-ammattilaisten reaktio oli, että miksi tietoja ei salattu yksityisillä avaimilla."

Tuliko mieleen yhtään syytä miksi ei?

Mitä sillä tiedolla tekee jos sitä voi lukea vain yksi henkilö jolla se "yksityinen avain" on jolla se salauksen saa auki?

Toiseksi käsi ylös jos tiedätte käytössä olevan salatun tietokannan? Miten se toimii? Onko tehokas? Miten siitä otetaan varmistus eli backup?

En usko että ongelma oli se ettei Vastaamon tietokantaa ollut salattu vaan se että se turvaton järjestelmä.

On monia tapoja tehdä järjestelmä huonosti mutta on myös tapoja tehdä paremmin. Ei tietokannan tarvi pyöriä kuuntelemassa sitä verkkoninterfacea mikä on Internetissä kiinni, kanta voidaan konfa loopbackiin jolloin siihen ei pääse suoraan kiinni.




Anonyymi kirjoitti...

Takaovet ohjelmissa ja salauksen purkaminen viranomaisille???

Siis kuinka tyhmä pitää olla ettei osaa ajatella että rikolliset kyllä keksii tavat kommunikoida siten ettei viranomaiset sitä näe.

Minäpä kerron:

Ruoka = pommi, syödä = viedä, Kotipizza = Helsinki.

"Pitäisi saada ruokaa jotta voisi syödä vaikka Kotipizza maistuisi"

Jari kirjoitti...

Mitä sillä tiedolla tekee jos sitä voi lukea vain yksi henkilö jolla se "yksityinen avain" on jolla se salauksen saa auki?

Niin, tiedon jakaminen onnistuu toki julkisten avainten avulla. Näin toimii myös Whatsapp.

Anonyymi kirjoitti...

Jos olisi joku takaportti tai yleisavain, jolla saisi sovelluksen viestit auki, olisi se valtavan rikollisen ja tiedustelupalvelujen mielenkiinnon kohde. Ne henkilöt, jotka hallinnoisivat asiaa, olisivat herkullisia kohteita lahjonnalle, kiristykselle, vakoilulle yms.

Suostuisivatko politiikot ja valtion hallinto siihen, että myös heidän omat viestinsä voitaisiin avata? Sehän olisi aivan käsittämätö riski valtion turvallisuudelle.

Markus kirjoitti...

Nimetön. Kuvitteletko sinä minuuttiakaan, että tämä hanke koskisi itse valtaapitäviä?

No ei tietystikään koskisi ja sehän se ihan oikea ongelma on. Tavallinen ihminen näkee asian hyvin yksinkertaisesti "minulla ei ole mitään salattavaa, joten ihan sama". Mutta ongelma onkin juuri siinä, että tavalliselta kansalta koko ajan pikkuhiljaa nakerretaan sellaisia asioita pois, joita taas itse asioista päättävät pitävät itsellään omana etuoikeutenaan.

Se tie on äärimmäisen tuhoisa. Se erkaannuttaa päättävät tahot entistä enemmän tavallisesta kansasta "muuriensa taakse". Kuitenkin edelleenkin ne päättävät meidän asioista.

Ääriesimerkkinä on vaikka monen maan poliisi. Josta tavallisen kansalaisen on hyvin hankala erottaa - miten ne eroaa rosvoista. Mitä laajemmat valtuudet ja isompi suoja poliisille annetaan, väistämättäkin käy "yhdysvallat" missä poliisi ampuu ihmisiä autoihinsa tekosyyllä jos toisellakin. Koska poliisilla itsellään ei ole mitään rangaistuksia. Sillä on vain oikeuksia ja suhteessa tavalliseen kansaan ne velvollisuudet ja vastuu tekemisistään on pikkuhiljaa vuosikymmenien prosessin aikana nakerrettu pois.

Näin yhdysvallat länsimaana on ensimmäinen esimerkki jossa poliisi kaikkine hienoine valtuuksine "nakkisuojassa" toimii kuin pahainen liivijengi.

Tämänkaltaista on näkösällä jo suomessakin. Koska poliisilla on täysi immuniteetti ja koskemattomuus. Pienikin väärä liike poliisia itseään kohtaan kohdellaan murhasyytteenä. Poliisin ei tarvitse sietää iskuja, mutta poliisilla itsellään on käytössä lamautinta, panssariautoa, asetta ja sumutetta, joita käytetään nykyisin "puhumisen sijaan", hyvin matalalla kynnyksellä. Missä on se poliisi joka oli ystävä? No onneksi suomen poliisi on vielä todella kaukana yhdysvaltojen vastineesta, mutta kuinka kauan? Tässä tullaan siihen asiaan jota ihmiset ei näe. Tulevaisuutta. Mikään ei takaa, että niin ei kävisi, vaikka ihmiset juuri niin kuvittelee. Se kierre on jo aloitettu ja joka ikinen tällainen otsikon mukainen toimi kiihdyttää sitä. Kansan palvelijoiden erkaantumisesta tavallisesta kansasta. Ei viitsitä edes puhua mikä ongelma asia oli 30-40 luvun saksassa. Tai Neuvostoliitossa.

Nämä asiat on kierteitä. Mitä enemmän epäbalanssia luodaan, sitä enemmän sitä tulee.

Ihmiskunnan historia on kiehtova. Kautta aikojen ihmiset ovat maksaneet "veroja" siitä, että ihmisiä itseään kohdellaan kuin roskaa. Siellä on hyviä hetkiä joukossa mutta kun historiaa katsoo, niitä hyviä hetkiä jolloin tätä erkaantumisefektiä ei ollut, on todella vähän. Ritarit ottivat aikoinaan isot verot ja kun sitä oikeaa rähinää tuli, ne samat ritarit kilpineen ja haarniskoineen, joiden ihmisiä piti puolustaa hyökkääjiä vastaan, olivat ne ensimmäiset kun kalppi hevosineen ja haarniskoineen karkuun, jättäen "veronmaksajat" oman onnensa nojaan. Ihmiset siis maksoi suoraan sanoen paskasta.

Niin käy nyttenkin. Historia toistaan itseään vain eri muodossa. Digitaalisen maailman muodossa.

Voin siis vakuuttaa, että sinun whatsapp viestisi tai facebook profiilisi ei kiinnosta yhtään ketään. Edes niitä sun niin kutsumia kavereitas. Se on vain teatteria.

Mutta yhtäläistä valhetta on myös se kaikki mikä liittyy tähän asiaan. Ei kyse olekaan sinun whatsapp viesteistä. Olet ihan oikeassa siinä, ettei ne kiinnosta ketään. Kyse on pikkuhiljaisesta valta-asetelman muuttamisesta sinne toiseen suuntaan. Kauemmaksi sinusta. Se on se vakava asia.

Jari kirjoitti...

Markus: "Tavallinen ihminen näkee asian hyvin yksinkertaisesti "minulla ei ole mitään salattavaa, joten ihan sama". Mutta ongelma onkin juuri siinä, että tavalliselta kansalta koko ajan pikkuhiljaa nakerretaan sellaisia asioita pois, joita taas itse asioista päättävät pitävät itsellään omana etuoikeutenaan."

Juuri näin. Yksi asia mikä liittyy tiedonkulkuun on verkon taajuusalueet. Jostain syystä taajuusalueita on alettu pitää valtion omaisuutena. Valtio katsoo oikeudekseen huutokaupata niitä yrityksille. Mutta missä on yksityinen maanomistaja, joiden tilusen läpi radioaallot kulkevat? Entä jos taajuuskaistojen arvo ylittää maan arvon? Maanomistaja ei tienaa senttiäkään.

Ymmärrän kyllä että valtio rajoittaa omistamista. Tiehankkeet eivät olisi mahdollisia ilman pakkolunastusmenettelyä, kun yksitäinen maanomistaja saattaisi torpedoida ison tiehankkeen. On ymmärrettävää että taajuusaluetta käytetään yleishyödylliseen tehtävään, esimerkiksi yleisradiotoimintaan. Mutta en voi hyväksyä, että maanomistajille kuuluva taajuskaista huutokaupataan yritykselle, jotka voivat pahimmassa tapauksessa kilpailla maanomistajaa vastaan. Tähän kuuluu digitan myyminen yksityiselle toimijalle, mutta erityisesti salattu mobiiliverkko, joka on täysin toista, mihin maanomistaja on maan katsonut. Suvun maata käytetään esimerkiksi nettipornoon tai näihin Vastaamon kiristyksiin.

Toivottavasti olen väärässä.

Petteri Järvinen kirjoitti...

Jos omistaa maata, ei omista sen yllä olevaa ilmatilaa. Muuten jokainen lentokone joutuisi maksamaan ylilennosta.

Valtio ei myy ilmatilaa vaan taajuuksia, joiden määrä on rajallinen ja langattomassa viestinnässä hyödynnettävä kaista kovin kapea. Radiosignaali ei tarvitse ilmaa (eikä eetteriä!) vaan etenee myös tyhjiössä. Taajuuskaista ei millään muotoa kuulu maanomistajalle.

henris42 kirjoitti...

Johdetulla lennolla maksetaan reittimaksua kyllä, suomessa traficomille. Mutta ei siis maanomistajalle..

Petteri Järvinen kirjoitti...

Navigointimaksut ovat tuoneet Suomellekin tuloja, kun isot koneet lentävät Suomen yli Euroopan ja Aasian välillä. Sitä vastaan kone saa lennonjohtopalvelua. Ajatus maksaa myös maanomistajalle ihan vain ilmatilan käytöstä on jokseenkin koominen.