הצפנה מקצה לקצה היא אשליה של פתרון: הכנרית שלנו

The FBI Has Not Been Here

CC-BY-SA-NC-ND Don Shall

במסגרת הבעיות של ארצות הברית שלאחר פיגועי האחד-עשרה בספטמבר 2011, הוכרחו ספריות להעביר לידי רשויות אכיפת החוק רשימה של אנשים אשר קראו ספרים ספציפיים. לצורך העניין, אם אתה היית סטודנט צעיר שברח מפקיסטן ולמדת כימיה אורגנית, ולכן נדרשת ללמוד על תרכובות של דשנים ולקחת ספרים מהספריה, הרי שכאשר הבולשת הפדראלית הגיעה לספריה, שמך הופיע על רשימה ונלקחת למרתף אפל לחקירה.

בנוסף, לספרנים נאסר להגיד שהרשויות ביקשו את המידע. לכן, הם ישבו וחשבו מה לעשות כדי לברר האם מותר או אסור להם להגיד את זה, ויצרו את השלט המדובר.  השלט אמר את הדבר הפשוט ביותר: "היום לא ביקשו מאיתנו את המידע שלנו, בדקו טוב מאוד אם השלט הזה גם כאן מחר".

לשיטה הזו יש שם: "כנרית". כנרית היא הציפור במכרה שהיתה מתה הרבה לפני כורי הפחם. כלומר, הכנרית היתה אינדיקציה שמשהו רע יכול לקרות בהמשך, וכדאי שתזהרו. לכנרית בעולם אבטחת המידע יש מספר סוגי מופעים, אבל העיקר שבהם הוא שהיא נועדה להיות אינדיקטור שרשויות טרם טיפלו במידע מסוים.

כמובן, יכולה להיות שיטה טובה יותר מכנרית, שהיא פשוט לא לשמור את המידע. שירותי VPN, לדוגמא מבטיחים (ולא תמיד יכולים לקיים) שהם לא ישמרו את המידע שלכם. ככה גם כאשר שירות פרוטון-מייל מבטיח שהוא לא יכול לקרוא הודעות (וזה נכון חלקית). כך גם שירותי WhatsApp, שאמנם מבטיחים הצפנה מקצה לקצה, אבל זה לא מונע ממטא-מידע (מידע על עם מי אתם מדברים ומתי) לעבור כאשר צריך.

ההצפנה מקצה-לקצה של WhatsApp היא גם בטוחה לכך שההודעות שלכם לא יקראו. כלומר, כאשר המשטרה מבקשת מידע, פייסבוק יכולה לאסוף ולהעביר.

עכשיו, צריך לזכור שאותה טכנולוגיה שמגנה עלינו משלטון עריץ או טועה סדרתי היא אותה טכנולוגיה ששומרת עלינו מהאקרים מרושעים ואותה טכנולוגיה שמונעת שימוש לרעה.

מה הבעיה? הבעיה היא שיש לפעמים סתירות בין חוקים. לדוגמא, הוראות הGDPR (אמנת הפרטיות האירופית) מחייבים חברות לדווח כאשר יש אירוע אבטחה. מה זה אומר? שאם לצורך העניין היה אירוע אבטחת מידע שחשף חלק מהפרטים שלך, אז פייסבוק מחויבים לדווח לך על זה.

לכן, המקרה שדווח עליו בסוף השבוע האחרון, שדיווח כזה הביא לשיבוש של מצוד אחר מחבל, הוא לא כל כך חריג ומזעזע, אבל מלמד אותנו מה הכנרית עשתה לטכנולוגיה. אז נתחיל בסיפור, למי שלא טרח ללחוץ על הקישור: WhatsApp דיווחה ל-1,400 משתמשים שככל הנראה היה נסיון לפרוץ למכשיר שלהם באמצעות פרצת אבטחה. הדיווח הזה הביא את אחד מהחשודים בטרור להניח שזה אומר שיש רשות שלטונית שמנסה לתפוס אותו. אחד מאלף ארבע מאות.

בעצם מה קרה כאן? המדינה הבינה שחברות הטכנולוגיה מתפתחות לעולם שבו הן לא יוכלו לאפשר לממשלות את היכולת לעקוב אחרי משתמשים. החברות פיתחו את זה בין היתר בגלל ניצול לרעה של האפשרות על ידי כל מיני מדינות. ככה, בפועל, הן יכולות לומר "אנחנו לא יכולות לעקוב אחרי המשתמשים".

זה הוביל לכך שהמדינה צריכה, כמו אחרון הפושעים, לנסות לפרוץ בכלים מתקדמים את המכשיר ולא לקבל דלת אחורית. זה מעולה כאשר אתה אדם קטן שחושש משימוש לרעה (וזה פחות טוב כאשר אתה רוצה לעצור טרוריסטים). אבל כאן צריך להסתכל על התמונה הגדולה יותר.

קודם כל, התועלת משימוש בהצפנה מקצה לקצה עולה על הנזק. לפחות חלק מאותם 1,400 האנשים כלל לא היו חשודים בטרור אלא עיתונאים ופעילים חברתיים (וזה לא חריג, גם בישראל הממשלה עושה שימוש נרחב מדי בכוחות שלה). יותר מזה: מה שקרה הוא שבעצם במשחק החתול והעכבר יש שני מפסידים: הממשלות ותאגידי הענק; ואנחנו בתור צרכנים רק מרוויחים.

עכשיו, כל זה מלווה בטענה מתמדת של גופי הבטחון: "אנחנו תופסים טרוריסטים". ובכן, עם כל הכבוד, הטרוריסטים של היום לא צריכים את WhatsApp, יש להם דרכים טובות יותר להעביר מסרים, דרכים מוצפנות. הסיבה לכך היא לא רק שהכניסה לאפליקציה התאפשרה בגלל דלת אחורית ובעיות אבטחה, אלא גם בגלל שרשימת החברים עדיין גלויה וכך גם המיקום ("היי פייסבוק, תנו לי רשימה של משתמשים שלכם שנמצאים קבוע באיזור הקרבות בסוריה ומתכתבים לעיתים תכופות עם מספרים מאיראן") וגם בגלל שבעצם, טרוריסטים יודעים יותר טוב מכולנו לשמור על עצמם.

אז הבעיה של מעבר לאמצעים מוגנים יותר היא תמיד בעיה של אפקט העֵדֶר. כל עוד סבתא שלי ואבא שלי לא יעברו לעבוד עם תקשורת מוצפנת יותר, אז יהיה קשה לנהל אותה ככה. וכל עוד אני לא אצליח להסביר לסבתא שלי שגם המעקב המתמד אחריה יכול לגרום לה לנזק, גם אם לא על ידי ממשלה אז על ידי עריץ אחר, שמנהל תאגיד ענק, אז היא תשאר איפה שהיא.

אנחנו בתור אזרחים צריכים לקחת את הכח לידיים שלנו, לנייד את עצמנו ולהפסיק, בצורה רצונית, להשתמש בטכנולוגיות שמאפשרות עדיין מעקב. הבעיה? שקשה מאוד לצאת מהחיבוק של גוגל, פייסבוק וטוויטר.

2 תגובות ל-“הצפנה מקצה לקצה היא אשליה של פתרון: הכנרית שלנו

  1. ואם, סביר יותר, שאתה סטודנט צעיר שברח מפקיסטן ולומד כימיה אורגנית כדי לפגוע ולחבל?

  2. נושא חשוב. רק צריך לשים לב, יש גם היבט שלילי לכנרית. היבט שלילי משמע : אסור לציין במקומות ומצבים מסויימים , שרשויות לא ביקשו או לא מבקשות מידע בכלל.

    ועוד: אי אפשר למחוק חומר מאוחסן בקלות כזו. חומר ייתכן שיזדקקו לו להליך משפטי . במקומות מסויימים זו יכולה להיות עבירה אפילו ( ממש לפני ההליך המשפטי בכלל ). יש גם חומרים, שצריך לשמור אותם בגלל דיני מידע שונים. חומר על אדם מסויים , הרי זכותו של זה האחרון, לבקש חומר או מידע הנוגע לו כמובן. זה לא כזה פשוט למחוק מידע בכלל.

    תודה

לא ניתן להגיב