A titkosítás gyengítésének kérdése régóta megosztja a szakértőket és a politikusokat. Barack Obama egy nyilatkozatában a titkosítás gyengítését szorgalmazta, így az Egyesült Államokban ismét elnöki szintre került a diskurzus. Dr. Krasznay Csaba kiberbiztonsági szakértővel, a Nemzeti Közszolgálati Egyetem adjunktusával beszélgettünk arról, hogy használható fegyver-e ez a terrorizmus ellen, valamint milyen veszteségekkel járna, ha ténylegesen bevetnék.

Barack Obama amerikai elnök a titkosítás gyengítéséért emelt szót egy nyilatkozatában. Mit gondol, lehet ez fegyver a terrorizmus ellen?

Ez egy nagyon régi vita a műszaki emberek és a politikusok között, külön nevet is kapott – Crypto Wars – és legalább harminc évre visszanyúló története van. Ennek során már legalább kétszer emelkedett elnöki szintre ez a kérdés: mindkétszer elbukott.

A fő probléma alapvetően az, hogy hol tudunk titkosítani, mi történik az adatokkal, hol találhatóak meg – keletkezési, tárolási hely, a továbbítás felületei – és e sok szereplőből mihez szeretnénk hozzányúlni. A felvetés elsősorban a hálózati jellegű titkosítások valamiféle könnyítését jelentené – adott esetben a végponti titkosítás könnyítését is jelentheti, de az egy másik aspektust jelent.

Ha a hálózaton keresztül gyengítjük a titkosítást – mint ahogy az elmúlt két-három évben számos esetben történt –, ezt akár független szereplők is megtalálhatják és nyilvánossá válhat, ezzel támadhatóvá válik az egész infrastruktúra. Nem jó megoldás, mivel ezeket nem nagyon lehet titokban tartani. Koncentráljunk akkor a végponti titkosításra: teszem azt, van egy iPhone-om, mint nehezen hozzáférhető végpont. Ilyenkor lehetséges, hogy a kormányzat kikényszeríti, hogy az Apple tegyen be egy gyengítést a rendszerbe. Működhet, kisebb eséllyel szivárog ki –kevesebben használnak Apple-terméket, mint az internetet, bár már nem sokkal. Ezt már meglépte az amerikai kormány az NSA útján. Itt is az lett az eredmény, hogy kicsit később, de értesült róla a közvélemény: ezek a dolgok nem maradnak titokban.

A másik probléma, hogy ha van egy szuperkulcs, ami minden zárat nyit, akkor azt oda kell adni a gyártóknak is, akik a titkosító megoldásokat intézik – tehát máris sokkal szélesebb körbe kerülnek ki ezek a titkok. Ha valamit sokan tudnak, akkor az törvényszerűen nyilvánosságra fog kerülni. Ezek a könnyítő megoldások tehát nem jók.

Van még egy másik aspektusa a kérdéskörnek: kire is vagyunk kíváncsiak valójában? Tételezzük fel, hogy van egy szuperkulcsunk, amivel bármihez hozzá tudunk jutni. Lehallgatjuk vele az egész internetforgalmat, a telefonhálózatot, valamint a titkosított internetforgalmat is – de hogyan fogjuk megtalálni, hogy valójában mi történik? Hétmilliárd ember él a Földön, közülük négymilliárd internetezik. Hogyan fogjuk kiszúrni közülük azt a – nagy számot mondok – tízezer embert, aki terrorgyanús lehet? Nem fog menni: nincs hozzá sem számítástechnikai, sem emberi kapacitás. Szeptember 11-e legnagyobb tanulsága az, hogy nem lehet pusztán elektronikai felderítésre hagyatkozni – jelenleg ez a terrorelhárítás jelenlegi legfontosabb feladata: oda kell menni a terepre, fülest kell építeni, informátorhálózatot kell építeni, meg kell venni azt, aki az információt birtokolja, és így lehet eljutni egyes emberekhez.

Ha ezek az egyes emberek megvannak – márpedig most is megvannak, hiszen van egy repülős tilalmi lista az USA-ban –, onnantól kezdve arra a tízezer emberre kell koncentrálni ezekkel az elektronikai felderítési megoldásokkal – ebben az esetben pedig adott a végpont. Ezek az emberek használnak számítógépet, okostelefont, különböző távközlési eszközöket – a teljes internet helyett eszközöket kell megfigyelni. Ha sikerült bejuttatni egy kártékony kódot egy iráni nukleáris létesítménybe, ezzel pedig évekkel visszavetni nukleáris ambícióikat, ezzel együtt pedig rábírni őket arra, hogy aláírják a nukleáris egyezményt a többi országgal, akkor tízezer – informatikailag egyébként nem magasan képzett – ember eszközének megtalálása nem okozhat nagy problémát. Nem mondom, hogy könnyű – de olcsóbb és hatékonyabb, mintha négymilliárd embert kezdenénk figyelni egyszerre.

Elviekben létezhet teljesen biztonságos „backdoor”?

Nem, minden backdoor felfedezhető. Mondok egy példát: 1977-ben szabványosítottak először olyan számítógépes titkosítási megoldást, amit a civil szféra is használhatott – ez volt a Data Encryption Standard-nek nevezett szabvány. Matematikusok a nyolcvanas évek közepén kezdték el sejteni, hogy ebben valamiféle gyengítés, gyengeség van. A kilencvenes évek közepére feltörhető volt az akkori számítógépekkel – tíz év alatt kiderült az elméleti gyengesége, még tíz év alatt pedig megvolt a számítási kapacitás is. Véleményem szerint a gyengítési lehetőségeket – főleg a mai kor technológiájával és attitűdjével ­– maximum pár éven belül meg lehet találni, ilyen gyorsan pedig nem lehet cserélni ezeket a technológiákat.

Ön szerint a titkosítás gyengítése tehát nem lehet megoldás a terrorizmus ellen?

Én – és mindazok, akik ezzel a kérdéssel foglalkoznak – nagyon veszélyes megoldásnak tartom. Többet veszítenénk vele, mint amennyit nyerünk: gyakorlatilag az egész internet biztonságát veszítenénk el. Az informatika alapvetően meghatározza az életünket, és komolyan függünk a számítógépektől – ez együtt jár azzal, hogy az emberiség akkor bízik az ilyen technológiákban, ha nincsenek a gyengített titkosításhoz hasonló potenciális veszélyek. Először meg kell teremteni a bizalmat egy médiával szemben, hogy aztán alááshassuk azt. A televíziónak is kellett pár évtized, amíg az emberek elkezdtek hinni neki – most már bármit meg lehet csinálni vele, nem tűnik fel. Sokat veszítenénk: Bruce Schneier, a szakma egyik nagy ideológusa mondta azt évekkel ezelőtt, hogy az Információs Apokalipszisnek négy lovasa van: az egyik a terrorizmus. Ezzel mindig meg lehet fenyegetni az embereket, de valójában nem fog segíteni.

Mit gondol arról, hogy a terrorcselekményekben résztvevők a PlayStation Network-öt használhatták az egymás közötti kommunikációhoz? A váratlanság lehet a médium sikerességének kulcsa ebben az esetben?

Ez csak egy médium. Tavasszal egy amerikai konferencián hallottam egy remek példát: az előadó elmesélte, hogyan használja fiatalkorú lánya az internetet. Arra lett figyelmes, hogy egy utahi ingatlanközvetítő oldalát látogatja nagyon gyakran. Osztálytársaival talált egy olyan fórumot, ahol nem kellett regisztrálni, senki sem nézte, és elkezdtek ott beszélgetni – mert az távol volt attól, amit a felnőttek figyelnek: nem a Facebook, nem a Twitter, nem a Snapchat. Egy olyan hely volt, ahol nyugodtan tudtak kommunikálni.

Ez a terrorizmussal gyanúsított személyekre is igaz: az üzenetváltásnak milliónyi platformja lehet, csak meg kell találni azt, ami a legkényelmesebb, és ami nincs szem előtt. Fiatalokról van szó, fiatal huszonévesekről. Ott vannak az eszközök, használjuk őket, logikusan adódik az, hogy azokat a médiumokat használjuk, amikhez mindennaposan hozzáférünk. Itt nem a technológia a lényeg. Kikerült egy lista, amelyen azok a kommunikációs csatornák vannak, amiket az ISIS állítólag használ – ha tudatos európai állampolgárként el akarnék tűnni az NSA látóköréből, ugyanezeket használnám.

A Telegramot és a Twittert is főleg propaganda terjesztésére használja az ISIS. Fel lehet lépni ezek ellen hatékonyan?

Ha a szolgáltató akarja, akkor igen, hiszen ő gyakorlatilag egy közvetítő közeg. Azt gondolom, hogy a jogszabályalkotás a következő években főleg ebbe az irányba fog menni – együttműködési kötelezettséget szab a szolgáltatók részére. Az megint egy érdekes kérdés, hogy ezzel mennyit adunk fel a jogainkból, de ha megfelelő bírói kontroll van a dolgok fölött, akkor működhet – de legyen ez a politikusok dolga. Más a szituáció, ha a szolgáltató nem hajlandó közreműködni, illetve nincsen közreműködési kötelezettsége – általában most ez a helyzet. Bármennyire úgy gondoljuk, hogy a Facebook egy adatbánya az NSA számára, nincs rá bizonyíték, hogy aktív közreműködő lenne – sőt, a Snowden-aktákban is azt látjuk, hogy inkább lehallgatót telepítettek a Facebook-adatközpont elé, mert a közösségi oldal nem akarta beengedni őket az adatbázisukba.

Milyen új árnyalatot adhat a Snowden-féle kiszivárogtatásnak az, hogy elnöki szintre került a titkosítás gyengítése?

Az amerikai hírszerzők közösségének véleménye szerint Snowden áruló – egyben jelen pillanatban az első tíz közellenség egyike az Egyesült Államokban. Tudni kell, hogy Obama egyébként is sokat foglalkozik a kibertérrel és a kiberbiztonsággal. Szerintem felszólalása leginkább a közelgő elnökválasztásnak szól. A konzervatív jelöltek vitájában többször is elhangzott az, hogy több jogot kell adni az NSA-nek – véleményem szerint Obama kijelentése már a demokrata jelölt támogatására szól, hogy ne lehessen ezzel támadni. Fontos viszont, hogy az NSA jogaiból látszólag visszavesznek egy kicsit – szűkítették a tömeges megfigyelési jogosultságát, ez mindenképpen jelentős.

Több USA-béli közszereplő szerint ha csak közvetve is, de Edward Snowden és a kiszivárogtatás felelős a terrorcselekmények bekövetkeztéért. Mit gondol erről?

Snowdenre sok mindent rá lehet fogni, de ezt biztosan nem – sokkal inkább lehet ezt ránk, európaiakra fogni. Szinte kivétel nélkül mind európai fejlesztésűek azok a technológiák, melyek azon az ominózus ISIS-listán szerepeltek – több francia és svájci alkalmazás található meg rajta, a Telegram is orosz tulajdonú, de német székhelyű – és kihasználják azt a lehetőséget, hogy az európai térben sokkal nagyobb az adatvédelem, a privát szférához való jog jelentősége.

Milyen hatással lenne a magánszférára, ha mégis gyengítenének a titkosításon?

Legfeljebb annyiban, hogy, ha azok a gyengítések napvilágra kerülnek – márpedig napvilágra fognak kerülni –, akkor bekerülnek a kiberbűnözés eszköztárába is, onnantól kezdve még könnyebb lesz feltörni egy számítógépet, egy kártékony kódot, egy vírust elhelyezni rajta, még könnyebb lesz egy bankkártya-adathoz hozzájutni. Minden, ami gyengítés, az valahol a szervezett bűnözés területén egy ajtó kinyitása. Ebben a tekintetben érinteni fog minden állampolgárt.

Márton Levente

Névjegy:

Dr. Krasznay Csaba 1979-ben született Budapesten. Felsőfokú tanulmányait a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki szakán végezte, ahol 2003-ban diplomázott. Másodéves hallgatóként kezdett el érdeklődni az informatikai biztonság iránt. A diploma megszerzése után a Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központjában dolgozott, egészen 2006-ig. 2012-ben PhD fokozatot szerzett a Nemzeti Közszolgálati Egyetemen – korábban Zrínyi Miklós Nemzetvédelmi Egyetem –, innentől kezdve a katonai műszaki tudományok doktora, valamint az egyetem adjunktusa. Korábban informatikai biztonsági tanácsadóként dolgozott a HP Magyarországnál, jelenleg a BalaBit-Europe Kft.-nél dolgozik, mint product manager.