Detská pornografia otvorila spor o obmedzenie šifrovanej komunikácie. Ako argumentujú zástancovia a odporcovia návrhu?

Európska Komisia navrhuje pomocou umelej inteligencie sledovať súkromnú komunikáciu na platformách s koncovým šifrovaním. Cieľom má byť zastavenie šírenia detskej pornografie a ochrana detí pred obťažovaním na internete. Podľa viacerých expertov a ľudskoprávnych organizácií môže ísť o bezpečnostné riziko ľahko zneužiteľné k špehovaniu.

Šiesteho júla 2021 schválil Európsky parlament (EP) výnimku zo zákona o elektronickom súkromí, ktorá sa týkala skenovania súkromných správ. Výnimka v praxi znamená, že poskytovatelia komunikácie a e-mailu ako Meta alebo Google dostali opäť možnosť dobrovoľne zaznamenávať nelegálny obsah. Zákon o elektronickom súkromí prijatý na konci roku 2020 to totiž neumožňoval. 

Podľa Európskej komisie (EK) bolo v roku 2020, teda ešte pred prijatím zákona o elektronickom súkromí, nahlásených takmer 4 milióny obrázkov a videí obsahujúcich zneužívanie detí a 1 500 prípadov detského groomingu – snahy nadviazať vzťah s maloletým s cieľom zneužiť ho.

Americké Národné centrum pre nezvestné a zneužívané deti (NCMEC) zverejnilo informáciu, podľa ktorej v EÚ klesol  počet nahlásených prípadov materiálu obsahujúceho zneužívanie detí o 51% v prvých týždňoch po zákaze skenovania súkromných správ.

Výnimka zo 6. júla 2021 však má byť podľa komisárky pre domáce záležitosti Ylvy Johansson len „dočasným riešením na odstránenie akútneho stavu núdze“

V súčasnosti EK pripravuje návrh povinného skríningu obsahu všetkými poskytovateľmi instantnej aj e-mailovej komunikácie. Vykonávať by ho tak museli aj platformy s koncovým šifrovaním. 

Zadné vrátka a umelá inteligencia, ktorá šifrovanie obchádza 

Plán EK sa stretol s podporou organizácií na ochranu detí, ktoré sa už dlhšie snažia presadiť tvrdšiu legislatívu. „Čelíme rastúcej globálnej kríze sexuálneho zneužívania detí online a v tomto boji si jednoducho nemôžeme dovoliť ustúpiť,“ povedala Sarah Gardner z americkej organizácie Thorn. 

Organizácia ECPAT International síce uznáva dôležitosť šifrovania, no varuje, že bráni odhaleniu detskej pornografie a zneužívania detí. Tvrdí, že treba nájsť spôsob ako chrániť deti aj napriek koncovému šifrovaniu.

Podľa odporcov návrhu ide o nemožnú úlohu. Ako podotýka Nadácia Electronic Frontier, ktorá dlhodobo propaguje šifrovanie, „skenovanie konverzácií je v rozpore s poskytovaním skutočného koncového šifrovania.“

V súčasnosti používa väčšina komunikačných platforiem šifrovanie dát počas ich presunu. Nie sú však šifrované na zariadeniach ani na centrálnom serveri, pokiaľ existuje. To spoločnostiam ako Meta umožňuje skenovať obsah na ich platformách pomocou umelej inteligencie. Obsah, ktorý umelá inteligencia vyhodnotí ako problematický, následne podlieha kontrole zamestnancov. 

No v prípade koncového šifrovania má k dátam prístup len ten, kto vlastní šifrovacie kľúče (za normálnych podmienok osoby, ktoré medzi sebou komunikujú). Typickým príkladom tohto typu šifrovania je aplikácia Signal, ktorú použijeme ako príklad.  

Zaznamenávanie nelegálneho obsahu na Signali je možné dvomi spôsobmi. Prvým je vytvorenie klasických zadných vrátok, ktoré by umožnili prístup k šifrovanej komunikácii vybraným organizáciám udelením „výnimočného prístupu“.

Druhým je skenovanie obsahu umelou inteligenciou. Nie však na centrálnom serveri, čo nie je pri koncovom šifrovaní možné, ale lokálne na každom zariadení. Problematický obsah by bol v tomto prípade zaslaný bez koncového šifrovania na kontrolu ľuďom.

Práve druhý spôsob zvažuje EK. Koncové šifrovanie by síce zostalo nedotknuté, ale časť obsahu by ho úplne obchádzala, čo je problematické z hľadiska bezpečnosti a súkromia.

Alternatívne riešenia sú len o trochu lepšie

K riešeniu problému existujú alternatívne spôsoby. Jedným z nich je analýza metadát, zatiaľ čo obsah správ by zostal koncovo šifrovaný. Ide však o neefektívny spôsob, keďže metadáta z obrázkov sa dajú ľahko odstrániť.

Ďalšou možnosťou je implementovanie skenovania na strane klienta bez toho, aby bol závadný obsah automaticky odoslaný na kontrolu na centrálny server. O možnosti poslať ho by rozhodoval používateľ. Súkromie by sa v tomto prípade zachovalo, no bezpečnostné riziká by pretrvali.

Podľa štúdie „Chrobáky vo vreckách: riziká skenovania na strane klienta“, na ktorej sa podieľali odborníci na kyberbezpečnosť, kryptografiu a technológie, všeobecne nie je vykonávanie skenovania priamo na zariadení výhodou, ale naopak rizikom.

Keďže väčšina používateľských zariadení má zraniteľnosti, možnosti dohľadu a kontroly, ktoré CSS (skenovanie na strane klienta, pozn. redakcie) poskytuje, môžu byť potenciálne zneužité mnohými aktérmi, od aktérov nepriateľských štátov cez kriminálnikov až po intímnych partnerov používateľov, uvádzajú autori štúdie.

Okrem toho, obrázok často stačí mierne upraviť, aby ho algoritmus nevedel identifikovať.

Spomínaná štúdia sa zaoberala aj tým, aké problémy prináša plán spoločnosti Apple, ktorá s návrhom použiť umelú inteligenciu na boj proti detskej pornografii prišla minulý rok. 

Apple predstavil plán, podľa ktorého by v nových verziách operačného systému iOS prebiehalo lokálne skenovanie obsahu, napríklad fotiek v galérii. Po veľkej kritike Apple svoj plán odložil.

Skenovanie obsahu chcú zaviesť aj v USA a Veľkej Británii 

Obdobnú legislatívu ako v EÚ chce v súčasnosti presadiť aj skupina senátorov v USA. Tá opätovne predložila tzv. EARN IT ACT, prvýkrát predstavený v roku 2020. Návrh podporuje aj NCMEC. Kriticky sa voči nemu vyjadrilo viacero organizácií vrátane Human Rights Watch, podľa ktorej ohrozuje základné ľudské práva vrátane práva na súkromie a slobodu slova.

Vo Veľkej Británii spustilo niekoľko organizácií na ochranu detí kampaň „Nie je kam sa ukryť“. Cieľom kampane je, aby platformy ako Facebook Messenger a Instagram neimplementovali koncové šifrovanie, pokým sa nenájde spôsob, ako chrániť deti. Podľa kampane by sa v prípade jeho implementácie mohlo stratiť 14 miliónov hlásení o zneužívaní detí.

Meta plánuje zaviesť koncové šifrovanie pre konverzácie na Messengeri a Instagrame niekedy v roku 2023. Predčasne však túto funkciu priniesla pre používateľov Instagramu na Ukrajine a v Rusku, a to v reakcii na rusko-ukrajinský konflikt.

Portál RollingStone v rámci zákona o slobodnom prístupe k informáciám získal informáciu, že britská vláda prispela na kampaň približne pol milióna libier. Okrem podpori kampane v marci predstavila britská vláda aj návrh zákona O online bezpečnosti

Britský návrh presahuje plány EÚ. Okrem detskej pornografie by museli online platformy bojovať proti ďalšiemu nezákonnému obsahu a obsahu, ktorý síce je v medziach zákona, ale je škodlivý“. Konkrétne spôsoby zatiaľ nie sú jasné, no zrejme pôjde o formu skenovania, a to aj na šifrovaných platformách.

Vlna kritiky od obhajcov digitálnych práv

Návrh britskej vlády kritizuje organizácia Open Rights Group, podľa ktorej je nezlučiteľný s koncovým šifrovaním. Proti plánom EK sa v otvorenom liste ohradilo 43 občianskych organizácií. Tie žiadajú, aby plánovaná legislatíva na boj proti zneužívaniu detí nenarušila právo ľudí na súkromnú komunikáciu.

EDRi, organizácia pre európske digitálne práva, nesúhlasí so skenovaním na strane klienta, pretože sa tým narúša bezpečnosť zariadení a „podkopáva“ koncové šifrovanie. Ďalej žiadajú nezávislý audit celého systému.

EDRi tiež požaduje, aby bolo zachytávanie súkromnej komunikácie cielené, zákonné a každé použitie by bolo individuálne schválené súdom. Je však otázne, či by to pri súčasnom počte hlásení (podľa NCMEC vyše 29 miliónov v roku 2021) bolo možné.

Kritický je aj europoslanec Patric Breyer, zvolený za Pirátsku stranu Nemecka. Tvrdí totiž, že skutočných kriminálnikov by sa skenovanie nedotklo, pretože by prešli na alternatívne spôsoby komunikácie prevádzkované na vlastnych serveroch. Tiež varuje, že algoritmus by mohol chybne označiť „neškodné rodinné fotky z pláže alebo konsenzuálny sexting“ a narušiť tak súkromie ľudí.

Umelá inteligencia je skutočne chybová. „Odhadujeme, že viac ako 75 % týchto osôb nemalo zlý úmysel (t. j. nemali v úmysle ublížiť dieťaťu),“ tvrdí vo svojej vlastnej analýze Meta na margo obsahu, ktorý označil algoritmus.

Obavy o zneužitie

Existujú tiež obavy, že skenovanie obsahu môže byť zneužité k špehovaniu. Podľa odborníkov je totiž veľmi ťažké overiť, či sa skenovanie týka len obsahu, kvôli ktorému bolo oficiálne zavedené.

Schválenie skenovania v EÚ, USA a Veľkej Británii by taktiež mohlo poskytnúť argument k jeho zavedeniu v nedemokratických štátoch k sledovaniu kritikov. Napríklad v Rusku by vznikla legislatíva, ktorá by platformám prikazovala ruským orgánom odosielať každú konverzáciu, v ktorej by padla zmienka o A. Navaľnom.

Systém skenovania na strane klienta umožňuje zájsť ešte ďalej. Analýza od The Citizen Lab z Univerzity v Toronte zistila, že čínska platforma WeChat dokáže filtrovať obrázky citlivé pre vládu v reálnom čase. Používa na to skenovanie na serveri, ale rovnakú funkciu možno zahrnúť aj do skenovania na strane klienta.

Jednoduché riešenie neexistuje

Spor o koncové šifrovanie sa vedie už niekoľko rokov, no zatiaľ sa neprišlo na riešenie, ktoré by zachovalo súkromie ľudí a zároveň dalo štátnym orgánom prostriedky k potláčaniu nelegálnej aktivity.

Medzi kritikmi a obhajcami skenovania súkromných konverzácií existuje zhoda na tom, že šírenie detskej pornografie v online priestore je problém, ktorý treba riešiť. Kritici však nesúhlasia s plošným skenovaním a zásahmi do súkromia.

EK má svoj návrh predstaviť 11. mája, no nie je vylúčený odklad.

CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/

Študent bakalárskeho stupňa Politológie a Bezpečnostných a strategických štúdií na Masarykovej univerzite v Brne. Venuje sa vplyvovým operáciam, propagande a kybernetickej bezpečnosti. Tiež sa zaujíma o problematiku digitálneho súkromia a východoázijskú politiku. Kontakt: lukas.janovic@infosecurity.sk