Čtenáři, kteří dávají přednost politicky korektním a vyváženým zprávám mne mohou nařknout, že ten nadpis je bulvární. Jejich problém. Těm ostatním chci vysvětlit, že informace, které zveřejnil The Guardian naprosto přesně vystihují možnosti špičkově vybavených technologických firem, pracovišť státních úřadů, ale i teroristických skupin. Zmínku o teroristech vysvětlím dál.
Možná si ještě vzpomenete nebo můžete nalézt na Internetu příběh Phila Zimmermanna, který napsal program PGP a dal jej volně k použití, tím umožnil i běžným uživatelům šifrovat své e-maily, soubory. To bylo v letech 1991–1993. Kroky Phila Zimmermanna se nelíbily úřadům USA a obvinili jej z nedovoleného vývozu vojenské technologie, protože šifrovací algoritmy tehdy spadaly pod stejná omezení jako vývoz F16. Po několika letech úřady svoji žalobu stáhly a zrušily i omezení spojená s vývozem šifrovacích algoritmů jako například RSA, DES, AES, atd.
Vysvětlení jsou dvě, buď USA chtěly podpořit bezpečnost na internetu (proč ale netlačí na Microsoft kvůli děravým Windows), nebo naopak již v té době měly „klíče“ k šifrovacím algoritmům. Já osobně se přikláním k možnosti, že USA již před rokem 2000 měly nástroje, jak dešifrovat komerční, na internetu běžně používané algoritmy.
Samozřejmě, že prolamování šifrování vyžaduje velmi kvalifikované matematiky (kryptoanalytiky) nebo velmi výkonné počítače. Nejlepší je mít k dispozici oboje, odborníky, výkonné počítače a ještě vlastní kolonku ve státním rozpočtu.
Osobně mám ale vyzkoušené, že pro některé úkoly může stačit i velmi výkonný počítač a hrubá síla, tedy postup, kdy k nalezení hesla vyzkoušíte všechny možnosti. Před několika lety se na mne obrátili vyšetřovatelé PČR s tím, že mají problém s jednou zašifrovanou flash pamětí (přesněji jeden velký soubor zašifrovaný PGP) a nikdo ze státních úřadů a znalců si s tím nevěděl rady. Nebudu vás zdržovat popisováním detailů. Využil jsem svých kontaktů a získal svolení využít o víkendu velmi výkoný stroj (podobně výkonný stroj v ČR tehdy nebyl). V pátek v noci jsme zapnuli hledání a v sobotu večer jsme heslo skutečně měli. Prostě výkon HPC serveru s 512 procesory byl znát.
Tehdy jsem si z toho odnesl dvě zkušenosti: za prvé, že v rámci PČR a celé státní správy ČR není parta, která by byla schopna takový úkol splnit a dále jsem si potvrdil skutečnost, že šifrovací algoritmy, i když se říká, že jsou bezpečné, tak je možné je porazit a nejsou k tomu potřeba nějaké špičkové znalosti šifrování (matematiky a kryptoanalýzy), stačí velký výpočetní výkon. Agentury jako jsou americká NSA nebo britská GCHQ mají odborníky, techniku i peníze. Takže úkol, který nám trval téměř 30 hodin, budou oni zvládat za výrazně kratší bodu.
To, že NSA a GCHQ dokáží dešifrovat elektronickou poštu a další dokumenty posílané prostřednictvím internetu, je vážný zásah do soukromí uživatelů. V případě prostého sledování provozu na internetu to bylo vážné, ale když to přirovnám ke klasické poště, tak se jednalo o pročítání vzkazů napsaných na pohlednicích. Sice se to nemá, ale každý doručovatel se občas podívá, kde byl jeho soused na dovolené, kdo mu to píše, apod. V případě schopnosti dešifrovat e-maily i jakékoliv další soubory a druhy komunikace se jedná vlastně o rozlepování obálek a otvírání balíků. Takže se v kombinaci s prostým sledováním provozu jedná o mnohonásobně vyšší zásah do soukromí. Jenže se to děje na území USA a evropské, potažmo české vnímání soukromí a ochrany osobních údajů tam neplatí. Takže s tím, co provádí NSA a GCHQ, nic nezmůžeme. Můžeme změnit naše chování, můžeme změnit používané programy a internetové služby.
Informace zveřejněná listem The Guardian obsahuje ještě jedno vážné upozornění. Tím je spolupráce NSA a GCHQ s výrobci šifrovacích zařízení a programů. Spolupráce má být zaměřena na vytvoření slabiny v konkrétním programu nebo vytvoření zadních vrátek, které umožní snazší dešifrování e-mailu nebo jiného souboru. Opět se jedná o informace, o kterých se čas od času šeptalo již mnoho let, ale pokud nemáte možnost důkladně prozkoumat konstrukci (zdrojové kódy) programu, tak vám nezbývá než důvěřovat nebo hledat jiné řešení.
Tím jiným řešením může být využívání služeb, které mají data uložená v ČR, hledat a začít používat šifrování, které používá jiné algoritmy, než jsou ty, které obsahují programy amerických firem. A současně na americké výrobce začít konečně tlačit, aby otevřeli své zdrojové kódy k důkladné kontrole. I v počítačích, i pro americké firmy musí platit „Důvěřuj, ale prověřuj!!“.
Kroky NSA a GCHQ jsou na jednu stranu jasné. USA a Velká Británie se snaží udržet si technologickou i zpravodajskou nadvládu jak v reálném světě, tak také v kyberprostoru. Tato činnost má několik vážných dopadů. Prvním je fakt, že vlády i občané spřátelených zemí jsou špehováni podobně jako teroristé a další nepřátelé USA a Velké Británie. Dále, prostřednictvím propracovaného PR a marketingu jsou vychováváni „odborníci“ na kyberbezpečnost, kteří nemají vlastní názor a opakují fráze získané z jednoho zdroje a tyto polopravdy pak šíří mezi běžné uživatele. Posledním a nejvážnějším rizikem je to, že pokud dokázal Ed Snowden vynést a zveřejnit informace o tom, jak funguje sledování internetu, tak je velmi pravděpodobné, že se najde jiný zaměstnanec agentury nebo externí firmy, který vynese informace o tom, jak zneužívat zadní vrátka do zašifrovaných souborů, firewallů, atd. Teď už zbývá jenom doufat, že takový člověk nabídne informace o slabinách v šifrování a v bezpečnostních programech nejdříve novinářům a neobrátí se na obchodníky s drogami nebo přímo nějakou teroristickou skupinu.
Ed Snowden otevřel pandořinu skřínku internetu a nic okolo bezpečnosti počítačů a sítí nebude jako dříve.
P.S.
Pokud by chtěl někdo ze státní správy místo alibistického zákona o kybernetické bezpečnosti opravdu a systematicky řešit bezpečnost eGovernmentu a kritické infrastruktury, tak ať napíše. Mé dosavadní zkušenosti s kyberbezpečností ČR jsou alarmující.
