Policejní Přístup k Šifrování: EU Schvaluje Kontroverzní Zákon

Podle Evropské komise nemá policie přístup k důležitým důkazům v 85 % vyšetřovaných případů kvůli šifrované komunikaci. Evropská unie proto plánuje zavést nový kontroverzní zákon, který by měl od příštího roku umožnit bezpečnostním složkám přístup k šifrovaným zprávám na populárních platformách jako WhatsApp a Messenger. Tento krok je především reakcí na nedávné teroristické útoky v Rakousku a Francii. Návrh však vyvolává vážné obavy o zachování soukromí desítek milionů evropských uživatelů, jelikož by znamenal vytvoření takzvaného "zadního vchodu" do šifrovacích systémů.

EU zavádí nový zákon umožňující policii číst šifrované zprávy

Evropský parlament společně s Radou EU nyní připravuje legislativu, která by umožnila bezpečnostním složkám přístup k šifrovaným zprávám. Tato iniciativa je součástí širší bezpečnostní strategie ProtectEU zaměřené na boj proti digitální kriminalitě. V prosinci 2020 Rada přijala usnesení o šifrování, ve kterém zdůrazňuje nutnost "zajistit bezpečnost prostřednictvím šifrování i bezpečnost navzdory šifrování".

Konkrétní návrhy počítají s několika možnými technickými řešeními. Jednou z možností je tzv. "client-side scanning", kdy by zprávy byly kontrolovány ještě před jejich zašifrováním přímo na zařízení uživatele. Další variantou je vytvoření "předních vrátek" (front-door) – právního rámce umožňujícího zákonný přístup k šifrovaným datům bez nutnosti diktovat konkrétní technické řešení poskytovatelům služeb.

V roce 2022 Evropská komise představila kontroverzní návrh nařízení proti šíření materiálů zobrazujících sexuální zneužívání dětí, přezdívaný také "chat control". Podle kritiků by toto opatření znamenalo plošné sledování soukromých zpráv, včetně těch na službách s koncovým šifrováním.

Současný vývoj situace

Belgické předsednictví nedávno stáhlo návrh na sledování online komunikace z jednání Rady EU, protože nezískal dostatečnou podporu. Nicméně místopředseda vlády Ivan Bartoš varoval, že "bitva skončila ve prospěch ochrany soukromí, ale válka u konce ještě není".

Důležitou roli v této diskusi hraje evropský inspektor ochrany údajů, který upozorňuje, že návrhy na oslabení šifrování mohou ohrozit demokratické hodnoty. Zástupci bezpečnostních složek naopak argumentují, že nemohou účinně bojovat proti závažné kriminalitě bez přístupu k digitálním důkazům.

Europoslanci vyzvali hlavy členských států, aby se zabývaly otázkou digitálních dat tak, "aby bylo možné legálně sbírat a využívat digitální důkazy" a současně "zaručit spolehlivost" služeb využívajících šifrování. Mluvčí Evropské komise ujistil, že EU hledá způsob, jak získat legální přístup k digitálním důkazům "aniž by bylo nutné zrušit či oslabit šifrování".

České ministerstvo vnitra již pracuje na implementaci směrnice EU 2023/977 o výměně informací mezi donucovacími orgány, což může souviset s připravovanými změnami v oblasti přístupu k šifrované komunikaci.

Technologické společnosti čelí dilema mezi bezpečností a soukromím

Poskytovatelé šifrovaných komunikačních služeb se ocitají na rozcestí mezi splněním požadavků evropské legislativy a zachováním bezpečnosti svých uživatelů. Návrhy EU na kontrolu obsahu konverzací by znamenaly buď prolomení šifrování, nebo vytvoření systému, který by umožnil bezpečnostním složkám přístup k zašifrovaným zprávám.

Alternativní komunikátory jako Signal, Threema a TeleGuard se k této problematice již vícekrát vyjádřily s jasným stanoviskem – pokud EU kontrolu chatů prosadí, raději by se z evropského trhu stáhly, než aby implementovaly požadované změny. Naopak WhatsApp zatím plány na kontrolu chatů veřejně nekritizoval, což odborníci přisuzují snaze udržet si dominantní pozici na trhu.

Navrhovaná řešení zahrnují metodu "exceptional access", kdy by poskytovatel komunikační služby přidal úřady jako dalšího, tajného účastníka sledovaného hovoru či chatu. Ačkoliv technicky nejde o předávání šifrovacích klíčů, i tato metoda v praxi znamená vytvoření zadních vrátek v komunikačních systémech.

Experti na kyberbezpečnost upozorňují na značná rizika:

• Zadní vrátka mohou být zneužita nejen státními orgány, ale i hackery
• Odstranění koncového šifrování by podkopalo základy důvěry v digitální komunikaci
• Systémy pro skenování obsahu by mohly být zneužity k politické kontrole

Je třeba poznamenat, že technologie kybernetického dohledu mohou mít legitimní využití, nicméně v rukou některých států se stávají nástrojem pro rozsáhlé porušování lidských práv a potlačování občanské společnosti. Proto podle zvláštního zpravodaje Rady OSN pro lidská práva by mělo být vyhlášeno moratorium na celosvětový prodej nástrojů sledování, dokud nebudou zavedeny lidskoprávní pojistky.

Situace vytváří pro technologické společnosti složité dilema – buď vyhovět požadavkům EU a riskovat ztrátu důvěry uživatelů, nebo zachovat silné šifrování a potenciálně ztratit přístup na evropský trh. Podle kritiků by v konečném důsledku mohlo dojít k situaci, kdy kromě WhatsAppu mnoho alternativ nezbude.

Experti varují před bezpečnostními riziky backdoorů

Bezpečnostní experti po celém světě opakovaně varují před závažnými riziky spojenými s implementací "zadních vrátek" do šifrovacích systémů. "Nic takového jako zadní vrátka, ke kterým mají přístup jen dobří lidé, neexistuje," upozorňuje odbornice Whittakerová, která zdůrazňuje, že v oblasti bezpečnosti šifrování neexistuje žádná střední cesta.

Navzdory pokročilým kryptografickým metodám nejsou šifrovací systémy zcela imunní vůči rizikům. Hrozby mohou vyplývat z:

1. Pokročilých metod prolomení algoritmů
2. Chybné implementace kryptografických nástrojů
3. Technologického pokroku

Zadní vrátka v praxi představují zranitelnost, kterou mohou využít nejen oprávněné orgány, ale i útočníci.

Microsoft oficiálně varuje, že i nejbezpečnější kryptografické algoritmy mohou být ohroženy, pokud jsou špatně implementovány. Společnost především doporučuje, aby veškerá důvěrná data byla přenášena přes protokol TLS (Transport Layer Security). Odborníci navíc zdůrazňují, že jakýkoliv systém umožňující výjimečný přístup dramaticky zvyšuje riziko zneužití.

V praxi již můžeme vidět, jak společnosti reagují na požadavky narušit šifrování:

• Apple například raději vypnul funkci koncového šifrování pro všechny britské uživatele, než aby implementoval slabiny požadované britskou vládou
• Signal zase otevřeně deklaroval, že "raději opustí trh, než by se podřídil něčemu, co by katastrofálně narušilo schopnost poskytovat soukromou komunikaci"

Zvlášť znepokojující je riziko, které představují kvantové počítače. Pokud dosáhnou dostatečné výkonnosti, budou schopny prolomit běžně používané algoritmy jako RSA a ECC během relativně krátké doby. To znamená, že současná diskuse o zadních vrátkách probíhá v době, kdy celá infrastruktura kryptografické ochrany čelí zásadním výzvám.

Podle zprávy Europolu dochází k výraznému nárůstu kybernetických útoků, přičemž organizovaný zločin se stále více přesouvá do online prostředí. V České republice byl v roce 2023 zaznamenán téměř dvojnásobný počet kybernetických útoků oproti roku 2022, celkem 262 incidentů. Z tohoto důvodu mnozí experti varují, že jakékoliv oslabení šifrovacích standardů může vést k ještě vyššímu počtu úspěšných útoků.

Závěr

Současná situace kolem šifrování komunikace představuje zásadní rozcestí pro digitální bezpečnost v Evropě. Především návrh EU na vytvoření přístupu k šifrovaným zprávám vyvolává oprávněné obavy odborníků i běžných uživatelů. Technologické společnosti proto čelí složitému rozhodování mezi zachováním bezpečnosti svých platforem a splněním legislativních požadavků.

Zkušenosti z minulosti jasně ukazují, že jakékoliv oslabení šifrovacích systémů může mít dalekosáhlé následky. Současně narůstající počet kybernetických útoků zdůrazňuje potřebu silného šifrování. Nicméně snaha EU o kontrolu digitální komunikace naznačuje, že soukromí uživatelů bude i nadále předmětem intenzivní debaty.

Závěrem lze říci, že řešení této komplexní situace bude vyžadovat pečlivé vyvážení mezi oprávněnými zájmy bezpečnostních složek a základním právem občanů na soukromí. Budoucnost šifrované komunikace v EU tak zůstává nejistá, přičemž následující měsíce ukážou, zda převáží argumenty pro zachování silného šifrování, nebo požadavky na větší kontrolu digitální komunikace.

The post EU zavádí nový zákon umožňující policii číst šifrované zprávy first appeared on Hard Wired.

ESP32: Backdooru v populárním čipu

Úvod

V posledních dnech se odbornou i laickou veřejností šířily znepokojivé zprávy o možném backdooru v čipu ESP32 od čínské společnosti Espressif. Vzhledem k tomu, že těchto čipů bylo celosvětově distribuováno přibližně miliarda kusů a nacházejí se v širokém spektru IoT zařízení, vyvolala tato informace značné obavy. Následující analýza objasňuje, co se skutečně zjistilo a proč se nejedná o závažné bezpečnostní riziko.

Co je ESP32?

ESP32 představuje tzv. "system on chip" (SoC) - kompletní mikrokontrolér integrovaný v jediném čipu o rozměrech přibližně 8×8 mm. Při maloobchodní ceně kolem 50 Kč nabízí mimořádný výkon a funkcionalitu:

• Velké množství vstupně-výstupních (GPIO) pinů pro připojení senzorů a ovládacích prvků
• Integrovanou podporu Wi-Fi a Bluetooth pro snadné připojení do sítě
• Podporu komunikačních standardů jako SPI, I2C, CAN-BUS a další
• Vynikající dokumentaci a vývojářskou podporu
• Příznivý poměr cena/výkon

Díky těmto vlastnostem se ESP32 stal dominantním čipem v oblasti IoT zařízení, chytrých domácností a řady dalších aplikací. Jeho hlavními konkurenty jsou některé čipy od Texas Instruments a pravděpodobně Raspberry Pi Pico 2TV.

Co bylo skutečně objeveno?

Na konferenci Rootcon konané 6.-8. března v Madridu prezentovali dva španělští výzkumníci objev nedokumentovaných příkazů v čipu ESP32. Tyto příkazy umožňují provádět některé nízkoúrovňové operace jako zápis do paměti nebo odesílání specifických Bluetooth paketů.

Je důležité zdůraznit, že existence nedokumentovaných příkazů je v hardwarových i softwarových řešeních běžná. Většina komplexnějších systémů obsahuje interní pomocné rutiny a metody, které nejsou určeny pro koncové uživatele, ale slouží k vnitřnímu fungování systému, ladění a podobným účelům.

Proč se nejedná o bezpečnostní riziko?

Klíčovým faktem je, že k využití těchto nedokumentovaných příkazů musí mít útočník již plnou kontrolu nad zařízením. To znamená:

1. Fyzický přístup k zařízení - Pro nahrání vlastního kódu do ESP32 je často nutné zařízení fyzicky rozebrat a připojit se k UART pinům na základní desce.

2. Překonání bezpečnostních mechanismů - ESP32 umožňuje implementaci kontroly digitálního podpisu firmware, kdy čip odmítne spustit kód, který není podepsán správným klíčem.

3. Harvardská architektura jako ochrana - Na rozdíl od běžných počítačů s von Neumannovou architekturou používá ESP32 harvardskou architekturu s oddělenou pamětí pro kód a data, což znesnadňuje spuštění škodlivého kódu.

Jak došlo k nedorozumění?

Společnost Tarlogic, mateřská organizace zmíněných výzkumníků, vydala původně bombastickou tiskovou zprávu hovořící o "ohrožení stovek milionů IoT zařízení". Tuto zprávu převzal server Bleeping Computer, který v titulku navýšil počet potenciálně ohrožených zařízení na miliardy. Následně se informace lavinovitě šířila dalšími médii.

Po bližším prozkoumání problematiky byly původní články staženy a přeformulovány, aby lépe odrážely skutečnou závažnost situace. Nicméně, původní senzační zprávy už stihly vyvolat značné obavy.

https://www.tarlogic.com/news/hidden-feature-esp32-chip-infect-ot-devices/
https://www.bleepingcomputer.com/news/security/undocumented-commands-found-in-bluetooth-chip-used-by-a-billion-devices/

Závěr

Používání čipu ESP32 je nadále bezpečné. Přítomnost nedokumentovaných příkazů nepředstavuje sama o sobě bezpečnostní riziko, protože k jejich využití je nutná plná kontrola nad zařízením, což by útočníkovi umožnilo i mnohem závažnější zásahy do systému bez ohledu na existenci těchto příkazů.

Bezpečnost zařízení s ESP32 závisí primárně na kvalitě jejich návrhu:

• Zařízení, která byla navržena s důrazem na bezpečnost, zůstávají bezpečná i nadále
• Zařízení s bezpečnostními nedostatky byla zranitelná již před tímto objevem

Uživatelé zařízení s ESP32 mohou tedy pokračovat v jejich používání bez obav a vývojáři mohou nadále implementovat tento čip do svých konstrukcí.

The post ESP32 neobsahuje backdoor first appeared on Hard Wired.