Aby Polska rosła w siłę, a służby deszyfrowały lepiej? Słabe strony Polski w (de)szyfrowaniu danych

Spis treści

Polska uważa, że technologie szyfrujące są zbyt silne, za drogie i stanowią przeszkodę w gromadzeniu dowodów elektronicznych, a polskie służby korzystają z algorytmów kryptograficznych uważanych przez Google za problematyczne w przyszłości. Takie stanowisko naszego państwa wynika z ankiety dotyczącej szyfrowania, którą na prośbę Słowacji wypełniły europejskie kraje.

Kwestionariusze (Encryption questionnaires) wypełnione przez 12 europejskich krajów zostały opublikowane przez Bits of Freedom – niezależną holenderską fundację, stojącą na straży wolności i prywatności komunikacji w erze cyfrowej.

Polska najpierw robi, a potem myśli, kiedy inne kraje są przezorne?

Serwisy internetowe podają, że publikacji odpowiedzi odmówiły m.in. Belgia, Bułgaria, Czechy (przynajmniej częściowo), Hiszpania, Francja, Portugalia i Malta – jako argument podając bezpieczeństwo narodowe.

Te państwa nie chciały upubliczniać informacji ze względu na cyberprzestępców, którzy z ujawnionych dokumentów mogliby wyczytać czarno na białym:

z czym nie radzą sobie służby w danym kraju,
co chciałyby zmienić, aby inwigilacja i pozyskiwanie dowodów elektronicznych było łatwiejsze,
jakie techniki stosują państwa do deszyfrowania dowodów elektronicznych i zabezpieczania ich, aby mogły zostać następnie użyte w postępowaniu karnym,
czy władze danego kraju korzystają z usług firm zagranicznych w celu deszyfrowania danych lub z pomocy Europolu.

Polska się tym najwyraźniej nie przejęła. Z polskiego kwestionariusza można dowiedzieć się, że technologie szyfrowania w naszym kraju nie są lubiane, a żeby służbom pracowało się sprawniej i mniej kosztownie, należałoby osłabić szyfrowanie przez np. stosowanie furtek (tzw. backdoorów).

W takiej sytuacji na usta ciśnie się pytanie: czy kluczyki do tych furtek byłyby schowane pod niewidzialną wycieraczką tak, aby nie mieli do nich dostępu cyberprzestępcy?

Dlaczego Polska nie lubi szyfrowania danych?

Polska bardzo często mierzy się z szyfrowaniem danych podczas przeprowadzania danych operacyjnych i zbierania dowodów w cyberprzestrzeni w toku postępowania karnego.
W czasie dochodzeń karnych największą przeszkodę stanowi szyfrowanie online: e-maili (PGP – Pretty Good Privacy, GPG – GNU Privacy Guard) oraz danych przekazywanych za pośrednictwem e-komunikatorów (Skype, WhatsApp, Facebook – Polska wyróżniła szyfrowanie, które jest spotykane w kopiach zapasowych e-komunikatorów), a także dane szyfrowane offline dzięki aplikacjom takim jak TrueCrypt, VeraCrypt, DiskCryptor itd. Oberwało się również danym zapisywanym na iPhone’ach.

Jak nie wiadomo o co chodzi, to chodzi o pieniądze. Polski nie stać na deszyfrowanie danych

Główne problemy, jakie napotykają polskie służby w czasie przechwytywania czy monitorowania przepływu szyfrowanych danych, to problemy finansowe. O pieniądze, na których Polska zdecydowanie nie śpi, rozbija się zakup sprzętu i narzędzi przeznaczonych do odszyfrowywania danych, np. klasterów GPU. Zostało to podkreślone jako główna przeszkoda.

Poza tym narzekamy na problemy techniczne (trudno znaleźć zaszyfrowane dowody) i prawne (nie są wydawane nakazy sądowe podejrzanym i oskarżonym, które zmusiłyby ich do podania haseł bądź kluczy).

Jakich narzędzi używają polskie służby do deszyfrowania danych?

Polska korzysta z rozwiązań dostępnych w modelu OpenSource, takich jak narzędzie Hashcat, służące do łamania i odzyskiwania haseł. W czerwcu br. została udostępniona wersja 3.0, obsługująca takie algorytmy jak VeraCrypt, AxCrypt, ArubaOS i inne, które wymienia Sekurak.pl.

Z kolei do zabezpieczania pozyskanych danych służby stosują algorytm kryptograficzny MD-5 i zestaw kryptograficznych funkcji skrótu SHA-1.

Ciekawostka: jak pisze Gigaone.pl, od 1 stycznia 2017 roku certyfikaty SSL, które są podpisane algorytmem SHA-1, nie będą obsługiwane przez rozwiązania Microsoftu, Mozilli i Google. W Google Chrome wszystkie takie certyfikaty zostaną oznaczone w odpowiedni sposób, bowiem SHA-1 może powodować problemy.

Techniki używane przez polskie służby to:

atak słownikowy (ang. dictionary attack) wykorzystujący ograniczony zbiór kombinacji klucza, bazujący na częstości stosowania w hasłach – tutaj moglibyśmy umieścić listę słów w języku polskim, proste hasełka typu 123456 i inne pochodzące z baz najpopularniejszych (o zgrozo!) haseł;
profilowany atak słownikowy;
algorytm siłowy (ang. brute force), który w przeciwieństwie do ataku słownikowego skupia się na sprawdzeniu wszystkich możliwych kombinacji kluczy – niestety nie jest to optymalna metoda, łamanie nią klucza może trwać w nieskończoność w zależności od jego skomplikowania… Nie polecamy sprawdzania, jak bezpieczne jest Twoje hasło, jeżeli chciałbyś się dowiedzieć, ile trwałoby poznanie hasła do np. konta bankowego…

Polskie służby nie korzystają z usług firm trzecich w tym zakresie. Można odetchnąć z ulgą?

Co mówi polskie prawo o e-dowodach – czy pozwala na ich skuteczne zabezpieczenie?

Otóż nie, ponieważ polskie prawo karne nie podaje precyzyjnej definicji dowodów elektronicznych, nie ma więc też przepisów, które określałyby zasady dostępu do danych przechowywanych w chmurze.

Prawo a (de)szyfrowanie danych w Polsce

Twórcy ankiety pytali, czy w danym prawie krajowym istnieje obowiązek dostarczania organom ścigania kluczy lub haseł deszyfrujących dane przez podejrzanych, oskarżonych lub osób posiadających urządzenia/dane ważne dla danego postępowania karnego, a jeżeli tak, czy jest wymagana do tego nakaz sądowy. W przypadku Polski – nie, dodatkowo w ankiecie został podany art. 74 Kodeksu karnego:

Oskarżony nie ma obowiązku dowodzenia swej niewinności ani obowiązku dostarczania dowodów na swoją niekorzyść.

Punkt czwarty ankiety zapytywał o przekazywanie deszyfrujących haseł organom ścigania przez usługodawców – w Polsce również nie stosuje się wobec nich nakazów sądowych dot. wydawania kluczy.

Dopiero w piątym punkcie Polska mogła się pochwalić tym, że w naszym prawie krajowym istnieje możliwość przechwycenia i monitorowania przepływu danych szyfrowanych w celu uzyskania odszyfrowanych danych do celów postępowania karnego.

W odpowiedzi zostały przytoczone: art. 19 ust. 6 p. 4 ustawy o policji, fragmenty ustawy o straży granicznej, ustawy o ABW oraz ustawy o CBA, a także art. 36b ust. 1 ustawy o kontroli skarbowej – dotyczące przeprowadzania kontroli operacyjnej, o której wspominaliśmy w ramach artykułu o rozszerzonej inwigilacji.

Czego chce Polska, aby (de)szyfrowało się lepiej?

Policja i sądy potrzebują nowych narzędzi, ponadto potrzebne są zmiany w prawie, które umożliwią pozyskiwanie danych przechowywanych w chmurach w krajach europejskich bez nakazu sądowego.

Jednak bardziej skandaliczna wydaje się wypowiedź mówiąca, że producenci sprzętu i oprogramowania powinni zostać zachęceni do wstawiania tzw, backdoorów w swoich produktach i usługach lub korzystania ze słabszych algorytmów kryptograficznych, aby służby miały łatwiejszy dostęp do danych.

Propozycja zakrawa na absurd, bowiem – jak wspomnieliśmy – to nie byłaby furtka tylko dla służb, które jako jedyne byłyby w posiadaniu wiedzy o kluczyku do niej, ale dla wszystkich: cyberprzestępców także, którym pozostaje radosne zacieranie rąk na widok takich planów, które popierają także inne kraje europejskie.

Szwecja ma trudności z szyfrowanymi danymi na tabletach i innych urządzeniach mobilnych, ale szwedzkie prawo pozwala na przesłuchiwanie świadków w sądzie w celu uzyskania od nich zaszyfrowanych kluczy/haseł.
Estonia ma również problemy finansowe, techniczne i prawne związane z deszyfrowaniem danych. Głównym problemem w monitorowaniu i przechwytywaniu zaszyfrowanych informacji jest niemożność ich odszyfrowania, jeśli klucz nie jest dostępny! Estonia jako przeszkodę podaje także szyfrowany protokół HTTPS czy sieć TOR.
Węgry przyznają, że rzadko zmagają się z szyfrowanymi danymi w czasie prowadzenia postępowania karnego, ale jako problematyczne podają e-dane przechowywane w chmurach, sieci P2P/I2P.
Wielka Brytania odpowiedziała, że zawsze napotyka trudności związane z szyfrowanymi danymi i zmaga się z wszystkimi wymienionymi w ankiecie metodami szyfrowania.
Włochy PODKREŚLAJĄ (Caps Lock tutaj nie jest przypadkowy), że 90% serwisów online korzysta z szyfrowanego protokołu HTTPS. Narzekają także, że połączenia za pomocą sieci Tor są trudne do zidentyfikowania, podobnie jak transakcje w Bitcoin.

Co dalej?

Dyskusja nad zebranymi odpowiedziami odbędzie się w Grupie Przyjaciół Prezydencji ds. Bezpieczeństwa, a także na posiedzeniu CATS w ramach przygotowania do obrad Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych, która odbędzie się w grudniu br.

Czy dyskusja okaże się faktycznie przyjazna dla cyberbezpieczeństwa obywateli? Skargi niektórych państw stawiają to pod znakiem zapytania…

Encryption Questionnaire PL by Dziennik Internautów on Scribd

sławomir pisze:

2019-05-03 o 21:30

Algorytm siłowy to najbardziej czasochłonna metoda. Jeśli hasło jest bardzo skomplikowane, to złamanie klucza niestety jest niemal nieosiągalne. Moim zdaniem to najgorszy sposób, jakie stosują władze w naszym kraju.

Odpowiedz
Jacek pisze:

2019-06-28 o 22:00

Każdy, kto ma odrobinę wiedzy na temat szyfrowania, doskonale zna takie pojęcia jak backdoor itp. Haker o bardziej zaawansowanym stopniu bez problemu poradzi sobie z tego typu zaporami. Uważam, że powinniśmy zainwestować w rozbudowanie systemów, które będą bardziej skomplikowane.

Odpowiedz
alfred pisze:

2019-08-03 o 01:19

Polska zdecydowanie jest krajem, który woli przeznaczać pieniądze na sprawy zupełnie nieistotne, zamiast na coś, co ułatwiłoby pracę nie tylko policji, ale i prokuraturze, sądom itp. Nie rozumiem, dlaczego inne państwa są w stanie zainwestować w odpowiednie narzędzia do deszyfrowania danych, a u nas stanowi to odwieczny problem.

Odpowiedz
Radosław pisze:

2019-08-12 o 21:06

Nie jestem pewien, czy polscy producenci powinni używać backdoorów. Z jednej strony wydaje się to logiczne rozwiązanie, jednak patrząc z perspektywy zwykłego użytkownika oprogramowania to trochę bardziej skomplikowane. Wątpię, że ktoś z nas chciałby, aby do jego danych miał dostęp każdy, kto posiada nawet minimalną wiedzę na temat zabezpieczeń. Uważam, że to lekka przesada, choć wiadomo, że każdy medal ma dwie strony.

Odpowiedz