Kryptografia, prywatność, prawo

"Prywatność uważana jest za jedno z podstawowych praw człowieka." Zapraszam do lektury artykułu autorstwa Krzysztofa Gienasa pt. "Kryptografia, prywatność, prawo".

Kryptografia, prywatność, prawo
Krzysztof Gienas

Możliwość komunikacji za pomocą sieci komputerowych zrewolucjonizowała większość dziedzin naszego życia. Swobodna wymiana informacji pozwala na rozwój handlu, nauki, wymianę kulturową. Tak zwany handel elektroniczny przeżywa rozkwit, z każdym rokiem liczba użytkowników sieci komputerowej wzrasta. Według niektórych danych do końca 2005 roku z Internetu będzie korzystać około 765 mln. osób[1].

Z drugiej strony coraz częściej można usłyszeć o naruszeniach prywatności użytkowników Internetu; elektronicznym szpiegostwie gospodarczym, atakach hackerów na witryny internetowe. Rozwojowi Internetu towarzyszy bowiem powstawanie nowych możliwości dla nadużyć przestępczych.

Prywatność uważana jest za jedno z podstawowych praw człowieka. "Boom" internetu i techniki informatycznej w latach 90-tych uczynił ten problem szczególnie aktualnym. Obawa przed utratą prywatności, brakiem bezpieczeństwa komunikacji jest barierą odstraszającą część społeczeństwa przed używaniem Internetu. Aby zagwarantować poczucie bezpieczeństwa powinny zostać wprowadzone techniki gwarantujące anonimowość[2] przy:
a) przesyłaniu informacji (niezależnie od metody przesyłania danych; najbardziej popularnym sposobem komunikacji elektronicznej jest poczta elektroniczna-"e-mail"; Większość portali internetowych oferuje użytkownikom sieci bezpłatne skrzynki pocztowe np. Wirtualna Polska, Interia, Yahoo, Hotbot. Po wpisaniu danych osobowych, które w praktyce nie mogą być zweryfikowane pod względem autentyczności, użytkownik otrzymuje adres pocztowy, zabezpieczony hasłem);
b) przeglądaniu portali i witryn internetowych (niektóre ze stron internetowych automatycznie zapisują numer IP komputera użytkownika, który właśnie odwiedzają);
c) zamawianiu dóbr i usług za pomocą Internetu (kontrowersje wzbudził pomysł [3] największej internetowej księgarni - Amazon.com, który umożliwiać miał czytelnikom dowiedzenie się jakie pozycje są najchętniej czytane w określonych miastach, firmach).

Technologia chroniąca poufność informacji (punkt a i c) w Internecie oparta jest na kryptografii. Samo słowo "kryptografia"[4] pochodzi od greckiego "kryptos" (ukryty) natomiast "grafia" oznacza napis. Historycznie technika ta była używana przez państwa do ochrony zastrzeżonych informacji dyplomatycznych i wojskowych. Podczas II wojny światowej złamanie kodu Enigmy przez polskich uczonych umożliwiło Anglii przechwytywanie niemieckiej komunikacji. Jednak już w XIX wieku chińscy handlarze używali flag zawieszanych na burtach statków, aby przekazywać ważne informacje handlowe wspólnikom jeszcze przed dopłynięciem do portu. Tak więc kryptografia umożliwia ukrycie rzeczywistego znaczenia wiadomości w celu uniknięcia zapoznania się z nią przez osoby nieuprawnione.

W Polsce istnieje definicja prawna kryptografii. Znajduje się ona w załączniku do zarządzenia wykonawczego do ustawy z dnia 2 grudnia 1993 o zasadach szczególnej kontroli obrotu z zagranicą towarami i technologiami w związku z porozumieniami i zobowiązaniami międzynarodowymi (Dz.U. Nr 129, poz.598 wraz z późniejszymi zmianami). Zgodnie z umieszczoną tam definicją: ,,Kryptografia to dziedzina wiedzy zajmująca się zasadami, narzędziami i metodami przekształcania danych w celu ukrycia zawartych w nich informacji, zapobiegania możliwości tajnego ich modyfikowania lub eliminacji dostępu do nich osobom niepowołanym. 'Kryptografia' ogranicza się do przekształcania informacji za pomocą jednego lub więcej ,,tajnych parametrów" (np. szyfrów) i/lub związanego z tym zarządzania kluczami. Uwaga: 'tajny parametr': wartość stała albo klucz trzymany w tajemnicy przed osobami postronnymi albo znany wyłącznie pewnej grupie osób".

Istnieją dwa [5] rodzaje szyfrowania za pomocą tej techniki:
a) szyfrowanie symetryczne - w tym przypadku klucz za pomocą którego dane zostaną zmodyfikowane jest niezbędny do odczytania ich (jest zarazem kluczem deszyfrującym). Problemem pozostaje jednak sposób dostarczenia adresatowi klucza. Nadawca nie powinien wysyłać go wraz z danymi ponieważ może on zostać przejęty w trakcie transmisji. Klucz powinien zostać przekazy w sposób bezpieczny, uniemożliwiający dostęp osobom trzecim;
b) szyfrowanie asymetryczne (szyfrowanie z kluczem publicznym) - klucz szyfrujący i deszyfrujący różnią się; jeden jest udostępniany np. w Internecie (jest publicznie znany); natomiast drugi jest znany jedynie użytkownikowi. Metoda ta eliminuje niebezpieczeństwa związane z przesyłaniem klucza tym samym kanałem co wiadomość.

Jeśli osoba A chce przesłać do B wiadomość używa klucza publicznego użytkownika B "ściągniętego" z dostępnej dla wszystkich bazy kluczy. B posiada klucz Prywatny i jako jedyny jest w stanie rozszyfrować wiadomość (nie może tego zrobić nawet nadawca). Metoda ta oparta jest na matematycznym związku pomiędzy dwoma kluczami. Pierwszy raz została ona zastosowana w roku 1977 jako system RSA[6].

Rola jaką spełnia kryptografia jest dyskusyjna. Z jednej strony podnosi się jej zasługi dla tworzenia bezpiecznego rynku elektronicznego. System informatyczny narażony jest na ataki [7] pasywne (np. podsłuch elektroniczny) i aktywne (usunięcie informacji, modyfikacja, przekierowanie informacji). Kryptografia chroni przed modyfikacją i ujawnieniem informacji. Może mieć zastosowanie przy realizowaniu postanowień ustawy o ochronie danych niejawnych z dnia 22 stycznia 1999r.

Wg zaleceń [8] UOP dotyczących bezpieczeństwa teleinformatycznego:
"Do ochrony informacji niejawnych zaleca się stosowanie sprzętowych rozwiązań kryptograficznych; oprogramowanie kryptograficzne może być stosowane pod warunkiem: wykorzystania sprzętowych nośników kluczy kryptograficznych zastosowania odpowiedniej ochrony fizycznej dokładnego przestrzegania procedur bezpiecznej eksploatacji"

Kryptografia nie tylko chroni informacje ale także uwiarygodnia je. Powiązana z anonimowością użytkownika sieci komputerowej zabezpiecza jego prywatność. Obecnie nie wiemy w jaki sposób zostaną wykorzystane informacje, które podajemy podczas pobytu w Internecie. Istnieje obawa iż zostaną one wykorzystane niezgodnie z naszymi oczekiwaniami. Co prawda przypadków, w których jesteśmy zobowiązani do podania naszych szczegółowych danych osobowych jest stosunkowo mało. Chodzi przede wszystkim o zakupy za pomocą Internetu. Dopóki klienci nie będą pewni że informacje podane w trakcie transakcji nie dostaną się w ręce osób nieuprawnionych handel elektroniczny nie będzie w stanie wykorzystać swojego całego potencjału. Udokumentowane bowiem zostały przypadki, gdy w sieci komputerowej oferowano bazy danych z informacjami dotyczącymi klientów firm wysyłkowych, banków. W Internecie istnieją strony na których można znaleźć numery kart kredytowych, które mogą być używane przy wyłudzaniu towarów on-line.

W wielu przypadkach użycie kryptografii chroni jednostkę przed represjami ze strony państwa. Chodzić może na przykład o zgłaszanie incydentów związanych z naruszeniem praw człowieka podczas konfliktów zbrojnych - przykładem może być zgłaszanie incydentów związanych z prawami człowieka podczas konfliktu w Kosowie. Z drugiej wskazuje się na jej użyteczność przy popełnianiu przestępstw. Warto wspomnieć o możliwościach przestępczego wykorzystania technik kryptograficznych. Poza wieloma korzyściami jakie przynosi ze sobą rozwój informatyki nie można zapominać o drugiej stronie medalu. Obiektywnie należy zauważyć iż tani dostęp, szybkość przesyłania danych, ogólnoświatowy charakter sieci komputerowych umożliwia popełnianie coraz to nowych przestępstw - hacking, wirus komputerowy. Również "tradycyjne" przestępstwa, znane już od lat (oszustwo) znalazły w ten sposób nowe możliwości. Pomijając szczegółową problematykę przestępczości komputerowej kryptografia umożliwia zorganizowanym grupom przestępczym lub terrorystycznym na porozumiewanie się bez obawy iż informacje zostaną przejęte przez organy ścigania.

W niektórych przypadkach może to komplikować dochodzenia, ponieważ nawet po przechwyceniu danych policja nie zawsze będzie zdolna do złamania kodu szyfrującego

Hamas używa kryptografii do przesyłania map, zdjęć i innych detali dotyczących przyszłych celów ataków terrorystycznych. Niektórzy hackerzy używają technik szyfrujących, aby ich komunikacja na kanałach IRC nie była przeglądana przez postronne osoby. Wspomina się też o przypadku, gdy hacker używał zaszyfrowanych wiadomości w trakcie próby sprzedaży skradzionych uprzednio 100.000 numerów kart kredytowych. W 1997 techniki szyfrujące zostały użyte przez Adama Pletchera przy wysyłaniu gróźb właścicielowi firmy Microsoft, Billowi Gatesowi. Używając popularnych narzędzi kryptograficznych wysłał on Gatesowi wiadomość żądając wpłacenia na konto banku w Luxemburgu 5,246,827.62 $.

Wyżej przedstawione przykłady [9] wskazują na możliwości przestępczego użycia kryptografii. W Polsce jak dotąd nie zdarzyła się głośna sprawa kryminalna z użyciem technik szyfrujących. Technika kryptograficzna budzi jeszcze wiele sporów i kontrowersji. Niniejszy artykuł miał przybliżyć jedynie w zarysie tę problematykę, pominąłem między innymi regulacje dotyczące handlu technikami szyfrującymi (eksport, import).

Krzysztof Gienas

1. Europe and Asia Play Catch-up with US;
http://www.e-land.com/estats/011100_wwinternetuse.html;
2. M. Maniecki "Społeczne zagrożenia i szanse związane z nowymi technikami" 2000 referat przedstawiony na konferencji VI Forum Teleinformatyki E-Forum: Polska Internetowa;
3. D. McCullagh "Big Brother,Big 'Fun' at Amazon" WiredNews 25 sierpnia 1999 http://www.wired.com J. Litman; Information Privacy/Information Property; Standfor Law Review (2000);
4. Y. Akdeniz,C. Bowden "Cryptography and Democracy: Dillemas of Freedom" w: "Liberating Cyberspace: Civil Liberties, Human Rights and the Internet" London 1999;
5. B. Fisher "Przestępstwa komputerowe i ochrona informacji" Wyd. Zakamycze 2000;
6. Y. Akdeniz, C. Bowden " Cryptography and Democracy: Dillemas of Freedom" w: "Liberating Cyberspace: Civil Liberties, Human Rights and the Internet" London 1999;
7. P. Luksic "Sprzętowe środki kryptograficznej ochrony informacji" 2000 referat przedstawiony na konferencji VI Forum Teleinformatyki E-Forum:Polska Internetowa; 8. Za P. Liksic "Sprzętowe..."
9. Przykłady podane za D.Denning "Hiding Crimes in Cyberspace" 1999; wersja elektroniczna artykułu dostępna jest na stronie prof. Denning;