Na letošní konferenci OpenAlt se hodně skloňovalo téma snahy o oslabení šifrování a přístupu orgánů činných v trestním řízení k uživatelské komunikaci. Jeden plán byl zatím odložen, ale potichu se připravuje další a zřejmě ještě horší.
Co se dozvíte v článku
Marian Kechlibar: Špatní holubi se také vracejí
Chat control se nám pořád dokola vrací a vrací a my jsme nuceni jej neustále odrážet. Jim stačí vyhrát jednou, my musíme zvítězit pokaždé,
začal svou přednášku Marian Kechlibar. Kdykoliv nás někdo chce plošně sledovat, obvykle to zdůvodňuje terorismem a ohrožením dětí. Jiná zdůvodnění se vesměs neosvědčila, protože nemají správný emoční náboj.
Podobné snahy nejsou nijak nové, ale původně vznikaly na úrovni jednotlivých členských států. V Německu se o tom hovoří už skoro dvacet let.
V Německu se tehdy Pirátské straně podařilo dostat do médií a přijít s novými přístupy. Přišli s protesty, které zabránily snahám postavit německou obdobu čínského firewallu.
Orwell svůj slavný román 1984 nenapsal po zkušenostech se Sovětským svazem, kde nikdy nebyl, ale měl zkušenosti z Velké Británie. Je to jeden z mála států Evropy, kde můžete být uvězněni za to, že nesdělíte své heslo.
Tento stát se snažil mnohokrát prosadit zadní vrátka například do iPhone. Dvě největší strany měly dlouhodobě snahy posilovat státní moc.
Zároveň je to stát, kde se velmi daří drobnému zločinu.
Německo i Británie ilustrují případ států střední váhy, kdy to politiky neustále pokouší, ale převážně je to nad jejich síly. Malé státy nemají šanci po velkých firmách spolupráci vymoci vlastními silami. Velké státy jako Čína nebo Rusko firmy ke spolupráci buď přinutí nebo je vyženou z trhu.
Těžká váha Evropské unie
Kolektivní váha Evropské unie je mnohem větší než u jednotlivých států střední velikosti. Znamená to, že udělá-li chybu, je to velká chyba a není před ní úniku.
Navíc se dění v Bruselu nevěnuje taková pozornost, jako politice uvnitř států. Místní politice se věnuje větší pozornost a voliči si na ni dávají větší pozor.
Už v roce 2021 přišla první snaha o povinné skenování všech zpráv. Moc se o tom v médiích nepsalo, ale technologické firmy se ubránily samy. Nakonec vznikl kompromisní režim, kdy bylo skenování dobrovolné.
Po masivní vlně kritiky od toho ale například firma Apple brzy zase ustoupila. Podobný projekt u Googlu vyprodukoval řadu falešných pozitiv.
Je to stejný problém jako v medicíně: je-li nějaký jev velmi vzácný, skenování celé populace postrádá smyl.
Mimořádné úsilí upozorňovat na podobné problémy vyvíjí Patrick Breyer, což je bývalý poslanec Evropského parlamentu. Zpracovává spoustu dokumentů, upozorňuje na aktuální situaci a podobně. Vyplatí se sledovat jeho web.
Druhé kolo
Druhé kolo Chat control bylo představeno v květnu 2022, kdy se objevila snaha o změnu dobrovolného skenování zpráv na povinné. Hlavní iniciátorkou byla švédská eurokomisařka Ylva Johanssonová. V běžných médiích se o tom ale téměř nepsalo. Medializace je tu ale velmi důležitá, pokud se o tom veřejnost dozví, nelíbí se jí to.
Politici spatřují svou největší šanci v tom, že se nařízení podaří schválit potichu a bez větší pozornosti.
Roku 2023 se proti Chat control 2.0 zřetelně vyslovila německá vláda a dvě ze tří tehdejších koaličních stran. Obě tyto strany jsou celkem citlivé na témata občanských práv.
Naopak Francie byla nadšeně pro, protože to je už od Napoleonových časů centralizovaný stát. Také díky České republice se podařilo sestavit protestující menšinu a návrh byl odložen.
Snahy o další prosazení Chat control se objevují podle toho, kdo má právě předsednictví EU. Tentokrát přišel návrh hned první den dánského předsednictví.
Mluvilo se otevřeně o výjimkách: pro bezpečnostní složky, vysoké politiky, nejvýše postavené manažery a podobně. Zase to narazilo na odpor Německa, ale také jiných států.
Dánsko nakonec svůj návrh stáhlo a chce předložit další „dobrovolnou“ variantu. Pikantní je, že dánský politik Henrik Saas Larsen byl odsouzen za držení větší sbírky dětského porna.
Zřejmě proto byly do původního návrhu přidány zmíněné výjimky.
Není konec
Nesmíme si dělat iluze, že je s podobnými snahami konec. Tato loby je velmi vytrvalá a bude to zkoušet znovu.
Dalším připravovaným je návrh ProtectEU, která může přinést také řadu problémů.
Velká část problému je, že o těchto snahách lidé nevědí. Z Dánska pochází iniciativa FightChatControl.eu, která se snaží aktivně tlačit informace o připravovaných návrzích na plošné sledování. Většina lidí reaguje na podobné snahy negativně, zvlášť když jim řeknete, že jsou z toho vyjmuti politici.
Zajímavé je, že podpora Chat control není v Evropě nijak jasně rozložena mezi politické póly. Nemá smysl to mapovat na nějaké aktuální politické konflikty.
Musíme uvažovat v mezinárodním kontextu. Když je nějaký stát proti, neznamená to, že jsou proti všechny jeho složky.
Některé státy hodně lavírují a má smysl v tomhle směru komunikovat s jejich zástupci. Protestující většina se může mírně zvětšit a převážit.
V těchto zemích můžeme nějak pracovat a posilovat všeobecné povědomí a odpor.
Marcel Kolaja: Jak plánuje Evropská komise rozbít šifrování tentokrát?
Evropská komise už v červnu 2023 vytvořila High-Level Group, což je skupina zabývající se přístupem k datům z hlediska orgánů činných v trestním řízení. Má za úkol prozkoumat problémy, se kterými se tyto orgány denně potýkají,
vysvětlil na začátku své přednášky Marcel Kolaja. Chtějí získávat data, která pak mohou použít například v trestním řízení. Mají také hledat řešení, aby tyto orgány měly dostatek nástrojů pro boj se zločinem.
Cílem je zvýšení bezpečnosti v digitálním věku.
Skupina v květnu 2024 došla k závěrům, ze kterých vznikla sada doporučení. Jejich součástí je vytvoření další skupiny, která se bude zabývat tím, jak je technicky možné vytvořit nástroje umožňující přístup k datům, včetně šifrovaných.
Rada Evropské unie pak v červnu 2024 závěry potvrdila a dala jim prioritu a politický mandát.
Když zabezpečení není bezpečnost
V té době také proběhly volby do Evropského parlamentu a byla také sestavena nová Evropská komise. Nová komise je vedena stejnou předsedkyní, ale má úplně jiný politický program.
Hodně se skloňuje takzvaná „securitisation“, což je ale něco úplně jiného, než co by si představovali odborníci na počítačovou bezpečnost. Z definice to nezlepšuje bezpečnost, ale odstraňuje ji to.
Došlo k posunu sil a ve středu sedí Evropští lidovci, kteří nyní zastupují největší sílu a kolem ní se hledá politická shoda. Jejich zájmem je zajištění větší kontroly a tím i domnělé bezpečnosti.
Nový plán jménem ProtectEU
Prvního dubna 2025 zveřejnila Evropská komise novou strategii ProtectEU, která nahrazuje předchozí návrh European Security Union Strategy. Původní strategie vedla k návrhu, který získal pojmenování Chat control.
Součástí nové strategie ProtectEU je slib, že Komise představí technologický plán ohledně šifrování. Měla by zhodnotit technická řešení pro přístup orgánů činných v trestním řízení k šifrovaným datům.
Informace o dostupných řešeních by měly být k dispozici v roce 2026.
V červnu 2025 prezentovala komise důležitý výstup ze strategie ProtectEU, který definuje šest klíčových oblastí: ukládání dat (data retention), získání důkazů, digitální forenzní analýza, dešifrování dat, standardizace a použití AI. My se budeme zabývat dešifrováním dat.
Podle těchto plánů by Europol měl být do roku 2030 vybaven technickými schopnostmi pro dešifrování dat. Klíčovou záležitostí je skenování na klientské straně.
Jde o zásadní změnu strategie, protože politikům a dotčeným orgánům došlo, že veřejnost odmítá oslabování šifrování. To tu bylo diskutováno dekády, ale nikdy to nemělo úspěch.
Místo přímého útoku na šifrování samotné se celé šifrování obejde.
Skenování ještě před šifrováním
Na klientském zařízení by tedy podle aktuálního plánu měla být součást, která před zašifrováním obsahu provede jeho skenování. Typicky se debatuje o tom, že se spočítá haš, který se porovná s databází problematického materiálu.
Z bezpečnostního hlediska je to gigantický průšvih, protože to rozšiřuje pole možností pro útočníky. Práci s dešifrovanými daty je obecně potřeba minimalizovat, ne ji rozšiřovat.
Při takovém zpracování navíc dochází k mnoha chybám, například kvůli kolizi hašů. Takový systém nemůže spolehlivě fungovat a bude vytvářet obrovské množství falešně pozitivních hlášení.
Může jít o chybu, ale útočník může systém zaplavit falešnými hlášeními, které se můžou pro automat jevit jako závadný obsah.
V tuto chvíli máme důvod se obávat o oslabování bezpečnosti, ne přímo oslabováním šifrování, ale sledováním obsahu na koncovém zařízení. Není znám žádný způsob, jak zajistit přístup k šifrovaným datům, aniž by bylo ohroženo soukromí a bezpečnost. Klientské skenování neútočí na šifrování, ale přesto ho oslabuje.
Posunou se kvůli němu konce útoků, podobně jako bychom pasažéra v autě posadili před bezpečnostní pásy. Ty jsou naprosto v pořádku a neporušené, ale cestujícího v případě havárie nechrání.
Ohrožení pro celou Evropu
Taková změna může vést ke zpomalení inovací, protože se začnou firmy Evropské unii vyhýbat. Je to i obrovské riziko pro svobodný software, protože v něm není možné takové skenování zajistit.
Pokud budou uživatelé takové skenování považovat za chybu, můžou ji jednoduše opravit. Politici můžou přijít na to, že svobodný software je ohrožením celého plánu.
Silné šifrování je zásadní pro bezpečnost a chrání národní bezpečnost. Nelze selektivně oslabovat matematiku a nelze tvrdit, že takový postup zlepší bezpečnost.
Zvláštní přístup orgánů v trestním řízení oslabuje demokracii, protože oslabuje práva na soukromí a svobodu projevu. Pokud se debata rámuje špatně jako soukromí versus bezpečnost, obvykle soukromí prohrává.
Měli bychom ale poukazovat na to, že jde o soukromí a bezpečnost versus bezpečnost.
Soukromí a bezpečnost vs. bezpečnost
Pokud někdo tvrdí, že předáním přístupu orgánům v trestním řízení zvýšíme bezpečnost, můžeme jednoduše protiargumentovat tím, že to zároveň sníží bezpečnost v celé Evropě. Pokud je někdo terorista, nezajímá ho to, že bude ještě navíc porušovat nějaký zákon vynucující oslabení šifrování.
Z technického hlediska není možné oslabit šifrování a neohrozit přitom bezpečnost.
Orgány činné v trestním řízení argumentují tím, že přestávají vidět do komunikace, protože se vše šifruje. Realita je ale obrácená, žijeme v době šmírování, všichni zanecháváme spoustu elektronických stop.
Orgány by se tedy měly přizpůsobit a využívat všech dostupných možností. Často se ale hledá jednodušší cesta odkrýt úplně vše, než se zabývat řešením jednotlivých společenských problémů.
Je možné podporovat organizace, které se tímto problémem zabývají: Access Now, Internet Society, Article 19, Bits of Freedom, Electronic Frontier Foundation a EDRi. Tyto organizace spolupracují a předkládají politikům správné argumenty.
Jejich weby jsou dobrými zdroji informací o tom, co se právě v této oblasti děje. Je možné je podpořit také finančním darem, žádná se mu nebude bránit.
Každý občan může mluvit se zákonodárci, ministry nebo europoslanci. Ti všichni mají vliv na to, jaká legislativa se přijme.
Důležité je také mluvit s lidmi v okolí, aby se vědělo o tom, co se chystá.
(Autorem obrázků je Petr Krčmář.)
