Какви потребителски данни могат да получат федералните правоприлагащи органи на САЩ от доставчиците на услуги за криптирани съобщения?
Неотдавна оповестен документ от януари 2021 г. на Федералното бюро за разследване (ФБР) предоставя кратко обобщение по отношение на девет различни приложения за "защитени съобщения". От него става ясно, че със съдебен процес ФБР може да получи различни видове метаданни, а в някои случаи дори и съхранено съдържание на съобщения. Точно това, което е на разположение, обаче, варира значително в зависимост от приложението. Документът от една страница трябва да даде полезни насоки на хората, които се грижат за неприкосновеността на личния живот - включително журналисти, информатори и активисти - като същевременно помогне да се разсеят погрешните схващания относно възможностите на ФБР за наблюдение (или липсата на такива) в контекста на криптираните съобщения. Поздравления за нестопанската организация с нестопанска цел " Собственост на хората " ( Property of the People - POTP), ръководена от "гуруто на FOIA" Райън Шапиро и неуморния адвокат Джефри Лайт, за получаването на този запис по Закона за свобода на информацията.
Документът е датиран на 7 януари 2021 г. и в него се посочва, че отразява възможностите на ФБР към ноември 2020 г. Приложенията, включени в таблицата, са iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (собственост на Meta, fka Facebook) и Wickr (което беше придобито от AWS през юни). Повечето от тези приложения - iMessage, Signal, Threema, Viber, WhatsApp и Wickr - в края на краищатакриптират съобщенията по подразбиране. Що се отнася до останалите, Telegram използва по подразбиране криптиране от край до край (E2EE) в някои контексти, но не и в други. E2EE е включено по подразбиране в по-новите версии на LINE, но може да не е включено в по-старите клиенти. А WeChat, собственост на китайския гигант Tencent, изобщо не поддържа криптиране от край до край (само криптиране от клиент към сървър). Това отклонение може да обясни защо в документа приложенията се наричат "сигурни", а не "E2EE".
Какви потребителски данни може да получи ФБР?
Графиката показва разликите в това колко данни събират и съхраняват различните услуги за потребителите и техните комуникации - и съответно какви данни ще предоставят на правоприлагащите органи при наличие на валидна заповед, призовка или съдебно разпореждане. (Помислете, например, за заповед, с която се изисква "всички записи", с които разполага доставчикът и които се отнасят до даден потребител: колкото повече информация съхранява за своите потребители, толкова повече може да бъде поискано от него да предостави на правоприлагащите органи.) Това варира от минималната информация, налична от Signal и Telegram, до основната информация за абонатите и други метаданни, които няколко услуги разкриват на ФБР, и дори "ограничено" съдържание на съхранени съобщения от три от деветте приложения: LINE (което, както беше казано, все още поддържа чатове, които не са свързани с E2EE), iMessage и WhatsApp.
Последната част може да се окаже изненада за някои потребители на iMessage и WhatsApp, като се има предвид, че става дума за E2EE съобщения. Вярно е, че E2EE прави съобщенията на потребителите недостъпни за правоприлагащите органи по време на пренасянето им, но за съхранението в облака е друго. Ако потребителят на iMessage е включил архивиране в iCloud, копие на ключа за криптиране се архи вира заедно със съобщенията (за целите на възстановяването) и ще бъде разкрито като част от връщането на заповедта на Apple, което ще позволи съобщенията да бъдат прочетени. Съобщенията в WhatsApp могат да бъдат архивирани в iCloud или Google Drive, така че заповед за претърсване на една от тези облачни услуги може да доведе до получаване на данни от WhatsApp, включително съдържанието на съобщенията (въпреки че заповед за претърсване на WhatsApp няма да върне съдържанието на съобщенията). (WhatsApp наскоро започна да въвежда опцията за архивиране на съобщенията в облака E2EE, поради което таблицата на ФБР е малко по-актуална.)
Въпреки че е възможно да се събере част от информацията в таблицата, като се прегледа публичната документация на производителите на приложения и наказателните дела на съдилищата, ФБР удобно я е събрало в една прегледна страница. За вас това може да е стара новина, ако сте запознати както със закона, уреждащ поверителността на електронните съобщения, така и с техническите нюанси на избраното от вас приложение за криптирани съобщения. Това може да описва много от читателите на Just Security и репортерите, занимаващи се с правителствено наблюдение, но вероятно не отразява мисловния модел на средния потребител за това как работи една услуга за съобщения E2EE.
Графиката също така разкрива подробности, за които производителите на приложения не говорят открито, ако изобщо говорят, в своите публично достъпни насоки относно исканията на правоприлагащите органи. Със заповедта WhatsApp ще разкрие кои потребители на WhatsApp имат целевия потребител в адресните си книги - нещо, което не се споменава на страницата с информация за правоприлагащите органи на WhatsApp. А Apple ще предостави 25-дневни справки в iMessage до и от целевия номер, независимо дали е имало разговор, което е описано в насоките на Apple за правоприлагането, но е необходимо малко ровене, за да се разбере, тъй като нито ФБР, нито Apple обясняват какво означава това на разбираем английски език. Във всеки случай компанията разкрива списък с други свои потребители, които имат информация за контакт с целевия потребител, независимо дали целевият потребител е комуникирал с тях или не. (Ако други услуги за изпращане на съобщения имат практика да разкриват подобна информация, това не е отразено в таблицата). Тези подробности подчертават широкия обхват на американския закон за електронно наблюдение, който позволява на разследващите да изискват всякакви "записи или друга информация, отнасяща се до [целеви] абонат" в отговор на заповед 2703(d) или заповед за обиск. Въпреки че Apple и Meta се борят за неприкосновеността на личния живот на потребителите срещу прекомерните искания на правителството, законът все пак превръща много потребителски данни в честна игра.
Популярни погрешни схващания за поверителността на съобщенията
Накратко, за обикновения човек не е лесна задача да разбере точно каква информация от приложенията му за съобщения може да попадне в ръцете на федералните следователи. Не само че различните приложения имат различни свойства, но и създателите им нямат голям стимул да бъдат откровени по отношение на тези подробности. Както показва таблицата на ФБР, пазарът на безплатни, сигурни приложения за съобщения е доволно пренаселено и конкурентно поле. Доставчиците искат да създадат у настоящите и бъдещите потребители впечатлението, че тяхното приложение е на първо място по отношение на сигурността и поверителността на потребителите, независимо дали те се притесняват от злонамерени хакери, правителства или от самия доставчик. Доставчиците са се научили да внимават да не преувеличават свойствата на сигурността на своите услуги, но залагат на това, че маркетинговото копие ще привлече повече внимание от техническите бели книги или докладите за прозрачност.
В това отношение стимулите на създателите на приложения съвпадат с тези на ФБР. Като се има предвид дългогодишната кампания на ФБР срещу криптирането, то се оказва странен партньор на доставчиците на криптирани услуги, които е осъждало поименно в публични изказвания. Но както доставчиците на услуги, така и ФБР се възползват от популярното погрешно схващане, което подценява потребителските данни, достъпни за разследващите от някои E2EE услуги. Това погрешно схващане едновременно поддържа имиджа на доставчиците в очите на потребителите, които се грижат за неприкосновеността на личния живот, и същевременно поддържа тезата на ФБР, че "преминава в тъмнина" при криминалните разследвания поради криптирането.
Въпреки че това неразбиране може да помогне на разследващите органи, то може да има значителни последици за техните цели. Не само обикновените престъпници, но и журналистите и техните източници, лицата, подаващи сигнали за нередности, и активистите зависят много от избора си на комуникационна услуга.
Както е отбелязано в статията на Rolling Stoneза диаграмата на ФБР, метаданните от WhatsApp са били ключови за ареста и осъждането на Натали Едуардс, бивш служител на Министерството на финансите на САЩ, която е изнесла вътрешни документи на репортер, с когото е обменила стотици съобщения по WhatsApp. Едуардс (а вероятно и репортерът, който е дължал на Едуардс етично задължение за защита на източника) е вярвала, че WhatsApp е безопасен за комуникация между журналист и източник. Това погрешно разбиране е коствало свободата на Едуардс.
Реалността зад мита
Благодарение на Закона за свобода на информацията и неговите ревностни ученици от POTP обществеността вече може да види вътрешния документ на ФБР, който точно обобщава реалността зад мита. Той показва, че въпреки твърденията си за "затъмняване" ФБР може да получи забележително количество потребителски данни от приложения за съобщения, които общо имат няколко милиарда потребители по света. (Възможността да се проверяват публичните твърдения на правителството спрямо неговите вътрешни изявления е една от причините, поради които публичният достъп до правителствени документи, смисълът на съществуването на ПОТП, е толкова важен). Той показва ролята, която съхранението в облака и метаданните играят за смекчаване на въздействието на криптирането от край до край върху наблюдението на комуникациите в реално време. И показва кои популярни E2EE услуги за съобщения наистина не знаят почти нищо за своите потребители.
Ако потребителите смятат, че криптираните приложения, които използват, не съхраняват много информация за тях, графиката на ФБР показва, че това убеждение до голяма степен е невярно. С някои изключения много от големите E2EE услуги за съобщения предават всякакви данни на федералните правоприлагащи органи, а архивирането в облака може да позволи дори разкриването на съхранените съобщения, изпратени от две от най-големите E2EE приложения за съобщения. Дори ако малко или нищо от това, което се съдържа в документа, не е истинска новина, все пак е полезно да се види, че то е изложено толкова кратко на една страница. Ако сте загрижени за поверителността на съобщенията, използвайте тази таблица (заедно с ръководства за поверителност и сигурност, специфични за вашата ситуация, например за журналистика или протести), за да ви помогне да решите кое приложение е най-доброто за вас - и да го споделите и с хората, с които общувате. По този начин ще можете да вземете по-информирано решение за това кое(и) приложение(я) да запазите (и кое(и) да оставите).
