SG.hu
A Microsoft titkosítási kulcsokat adott át az FBI-nak
Az FBI egy guami csalási ügy kapcsán fordult a Microsofthoz, és bírói végzéssel kérte a vállalatot, hogy adja át azokat a helyreállító kulcsokat, amelyekkel hozzá lehet férni három, BitLockerrel titkosított laptopon tárolt adatokhoz.
A nyomozás a COVID-időszakban folyósított munkanélküli segélyekkel kapcsolatos visszaélések gyanújához kötődött. A Microsoft eleget tett a kérésnek, és átadta az adatfeloldáshoz szükséges kulcsokat. Ez a lépés azért váltott ki komoly visszhangot, mert a nagy technológiai vállalatok az elmúlt években rendszerint ellenálltak az ilyen jellegű megkereséseknek. A legismertebb példa a 2016-os san bernardinói terrortámadás utáni ügy, amikor az FBI az Apple-t próbálta rákényszeríteni arra, hogy segítsen feltörni az elkövetők egyikének iPhone-ját. Tim Cook vezérigazgató akkor határozottan visszautasította a kérést, arra hivatkozva, hogy egy ilyen eszköz megteremtése veszélyes precedenst teremtene, és alapjaiban ásná alá a felhasználók biztonságát. Az FBI végül egy külső cég segítségével jutott be a készülékbe, majd ejtette az ügyet.
A konfliktus idején az Apple mögé sorakozott fel a technológiai szektor jelentős része, köztük a Google és a Facebook is, és még a Microsoft is támogatta Cook álláspontját, ha nem is olyan élesen, mint egyes versenytársai. Ehhez képest a mostani ügyben a Microsoft más utat választott. A cég megerősítette, hogy „érvényes jogi megkeresés esetén biztosítja a BitLocker helyreállító kulcsokat”. Charles Chamberlayne, a vállalat szóvivője elmondta, hogy a Microsoft jogszabályi kötelezettsége alapján köteles kiadni azokat a kulcsokat, amelyeket a saját szerverein tárol. Hozzátette, hogy a felhasználók több lehetőség közül választhatnak: dönthetnek úgy, hogy a titkosítási kulcsokat kizárólag helyben, a Microsoft számára hozzáférhetetlen módon tárolják, de választhatják a vállalat felhőszolgáltatását is. Utóbbi kényelmesebb megoldás, mert adatvesztés esetén lehetővé teszi a helyreállítást, ugyanakkor a szóvivő szerint is „a kulcshelyreállítás kényelmet nyújt, de magában hordozza a nem kívánt hozzáférés kockázatát”.
Ez a kettősség áll a vita középpontjában. A Microsoft érvelése szerint nem hátsó ajtót épített a rendszerbe, hanem egy olyan szolgáltatást nyújt, amelyet a felhasználók önként vesznek igénybe. Ha valaki a kulcsokat a cég felhőjében tárolja, akkor azok jogi eljárás keretében hozzáférhetővé válhatnak az állami szervek számára. Kritikusai viszont azt hangsúlyozzák, hogy az átlagfelhasználók többsége nincs tisztában ennek a következményeivel, és a kényelem érdekében olyan kompromisszumot köt, amely végső soron az adatvédelem rovására megy.
Ron Wyden oregoni szenátor különösen élesen bírálta a gyakorlatot. Szerinte fogalmazott, hogy „felelőtlen”, ha vállalatok „titokban átadják a felhasználók titkosítási kulcsait”. Wyden régóta a magánszféra és a digitális jogok védelmezője, és attól tart, hogy az ilyen ügyek normalizálják az állami hozzáférést olyan adatokhoz, amelyeket a felhasználók eredetileg biztonságosnak hittek.
A legkomolyabb aggodalmakat azonban a polgári jogi szervezetek fogalmazzák meg. Az Amerikai Polgárjogi Szövetség, az ACLU szakértői szerint nem pusztán az adott ügy a problémás, hanem az a precedens, amelyet teremt. A jelenlegi amerikai kormányzat, valamint egyes szövetségi szervek, köztük a bevándorlási hatóság, az ICE, a kritikusok szerint az elmúlt években kevéssé tanúsítottak tiszteletet az adatbiztonság és a jogállamiság iránt. Ez önmagában is növeli annak kockázatát, hogy a megszerzett hozzáféréseket túlterjeszkedve vagy nem kellő garanciákkal használják fel.
A félelmek azonban nem állnak meg az Egyesült Államok határainál. Jennifer Granick, az ACLU megfigyeléssel és kiberbiztonsággal foglalkozó jogásza arra figyelmeztetett, hogy ha a Microsoft egy amerikai hatóság kérésére átadja a kulcsokat, akkor „kérdéses emberi jogi múlttal rendelkező külföldi kormányok” is hasonló elbánást várhatnak el. Egy globális szolgáltató esetében ugyanis nehéz világos határvonalat húzni a különböző jogrendszerek között, különösen akkor, ha a vállalat maga is elismeri, hogy a felhőben tárolt kulcsokhoz jogi úton hozzá lehet férni.
A vita így messze túlmutat egyetlen guami csalási ügyön. Alapvető kérdéseket vet fel arról, hogy mit jelent valójában a titkosítás a hétköznapi felhasználók számára, és mennyire lehet megbízni abban, hogy az adatok valóban csak az ő ellenőrzésük alatt maradnak. A technológiai cégek az elmúlt években gyakran hivatkoztak a végponttól végpontig terjedő titkosításra mint a digitális biztonság egyik alapkövére, most azonban egyre több jel utal arra, hogy a gyakorlat sokkal árnyaltabb. Miközben a bűnüldöző szervek azzal érvelnek, hogy a titkosítás nem válhat menedékké a csalók és bűnözők számára, az adatvédelmi szakértők szerint minden egyes engedmény tovább gyengíti a felhasználók biztonságát. A Microsoft döntése azt sugallja, hogy a kényelem és a jogi megfelelés előnyt élvezhet a szigorú adatvédelemmel szemben, ami hosszú távon alááshatja a digitális szolgáltatásokba vetett bizalmat.
A nyomozás a COVID-időszakban folyósított munkanélküli segélyekkel kapcsolatos visszaélések gyanújához kötődött. A Microsoft eleget tett a kérésnek, és átadta az adatfeloldáshoz szükséges kulcsokat. Ez a lépés azért váltott ki komoly visszhangot, mert a nagy technológiai vállalatok az elmúlt években rendszerint ellenálltak az ilyen jellegű megkereséseknek. A legismertebb példa a 2016-os san bernardinói terrortámadás utáni ügy, amikor az FBI az Apple-t próbálta rákényszeríteni arra, hogy segítsen feltörni az elkövetők egyikének iPhone-ját. Tim Cook vezérigazgató akkor határozottan visszautasította a kérést, arra hivatkozva, hogy egy ilyen eszköz megteremtése veszélyes precedenst teremtene, és alapjaiban ásná alá a felhasználók biztonságát. Az FBI végül egy külső cég segítségével jutott be a készülékbe, majd ejtette az ügyet.
A konfliktus idején az Apple mögé sorakozott fel a technológiai szektor jelentős része, köztük a Google és a Facebook is, és még a Microsoft is támogatta Cook álláspontját, ha nem is olyan élesen, mint egyes versenytársai. Ehhez képest a mostani ügyben a Microsoft más utat választott. A cég megerősítette, hogy „érvényes jogi megkeresés esetén biztosítja a BitLocker helyreállító kulcsokat”. Charles Chamberlayne, a vállalat szóvivője elmondta, hogy a Microsoft jogszabályi kötelezettsége alapján köteles kiadni azokat a kulcsokat, amelyeket a saját szerverein tárol. Hozzátette, hogy a felhasználók több lehetőség közül választhatnak: dönthetnek úgy, hogy a titkosítási kulcsokat kizárólag helyben, a Microsoft számára hozzáférhetetlen módon tárolják, de választhatják a vállalat felhőszolgáltatását is. Utóbbi kényelmesebb megoldás, mert adatvesztés esetén lehetővé teszi a helyreállítást, ugyanakkor a szóvivő szerint is „a kulcshelyreállítás kényelmet nyújt, de magában hordozza a nem kívánt hozzáférés kockázatát”.
Ez a kettősség áll a vita középpontjában. A Microsoft érvelése szerint nem hátsó ajtót épített a rendszerbe, hanem egy olyan szolgáltatást nyújt, amelyet a felhasználók önként vesznek igénybe. Ha valaki a kulcsokat a cég felhőjében tárolja, akkor azok jogi eljárás keretében hozzáférhetővé válhatnak az állami szervek számára. Kritikusai viszont azt hangsúlyozzák, hogy az átlagfelhasználók többsége nincs tisztában ennek a következményeivel, és a kényelem érdekében olyan kompromisszumot köt, amely végső soron az adatvédelem rovására megy.
Ron Wyden oregoni szenátor különösen élesen bírálta a gyakorlatot. Szerinte fogalmazott, hogy „felelőtlen”, ha vállalatok „titokban átadják a felhasználók titkosítási kulcsait”. Wyden régóta a magánszféra és a digitális jogok védelmezője, és attól tart, hogy az ilyen ügyek normalizálják az állami hozzáférést olyan adatokhoz, amelyeket a felhasználók eredetileg biztonságosnak hittek.
A legkomolyabb aggodalmakat azonban a polgári jogi szervezetek fogalmazzák meg. Az Amerikai Polgárjogi Szövetség, az ACLU szakértői szerint nem pusztán az adott ügy a problémás, hanem az a precedens, amelyet teremt. A jelenlegi amerikai kormányzat, valamint egyes szövetségi szervek, köztük a bevándorlási hatóság, az ICE, a kritikusok szerint az elmúlt években kevéssé tanúsítottak tiszteletet az adatbiztonság és a jogállamiság iránt. Ez önmagában is növeli annak kockázatát, hogy a megszerzett hozzáféréseket túlterjeszkedve vagy nem kellő garanciákkal használják fel.
A félelmek azonban nem állnak meg az Egyesült Államok határainál. Jennifer Granick, az ACLU megfigyeléssel és kiberbiztonsággal foglalkozó jogásza arra figyelmeztetett, hogy ha a Microsoft egy amerikai hatóság kérésére átadja a kulcsokat, akkor „kérdéses emberi jogi múlttal rendelkező külföldi kormányok” is hasonló elbánást várhatnak el. Egy globális szolgáltató esetében ugyanis nehéz világos határvonalat húzni a különböző jogrendszerek között, különösen akkor, ha a vállalat maga is elismeri, hogy a felhőben tárolt kulcsokhoz jogi úton hozzá lehet férni.
A vita így messze túlmutat egyetlen guami csalási ügyön. Alapvető kérdéseket vet fel arról, hogy mit jelent valójában a titkosítás a hétköznapi felhasználók számára, és mennyire lehet megbízni abban, hogy az adatok valóban csak az ő ellenőrzésük alatt maradnak. A technológiai cégek az elmúlt években gyakran hivatkoztak a végponttól végpontig terjedő titkosításra mint a digitális biztonság egyik alapkövére, most azonban egyre több jel utal arra, hogy a gyakorlat sokkal árnyaltabb. Miközben a bűnüldöző szervek azzal érvelnek, hogy a titkosítás nem válhat menedékké a csalók és bűnözők számára, az adatvédelmi szakértők szerint minden egyes engedmény tovább gyengíti a felhasználók biztonságát. A Microsoft döntése azt sugallja, hogy a kényelem és a jogi megfelelés előnyt élvezhet a szigorú adatvédelemmel szemben, ami hosszú távon alááshatja a digitális szolgáltatásokba vetett bizalmat.