Франция арестува Павел Дуров, изпълнителен директор на Телеграм, чат-приложение за криптирана комуникация, защото системно е допускал незаконна дейност да бъде организирана чрез приложението. Немалка част от реакциите на ареста са, че Франция нарушава свободата на словото, защото Дуров е отказвал да цензурира мнения в платформата. Това не е така, а темата е доста по-сложна, и тъй като следя развитието на Телеграм отдавна, и разбирам от киберсигурност, киберпрестъпления и криптография, нека да споделя някои нюанси и детайли.
Първо, доколкото става ясно от медийните публикации, арестът е за системно допускане на организиране на престъпна дейност чрез приложението. В Телеграм, за разлика от много други криптирани чат-приложения, има т.нар. „канали“ – нещо като фейсбук групите. Там може да се обсъждат всякакви теми от разнообразен кръг лица. Има публични канали, има скрити канали. Каналите са различни от междуличностната кореспонденция, в която потребител 1 пише на потребител 2 и не иска никой: правителства, служби или някой друг да му чете кореспонденцията. Каналите са инструменти за разпространение на информация и организиране на работата на широк кръг хора.
За каналите, в правото на Европейския съюз (а и не само – и на САЩ напр.), действа т.нар. safe harbor – никой онлайн доставчик не носи отговорност за съдържанието, което потребители публикуват, дори то да е незаконно и свързано с престъпна дейност, докато не получи заявка за неговото сваляне. Ако някой качи във Фейсбук, Телеграм или на друго място изтекли пароли, които да се ползват за хакерски атаки, или за разпространение на документи с лични данни, които да се ползват за т.нар. doxing (тормоз на хора чрез детайли от личния им живот), детска порнография, информация за прилагане на криптовируси (ransomware), DDoS-като-услуга, то съответната платформа не носи отговорност, докато някое МВР не ѝ каже, често след разрешение от съд: „това представлява престъпление и трябва да бъде свалено“. Тогава чак платформата го сваля (след преценка дали действително е такова или е злоупотреба от съответното МВР), и евентуално предоставя данни, ако има такива, на лицата, замесени в престъплението, в рамките на приложимия режим на международна правна помощ.
Моята информация е, че именно чрез канали в Телеграм се извършват доста от гореописаните престъпни дейности. И че Телеграм системно отказва както свалянето на такава информация, така и разкриването на данни за извършителите. Ако френският наказателен кодекс предвижда лична отговорност за представляващите съответната платформа (каквато се явява Телеграм), тогава съдът да прецени, на база на изнесените доказателства, доколко Телеграм системно е допускал незаконни дейности, въпреки, че е бил известяван от органите на реда, и доколко е отказвал да разкрие информация за престъпници, съгласно правилата за международна правна помощ.
Това в никакъв случай не значи, че криптираните чат-приложения трябва да се ограничат, забранят, да се въведе задължителна модерация на лична комуникация и т.н. Телеграм и други подобни приложения не разполагат изобщо с достъп до съдържанието, което се споделя чрез тях при директната комуникация, тъй като то е криптирано „от край до край“. И това трябва да остане така. Всеки опит това да бъде отслабено трябва да бъде спиран.
Нещо такова се случва в момента с проект на регламент на ЕС, в който с оглед борбата с насилието над деца, се предвижда чат-приложенията да сканират снимки преди тяхното изпращане, за засичане на незаконно съдържание (напр. детска порнография). Моята позиция, изразено вкл. писмено в няколко парламентарни въпроса до МВР е, че този текст в проекта на регламент не може да бъде подкрепян, защото с правилната цел за ограничаване на споделянето на незаконно съдържание, се отваря кутията на пандора – всяка снимка да бъде проверявана, което значи потенциално да бъде изпращана на някой централен сървър, който подлежи на подслушване и контрол, което елиминира гаранциите на криптирането „от край до край“ и съответно неприкосновеността на кореспонденцията. Такава беше и позицията на Европейския парламент, и на много държави членки, поради което тази част на регламента не намира подкрепа и вероятно няма да бъде приета.
В обобщение на тази част, ако обвиненията на френските власти са за липса на намеса в директната криптирана комуникация, то те ще се разпаднат. Ако е, както подозирам, за отказ от реакция във връзка с телеграм каналите, тогава не става дума за засягане на неприкосновеността на личната кореспонденция.
Няколко детайла от историята на Телеграм. В първите години, комуникацията не е криптирана „от край до край“ по подразбиране, а само ако изрично някоя страна пожелае. Това означаваше, че хората си мислеха, че комуникират тайно, а всъщност Телеграм (и съответно – правоохранителните органи) имат достъп до съдържанието. Друг проблем на Телеграм беше, че алгоритъмът за криптиране, който използват, беше необичаен – без причина беше избран режим на международния стандарт (AES), който почти никой не използва. Притесненията тогава в криптографската общност бяха, че това е направено, защото нечии служби имат „задна врата“ за подслушване на комуникацията.
А чии може да се тази служби? Въпреки, че Дуров бяга от Русия, заради натиск от Кремъл, разграничава се от режима на Путин и се обявява за свобода на словото, от журналистически разследвания става ясно, че част от приложението се разработва от разработчици, намиращи се в в Санкт Петербург, в съседство с офиса на Вконтакте, притежавана от близък до Путин руски олигарх. От страна на Телеграм тогава липсват разумни обяснения както за избора на криптиращ алгоритъм, така и за разработчиците в Петербург. Впечатление прави и че руските държавни институции популяризират Телеграм, като го ползват за основен канал за комуникация с граждани, а в момента руското посолство вдига шум в защита на Дуров. Поради тези причини, по моя информация, руската опозиция не ползваше Телеграм.
Какви са отношенията на Телеграм с руската държава няма пряко отношение към дискусията за свободата на словото, но косвено смятам, че е важно, преди да провъзгласим някого за герой на свободното слово.
И накрая (защото знам, че сега ще тръгнат коментари как съм бил искал държавен контрол върху кореспонденцията) – ползвайте Signal. Ако Франция задържи напр. Мокси Марлинспайк, крипрограф и създател на Signal, както и на сигурния и публично проверен криптиращ протокол, ползван от Signal, тогава ще имаме сериозен проблем. Ако Signal не ви харесва, има достатъчно други опции за сигурна комуникация, която никой не може да подслушва – Threema, Wire и др. Особено в държави, в които властта злоупотребява с правомощията си, като България. Нямаме гаранция, че ДАТО, по разпореждане на някой политик, без разумно правно основание, не подслушва откритата комуникация и няма да я използва в удобен момент вбъдеще (помните подслушването на протестиращи).
Телеграм действително се ползва за чисто престъпна дейност, нямаща нищо общо със свободата на личната кореспонденция и не трябва да смесваме двете неща – т.е. трябва да разграничим телеграм каналите, където се случва безнаказано престъпна дейност, от личната кореспонденция онлайн, с чиято неприкосновеност не може да има компромис по много причини.
Материалът Нюанси относно Телеграм и ареста на Дуров е публикуван за пръв път на БЛОГодаря.