Франция арестува Павел Дуров, изпълнителен директор на Телеграм, чат-приложение за криптирана комуникация, защото системно е допускал незаконна дейност да бъде организирана чрез приложението. Немалка част от реакциите на ареста са, че Франция нарушава свободата на словото, защото Дуров е отказвал да цензурира мнения в платформата. Това не е така, а темата е доста по-сложна, и тъй като следя развитието на Телеграм отдавна, и разбирам от киберсигурност, киберпрестъпления и криптография, нека да споделя някои нюанси и детайли.
Първо, доколкото става ясно от медийните публикации, арестът е за системно допускане на организиране на престъпна дейност чрез приложението. В Телеграм, за разлика от много други криптирани чат-приложения, има т.нар. „канали“ – нещо като фейсбук страниците. Има публични канали, има скрити канали. Каналите са различни от междуличностната кореспонденция, в която потребител 1 пише на потребител 2 и не иска никой: правителства, служби или някой друг да му чете кореспонденцията. (Важен детайл: по подразбиране комуникацията в Телеграм не е криптирана открай до край, т.е. Телеграм може да ви чете съобщенията). Каналите са инструменти за разпространение на информация и организиране на работата на широк кръг хора.
За каналите, в правото на Европейския съюз (а и не само – и на САЩ напр.), действа т.нар. safe harbor – никой онлайн доставчик не носи отговорност за съдържанието, което потребители публикуват, дори то да е незаконно и свързано с престъпна дейност, докато не получи заявка за неговото сваляне. Ако някой качи във Фейсбук, Телеграм или на друго място изтекли пароли, които да се ползват за хакерски атаки, или за разпространение на документи с лични данни, които да се ползват за т.нар. doxing (тормоз на хора чрез детайли от личния им живот), детска порнография, информация за прилагане на криптовируси (ransomware), DDoS-като-услуга, то съответната платформа не носи отговорност, докато някое МВР не ѝ каже, често след разрешение от съд: „това представлява престъпление и трябва да бъде свалено“. Тогава чак платформата го сваля (след преценка дали действително е такова или е злоупотреба от съответното МВР), и евентуално предоставя данни, ако има такива, на лицата, замесени в престъплението, в рамките на приложимия режим на международна правна помощ.
Друг инструмент са групите. Там също може да се развива нелегална дейност, поради което правоохранителните органи опитват да ги инфилтрират. Там също може да се приложат исканията за сваляне на съдържание, но границата е по-тънка. Ако протоколът за криптиране е реализиран добре, Телеграм не би трябвало да има достъп до това съдърбание.
Моята информация е, че именно чрез канали и групи в Телеграм се извършват доста от гореописаните престъпни дейности. И че Телеграм системно отказва както свалянето на такава информация, така и разкриването на данни за извършителите. Ако френският наказателен кодекс предвижда лична отговорност за представляващите съответната платформа (каквато се явява Телеграм), тогава съдът да прецени, на база на изнесените доказателства, доколко Телеграм системно е допускал незаконни дейности, въпреки, че е бил известяван от органите на реда, и доколко е отказвал да разкрие информация за престъпници, съгласно правилата за международна правна помощ.
Това в никакъв случай не значи, че криптираните чат-приложения трябва да се ограничат, забранят, да се въведе задължителна модерация на лична комуникация и т.н. Телеграм и други подобни приложения не разполагат изобщо с достъп до съдържанието, което се споделя чрез тях при директната комуникация, тъй като то е криптирано „от край до край“. И това трябва да остане така. Всеки опит това да бъде отслабено трябва да бъде спиран.
Нещо такова се случва в момента с проект на регламент на ЕС, в който с оглед борбата с насилието над деца, се предвижда чат-приложенията да сканират снимки преди тяхното изпращане, за засичане на незаконно съдържание (напр. детска порнография). Моята позиция, изразено вкл. писмено в няколко парламентарни въпроса до МВР е, че този текст в проекта на регламент не може да бъде подкрепян, защото с правилната цел за ограничаване на споделянето на незаконно съдържание, се отваря кутията на пандора – всяка снимка да бъде проверявана, което значи потенциално да бъде изпращана на някой централен сървър, който подлежи на подслушване и контрол, което елиминира гаранциите на криптирането „от край до край“ и съответно неприкосновеността на кореспонденцията. Такава беше и позицията на Европейския парламент, и на много държави членки, поради което тази част на регламента не намира подкрепа и вероятно няма да бъде приета.
В обобщение на тази част, ако обвиненията на френските власти са за липса на намеса в директната криптирана комуникация, то те ще се разпаднат. Ако е, както подозирам, за отказ от реакция във връзка с телеграм каналите, тогава не става дума за засягане на неприкосновеността на личната кореспонденция.
Няколко детайла от историята на Телеграм. Комуникацията не е криптирана „от край до край“ по подразбиране, а само ако изрично някоя страна пожелае. Това означаваше, че хората си мислят, че комуникират тайно, а всъщност Телеграм (и съответно – правоохранителните органи) имат достъп до съдържанието. Друг проблем на Телеграм беше, че алгоритъмът за криптиране, който използват, беше необичаен – без причина беше избран режим на международния стандарт (AES), който почти никой не използва. Притесненията тогава в криптографската общност бяха, че това е направено, защото нечии служби имат „задна врата“ за подслушване на комуникацията.
А чии може да се тази служби? Въпреки, че Дуров бяга от Русия, заради натиск от Кремъл, разграничава се от режима на Путин и се обявява за свобода на словото, от журналистически разследвания става ясно, че част от приложението се разработва от разработчици, намиращи се в в Санкт Петербург, в съседство с офиса на Вконтакте, притежавана от близък до Путин руски олигарх. От страна на Телеграм тогава липсват разумни обяснения както за избора на криптиращ алгоритъм, така и за разработчиците в Петербург. Впечатление прави и че руските държавни институции популяризират Телеграм, като го ползват за основен канал за комуникация с граждани, а в момента руското посолство вдига шум в защита на Дуров. Поради тези причини, по моя информация, руската опозиция не ползваше Телеграм.
Какви са отношенията на Телеграм с руската държава няма пряко отношение към дискусията за свободата на словото, но косвено смятам, че е важно, преди да провъзгласим някого за герой на свободното слово.
И накрая (защото знам, че сега ще тръгнат коментари как съм бил искал държавен контрол върху кореспонденцията) – ползвайте Signal. Ако Франция задържи напр. Мокси Марлинспайк, крипрограф и създател на Signal, както и на сигурния и публично проверен криптиращ протокол, ползван от Signal, тогава ще имаме сериозен проблем. Ако Signal не ви харесва, има достатъчно други опции за сигурна комуникация, която никой не може да подслушва – Threema, Wire и др. Особено в държави, в които властта злоупотребява с правомощията си, като България. Нямаме гаранция, че ДАТО, по разпореждане на някой политик, без разумно правно основание, не подслушва откритата комуникация и няма да я използва в удобен момент вбъдеще (помните подслушването на протестиращи).
Телеграм действително се ползва освен за легитимни цели, и за чисто престъпна дейност, нямаща нищо общо със свободата на личната кореспонденция и не трябва да смесваме двете неща – т.е. трябва да разграничим телеграм каналите, където се случва безнаказано престъпна дейност, от личната кореспонденция онлайн, с чиято неприкосновеност не може да има компромис по много причини.
Последният параграф кънти на кухо. Ако развивам престъпна дейност последством лична кореспонденция онлайн (без канали или други сървърни технологии) неприкосновен ли съм или подлежа на подслушване или трябва да арестуват Дуров щото аз престъпнича в интернет? Да не стане накрая да трябва да бутаме умните правителства, които са се загрижили прекалено много за нашата сигурност и да ни пазат да не престъпничим.
Няколко коментара:
1. Лично аз не съм чувал, че Telegram ОТКАЗВА да сътрудничи с правоохранителните органи и да разкрива данни за злосторници по съдебно решение. Ако съществуват такива прецеденти, би било добре да се предоставят линкове към тях.
2. Твърдението „той имаше офис близо до олигарх, значи сътрудничи с Путин“ е неоснователно и звучи конспиративно.
Има сериозни въпроси към Telegram:
• Сваляне на блокировката — никъде другаде не е било сваляно.
• Блокиране на бота на Навални без основателни причини.
• Етикети „фейк“ на опозиционни канали.
Но доказателства, че Дуров сътрудничи с путинския режим, няма. Вероятно щяха да бъдат налични, ако съобщенията се разкриваха.
3. Твърдението „руската опозиция не използва Telegram“ е напълно невярно, не казвайте такова нещо никога. Аз съм руснак, напуснах след Крим и съобщавам: ЦЯЛАТА руска опозиция използва Telegram. Почти 100%. Всички имат канали в този месинджър. Това е най-популярният месинджър сред руската опозиция.
Мисля че трябва да се коригират твърденията за криптирането в Телеграм, както доста подробно е обяснено от Matthew Green – https://blog.cryptographyengineering.com/2024/08/25/telegram-is-not-really-an-encrypted-messaging-app/
„If you want to use end-to-end encryption in Telegram, you must manually activate an optional end-to-end encryption feature called “Secret Chats” for every single private conversation you want to have. The feature is explicitly not turned on for the vast majority of conversations, and is only available for one-on-one conversations, and never for group chats with more than two people in them.“
Директно не може да се говори за някакво криптиране в групите или в каналите.
За нежеланието на социалните мрежи (Телеграм е повече мрежа отколкото messenger) да модерират нещо се знае отдавна, но моето мнение е че е въпрос на време посредством регулация.
Да не говорим и за странните и направо много притеснителните хвалби на Дуров че имат минимален брой персонал:
„[…]Durov tells right-wing personality Tucker Carlson that he is the only product manager at the company, and that he only employs “about 30 engineers.”
Източник – https://techcrunch.com/2024/06/24/experts-say-telegrams-30-engineers-team-is-a-security-red-flag/
И още една добавка – в каналите не може да се обсъжда, защото са еднопосочни – собственикът на канала пише, а абонатите на канала четат. Обсъждане има само в групите. Каналите имат доста ограничения – например собственикът на канала няма информация дали даден абонат го чете, какво чете и колко.
Така е, коригирах това изречение.
За популяризиране – ползва. За тайна комунилация – не мисля.
А за отказите да сътрудничи съм чувал доста.
С развитието на GPU компонентите, които са все по-мощни и оптимизирани за AI в по-новите устройства (мобилни, лаптопи и тн), в скоро време вероятно ще е възможна проверката на снимки/видеа за порнографско съдържание да се извършва client-side, без да е нужно например снимка да се изпраща до отделен сървър. Според мен това е бъдещето на контрола на съдържание, без да се нарушават privacy гаранции.
Телеграм се използва за престъпни цели от много години (в това число терористична пропаганда, търговия с наркотици, фалшиви пари и документи, киберпрестъпления и др.), най-вече заради почти нулевото сътрудничество на платформата с правооохранителните органи, съчетано с опцията за криптирана комуникация между потребителите, която остава недостъпна дори за Телеграм.
Съгласен съм с г-н Божанов, че тайната на личната кореспонденция е неприкосвено човешко право. Използването на приложения за криптирана комуникация са гарант за това право.
Но не съм съгласен с това, че с личната кореспонденция онлайн (вкл чрез криптирани приложения) не трябва да се прави компромис по никакъв повод. Напротив, чл. 34 ок Конституцията е ясна и еднозначна в това отношение. По този повод, компримиси трябва да има, като обикновено те са упоменати в специални закони (НК, ЗСРС и т.н.).
Държави-членки на Европейския съюз, които са далеч по-развити и ефективни в разследването на тежка и организирана престъпност и корупция, притежават законови и технически механизми за контрол над кореспонденция, осъществявана посредством приложения за криптирана комуникация. Естествено, подобни мерки се прилагат от правоохранителните органи с разрешението и под надзора на компетентен съд.
Моят въпрос е: КОЙ? няма интерес от предприемане на подобни законови и технически механизми и в България?
Много информативен пост. Благодаря!
Категорично съм несъгласен с казаното от Георги. Ако сканирането се извършва на client-side, това не спира компанията да промени параметрите за търсене. Тогава ще могат да следят за какъвто тип съдържание решат. Тази функция е троянски кон и трябва да се възпира с всички сили. Заради петимата педофила, които ще хванат с тази технология не си струва всички останали потребители да жертват сигурността и неприкосновеността на комуникациите си. Обратно, не искам да си снимам детето на плажа и автоматичнно да влезна в правителствен watchlist заради фалшиво позитивни резултати на бота.
До незапозната: Никой няма интерес от предприемане на подобни законови и технически механизми и в България. Никой нормален човек не иска ДАНС да му слухти кореспонденцията. Техен си е проблема как ще намират информация да се борят с ИСИС и без друго нищо не правят, нямам намерение да им разширяваме правомощията. Напротив – предлагам да закрием НСО и подобно остатъци от УБО за да не се злоупотребява дори на дребно и едновременно да разширим правата и свободите на обикновените хора по подобие на американската конституция, примерно свободно да псуваме фуражките или президента, защо не?