Tietoturva: Tämä suunniteltu EU-laki voi olla valtava riski

Signal-säätiön johtajan mukaan sanamuotojen kaunistelu ei poista sitä tosiseikkaa, että EU:ssa puuhattu vaatimus rikkoisi viestien salauksen.

Euroopan unionissa on jo parin vuoden ajan väännetty lainsäädännöstä, joka pakottaisi teknologiayhtiöt käytännössä skannaamaan viestejä lapsipornon varalta. Kaavailtu lainsäädäntö on kohdannut vastustusta monelta taholta.

Viimeisimpänä hanketta moittii Meredith Whittaker, joka johtaa pikaviestipalvelu Signalin taustalla olevaa säätiötä. Whittaker kommentoi aihetta Signalin verkkosivuilla julkaistussa lausunnossa.

Whittakerin mukaan lainsäädäntö toteutuessaan tekisi hallaa viestien päästä päähän tapahtuvalle salaukselle. Esimerkiksi juuri Signalissa sekä Whatsappissa käyttäjien väliset viestit salataan niin, ettei mikään välikäsi pääse niitä tarkastelemaan.

EU:ssa kaavailtu lakialoite pakottaisi yhtiöt tarkastelemaan viestejä lapsipornomateriaalin varalta. Whittaker kuitenkin painottaa lausunnossaan, ettei tällainen sisällön tarkastelu ole mahdollista ilman, että viestien tosiasiallinen salaus menetetään ja luodaan ydinjärjestelmiin vaarallinen haavoittuvuus, jonka vaikutukset ovat maailmanlaajuiset.

Whittaker mainitsee, ettei sanamuotojen korjailu muuta tosiasioita. Ehdotuksen mukaan lapsipornoa skannattaisiin lähetysvaiheessa ja tätä kutsutaan ”latausmoderoinniksi”. Väitteen mukaan sisällön tarkastaminen ennen lähettämistä ja salausta ei vähentäisi salauksen tehokkuutta.

Whittakerin mukaan väite ei yksinkertaisesti ole totta. ”Retoriset pelit” eivät auta, sillä hänen mukaansa tekniikkaa voidaan kuvailla takaoveksi, etuoveksi tai vaikka juuri latausmoderoinniksi, mutta kaikissa tapauksissa syntyy haavoittuvuus, jota voivat käyttää hyväkseen niin hakkerit kuin pahantahtoiset valtiolliset toimijat.

Aiheesta uutisoineen Techcrunchin mukaan Euroopan komission toukokuussa 2022 tekemää ehdotusta ovat asettuneet vastustamaan monet Euroopan parlamentin jäsenet. Parlamentti on myös ehdottanut toisenlaista tapaa, jossa salausta käyttävät viestipalvelut jäisivät lapsipornoskannauksen ulkopuolelle.

Sen sijaan EU-maiden päämiehistä koostuva Eurooppa-neuvosto jatkaa edelleen sitkeästi aloitteen puolustamista. Se myös haluaa viestipalvelujen olevan mukana.

Viimeisin neuvoston ehdotus annettiin toukokuussa. Uusimman ehdotuksen mukaan viestipalvelujen käyttäjät voisivat suostua tai kieltäytyä sisältöskannauksesta, mutta kieltäytyvät eivät voisi lähettää esimerkiksi kuvia, videoita tai linkkejä, vaan ainoastaan ääntä ja tekstiä.

Komission hanketta alusta asti vastustanut saksalainen Euroopan parlamentin jäsen Patrick Breyer kommentoi neuvoston uutta esitystä toukokuussa. Breyer mainitsi, ettei viestipalvelujen käyttö pelkästään tekstiviestittelyyn vain ole enää vaihtoehto 2000-luvulla.

Ehdotetussa lainsäädännössä on mainintoja siitä, ettei se esimerkiksi kiellä tai saa rikkoa päästä päähän tapahtuvaa salausta ja ettei palveluntarjoajia vaadita purkamaan salausta tai tarjoamaan pääsyä salattuun sisältöön.

Whittaker kommentoi Techcrunchille, että nämä ovat kivoja ajatuksia, jotka kuitenkin tekevät ehdotuksesta itsensä epäävän paradoksin. Kyse on pakollisesta sisältöskannauksesta päästä päähän salatulle yhteydenpidolle, mikä tarkoittaisi salauksen heikentämistä ja merkittävän haavoittuvuuden luomista.

Suomessa tietoliikenteen ja tietotekniikan keskusliitto Ficom kritisoi Euroopan komission asetusehdotusta syyskuussa 2023. Sen mukaan salattuihin ympäristöihin ulottuva tunnistamismääräys tarkoittaisi sitä, että tehokkaita tietoturvatoimenpiteitä, kuten päästä päähän -salausta, heikennettäisiin.

Myös moni muu taho ja asiantuntija on kritisoinut komission asetusehdotusta ja varoitellut sen vaikutuksista viestinnän luottamuksellisuuteen.

Tämän vuoden helmikuussa Euroopan unionin ihmisoikeustuomioistuin katsoi pikaviestipalvelu Telegramia koskeneessa tapauksessa, että takaportin tekeminen salaustekniikoihin virkavallalle rikkoo ihmisoikeuksia.