Objavljeno:

Slovenska policija prehaja na šifrirane mobilne komunikacije

  1. decembra 2016 je ministrstvo za notranje zadeve po pooblastilu policije objavilo javno naročilo male vrednosti za vzpostavitev sistema za zaščito mobilne telefonije in najem licenc št. 430-765/2016.

Razpisna dokumentacija je zahtevala, da sistem omogoča ščitenje govora in podatkovnega prenosa na napravah z Android in iOS operacijskim sistemom (posebej je bilo poudarjeno, da mora podpirati Samsung Galaxy A5), »end-to-end« šifriranje govora, SMS sporočil in prenosa datotek, iz uporabniškega vmesnika pa mora biti jasno razvidno kdaj je komunikacija šifrirana in kdaj ne. Omogočeno mora biti shranjevanje datotek in SMS sporočil v šifrirano shrambo ter možnost ločenega imenika. Rešitev naj bi tudi omogočala možnost upravljanja zasebnih uporabniških skupin, uporaba vseh zaščitnih mehanizmov pa mora biti avtenticirana in avtorizirana.

Ena izmed zahtev policije je bila tudi, da mora biti upravljanje sistema centralizirano in v pristojnosti naročnika, prav tako se mora tudi strežniška infrastruktura nahajati v prostorih naročnika, rešitev pa naj bi omogočala hkratno uporabo vsaj 10.000 uporabnikov in vsaj 5.000 terminalov.

Po fiasku z varnostjo komunikacijskega sistema TETRA je tokrat videti, da so na policiji varnost pričeli obravnavati povsem drugače. To je vsekakor dober znak in policija si za to zasluži vse pohvale.

Brezplačno?

Vendar pa zgodba s tem ni končana. Pet dni pred koncem roka za oddajo ponudb je policija izdala sklep, da se omenjeno javno naročilo ustavi, “saj je za osnovne potrebe naročnika na voljo brezplačna rešitev za isti namen“.

Na vprašanje sodelavca portala Slo-Tech.com za katero brezplačno rešitev gre, so na policiji odgovorili, da imena aplikacije zaradi operativne narave njihovega dela oz. varovanja taktike in metodike delovanja policije, ne morejo posredovati:

“Saj boste razumeli, da vam imena aplikacije zaradi operativne narave našega dela oz. varovanja taktike in metodike delovanja policije, ne moremo posredovati.

Pojasnimo pa vam lahko, da nam je njeno uporabo predlagal sodelavec, ki to rešitev uporablja zasebno. Rešitev omogoča osnovno zahtevo, šifrirano govorno in sporočilno komunikacijo, je brezplačna rešitev in ne bremeni proračunskih sredstev. Pomembnejša zahteva, ki jo aplikacija ne omogoča, je centralno upravljanje z naše strani.”

Skratka, gre za aplikacijo, katere uporabo predlagal njihov sodelavec, ki to rešitev uporablja zasebno. Rešitev omogoča osnovno zahtevo, šifrirano govorno in sporočilno komunikacijo, je brezplačna in ne bremeni proračunskih sredstev. Edina pomembnejša zahteva, ki jo aplikacija po navedbah policije ne omogoča, pa je centralno upravljanje z njihove strani.

Če pustimo ob strani naravnost neverjeten odgovor – da bi namreč razkritje imena javno dostopne in brezplačne aplikacije ogrozilo operativno delo policije – se seveda kar samo po sebi zastavlja vprašanje za katero aplikacijo gre. Glede na to, da je aplikacija brezplačna, in da tudi po mnenju slovenske policije zagotavlja visoko varnost komunikacij, bi lahko aplikacijo pričeli poleg policistov množično uporabljati tudi slovenski državljani, ki bi bili s tem bolj varni pred nezakonitim prestrezanjem komunikacij.

Ali policija uporablja Signal?

Če se vrnemo h zahtevam iz razpisa lahko vidimo, da opisanim funkcionalnostim v veliki meri ustreza aplikacija Signal. Pravzaprav ne omogoča le centraliziranega upravljanja, niti (zaenkrat še) ne omogoča postavitve lastne strežniške infrastrukture. Gre za aplikacijo, ki ji razvija neprofitna fundacija Open Whisper Systems, omogoča pa močno šifriranje sporočil in pogovorov na Android in iOS napravah.

Zaradi enostavnosti njene uporabe in visoke stopnji varnosti, ki jo zagotavlja, je k uporabi aplikacije večkrat javno pozval žvižgač Edward Snowden. Priporočajo jo praktično vsi vodilni kriptografski strokovnjaki, vključno z Bruceom Schneierjem in Mattom Greenom. Prav tako uporabo te aplikacije intenzivno promovirajo različne organizacije za promocijo zasebnosti in človekovih pravic, zlasti ameriški Electronic Frontier Foundation. Podatki NSA iz junija 2012, ki jih je decembra 2014 objavil časnik Der Spiegel so tudi pokazali, da je NSA aplikacijo RedPhone (predhodnik Signala, ki je uporabljal enako šifrirno zaščito) videla kot »glavno grožnjo« pri uresničevanju svojega poslanstva, njeno rabo skupaj z nekaterimi drugimi tehnologijami za zaščito zasebnosti pa kot »katastrofalno« za obveščevalno delo, saj vodi do »skoraj popolne izgube vpogleda v komunikacije tarč«.

Skratka, gre za aplikacijo, ki zagotavlja res visoko stopnjo varnosti in ima hkrati zelo jasen in enostaven uporabniški vmesnik. In po naših informacijah obstaja precejšnja verjetnost, da se je policija odločila za uporabo točno te aplikacije.

Konec novembra 2016 se je namreč v Portorožu odvijala 9. konferenca kazenskega prava in kriminologije, ki so se je udeležili tudi predstavniki iz policije in tožilstva. Na konferenci je bil predstavljen tudi prispevek o šifriranju komunikacij, kjer je bila konkretno predstavljena aplikacija Signal, njen varnostni model ter njen razvoj v zadnjem letu in pol.

Nekaj dni za tem smo lahko opazili, da so si nekateri posamezniki iz vodstva slovenske policije na svoje mobilne telefone pričeli nameščati aplikacijo Signal. Signal namreč za registracijo uporabi telefonsko številko uporabnika. Telefonska številka se sicer ne shrani na Signal strežniku v tim. čistopisni obliki, pač pa v obliki kontrolne vsote (tim. hash). Ta kontrolna vsota nato predstavlja identiteto uporabnika v Signal omrežju.

Aplikacija Signal na mobilnem telefonu uporabnika nato periodično za vsak kontakt iz lokalnega telefonskega imenika na Signal strežniku preverja ali ima ta kontakt tudi Signal identiteto. Za kontakte, ki so registrirani v Signal omrežju nato samodejno omogoči pošiljanje šifriranih sporočil in šifrirano klicanje, uporabniku pa tudi izpiše, da se je njegov kontakt registriral v Signal omrežju. Na ta način je mogoče »kartiranje« uporabnikov neke organizacije oziroma ugotavljanje kdaj in s kakšno dinamiko neka organizacija svoje uporabnike registrira v Signal omrežju. Kot rečeno smo ta trend pričeli intenzivneje opažati od začetka decembra dalje, intenziviral pa se je v januarju, kar sicer sovpada tudi z dejstvom, da so se ljudje iz policijskih krogov z obstojem aplikacije seznanili konec novembra. Mimogrede, podoben trend smo lahko opazili tudi pri uslužbencih SOVE.

Ali to dogajanje sovpada tudi s preiskavo Komisije DZ za nadzor obveščevalnih in varnostnih služb (KNOVS) v zvezi s primerom Ornig (KNOVS v tem primeru preiskuje domnevne vdore policijskega informatorja v komunikacijsko zasebnost posameznikov), je težko reči, je pa zanimivo, da so si aplikacijo med prvimi pričeli nameščati ravno nekateri vidnejši akterji iz policijskih vrst, ki so povezani z omenjeno afero.

Mimogrede naj omenimo, da je organizacija Cryptoparty.si serijo podobnih izobraževanj v letu 2015 in začetku 2016 izvedla za novinarje, in tudi takrat smo po delavnicah lahko opazili strm porast registracij uporabnikov iz vrst novinarjev in PR-ovcev.

Vseeno je potrebno omeniti, da je policija po naših informacijah že nekaj let nazaj izvedla zaupno naročilo, s katerim je od podjetja Digitech kupila rešitev za šifriranje mobilnih komunikacij. Gre za aplikacijo DigiCrypt, ki omogoča šifriranje glasovnih klicev ter izmenjavo tekstovnih sporočil in datotek. Je pa po naših informacijah rešitev nekoliko dražja, po specifikacijah sodeč pa deluje samo na operacijskem sistemu Android. Zato so po naših informacijah aplikacijo v preteklosti uporabljali zgolj v ožjem vodstvu policije. Verjetno je bilo to oboje razlog za izbiro brezplačne aplikacije, naša testiranja pred časom pa so tudi pokazala, da ima aplikacija Signal precej bolj prijazen uporabniški vmesnik pa tudi varnostni model aplikacije je po našem mnenju pri Signalu boljši.

* * *

Kakorkoli že, tudi policijski uradniki imajo pravico do zasebnosti in zaupnosti svoje službenih in zasebnih komunikacij, in reklo »če nimaš nič skrivati, se ti ni treba ničesar bati,« je v 21. stoletju že davno preseženo. Zato je vsekakor pohvalno, da so se posamezniki iz policije, pa tudi policija kot organizacija, pričeli zavedati pomena šifriranja in varstva komunikacijske zasebnosti.

Nas pa vse skupaj privede do nekega drugega vprašanja. Če policija naroča sistem za zaščito mobilne telefonije, s tem pravzaprav implicitno priznava, da mobilna omrežja slovenskih operaterjev niso varna. Glede na to, da so operaterji po zakonu o elektronskih komunikacijah dolžni zagotavljati zaupnost komunikacij, pred le nekaj leti pa so nekateri javno zatrjevali, da uporabnikom zagotavljajo »najvišjo možno raven varnosti mobilnih telekomunikacij«, da so njihova omrežja »izjemno kakovostna, zanesljiva in varna« ter celo da »boljše zaščite […] nima nobeno omrežje na svetu«, se zastavlja vprašanje kako to, da takšna “vrhunska zaščita” nenadoma ni več dobra za slovenske državne organe?

 

Kakorkoli, dejstvo, da je aplikacija Signal tako razširjena med slovenskimi policisti in tajnimi agenti je koristno tudi za slovenske državljane. Poleg tega da slovenska policija svojim državljanom daje zgled kako zaščititi svojo komunikacijsko zasebnost, se s policijsko uporabo te storitve pomembno zmanjšujejo tudi možnosti, da bi se slovenska država nekega dne odločila, da aplikacijo Signal blokira na nivoju omrežja, tako kot se je to zgodilo v Savdski Arabiji in Egiptu.

Poleg tega pa je slovensko policijo na tem področju lepo videti v 21. stoletju in tokrat smo na njih lahko resnično ponosni.

Kategorije: Splošno
Ključne besede: