Posted on by Szedlák Ádám

Digitális magánügyeink

Benedek szerint a kilencvenes éveknek a privacyről kellett volna szólnia, de ez valahogy elmaradt. A Debreceni Disputa februári számába - letölthető is lesz, majd szólok - írt cikkemben azt jártam körbe, miért és hogyan szólt mégis a magánügyekről az évtized egy része. Az írás a szokásos OlvasdEl-SzedjélSzét licenc alatt hozzáférhető.

Digitális magánügyeink

„A magánélet (privacy) megléte alapkövetelménye egy, az elektronikus korban létező nyílt társadalomban. A magánélet nem titok. Magánügy az, amiről nem szeretnénk, hogy az egész világ tudja, ezzel szemben az a titok, amit mindenki elől el akarnak titkolni. A magánélet annak a lehetősége, hogy az egyén döntse el mennyit mutat meg magából a világnak.”

Ezekkel a mondatokkal kezdődik a Cypherpunk Manifesztum, a kilencvenes évek libertariánus kriptográfusait, számítástechnikusait, programozóit tömörítő Cypherpunks levelezőlista kiáltványa. Az írásban Erich Hughes az analóg és a digitális világ különbségeibe vezeti be az olvasót a cypherpunkoknak annyira fontos anonimitás szemszögéből. A mindennapi analóg világban magától értetődő a fenti elv – az egyéneknek rendelkezésére áll az egyszerű, anonim fizetési eszköz, a készpénz. Egy magazin megvásárlásához – írja Hughes – az eladónak nem kell tudnia semmit a vásárlóról. Ehhez képest a digitális szférába átlépve folyamatos azonosításokra van szükség, akár már egy bankkártyás vásárlás is a privacy feladásához vezet, olyan felek is információhoz jutnak, akinek erre semmi szükségük nincsen. Az ilyen akciók ráadásul rögzíthetőek is, a rögzített információból profil építhető, és a sor így folytatható tovább. Több mint tíz év távlatából látható, hogy a kilencvenes évek elején még talán fantasztikusnak tűnő félelmek reálissá váltak. A problémák felvetése már magában is nagy fegyvertény volna, ám a kiáltványt megszövegező Eric Hughes és a lista tagjai megpróbáltak megoldást is nyújtani a problémára. Azonban mielőtt ezekre rátérnénk, vegyük szemügyre egy pillanatra a kriptográfusok és netpolgárok csoportját, akik a listát alkották.

Kik a cypherpunkok?

A korai internetes kultúra és az információs technológiai kutatások minden részéből érkeztek emberek a Cypherpunksra, bámulatosan vegyes társaságot létrehozva. A mozgalom nevét a magát hippiből hackerré képező Milhon, vagy sokkal ismertebb nicknevén St. Jude találta ki. A kifejezés a rejtjel jelentésű cipher szó brit helyesírás szerinti alakjából és a punkból áll, lényegében a science fiction új generációja által használt cyberpunk kifejezésre utaló szóvicc.

St. Jude a kiberkultúra felől érkezett a kriptoanarchisták közé. Alapító szerkesztője volt a hackereknek, science fiction rajongóknak és korai hálópolgároknak szóló Mondo 2000 folyóiratnak. A lap a designer drogokkal – mesterséges úton előállított vagy módosított kábítószerek –, kiberszexszel, virtuális valósággal és fejlett számítástechnikával megáldott szép új jövőt ígérte a cyberpunk olvasótábornak. Ehhez képest a Cypherpunks a valódi problémák és valódi politika felé történő komoly továbblépés volt.

Az alapítók közt találjuk Timothy C. May-t, az Intel processzorgyártó cég vezető kutatóját is. May nem csupán a processzortechnológia úttörője, Baker díjas kutató, de a cypherpunk mozgalom krónikása is. Nevéhez fűződik a Kriptoanarchista kiáltvány és a lista eposzi hosszúságú Gyakran Ismételt Kérdések (FAQ) dokumentuma. May talán a legradikálisabb tagja volt a listának, a FAQ-ban például számos olyan szöveg található, amely előtt le is szögezi, hogy a következő sorok nem tükrözik a lista álláspontját. Ilyen téma az anonim pénzzel és levelezéssel létrehozható, tökéletes bűntényként funkcionáló, bérgyilkos piac létrehozása. A rendszeres levelezők között található a Pretty Good Privacy személyes adatvédelmi szoftver fejlesztője, Philip Zimmermann, aki ellen a szoftver elérhetővé tétele miatt vizsgálat is indult. A listán jelen volt a még elektronikus szabadságjogokat védő Electronic Frontier Foundation egyik alapítója, válogatott egyetemi professzorok, biztonsági tanácsadók és programozók.

Ügy lesz a kiberszféra

Nem csak a magánbeszélgetések tűntek el a digitális korban, hirtelen hiány támadt egyéb szabadságjogokból is. A nyolcvanas években megjelenő hackermozgalmakra, számítógépes underground életre Amerikában rendkívül erőteljes választ adtak a hatóságok. Az Operation Sundevil nevű akció és az ezt kísérő egyéb razziák során több nagyvárosban tartottak házkutatásokat, elsősorban hitelkártyacsalókat és a telefonrendszerrel visszaélőket – azaz phreakereket – megcélozva. A szórásba azonban egy illetéktelenül letöltött, a 911-es vészhívó rendszerről szóló dokumentum miatt belekerült a teljes számítógépes underground is sajtóstul, számítógépestül, szerverestül. A lefoglalt számítógépek között számos olyan is volt, amely semmilyen törvénysértő anyagot nem tartalmazott, ilyenek voltak például a hagyományos, offline szerepjátékokat gyártó Steve Jackson Games-től elvitt gépek. A lefoglalások és a közben történt jogtiprások hatására alakult meg az Electronic Frontier Foundation, a digitális világ polgári jogait védő társaság. A lefoglalásokkal járó különböző akciókat, a résztvevő és elszenvedő személyeket Bruce Sterling Hacker Crackdown című dokumentumregényében részletesen bemutatta. Magyarországon hasonló akcióra 1994-ben került sor, amikor a frissen alapult Business Software Alliance, vagy népszerű, ám félrevezető nevén a szoftverrendőrség, a Petőfi Csarnok bolhapiacán és néhány magyar Bulletin Board System üzemeltetőjénél tartott házkutatást. Erről az akcióról azonban hiányosak a források, többnyire az internetes szájhagyomány őrizte meg a kis magyar crackdownt (vö. Bodoky).

„Kétszáz éve minden beszélgetés privát volt.”

A Cypherpunks mozgalom alapításának utolsó, általam tárgyalandó előzménye a Pretty Good Privacy szoftver kiadása. A programot az elektronikus levelek titkosítására fejlesztette ki 1991-ben Philip Zimmermann, aki így ír a szoftver megalkotásának okairól a Amiért megírtam a PGP-t című cikkében:

„De a digitális kor eljövetelével, kezdve a telefon feltalálásával, minden megváltozott. Mostanra beszélgetéseink nagy része elektronikusan zajlik. Ezzel lehetővé vált, hogy a legintimebb beszélgetéseink a tudtunk nélkül közszemlére kerüljenek. A mobiltelefonon bonyolított hívásokat bárki lehallgathatja egy rádió segítségével. Az elektromos levelek sem biztonságosabbak a mobilhívásoknál. Az email gyorsan kiszorítja a postai levelezést, természetessé vált, nem újdonság már többé. És az emaileket észrevétlenül, rutinszerűen, automatikusan és nagy mennyiségben lehet érdekes kulcsszavak alapján szűrni. Olyan ez, mint a merítőhálós halászat.”

(Hasonló passzust idéz Simon Singh is Zimmermanntól a Kódkönyvben.)

Zimmermannt az a tény sarkallta a PGP megírására, hogy a digitális korra megszűntek azok a polgári használatú eszközök, amelyekkel a kor színvonalán feltörhetetlen titkosítással védhették volna adataikat. Bár nem erről híresült el, az utolsó ilyen eszközök egyike az Enigma volt. A második világháború előtt kereskedelmi forgalomban lévő berendezések ugyan egyszerűbbek voltak, mint a háború végére kialakuló katonai verziók – nem rendelkeztek például a betűcserére használható kapcsolótáblával –, ám így sem létezett a feltörésükre képes szervezet. Tegyük hozzá, a készülék kereskedelmi formájában nem volt elterjedt, így némiképp sérül a Kerckhoffs-elv, ám biztosan kijelenthetjük, hogy az 1926 és 1932 közt Enigmát használó vállalatok és magánszemélyek titkai tökéletes biztonságban voltak.

A PGP a biztonságnak ezt a kiveszőben lévő formáját hozta vissza az internetre. A szoftvernek csupán két hibája volt: nem tartalmazott a hatóságok által használható kiskaput, és túl erős titkosítást alkalmazott, ami miatt fegyverexport-korlátozások alá esett. Így történt, hogy a programozót 1993 februárjában megkeresték az FBI ügynökei. A program terjesztését a vizsgálat alatt is megoldották, a forráskódot könyvként adták ki az MIT-n, mert így nem vonatkoztak rá a korlátozások. Az abszurd, de hatékony módszer lehetővé tette, hogy a könyvet megvásárlók az oldalakat beszkenneljék és karakterfelismerő programon végigfuttassák, így hozzájutva a titkosítószoftver kódjához. Zimmermann ügye három éven keresztül tartott, és a kriptográfiai eszközök exportkorlátozásainak enyhítésével zárultak, a szoftver pedig a hírverésnek hála komoly reklámot kapott.

A perek szerencsés vége után Zimmermann kereskedelmi vállalkozást alapított a Pretty Good Privacyra – ma az otthoni és vállalati felhasználók több csomag közül válogathatnak. Hogy a nem csillagászati idő alatt feltörhető kriptográfiához való hozzáférés mégis megadassék mindenkinek, a cég szabványosította az eljárást: az erre épülő ingyenes GnuPG szoftver teljesen kompatibilis a PGP-vel. A PGP jelentette biztonság így mindenki számára elérhető, még ha néhány országban használata a hatályos törvényekbe ütközik is.

Az instant üzenetküldő programok népszerűvé válásával a cypherpunkok ezeket a szoftvereket is felvértezték a biztonságos beszélgetéshez szükséges kiegészítővel. Az Off The Record (OTR) titkosított protokollnak már nem kellett végigjárnia a PGP útját, per nélkül terjedhetett el az óvatos csetelők között.

„A cypherpunkok kódot írnak.”

A légkör, a problémák és a megoldásukra használható eszközök adottak, lássuk a listatagok megoldási javaslatait. Az elképzelés vázlatosan már Hughes Cypherpunk Manifesztumában is feltűnik. A szerző nem bízik a kormányok és nagyvállalatok által biztosított megfigyelés nélküli magánéletben, ehelyett az erős titkosítás segítségével elérhető, valóban megfigyeléstől mentes változatot javasolja. Libertariánusként az egyénekre, közösségekre bízza ennek megvalósítását.

„Ha azt akarjuk, hogy legyen, meg kell védenünk a magánéletünket. Olyan rendszereket kell teremtenünk, amelyek névtelen tranzakciókat tesznek lehetővé. Az emberek századok óta suttogással, sötétséggel, borítékokkal, zárt ajtókkal, titkos kézfogásokkal és futárokkal védték a magánéletüket. Az elektronikus technológiák lehetővé teszik azt az erős védelmet, amit a múlt technológiái nem valósíthattak meg.”

A csoport hitt abban, hogy a technológia kidolgozásával, a szoftverek létrehozásával új mederbe terelhetik a fejlődést. A rendszer valójában sosem terjedt el, így elképzelni is nehéz, hogy az erős kriptográfia segítségével valóban kialakult volna-e orgyilkos hálózat, vagy hogy valóban összeomlottak volna az államok az anonim fizetési módok elérhetővé válását követően lecsökkenő adózási kedvtől.

A program egy részét Timothy C. May már 1988-ban felvázolt Kriptoanarchista Kiáltványában megelőlegezte, akkor azonban még az egyszerűen használható eszközök hiányoztak a mozgalom mögül. Bár az elvek megvoltak, a szép új jövő működésének megtervezése helyett a lista tagsága politikai harcokba bocsátkozott. A Clinton-adminisztráció által 1993-ban javaslatként beterjesztett Clipper chip a lakosság kriptográfia iránti igényét szolgálta volna ki. A lapka a vele felszerelt készülékeket képessé tette volna titkosított kommunikációra, így elvben akár a PGP-t is kiválthatta volna. Az elképzelés több sebből vérzett. Egyrészt az egyes csipekbe kódolt titkos kulcsot ismerte volna a kormány, azaz a megfelelő papírok birtokában a titkosszolgálatok bárkinek a beszélgetéseibe bele tudtak volna olvasni vagy hallgatni. A cypherpunkok, ismerve a trendet, hogy a lehallgatások nem mindig az igazság kiderítését szolgálják, nem támogatták a Clipper chipet. A Clipper másik komoly hibája az volt, hogy nem volt nyilvános a benne használta algoritmus, így nem tett eleget a Kerchkoffs-elvnek sem. Az elképzelés nagy sajtófigyelem mellett múlt ki 1996-ra, amikorra az is bebizonyosodott, hogy a Clipperben használt algoritmus feltörhető.

Az infokalipszis négy lovasa

A kriptoanarchista jövőkép – és úgy általában az internetes szabadságjogok elburjánzása – ellen szabályos, bevett érvrendszer alakult ki. A riogatásként leggyakrabban emlegetett négy csoportot keresztelte el May az infokalipszis négy lovasának. A tipikus érvelés valahogy úgy hangzik, hogy az email forgalom szűrése és megfigyelése nélkül a drogcsempészek, terroristák, pénzmosók és pedofilok soha nem látott módon elszaporodnának, elfogásuk pedig – a hatékony lehallgatás hiányában – minden eddiginél nehezebb lenne.

Arra May is kitér a Cypherpunks FAQ-ban, hogy a széles körben használt erős kriptográfia megváltoztatná a világot, amelyben élünk. Az anonim és követhetetlen digitális pénz az államháztartás megreccsenéséhez vezetne, titkosított adatkikötők jönnének létre. Az egyének, kilépve a lakóhelyük által meghatározott közösségekből, virtuális közösségekbe szerveződhetnek, az ilyen csoportok normarendszere pedig, megtámogatva a kriptográfiával, akár a törvényeknél is erősebbnek bizonyulhat. Hiszen ha nem lehet beazonosítani, ha nincsen rizikója a lebukásnak, akkor akár egy moszlim is olvashat Salman Rushdie műveket a neten.

A másik klasszikus érvrendszer a titkolózás feltételezett értelmetlenségével operál. A Mi rejtegetnivalód van? és a Miért akarnának pont téged lehallgatni? kérdések jellemzik. Ezeket a kérdéseket Zimmermann is felveti az Amiért megírtam a PGP-t-ben, és talál is rájuk megfelelő választ. Szerinte titkosítatlan emailt használni olyan, mint levelezőlapot írni: megszokott dolog, mindenki tisztában van vele, hogy bárki elolvashatja a lapra írottakat. A digitális életben a titkosítás a boríték szerepét tölti be, azzal a különbséggel, hogy az elérhető technológiával ezt a borítékot nem lehet felgőzölni.

„Gépen szállok térkép tájon / Ikertornyok gyomorszájon”

A 2001. szeptember 11-i terrortámadások utána a négy lovasra történő hivatkozások ismét megszaporodtak. Amerika drogok ellen vívott háborújának a helyét átvette a terror ellen vívott háború, a szólamok ugyanazok maradtak, épp csak a szükséges szavakat cserélték ki. Csupán annyi változott, hogy a kilencvenes évek eleje-közepén az interneten fellelhető, főleg technológiai érdeklődésű, IT végzettségű felhasználói kör kibővült, a dotkom lufi, az internetes események, vállalkozások címlapsztorivá válása meghozta a valódi felhasználókat. A 2004 óta tartó Web 2.0 nevű trend pedig átértékelte a nethasználók magánélethez való hozzáállását. Egy átlagos közösségi hálózati profiloldal valószínűleg többet árul el a tulajdonosáról, mint amennyit egy tudatos cypherpunk évek levelezése alatt kiadott magáról.

A terrortámadások másik hozadékának a nyugati világban megszaporodott biztonsági előírásokat tarthatjuk. Ezek egy része régen meglépendő, hasznos változtatás volt, másik részük a szakértők szerint csupán a biztonságérzet növelésére szolgál. Kényelmetlenségükkel elérték, hogy a biztonság ismét beszédtéma lett. Cikkek kérdőjelezik meg, hogy egy fél literes üdítő valóban veszélyes volna egy utasszállító repülőre, rádióműsorokban foglalkoznak az amerikai nemzetbiztonsági hivatal lehallgatási ügyeivel.

Ugyanakkor a biztonságos kommunikációhoz szükséges eszközök rendelkezésre állnak, és a világ szerencsétlenebb részén élők talán használják is őket. A Riporterek Határok Nélkül (RSF) nevű szervezet az elmúlt évben adta ki ingyen letölthető könyvét a kiberdisszidensek megsegítésére, melyben az anonim, visszakövethetetlen kommunikáció titkaival, a cenzorszoftverek kikerülésének módjaival és a hatékony blogolással ismerteti meg az elnyomó államokban élő civil újságírókat. Az anonimitáshoz szükséges szoftverek tehát a kezünkben vannak, talán csak a világ nem fordult annyira rosszra, hogy mindenkinek nap mint nap használni kelljen őket.

A jövő

Science fictionnel foglalkozó emberként nem szeretek jósolni. Nincs ember a Marson, nincsenek repülő autók, és persze nincs szürke céges jövő sem. May 2001-es esszéjében két utat vázol fel: vagy eljön a kriptoanarchia jelentette szép új jövő, vagy megfigyelésre alapozott államokban fog élni a jövő nemzedéke. Azóta egyik irányba se mozdult el igazán a mérleg nyelve. Több alkalommal vetődött fel az internet szűrésének az ötlete, több megfigyelési botrány volt az Egyesült Államokban, számtalanszor láthattuk, hogy a cégek a saját vásárlóik ellen hoztak intézkedéseket, ám a civil szféra és a sajtó mindannyiszor felemelte a hangját. Ha hinni lehet a híradásoknak, még a kínai nagy tűzfalon keresztül is ki lehet látni a világra, pedig Kína az a teljesen abszurd állam, ahol a hálózati forgalom cenzúrázásáért felelős szervezetnek barátságos kabalafigurája is van, hogy emberszerűbbnek és természetesebbnek tűnjön.

A hackeretikákból átmentett „Az információ szabad akar lenni!” kijelentés, úgy tűnik, közhely volta ellenére is tartja magát. Bár a Cypherpunks a kilencvenes évek végével fontosságát vesztette, egykori tagjai ma is az internet véleményformálói. Egyelőre nincs olyan szolgáltató, amelyre nyugodtan rábízhatnák a felhasználók a biztonságukat. A titkos kulcsokat bírósági rendeletre kiszolgáltató Hushmail esete erre felhívta a figyelmet. A legkevesebb, amit a szép új jövőkkel törődők tehetnek, hogy figyelemmel követik a híreket, és órákat vesznek biztonságból – a Wired Threat Level blogja és Bruce Schneier Crypto-Gram hírlevele kiindulópontnak megfelelő lesz.

(A szerző PGP-vel levelezik és OTR-en keresztül beszélget a barátaival.)

Irodalom

One Reply to “Digitális magánügyeink”

  1. Pingback: És te, mit tettél a magyar digitális kultúráért? at The Bergengotian

Comments are closed.