On aina mielenkiintoinen hetki, kun hallitus ilmoittaa, että se aikoo suojella yksityisyyttäsi keksimällä uusia tapoja tuhota se. EU:n virkamiehet ovat julkistaneet tiekartan, joka on kuin suunnitelma digitaalisten lukkojen muuttamiseksi koristeellisiksi ehdotuksiksi.
Suunnitelmassa, joka on osa komission hienosti otsikoitua ProtectEU -ohjelmaa, luvataan antaa poliisille tarvittavat välineet yksityisen viestinnän salauksen purkamiseen, tietysti laillisesti, vuosikymmenen loppuun mennessä. Mikään ei kerro nykyaikaisista eurooppalaisista arvoista niin paljon kuin rajaton valvonta ja maanosan laajuinen tietojen salakuuntelu.
Näytös alkoi virallisesti 24. kesäkuuta, kun komissio astui lavalle asiakirjan kanssa, joka teeskentelee ratkaisevansa ongelman mutta muistuttaa enemmänkin Europolin We Hate Encryption -osaston toivomuslistaa.
Kyseessä on kuusiosainen valtion sponsoroima kunnianhimoinen pyrkimys murtaa auki kaikki se, minkä luulit olevan lukittuna tiukasti. Ja sillä on nimi, joka saisi Bond-pahiksenkin punastumaan: Going Dark -mandaatti.
“Going Dark” -ryhmä: A Spotlight on Fear
Tämän poliittisen yksisarvisen synnytti vuonna 2023 perustettu korkean tason työryhmä, jonka tehtävänä on näennäisesti auttaa lainvalvontaviranomaisia, jotka haparoivat päästä päähän -salauksen sumussa.
Maaliskuussa 2025 julkaistut johtopäätökset olisivat voineet olla vakoiluohjelmia edustavien tahojen haamukirjoittamia: Salaus on huono asia, koska se estää meitä näkemästä sitä, mitä haluamme.
Raportissa mainitaan tavanomaiset epäillyt: VPN:t, salatut viestisovellukset ja yksityisyydensuojatyökalut, jotka uskaltavat toimia, ovat olemassa olevia uhkia tutkinnalle. Sitten se ehdotti rauhallisesti, että ainoa tapa voittaa nämä uhat on rikkoa juuri ne suojaukset, joita teknologiamaailma on huutanut tarvitsevansa lisää.
Sama raportti on nyt etenemissuunnitelman, kiiltävän byrokraattisen trillerin, pohjana. Siinä esitetään EU:n laillinen ja tehokas suunnitelma valvonnan nykyaikaistamiseksi ja samalla teeskennellään välittävänsä oikeuksista.
Kryptoavun maailmanlopun kuusi ratsumiestä.
EU:n virkamiehet ovat jakaneet kunnianhimoisen tavoitteensa kuuteen osaan, kuten hyvässä dystooppisessa jatko-osassa. Jokainen osa on pieni ihme byrokraattisen harhauttamisen taidossa.
Tietojen tallennussäännöt: Teknologiayritykset halutaan saada säilyttämään tietojasi pidempään. Ei siksi, että se olisi hyödyllistä, vaan siksi, että ne saattavat haluta käyttää sitä myöhemmin. Ajattele sitä hamstraamisena, mutta yksityisviestien kanssa.
Viestinnän salakuuntelu yli rajojen: Viranomaiset toivovat, että reaaliaikainen vakoilu EU:n eri valtioissa voitaisiin tehostaa vuoteen 2027 mennessä. Koska on niin hankalaa, kun kansalliset rajat ovat massakuuntelun tiellä.
Digitaalinen rikostekninen tutkimus: Investoinnit suuntautuvat kohti työkaluja, jotka voivat repiä tietoja laitteistasi myös sen jälkeen, kun olet poistanut ne. Puhelimesi roskakansiolla voi pian olla vähemmän oikeuksia kuin karjalla.
Salauksen purkutekniikat: Vuonna 2026 EU julkaisee oman oppaansa salauksen takaovista. Etenemissuunnitelmassa vihjataan, että Europol saattaa alkaa käyttää salauksenpurkutyökaluja vuoteen 2030 mennessä. Jos olet sovelluskehittäjä, nyt voisi olla hyvä aika aloittaa morsekielinen koodaus.
Turvallisuustyökalujen yhdenmukaistaminen: Komissio haluaa, että lainvalvontaviranomaiset, tiedustelupalvelut, yksityiset yritykset ja periaatteessa kaikki, joilla on virkamerkki tai salkku, sopivat keskenään siitä, mikä on turvallisuutta. Mikään ei nimittäin synnytä luottamusta niin paljon kuin teollinen yhdenmukaistaminen valtion valvonnan kanssa.
AI-ohjattu data-analyysi: Vuoteen 2028 mennessä koneoppivat algoritmit päästetään irti ja ne käyvät läpi teratavuja digitaalista jalanjälkeäsi poimimalla sieltä kaiken laillisesti tai poliittisesti hyödyllisen. Se on yksityisyyden suojaa tiedonlouhinnan avulla, jonka ennakoivan poliisitoiminnan harrastajat ovat tuoneet sinulle.
Turvallisuutta heikkouden kautta
Koko asiaa markkinoidaan sillä tyypillisellä kiireellisyyden ja tekno-utopianismin sekoituksella, jota vain EU:n komissaarit osaavat esittää rehellisesti.
Komission jäsen Magnus Brunner kutsui etenemissuunnitelmaa “tehokkaaksi ja tulevaisuudenkestäväksi”, ikään kuin massapurkamisen mahdollistaminen olisi jonkinlainen tulevaisuuteen suuntautuva innovaatio kansalaistoiminnassa.
Brunnerin mukaan suunnitelma “mahdollistaa tehokkaat ja tulevaisuudenkestävät ratkaisut, joilla helpotetaan lainvalvontaviranomaisten laillista pääsyä digitaalisiin tietoihin kunnioittaen samalla oikeutta yksityisyyteen ja pitäen yllä korkeatasoista kyberturvallisuutta”. Tuollainen lause säilyy hengissä vain huoneessa, jossa kukaan ei saa nauraa.
Samaan aikaan todelliset tietoturva-alan ammattilaiset, jotka eivät ole lainvalvontaviranomaisten palveluksessa, huomauttivat, että salauksen poistaminen on valtavan typerä tapa suojella mitään. Salaus on syy siihen, että jokainen tylsistynyt 17-vuotias, jolla on Wi-Fi Pineapple, ei jo lue viestejäsi.
Ironista on, että samat hallitukset, jotka pyrkivät murtamaan salauksen, kehottavat sinua käyttämään sitä. FBI:n ja CISA:n kaltaiset virastot suosittelevat edelleen salattuja alustoja kilpenä lisääntyviä verkkohyökkäyksiä vastaan. Mutta ilmeisesti viestisi pitäisi olla turvassa vain hupparipukuisilta pahiksilta, ei virastojen kirjelomakkeilla varustetuilta ihmisiltä.
Vahva salaus ei ole turvallisuuden vihollinen, vaan sen lähtökohta.
Tämä ei tietenkään ole sellainen näkemys, joka saisi paljon julkisuutta komission päämajassa, jossa salaukseen suhtaudutaan yhä useammin valitettavana hidasteena täydelliseen pääsyyn tähtäävässä kilpajuoksussa.
Bryssel on jo vuosia yrittänyt työntää läpi Chat Controlin kaltaisia takaporttijärjestelmiä törmätäkseen poliitikkojen vastarintaan, joilla on vain sen verran selkärankaa, että he muistavat, että perusoikeudet ovat teoriassa yhä osa EU:n brändiä.
Nyt strategiana näyttää olevan kärsivällisyys. Kampanjaa venytetään vuosien mittaan, huolenaiheet haudataan etenemissuunnitelmiin ja toimeksiantoihin ja toivotaan, että kansalaiset unohtavat, mitä yksityisyys ennen tarkoitti, kun Europol käynnistää ensimmäisen salauksenpurkumoottorinsa vuonna 2030.
He kutsuvat sitä Euroopan suojelemiseksi. Todellisuudessa he asentavat koko maanosan kattavan salakuuntelulaitteen ja pyytävät sinua uskomaan, että se on omaksi parhaaksesi.
Digitaalisen elämäsi puolustamiseen on kuitenkin olemassa välineitä. Niitä ei vain mainosteta paikoissa, joita EU haluaa sinun etsivän.
Älä luota näyteikkunaan: App Stores Are Compromised Territory
Olet siis ladannut Signal- tai Session-ohjelman App Storesta ja luulet, että olet valmis. Ei, jos EU saa tahtonsa läpi. Et luultavasti ottanut huomioon, että nämä sovelluskauppaversiot kuuluvat saman sääntelyn piiriin, joka yrittää kieltää sen yksityisyyden, jota niiden pitäisi tarjota.
Jos Apple tai Google päättää noudattaa paikallista lainsäädäntöä heikentämällä sovelluksen toimintoja, lisäämällä asiakaspuolen skannauksen tai poistamalla salauksen, mikään ei estä niitä.
Itse asiassa heitä on jo kohteliaasti kehotettu tekemään niin.
Ratkaisu on käyttää avoimen lähdekoodin versioita. Älä luota samoihin kauppapaikkoihin, jotka jakavat vakoiluohjelmia logolla. Asenna Signal tai Session suoraan niiden GitHub-tietovarastoista tai tarkistetuista APK-tiedostoista.
Käytä alustoja, joilla voit tarkastaa, mitä konepellin alla on, sillä lopulta se, mitä on saatavilla Play Storessa Ranskassa, ei välttämättä ole saatavilla Berliinissä ensi viikolla.
Molempia voitaisiin kaikessa hiljaisuudessa muuttaa niin, että ne vastaisivat “paikallisia vaatimuksia”.
Puhelimesi saattaa lopulta olla ongelma
Kaikella tällä ei tietenkään ole merkitystä, jos käytät puhelinta, joka toimii enemmän kuin ehdonalaisvalvoja. Jos käytät iOS:ää, onnittelut. Asut luksusvankilassa, jonka seinät ovat ruostumatonta terästä. Apple huolehtii siitä, ettet voi asentaa mitään ilman sen lupaa, mikä tarkoittaa, että kun valvontaviranomaiset tulevat paikalle, yksityisyysasetuksesi ovat sitä, mitä Cupertino sanoo niiden olevan.
Jos haluat äärimmäistä yksityisyyttä, käytä avoimen lähdekoodin Android-puhelinta tai asenna Googlesta poistettu käyttöjärjestelmä, kuten GrapheneOS tai CalyxOS. Näiden avulla voit ladata sovelluksia sivulatauksena ja ohittaa yritysten portinvartijat ja niiden alueelliset vaatimustenmukaisuuspäivitykset. Kyse ei ole hakkeroinnista. Kyse on siitä, että sinulla on perusvalmiudet hallita työkaluja, joihin sinun pitäisi luottaa.
Sillä heti kun yksityisyyssovelluksen on pyydettävä Googlelta lupaa olemassaoloonsa, se lakkaa olemasta yksityisyyssovellus ja muuttuu jälleen yhdeksi kiiltäväksi valtio-yhteensopivaksi väliohjelmistoksi.
Valitse sovelluksia kuin elämäsi riippuisi siitä
Tässä on lyhyt listasi, olettaen, ettet lataa niitä vaarantuneesta kaupasta:
Signal on edelleen kultainen standardi. He lupaavat vetäytyä kaikista maista, jotka vaativat takaovea. Sinun ei kuitenkaan tarvitse luottaa Play Storesta löytämääsi kopioon. Saat APK:n Signal-verkkosivustolta tai heidän GitHubistaan. Se on avoimen lähdekoodin, täysin päästä päähän salattu.
Session vie asiat vielä pidemmälle. Ei puhelinnumeroa, ei keskitettyä palvelinta eikä kätevää identiteettiä, jonka voisi liittää viesteihin. Se on suunniteltu korkean uhan ympäristöihin, joihin nyt kuuluvat kaikki maat, joissa on EU-lippu ja näppäimistö.
Threema on yksityisyyden sveitsiläinen serkku. Yhdysvaltain lainkäyttövallan ulkopuolella ei tarvita puhelinnumeroa, ja se on päästä päähän salattu. Ja kyllä, heillä on APK-lataus heidän sivustollaan. Käytä sitä.
Lyhyesti sanottuna, avoin lähdekoodi tai ei. Kaikki muu saattaa olla yhteensopiva versio, jossa on muutama ylimääräinen koodirivi, josta kukaan ei ole kertonut sinulle.
Hajauta, kun vielä voit
EU:n sääntelyviranomaiset haluavat muutakin kuin pääsyn. Ne haluavat rakennetta, ennustettavuutta ja yhdenmukaisuutta.
Ja juuri sitä keskitetyt alustat antavat heille. Ei ole sattumaa, että samat lainsäätäjät, jotka huutavat “haitallisesta sisällöstä”, vihaavat myös hajautettuja alustoja.
He eivät voi haastaa sitä, mitä ei ole tallennettu. He eivät voi säännellä sitä, mitä ei ole tallennettu. Ne eivät voi valvoa sitä, mitä ei omisteta.
Siksi Matrix:n kaltaisilla työkaluilla on merkitystä. Käytä omaa palvelinta, isännöi omia tietojasi, keskustele kenen kanssa haluat, äläkä kysy lupaa. Se ei ole kaunista, mutta se on osa viehätystä. Sitä ei ole suunniteltu tekemään vaikutusta sijoittajiin. Sitä suunniteltiin selviytymistä varten.
Salaa paikallisesti, ennen kuin pilvi koskaan näkee sen
Pilvitallennus voi olla kätevää, mutta se ei saa koskaan tapahtua valvonnan kustannuksella. Tietojen salaaminen ennen lataamista varmistaa, että vaikka alustan olisi pakko luovuttaa tiedostosi, sisältö pysyy lukukelvottomana.
VeraCrypt on tehokas, avoimen lähdekoodin levysalaustyökalu tiedostojen, osioiden tai kokonaisten käyttöjärjestelmien salaamiseen.
Cryptomator tarjoaa asiakaspuolen salauksen erityisesti Dropboxin tai Google Driven kaltaisille pilvisynkronointikansioille.
Muista aina: salaus on tehokkainta, kun sinä, ei palveluntarjoaja, hallitset avaimia.
Eteenpäin suuntautuva salassapito ja nollatieto: Surveillance Can’t Break What It Can’t See (Valvonta ei voi rikkoa sitä, mitä se ei näe).
Salaus on muuttuva sokkelo, joka muuttuu joka kerta, kun sitä yritetään kartoittaa. Eteenpäin suuntautuvan salaisuuden ansiosta viesteistäsi ei tule valtion omaisuutta heti, kun avain vaarantuu.
Luomalla väliaikaiset salausavaimet jokaista istuntoa varten se tekee massapurkamisesta hyödytöntä. Kukaan ei voi “palata” ja lukea vanhoja keskusteluja. Ne on suljettu pysyvästi.
Protokolla, kuten OMEMO, joka käyttää XMPP-pohjaisia sovelluksia, kuten Conversations ja Dino, käyttää Double Ratchet -algoritmia varmistaakseen, että jokainen viesti saa oman ainutlaatuisen salausavaimensa. Tämä tekee salakuuntelusta käytännössä merkityksettömän. Vaikka virasto pystyisi murtautumaan laitteeseen, se saisi vain joukon avaimia, jotka ovat vanhentuneet ennen kahvia.
Sitten on varsinainen aivopähkinä: nollatietotodistukset. Niiden avulla voit todistaa väitteen paljastamatta sen taustalla olevia tietoja. Se on kuin osoittaisit jollekin, että tiedät salasanan sanomatta sitä.
Työkaluissa, kuten Zcash tai hajautetuissa tunnistusjärjestelmissä, ZKP:t mahdollistavat varmentamisen paljastamatta mitään hyödyllistä. Voit todistaa olevasi yli 18-vuotias antamatta syntymäaikaasi. Voit todentaa henkilöllisyytesi tunnistamatta itseäsi.
Kuten aiemmin mainitsimme, toinen asia, jota sääntelyviranomaiset väittävät jatkuvasti jättävänsä ymmärtämättä, on se, että keskitetty valvonta on täytäntöönpanon edellytys. Vaatimusten noudattamista ei voi vaatia joltakin, jolla ei ole toimistoa, toimitusjohtajaa tai takavarikoitavaa palvelinta.
Esimerkiksi Matrix ei ole alusta. Se on protokolla. Käyttäjät voivat isännöidä omia kotipalvelimiaan. Jos yksi palvelimista suljetaan, muut jatkavat toimintaansa. Uhkaavaa yritystä ei ole. On vain ihmisten verkosto, joka kieltäytyy alistumasta.
IPFS ei välitä siitä, missä tiedosto sijaitsee. Se hakee tiedot sisällön, ei sijainnin perusteella. Se on ero kysymyksen “Missä tiedosto on?” ja kysymyksen “Mikä tiedosto on?” välillä. Ei ole yhtä isäntäkohtaa, johon painostaa, eikä helppoa tapaa vetää sisältöä offline-tilaan sen jälkeen, kun se on levitetty.
Sitten on Secure Scuttlebutt (SSB), joka vie hajauttamisen käsitteen äärimmilleen. Se on vertaisverkkoa absurdiuden pisteeseen asti. Ei keskitettyä palvelinta. Ei pilveä. Vain laitteet, jotka puhuvat suoraan keskenään.
Ne ovat olemassa, koska sääntelyviranomaiset osoittavat jatkuvasti, ettei niiden valvontaan voi luottaa.
Jokainen uusi vaatimustenmukaisuusvaatimus on rekrytointimainos hajauttamiselle. Ja jokainen yritys pakottaa takaovet on yksi syy lisää siihen, että kehittäjät jatkavat sellaisten työkalujen rakentamista, jotka tekevät noudattamisen valvonnasta merkityksetöntä.
EU:n perusoikeudet: Miksi salauksen murtaminen voi olla täysin laitonta?
Komission itsevarmuudesta huolimatta on syytä uskoa, että heidän salausta koskeva etenemissuunnitelmansa voi kokea saman kuoleman kuin useat muut valvontafantasiat, joilla on yritetty ohittaa Euroopan perusoikeuskirjaa. Tällä kertaa erona on se, että uhka on vielä rakenteellisempi.
Tuomioistuimet eivät ehkä usko sitä.
EU:n perusoikeuskirja ei ole varsinaisesti hienovarainen. Perusoikeuskirjan 7 artiklassa suojellaan yksityiselämää ja viestintää. 8 artikla suojaa henkilötietoja. Kumpikaan ei sisällä lauseketta “ellei poliisi halua lukea viestejäsi”.
Kaikissa laeissa, jotka määräävät takaovet salattuun viestintään, on ongelma: ne vaikuttavat luonnostaan kaikkiin, eivät vain epäiltyihin. Se luo systeemistä haavoittuvuutta, ei kohdennettua pääsyä. Perusoikeuskirjan mukaan tällä erolla on merkitystä.
Argumentti kirjoittautuu käytännössä itsestään. Et voi “kunnioittaa yksityistä viestintää”, jos alustasi on laillisesti pakko skannata ne ennen kuin painat lähetysnäppäintä. Henkilökohtaisia tietoja ei voi suojella ja samalla vaatia yleistä pääsyä niihin “kaiken varalta”.
EUT komissiolle: EU:n tuomioistuin: Tämä on jo käsitelty
Euroopan unionin tuomioistuimella (EUT) on ollut tapana tyrmätä nämä ajatukset aina, kun ne on puettu uuteen kieleen.
Asiassa Digital Rights Ireland (2014) tuomioistuin murskasi tietojen säilyttämistä koskevan direktiivin ja totesi, että metatietojen yleinen kerääminen ilman epäilyjä rikkoo perusoikeuksia. Avainsana oli “umpimähkäinen”.
Sitten Tele2 Sverige ja Watson (2016), he tuplasivat. Lisää metadata-unelmia lähetettiin silppuriin, koska niistä puuttui spesifisyys, valvonta ja oikeasuhtaisuus. Tuomioistuin teki asian selväksi: yleinen valvonta ei ole laillista valvontaa.
Teoksessa La Quadrature du Net (2020) he iskivät uudelleen ja toistivat, että epämääräiset vetoamiset “kansalliseen turvallisuuteen” eivät oikeuta kohtelemaan kokonaisia väestöryhmiä potentiaalisten rikollisten tavoin. Haluatteko tietoja? Hanki etsintälupa. Haluatko etsintäluvan? Vie se jonnekin muualle.
Jos komission salaussuunnitelmaan kuuluu, että palveluntarjoajien on säilytettävä salauksen purkuominaisuudet tai lisättävä lainvalvontaviranomaisille tarkoitettuja yhteyspisteitä, tuomioistuimilla on jo termi.
Kansalliset tuomioistuimet: Eivät ole aivan valmiina leikkimään mukana.
Vaikka komissio ajaisi tämän järjettömyyden EU:n maaliviivan yli, kansalliset tuomioistuimet saavat edelleen sananvaltaa. Ja jotkut niistä eivät onneksi ole sillä tuulella.
Saksan liittovaltion perustuslakituomioistuin on johdonmukaisesti vastustanut yleistä valvontaa ja muistuttanut lainsäätäjiä siitä, että perustuslaki on edelleen olemassa. BND-lakia koskevassa päätöksessä (2020) se teki selväksi, että ulkomaisen valvonnan on edelleen noudatettava perustuslain vaatimuksia. Ilmeisesti kansalaisoikeusrikkomuksia ei voi ulkoistaa ja odottaa vapaata kulkulupaa.
Ranskassa Conseil d’État on ollut myötämielisempi, mutta jopa se on asettanut rajoituksia tietojen säilyttämiselle ja vastustanut sitä, kun politiikka on mennyt liian pitkälle yleisen valvonnan kanssa.
Tuloksena on pirstaleinen kartta oikeudellisesta vastarinnasta. EU:n oman oikeudellisen arkkitehtuurin ansiosta kaikki kansallisella tasolla esitetyt vakavat haasteet voidaan siirtää EU:n tuomioistuimeen uudelleentarkastelua varten. Tämä tarkoittaa sitä, että komissio voi joutua pähkäilemään kiiltävän uuden valvontapakettinsa kanssa oikeussalien välillä vuosikausia tai jopa pidempään.
Oikeudenkäynti on väistämätön. Kysymys on siitä, kuinka kovaa se tulee
Jos komissio vie eteenpäin ehdotuksia, jotka edellyttävät salauksen kiertoteitä, keskustelu ei tule olemaan hiljaista. Heidät haastetaan oikeuteen.
Digitaalisia oikeuksia puolustavat ryhmät, kansalaisyhteiskunnan järjestöt, teknologiajärjestöt, aktivistit ja yksityishenkilöt haastavat ne oikeuteen. Haasteita tulee kaikilta tasoilta: kansallisilta tuomioistuimilta, hallintotuomioistuimilta ja itse Euroopan unionin tuomioistuimelta. Oikeudenkäynnin osapuolista ei ole pulaa. Oikeudellisista perusteista tuskin on pulaa.
Jos lopputulos on ennakkotapausten mukainen, ehdotus voidaan tuhota ennen kuin sitä ehditään panna täytäntöön. Jos tuomioistuin katsoo, että joukkokoodin purku on perusoikeuskirjan vastaista, ja olisi vaikea olla hyväksymättä sitä, koko EU:n salausstrategia voisi romahtaa omien oikeudellisten ristiriitojensa alle.
Näin käy, kun lainsäätäjät jättävät huomiotta salauksen tekniset ja oikeudelliset realiteetit ja yrittävät säätää lakeja lehdistötiedotteella. Politiikka näyttää kovalta, kuulostaa rohkealta ja hajoaa pikkuhiljaa, kun tuomioistuimet esittävät peruskysymyksiä, kuten “kuka saa pääsyn”, “millä valtuuksilla” ja “mitä tapahtuu kaikille muille”.
Yksityisyydensuojan puolustajille se on viimeinen puolustuslinja. Kun poliittiset päättäjät lakkaavat teeskentelemästä ja alkavat avoimesti ajaa koko järjestelmän laajuista pääsyä yksityiseen viestintään, tuomioistuimet saattavat olla ainoa jäljellä oleva toimielin, joka on valmis kutsumaan sitä siksi, mitä se on: perustuslain vastaiseksi.
Se, selviääkö komissio suunnitelmastaan, riippuu yhdestä asiasta. Ei siitä, kuinka kovaa poliitikot huutavat. Vaan se, lukevatko tuomioistuimet edelleen perusoikeuskirjaa ikään kuin se merkitsisi yhtään mitään.