Wokół nauki
28 Listopada
Rys. Sławomir Makal
Opublikowano: 2024-11-28

Quo vadis, anonimizacjo?

Prawdziwa demokracja to taka, w której obywatele nie tylko mogą oddać głos, ale również mogą aktywnie uczestniczyć w debacie bez obawy o konsekwencje osobiste. Anonimowa tożsamość powiązana z podpisem cyfrowym może być znakomitym narzędziem, które oddaje faktyczną władzę nad debatą suwerenowi.

W ostatniej dekadzie wiele uwagi poświęcono ochronie danych osobowych. Konieczność podjęcia tego tematu wynikała nie tylko z kwestii takich jak prawo do prywatności, ale również, a może zwłaszcza, z konieczności zapewnienia podstawowych standardów cyberbezpieczeństwa. Pozytywnym efektem podjętych działań są stopniowe zmiany kulturowe i nieco mniejsza lekkomyślność w ujawnianiu danych. Społeczeństwo zaczęło w większym stopniu zdawać sobie sprawę z wielu problemów i stąd opór przed stosowaniem narzędzi do kontroli treści cyfrowych wymienianych przez użytkowników internetu poprzez uniemożliwienie szyfrowania end-to-end.

Regulacja RODO, najbardziej chyba znana w społeczeństwie regulacja europejska dotycząca rynku teleinformatycznego, oprócz wzniosłych celów ma również efekty uboczne. Jest nim odpowiedzialność za naruszenia ochrony: grożą gigantyczne kary administracyjne, przynajmniej w obszarze sektora prywatnego (dla sektora publicznego są one symboliczne). Dla bardziej skomplikowanych struktur informacji wymagań RODO po prostu nie da się zrealizować. Wyjściem z tej trudnej sytuacji jest wymknięcie się z obszaru obowiązywania regulacji poprzez sprawienie, by dane nie dotyczyły „możliwej do zidentyfikowania osoby”. Jak to sprawić i co to ostatecznie znaczy „niemożliwej do zidentyfikowania”, to odrębne pytanie i również przedmiot sprzecznych werdyktów prawnych.

Jednym z osiągnięć RODO było wprowadzenie do obrotu prawnego jednej z fundamentalnych zasad cyberbezpieczeństwa – zasady minimalizacji danych. Mówi ona między innymi, że informacje identyfikacyjne powinny być dostępne tylko w takim stopniu, w jakim są niezbędne do umożliwienia określonej funkcjonalności. Uprzednia tendencja utrwalona praktyką administracyjną była zupełnie odwrotna i polegała na gromadzeniu tak wielu danych, jak się da, niejako na zapas. Oczywiście praktyka odbiega w wielu miejscach od teorii: przykładem bywają kategoryczne pytania o numer kodu pocztowego miejsca zamieszkania przy kasie w supermarkecie i potulne podawanie tych danych przez klientów.

Jakkolwiek oceniać efekty RODO (opiniowane często jako Papierowy Tygrys), warto się zastanowić, czy i jak osiągnąć w tym obszarze rzeczywisty postęp. Regulacje prawne z natury mogą być idealistyczne i, jak pokazuje doświadczenie, kompromis legislacyjny osiągnięty przez polityków przy udziale prawników może nie spełnić pokładanych nadziei. W najgorszym przypadku może zahamować postęp wbrew deklaracjom o postępie, neutralności technologicznej, otwartości na innowacje techniczne. Znakomitym przykładem jest rynek podpisu elektronicznego, na którym regulacje nawet zwiększyły poziom zagrożeń. W tym czasie Estończycy, po bolesnych doświadczeniach, zrealizowali pragmatyczny i bezpieczny ekosystem podpisu elektronicznego niejako wbrew regulacji eIDAS.

Narzędzia

Budowa bezpiecznego ekosystemu ochrony informacji, w tym danych osobowych, zależy nie tylko od idealistycznych regulacji prawnych, ale przede wszystkim od narzędzi dostępnych w sferze cyfrowej. Narzędzia te mogą zarówno służyć polepszeniu sytuacji jak i rujnować stan bezpieczeństwa, jednak ze względu na krótkoterminową wygodę mogą być akceptowane przez użytkowników.

Prawie zawsze mamy do czynienia z problemem znalezienia dobrego kompromisu pomiędzy wygodą a bezpieczeństwem. Wiele jest sytuacji, w których znalezienie dobrego rozwiązania jest trudne a decyzje mogą okazać się mocno kontrowersyjne. Zrównanie weryfikacji tożsamości za pomocą aplikacji mObywatel z weryfikacją za pomocą zaawansowanych dokumentów tożsamości jest decyzją w kierunku prymatu wygody nad bezpieczeństwem. Użycie nowego narzędzia, jakim jest mObywatel, znakomicie funkcjonuje w takich sytuacjach jak legitymacja Karty Dużej Rodziny czy prawo jazdy. Można się jednak zastanawiać, czy obniżenie standardów bezpieczeństwa w przypadku czynności bankowych lub notarialnych jest dobrym rozwiązaniem: mając do dyspozycji nowoczesny dowód osobisty, niepodrabialny w warstwie kryptograficznej i przechowujący dane biometryczne, czy nie lepiej byłoby wręcz zabronić weryfikacji tożsamości za pomocą mObywatela w przypadku ważniejszych czynności? Moim zdaniem, w określonych sytuacjach notariusz powinien mieć wręcz obowiązek sprawdzenia zgodności danych biometrycznych zapisanych w dokumencie tożsamości z danymi stawiającej się u niego osoby. Weryfikacja i udostępnienie danych za pomocą mObywatela mówi tylko o tym, że określona osoba i jej dane są znane w rejestrze państwowym, nie mówi jednak nic o tym, czy jest to ta sama osoba, która trzyma telefon. Co najwyżej pozwala się przekonać, że ten telefon (a właściwie aplikacja) zarejestrowany jest w systemie (o ile wykonywana jest procedura udostępnienia danych z rejestru). Tak więc bezpieczeństwo obywatela w sprawach takich jak zbycie nieruchomości „wisi” na bezpieczeństwie aplikacji.

Pseudonimizacja i anonimizacja

Podstawowymi narzędziami, w których pokładali nadzieje autorzy RODO, są pseudonimizacja i anonimizacja. Zgodnie z prawną definicją, dotyczą one całości zbiorów danych, nie tylko tworzenia tożsamości ukrywającej prawdziwą tożsamość osoby fizycznej. Jednak skoncentrujmy się na tym intuicyjnym i zawężonym znaczeniu.

Anonimizacja jest procesem, w którym utworzona nowa anonimowa tożsamość nie może być później powiązana w żaden sposób z tożsamością oryginalną. Czy może być to użyteczne? Tak! Przykładem są rozwiązania typu Privacy Pass, mające zastąpić zawodne już mechanizmy Captcha. Token Privacy Pass to jednorazowa tożsamość okazywana serwerowi. Okaziciel przedstawia w ten sposób dowód, że nie jest botem, lecz osobą znaną wystawcy tokenu. Fascynujące w tym rozwiązaniu jest to, że wystawca tokena nie dowie się nigdy, gdzie użytkownik wykorzystał token, nawet przy współpracy z serwisem, w którym token został użyty. Rozwiązanie oparte na tzw. ślepych podpisach chroni nie tylko użytkownika przed wścibstwem dostarczycieli usług cyfrowych, ale też wystawcę tokenów przed wścibstwem rządów: nawet gdyby wystawca chciał, nie ma technicznej możliwości powiązania wykorzystanego tokenu z tokenem wydanym użytkownikowi. Tym samym wystawca tokena nie może wejść w kolizję z RODO (i nie grożą mu kary nakładane przez organy europejskie), bez względu na nacisk własnego rządu i obowiązujące tam prawo.

Pseudonimizacja to proces podobny do anonimizacji, ale odwracalny. W normalnych warunkach pseudonim nie wiąże się z żadną konkretną osobą. Jednak przy użyciu odpowiednich danych (zwykle kluczy kryptograficznych) może być odtworzony związek pomiędzy pseudonimową tożsamością a tożsamością oryginalną. Oczywiście proces deanonimizacji (czy raczej depseudonimizacji) musi być obwarowany odpowiednimi gwarancjami.

Okazuje się, że w określonych sytuacjach pseudonimizacja może być rozwiązaniem bardziej użytecznym niż anonimizacja. Istotnie, jeśli mówimy o zgłoszeniach nieprawidłowości w wydawaniu publicznych pieniędzy, to sygnalista powinien móc skorzystać z przesłania informacji bez podania własnej tożsamości. Z drugiej strony pełna anonimizacja może uniemożliwiać organom ścigania nawiązanie kontaktu z sygnalistą w celu prowadzenia postępowania.

Linkowalność czy jednorazowe tożsamości?

Jednym z uciążliwych problemów, na jakie napotykamy choćby na forach internetowych, w komentarzach do prasy, jest możliwość stosowania tzw. Sybil attack przez trolli internetowych. Osoba taka inicjuje dyskusje na określony temat, stając niejako po obu stronach barykady, jednak w sposób mający osiągnąć określony efekt u obserwatorów. Tego typu techniki stosowane są do celów politycznych, stając się w istocie czwartą, bardzo wpływową władzą w klasycznych demokracjach. Co gorsza, narzędzia sztucznej inteligencji pozwalają na daleko idącą automatyzację i redukcję kosztów przy znacznie wyższej efektywności.

Rozwiązaniem są narzędzia pozwalające na ochronę przed „Sybil attack”: dla określonego celu (na przykład pisania komentarzy w określonej gazecie) użytkownik może wykreować dokładnie jedną tożsamość. Co więcej, z taką tożsamością może być związany podpis cyfrowy i procedura uwierzytelniania. Tym samym dostarczyciel usług cyfrowych może sprawdzić, kto jest dostarczycielem danych. Jeśli dane te są podpisane i przypisane do pseudonimu, to osoby trzecie mogą sprawdzić pochodzenie danych i ich integralność. Zabezpiecza to przed podszywaniem się czy manipulacjami danych dostarczonych przez użytkowników.

Istnieją rozwiązania kryptograficzne realizujące opisaną funkcjonalność. Są one dość trudne do realizacji w przypadku urządzeń takich jak karty kryptograficzne, po prostu nie wspierają one struktur algebraicznych niezbędnych do faktycznie bezpiecznej implementacji. Jeśli jednak karty są faktycznie odporne na odczyt chronionych danych (tamper-proof), to można pokusić się o taką implementację jak na niemieckim dowodzie osobistym. Nic natomiast nie stoi na przeszkodzie, by myśleć o implementacji w aplikacjach typu mObywatel, gdzie platforma sprzętowa jest na tyle elastyczna i silna, że z łatwością podoła zadaniom obliczeniowym wynikającym z użycia tzw. pairings-friendly groups.

Ekosystem anonimowej/pseudonimowej tożsamości

Wiele trudnych lub nierozwiązywalnych problemów może stać się trywialnymi, jeśli wyposażymy osoby (i urządzenia) we wspomniane wyżej narzędzia. Jednym z obszarów są szeroko rozumiane procesy demokratycznego podejmowania decyzji. Bynajmniej nie chodzi tu wyłącznie o udział w wyborach na drodze elektronicznej (choć oczywiście opisane narzędzia mogą znakomicie spełnić większość wymagań, choć nie wszystkie!). Istotne jest również zabieranie głosu w debacie publicznej w sposób, który nie naraża obywatela na represje ze strony rządzących. Prawdziwa demokracja to taka, w której obywatele nie tylko mogą oddać głos, ale również mogą aktywnie uczestniczyć w debacie bez obawy o konsekwencje osobiste. Anonimowa tożsamość powiązana z podpisem cyfrowym może być znakomitym narzędziem, które oddaje faktyczną władzę nad debatą suwerenowi.

Podobne rozwiązania mogą być stosowane do ochrony sygnalistów. Obecnie wprowadzone zasady są jedynie niewielkim krokiem we właściwym kierunku: trudno sobie wyobrazić, że jednostka powołana przez kierownictwo instytucji dopuszczającej się łamania prawa zapewni odpowiednie bezpieczeństwo osobom raportującym nieprawidłowości. Spodziewać się można raczej szybkiego odwetu pod jakimś pretekstem – deklaracje o prawnej ochronie sygnalistów mogą się okazać fikcją. Podobnie osoby dopuszczające się czynów zasługujących na dyscyplinarne zwolnienie mogą używać dyrektywy o sygnalistach do ochrony przed zwolnieniem, generując nieuzasadnione raporty. Rozwiązaniem jest rozerwanie związku pomiędzy określoną osobą fizyczną a raportami, przy zachowaniu możliwości zweryfikowania, że raport pochodzi od jednej z uprawnionych osób. Narzędzia opisane powyżej zapewniają taką funkcjonalność.

Nie do pominięcia są również postępowania sądowe w sprawach trudnych dla świadków i poszkodowanych. Oprócz potencjalnej zemsty ze strony świata przestępczego istotnym problemem są kwestie obyczajowe czy psychologiczne. Otwarty proces sądowy może być dla ofiary przestępstwa równie traumatyczny jak samo przestępstwo. Z tego względu celowe byłoby wprowadzenie możliwości występowania pod pseudonimem oraz przesłuchań cyfrowych odpowiednio uwierzytelnionych podpisami elektronicznymi potwierdzającymi anonimowe zeznania. Jednocześnie prawo do obrony nie byłoby złamane: jedna osoba nie mogłaby występować pod wieloma tożsamościami, zaś wypowiedzi określonej osoby byłyby możliwe do powiązania (i obalenia przez obronę). Na koniec procedura depseudonimizacji dawałaby sądowi możliwość przeprowadzenia bezpośredniej konfrontacji ze świadkiem czy poszkodowanym.

Proponowane narzędzia, o ile powszechne, mogłyby niezwykle mocno wspomóc osoby borykające się z określonymi problemami. Możliwość uzyskania pomocy u psychiatry (oprócz dostępności lekarzy) jest w Polsce blokowana przez czynniki kulturowe, osoba potrzebująca pomocy lekarza może się obawiać wycieku danych osobowych i klasyfikacji przez otoczenie jako „wariat”. Możliwość występowania pod pseudonimem mogłaby skutecznie pokonać tę barierę. Oczywiście wymagania techniczne są w tym przypadku dosyć wysublimowane: ubezpieczyciel nie powinien poznać danych pacjenta poza uwierzytelnieniem faktu, że jest to faktycznie osoba ubezpieczona. Podobnie można się zastanowić, czy sam lekarz powinien poznać pełne dane leczonej osoby. Z drugiej strony, w określonych warunkach musi istnieć droga do deanonimizacji: jeśli w trakcie anonimowej teleporady lekarz dojdzie do wniosku, że pacjentowi lub jego otoczeniu zagraża poważne niebezpieczeństwo, powinny być możliwe szybka deanonimizacja i udzielenie pomocy. Szybkość oznacza w tym wypadku konieczność wsparcia odpowiednimi narzędziami technicznymi a nie decyzją sądu.

Anonimizacja może być groźna

Nie wolno zapominać, że anonimizacja może być groźnym narzędziem w niepowołanych rękach. Weźmy sytuacje szantażu i wymuszeń. W niecyfrowym świecie osoba wymuszająca okup może pozostać anonimowa. Ale tylko do momentu przekazania okupu, który musi się odbyć w sposób fizyczny, a w momencie podjęcia okupu możliwe jest ujęcie sprawcy. Tym samym tego typu działalność przestępcza obarczona była określonym ryzykiem. Podobna zresztą sytuacja miała miejsce w przypadku żądania korzyści majątkowych. Narzędzia cyfrowe, niekoniecznie oficjalnie wspierane, zmieniły sytuację dramatycznie. Niesłychanie poprawiły się możliwości monetyzacji tego typu działalności i to bez specjalnych warunków wstępnych czy konkretnych umiejętności informatycznych. Ataki ransomware stały się możliwe z jednej strony dzięki prostemu mechanizmowi szyfrowania danych bez kontaktu z atakującym, a z drugiej strony przez możliwości uzyskania okupu anonimowo od ofiary za pomocą kryptowalut. Brakuje więc tego momentu, znanego z filmów kryminalnych, w którym przestępca aresztowany jest w momencie podjęcia torby z gotówką. Kanały anonimowej komunikacji (nie tylko TOR, lecz również publiczne Bulletin Boards) pozwalają na zwrotne przekazanie klucza do deszyfrowania zaatakowanych danych.

Podobnie technologia może stanąć na służbie korupcji. Osoba wymagająca łapówki może czynić to ukryta pod anonimową tożsamością, zaś sama płatność łapówki wykonana będzie za pomocą kryptowalut. O ile w wyniku tego zostanie podjęta decyzja ujęta w żądaniu łapówki, a sam proceder ujawniony, to wykazanie związku pomiędzy anonimowym żądaniem, transakcją i czynnościami decydenta może być dla sądu niewykonalne.

Anonimowe kryptowaluty

Klasyczne kryptowaluty, takie jak Bitcoin, są w pewnym stopniu analogiczne do anonimowych kont bankowych, posiadacz klucza kryptograficznego może korzystać z zasobów konta zdefiniowanych za pomocą jego salda. Anonimowość w tym wypadku jest ograniczona: jakkolwiek klucz nie jest przypisany do osoby fizycznej, to w wielu przypadkach tożsamość posiadacza da się ustalić (o ile nie jest ustalona przez operatora platformy wymiany kryptowalut!). Nie bez znaczenia pozostaje też fakt, że operacje na takim wirtualnym koncie są odnotowane w blockchainie i tym samym publicznie dostępne. Pod tym względem anonimowe konta bankowe w rajach podatkowych bardziej chronią posiadaczy, bo nie tylko nie publikują danych o operacjach, lecz także o samym istnieniu kont.

Sytuację znacząco zmieniło pojawienie się anonimowych kryptowalut. Co więcej, kryptowaluty takie jak Monero zyskują podobno popularność w świecie przestępczym. Różnica w stosunku do klasycznych kryptowalut polega na tym, że rozwiązania te bardziej przypominają obrót gotówką niż konta bankowe. Transakcja w przypadku Monero nie wskazuje beneficjenta, lecz klucz publiczny używany w momencie wykorzystania przekazywanych środków. Klucz ten nie jest długoterminowym kluczem beneficjenta. Genialnym, ale i prostym trickiem użytym przez Monero jest to, że jedynie beneficjent jest w stanie wyliczyć klucz prywatny skojarzony z kluczem publicznym wymienionym w transakcji i tym samym użyć przekazane środki. Transakcje w Monero chronią również tożsamość dysponenta środków: transakcja jest podpisana za pomocą tzw. podpisu ringowego. Podpis wskazuje na grupę kluczy publicznych wykorzystanych do złożenia podpisu. Jądrem rozwiązania jest fakt, że wystarczy znajomość dokładnie jednego odpowiadającego klucza prywatnego, aby taki podpis wygenerować. Tym samym nie wiemy nawet, który klucz publiczny został w istocie użyty. Oczywiście zalety Monero w tym miejscu się nie kończą, a konstrukcja jest przykładem genialnej integracji wielu zaawansowanych pomysłów kryptograficznych.

Problemem staje się użytkownik, który może użyć anonimowej kryptowaluty do niecnych celów. Poza przestępczością (zwłaszcza zorganizowaną) nie da się pominąć kwestii możliwości użycia do celów takich jak finansowanie terroryzmu, korupcja, pranie brudnych pieniędzy czy w końcu omijanie sankcji gospodarczych. Oczywiście nie oznacza to, że anonimowe kryptowaluty nie są używane również przez zwykłych uczciwych obywateli. Na przykład mogą oni szukać ucieczki przed hiperinflacją.

Wiele krajów, w tym Unia Europejska, stara się walczyć z użyciem kryptowalut do niecnych celów. Efektem są obowiązki nakładane w obrocie finansowym określane zbiorczo jako „przeciwdziałanie praniu brudnych pieniędzy”. W życie wchodzą kolejne regulacje europejskie nie tylko regulujące rynek finansowy (AML), ale również rynek kryptowalut (MiCA). Operatorzy platform wymiany kryptowalut zostali zobowiązani do czynności podobnych jak instytucje finansowe: określania zarówno nadawcy, jak i rzeczywistego beneficjenta transakcji oraz prowadzenia analiz mających na celu wykrycie i zablokowanie transakcji zwalczanego typu.

Na pierwszy rzut oka Monero wydaje się przygotowane na tego typu regulacje. Każdy z użytkowników posiada dwa klucze publiczne i odpowiadające im klucze prywatne. Okazanie jednego z tych kluczy przez użytkownika umożliwia sprawdzenie, że jest adresatem określonej transakcji, nie daje natomiast możliwości użycia przekazanych środków. W ten sposób platforma wymiany kryptowalut może dokonać weryfikacji beneficjenta ujawnionego przez autora transakcji i dopiero wtedy zatwierdzić transakcję poprzez jej opublikowanie.

Niestety na polu anonimowych kryptowalut i ich wykorzystania w złym celu trwa walka, w której organy kontrolne niekoniecznie uzyskują przewagę. Po pierwsze, regulacje takie jak MiCA dotyczą wyłącznie platform działających w Europie. Nic jednak nie zmusza świata przestępczego do korzystania z platform europejskich, wystarczy operacji dokonywać za pomocą VPN w kraju, w którym takie ograniczenia nie obowiązują. Tak więc oprócz rajów podatkowych możemy mieć do czynienia z rajami kryptowalutowymi obsługującymi nielegalny obrót finansowy dla podmiotów z całego świata. Można oczywiście próbować utworzenia pewnego rodzaju kordonu sanitarnego wokół takich krajów, ale w istocie można oczekiwać łańcucha operacji „piorących” aktywa przed ich pojawieniem się w Europie.

Niestety, możliwe jest również zaimplementowanie Monero po stronie użytkownika w taki sposób, aby transakcje były zgodne z regułami AML i MiCA, zaś wskazany beneficjent był jedynie „słupem”, a faktyczna możliwość wykorzystania środków powstawałaby u innego adresata. W ten sposób cała siła ekosystemu kryptowaluty zostałaby wykorzystana przeciw regulacjom kontrolnym, przy zapewnieniu nierozróżnialności od transakcji całkowicie legalnych.

W najbliższych latach czeka nas z pewnością wyścig idei z jednej strony starających się ograniczyć wykorzystanie kryptowalut do akceptowalnych celów, a z drugiej strony idei służących do wymknięcia się spod kontroli i stworzenia globalnego i wysoce efektywnego środowiska obsługującego nielegalne operacje finansowe. Po raz pierwszy w historii ludzkości wyścig zbrojeń ma miejsce w obszarze technik anonimizacji metodami kryptograficznymi.

prof. dr hab. Mirosław Kutyłowski

Zakład Kryptologii w NASK – Państwowym Instytucie Badawczym

Dyskusja (0 komentarzy)