گزارش تحلیلی: تضعیف کدگذاری، اقدامی مشروع یا اشتباهی تراژیک؟

اگر به خاطر داشته باشید چند روز پیش آی تابناک گزارشی منتشر کرد که با اشاره به بیانیۀ مشترک شرکت های بزرگ حوزۀ IT از جمله گوگل، فیس بوک، توئیتر و مایکروسافت، به خطرهای امنیتی سیاست های دولت ها در کنترل اطلاعات کاربران و به ویژه مسئلۀ کدگذاری و نیز درخواست دولت ها از شرکت‌های مربوطه برای ایجاد یک راه گریز، موسوم به «درب پشتی» (Back Door) برای کدگذاری اطلاعات پرداخته بود. گزارش پیش رو، در تلاش است موضوع اخیر را با دقت و جزئیات بیشتری بررسی کند.

اصل این قضیه به زبان ساده این است: اگر اکنون با پذیرفتن بهانه هایی از جمله تروریسم و یا جرائم سازمان‌دهی شده بر سر امنیت ابزارهای سیستم‌های دیجیتالی‌مان حاضر به سازش شویم، آن‌گونه که دولت‌ها و نهادهای قانونی خواهان آن هستند، در آینده شایسته و مسئولِ تمام پیامدهای این سازش خواهیم بود.

این پیشنهاد که شرکت‌هایی مانند اپل، مایکروسافت، گوگل و آلفابت یک راه گریز یا درب پشتی برای کلیۀ اطلاعات کدگذاری شده تعریف کنند که کلید آن در دست دولت ها و نهادهای مربوطه باشد، تا در زمان‌های اضطراری بتوانند از آن استفاده کنند، یک ایدۀ به ظاهر جذاب ولی گمراه کننده و خطرناک است. چنین داده هایی شامل انواع اطلاعات از متن پیام های ما تا اطلاعات بانکی ما را شامل می شود و تاریخ ثابت کرده است که به محض ایجاد یک راه گریز، هر شخصی می‌تواند با نیت های مختلف از آن استفاده کند.

ما در حال حضر در دنیایی زندگی می‌کنیم که امکانات دفاعی اندکی در برابر نق حریم خصوصی‌ برایمان باقی مانده است. ادعا می‌شود که دولت چین می‌‌تواند پرونده‌ای کامل از رویه‌ها و سابقه‌های جستجوی هرکدام از شهروندان ایالات متحده و به طبع، دیگر کشورها فراهم کند.اغلب شبکه‌های ارتباطی ما محل مصالحه میان سازندگان و دولت ها شده است. بر مبنای گزارش مجلۀ دنیای کامپیوتر (World Computer Magazine)، دولت‌ها به خوبی مسلح شده اند و سالیانه بالغ بر نیم تریلیون دلار زیان برای شرکت‌های این حوزه به بار می‌آورند. و اشخاص به شکل فزاینده‌ای اطلاعات شخصی خود را محل مصالحۀ بازیگران مختلف این حوزه می‌بینند

این یک طنز تلخ در دنیای تکنولوژیک محور امروز است و به محض ایجاد یک درب پشتی دیگر هیچ‌گونه کدگذاری کارآمد نیست. دولت‌ها حتی هیچ‌گاه مشخص نمی‌کنند که دقیقاً قصد استفاده از چه ابزاری برای کنترل اطلاعات دارند. شرکت‌هایی مانند اپل به همین دلیل اقدام به ایجاد سیستم کدگذاری بر روی تک تک دستگاه‌های خود به طور مستقل و به گونه‌ای می کنند که حتی خودشان هم دسترسی به آن ندارند.

مسئله نامشروع بودن یا دروغ دولت ها نیست؛ مسئله این نیست که دغدغه‌های اشخاصی مانند جیمز کامی (James Comey)، از مقام‌های سازمان امنیتی FBI که مدعی‌ست سازمان داعش از کدگذاری‌ها برای جلوگیری از دسترسی به برنامه‌ها و اطلاعاتشان استفاده می‌کنند و این ابزار، عملیات آن‌ها را در سایه قرار می‌دهد، دغدغه‌های نابه جایی است.

این ایده که با حذف کدگذاری مانع از عملیات تروریستی شویم جذاب است. اما این منطق یک مشکل دارد: شما نمی‌توانید ریاضی را قدغن کنید! در حقیقت، کدگذاری یک فناوری مشهور است و مهاجمان پیشرفته حتماً کانال‌های جدیدی را برای استفاده از این فناوری در اختیار خواهند داشت، هرچند که شما مسیرهای شناخته شده را مسدود کرده باشید.

یک مثال دیگر: اگر اطلاعاتی روی یک گوشی خاص باشد که بتواند به خنثی کردن مثلا یک آدم ربایی کمک کند چه؟ خوشبختانه راه حلی وجود دارد که متضمن سازش بر سر اطلاعات شخصی دیگران نیست. این راه حل که توسط چندتن از پژوهشگرانِ به نامِ حوزۀ دانشگاهی مطرح شده «هک قانونی» نام دارد. این روش معتقد است در حقیقت هر دستگاه و سیستمی اندکی حفره های امنیتی دارد و می‌توان از این حفره‌ها برای دسترسی به برخی اطلاعات مشخص در مواقع اضطراری استفاده کرد.

در حقیقت مبنای این پیشنهاد این است که بهتر است از حفره‌های موجود در سیستم‌ها برای مقاصد قانونی استفاده کرد تا اینکه یک حفرۀ امنیتی بسیار خطرناک دیگر را به این دستگاه‌ها اضافه کرد. درست است که تمام دستگاه های امنیتی چنین امکانی ندارند، (سازمانی مانند FBI هم اکنون دو بخش برای مطالعه بر روی ضعف های امنیتی سیستم‌ها دارد) اما سرمایه گذاری بر روی این مسیر و فراهم کردن امکانات لازم در این راستا بسیار عقلانی‌تر از روش پیشنهادی اغلب دولت‌ها است.

با این حال، لازم است بدانیم که آن‌گونه که دیوید چامن (David Chauman) یکی از پیشگامان ارتباطات امن و کدگذاری شده می‌گوید، دلایلی وجود دارد که حتی شرکت‌هایی که مدعی هستند از روش کدگذاری End-to-End استفاده می‌کنند هم بایستی قادر باشند پیام‌هایی را که از طریق سیستم‌های آن‌ها فرستاده شده است رهگیری کنند و بازگردانند. با اینکه او مدعی‌ست اطلاعی از سازوکارهای داخلی شرکت‌هایی مانند اپل و فیس بوک ندارد، اما می‌گوید منطق ریاضی کدگذاری به گونه‌ای است که چون این شرکت‌ها سرورهایی را که مسئول انتقال اطلاعات هستند توانایی آن را هم دارند که یک ناظر (man in the middle) تعبیه کنند که قادر به رهگیری اطلاعات باشد.

در حالی که هر دو شرکت اپل و فیس بوک به هرگونه درخواست جهت نظر دادن راجع به امنیت سیستم‌هایشان خودداری کرده‌اند، حتی اگر نهادهای قانونی قادر به رمزگشایی پیام‌های اشخاص نباشند، به سختی می‌توان آنها را از استفاده از ابزارهای دیگری مانند نظارت بر Metadataی پیام ها بازداشت. چنین ابزارهایی بیانگر این هستند که چه کسی و از کجا به کجا پیام فرستاده است. این اطلاعات برای نهادهای قانونی حتی از محتوای پیام‌ها مهم‌تر است. این گونه اطلاعات به گفتۀ پروفسور زیتریان، استاد دانشگاه هاروارد کاملاً در دسترس نهادهای قانونی قرار دارد.

حاصل سخن اینکه امکان استفادۀ مشروع از برخی اطلاعات مشخص توسط نهادهای قانونی به هیچ عنوان متناظر با لزوم آسیب‌پذیر کردن نظام بسیار حیاتی و سودمند کدگذاری با ایجاد «درب پشتی» نخواهد بود. هک قانونی، فرااطلاعات و بسیاری روش‌های دیگری که ما حتی از آن‌ها اطلاعی نداریم برای این کار وجود دارند. پس لزومی به ضربه زدن به حوزۀ خصوصی افراد و حتی، حوزه‌ای مهم‌تر برای دولت‌ها، حوزۀ امنیت اطلاعات مالی و پولی، برای کنترل بعضی از وضعیت‌های استثنائی امنیتی وجود ندارد.