Oznámení rezonovalo pařížskými chodbami jako skutečné „volání po nezávislosti“: premiérka nařídila vládě opustit WhatsApp a Signal ve prospěch Olvidu, komunikační aplikace prezentované jako „domácí“. Cíl byl jasný: chránit státní tajemství před dlouhými prsty zahraničních zpravodajských služeb.
Rychle se však objevila hořká ironie: srdce Olvidu — jeho serverová infrastruktura — bije uvnitř Amazon Web Services (AWS), amerického giganta.
Široké veřejnosti to připadá jako pouhá technická otázka hostingu. Ale pro architekty suverénní kybernetické bezpečnosti a ty, kteří sledují geopolitiku dat, jde o politickou zranitelnost prvního řádu.
Extrateritorialita a střet suverenit
Tím, že se Olvid spoléhá na infrastrukturu Amazonu, automaticky vstupuje na oběžnou dráhu amerického zákona CLOUD Act.
Právní analýza tohoto případu odhaluje scénář jurisdikční nejistoty, který pouhé přijetí národní „aplikace“ absolutně neřeší. Bod zlomu spočívá v konceptu „kontroly“ versus „lokalizace“.
CLOUD Act radikálně změnil právní paradigma tím, že stanovil, že na fyzickém umístění serveru nezáleží. Povinnost poskytovatele služeb (zde AWS) spolupracovat vyplývá pouze z jeho jurisdikční vazby na USA. Washington tak může požadovat data od společností spadajících pod jeho jurisdikci, i když jsou tato data fyzicky uložena na evropské půdě.
Právně to vytváří čelní střet s obecným nařízením o ochraně osobních údajů (GDPR). Soudní dvůr Evropské unie (prostřednictvím slavných rozhodnutí Schrems I a II) již dříve konstatoval, že zákony USA o sledování nenabízejí úroveň ochrany odpovídající té evropské.
Digitální suverenita není vlastností softwaru, ale atributem integrity spotřebitelského řetězce dat.
Přízrak FISA a falešný slib šifrování
A co hůř, tato závislost na americké infrastruktuře staví tato data do stínu zákona Foreign Intelligence Surveillance Act (FISA), který povoluje elektronické sledování pro účely „zahraničního zpravodajství“ cílené na subjekty mimo USA.
Tváří v tvář těmto hrozbám Olvid tvrdí, že jeho end-to-end šifrování představuje dostatečný štít. Z pohledu inženýrství ochrany soukromí je tato obrana nebezpečně částečná.
Nedávné odmítnutí zadních vrátek (backdoors) francouzským Národním shromážděním ukazuje legislativní odpor vůči zranitelnosti z podstaty návrhu. I když je obsah zprávy zašifrován, centralizovaná infrastruktura AWS odhaluje metadata. Vědět, kdo mluví s kým, kdy, jak často a odkud, je pro zahraniční rozvědku často cennější než samotný obsah zprávy.
Šifrování chrání text, ale centralizovaný server prozrazuje síť kontaktů.
Skutečné nebezpečí teprve přijde
Dokud bude evropská infrastruktura závislá na subjektech podléhajících extrateritoriálním statutům, zůstane právní bezpečnost naší komunikace čistě dočasná a iluzorní.
Národní bezpečnost ve 21. století vyžaduje mnohem více než dobré legislativní úmysly nebo povrchní softwarové štíty: vyžaduje úplnou nezávislost infrastruktury a hardwaru. Protože zatímco zachycování těchto metadat a šifrovaných paketů se dnes zdá neškodné, ve skutečnosti živí nejničivější hrozbu příštího desetiletí: strategii „Shromáždi nyní, dešifruj později“.
Dnes zachycené státní tajemství není nic jiného než matematická časovaná bomba.
(Zbytek naší analýzy si přečtěte v části 2: Časovaná bomba a imperativ Zero-Knowledge)