https://arpokrat.com/cs/blog/tags/backdoors/ Recent content in Backdoors on Arpokrat Hugo -- gohugo.iocsWed, 10 Jun 2026 00:00:00 +0000 https://arpokrat.com/cs/blog/ipa-osa-backdoors/ Wed, 10 Jun 2026 00:00:00 +0000 https://arpokrat.com/cs/blog/ipa-osa-backdoors/ <p>Londýn se stal epicentrem globální bitvy o budoucnost digitálního soukromí. S přijetím zákona <em>Online Safety Act</em> 2023 (OSA) a nedávnými návrhy na revizi zákona <em>Investigatory Powers Act</em> (IPA) — svými kritiky nazývaného „Charta špionů“ —, si britská vláda nárokuje právo ukládat povinnosti sledování přímo v jádru soukromé komunikace. Zlomovým bodem je pravomoc udělená regulátorovi OFCOM požadovat, aby platformy nasadily „akreditovanou technologii“ k detekci materiálů pohlavního zneužívání dětí (CSEA) nebo terorismu, a to i v rámci <a href="https://arpokrat.com/cs/messenger">end-to-end šifrované komunikaci</a>.</p> <p>Pro velké digitální platformy je poselství Westminsteru jednoznačné: buď usnadní státní přístup ke své infrastruktuře, nebo jim hrozí pokuty až do výše 10 % jejich celosvětových příjmů. Reakce byla okamžitá: služby jako Signal a WhatsApp veřejně pohrozily stažením z britského trhu a odmítly ohrozit bezpečnost svých uživatelů, aby uspokojily jedinou jurisdikci. Technický argument je těžko zpochybnitelný: neexistuje žádný hlavní klíč (master key) vyhrazený pouze pro legitimní aktéry. Otevřené dveře pro orgány činné v trestním řízení jsou z podstaty věci otevřenými dveřmi pro kyberzločince a zahraniční zpravodajské služby.</p> <h2 id="obchodní-model-velkých-platforem-strukturální-překážka-pro-zero-knowledge">Obchodní model velkých platforem: strukturální překážka pro Zero-Knowledge</h2> <p>Odpor velkých platforem vůči přijetí šifrování Zero-Knowledge není vysvětlen technickou neschopností, ale základní ekonomickou neslučitelností. Společnosti jako Alphabet a Meta spoléhají na modely zpeněžení založené na systematickém shromažďování údajů o chování. Tento model mimochodem implicitně uznává zákon Evropské unie o digitálních trzích (DMA), který tyto „strážce“ (gatekeepers) klasifikuje jako subjekty, jejichž dominantní postavení je přesně živeno akumulací dat v bezkonkurenčním měřítku. Pro tyto aktéry by přijetí architektury Zero-Knowledge znamenalo připravit jejich reklamní systémy o nepřetržitou identifikaci uživatelů, která je jejich palivem. Nejde tedy o technickou volbu, ale o kompromis mezi soukromím uživatelů a životaschopností jejich obchodního modelu.</p> <h2 id="strategické-riziko-hrozba-harvest-now-decrypt-later">Strategické riziko: hrozba „Harvest Now, Decrypt Later“</h2> <p>Kromě debaty o soukromí vyvolává oslabení šifrování otázku národní bezpečnosti zcela jiného rozsahu. Strategie známá jako <a href="https://arpokrat.com/cs/blog/harvest-now-decrypt-later-hndl-zero-knowledge/"><em>Harvest Now, Decrypt Later</em> (HNDL)</a> spočívá v tom, že státní protivníci dnes zachycují a ukládají obrovské objemy šifrované komunikace v očekávání budoucích schopností kvantového dešifrování. Oslabováním současných standardů šifrování britský legislativní rámec objektivně usnadňuje tento typ operací proti vládní, diplomatické nebo průmyslové komunikaci.</p> <p>Právě v tomto kontextu deficitu důvěry získávají ekosystémy, jako je ten od Arpokratu, provozní relevanci. Tím, že Arpokrat funguje v režimu švýcarského federálního zákona o ochraně osobních údajů (FADP), s architekturou, která neshromažďuje žádné občanské identifikátory, nabízí technický rozchod s infrastrukturami podléhajícími britské jurisdikci — což zaručuje, že systém zůstane neslyšící vůči příkazům předpokládaným zákonem OSA.</p> <h2 id="střet-norem-osa-a-ipa-proti-evropskému-právu">Střet norem: OSA a IPA proti evropskému právu</h2> <p>Právní analýza nových výsad britského státu odhaluje přímý střet se základy evropského práva týkajícího se ochrany osobních údajů a důvěrnosti komunikace.</p> <h3 id="osa-proti-zákazu-plošného-sledování">OSA proti zákazu plošného sledování</h3> <p>Článek 121 OSA zavádí možnost pro OFCOM vydávat příkazy nutící platformy zavést skenování na straně klienta (<em>client-side scanning</em>). Toto opatření je v přímém rozporu s principem, odvozeným z evropského práva a zahrnutým v judikatuře SDEU (Soudní dvůr EU), který zakazuje plošné povinnosti sledování. Vynucením „zranitelnosti od návrhu“ (vulnerability by design) také staví společnosti do situace dvojí vazby: oslabením své bezpečnosti v zájmu splnění státního mandátu nedodržují svou povinnost zaručit úroveň bezpečnosti odpovídající zpracování, jak je zakotveno v článku 32 GDPR.</p> <h3 id="směrnice-eprivacy-a-důvěrnost-komunikace">Směrnice ePrivacy a důvěrnost komunikace</h3> <p>Skenování soukromých zpráv je v přímém rozporu s čl. 5 odst. 1 směrnice 2002/58/ES (<em>ePrivacy</em>), který zavazuje členské státy zaručit důvěrnost elektronických komunikací a zakazuje jakoukoli formu odposlechu nebo sledování bez výslovného souhlasu dotčených uživatelů.</p> <h3 id="technical-capability-notices-a-blokování-bezpečnostních-aktualizací"><em>Technical Capability Notices</em> a blokování bezpečnostních aktualizací</h3> <p>V rámci režimu IPA 2016 má britská vláda nyní v úmyslu používat <em>Technical Capability Notices</em> (TCN) k zablokování bezpečnostních aktualizací před jejich nasazením. Tento mechanismus vytváří neřešitelný konflikt s povinností, stanovenou článkem 32 GDPR, zajistit nepřetržitou bezpečnost systémů zpracování — povinností, která přesně vyžaduje schopnost aplikovat záplaty bez zpoždění nebo vnějších zásahů.</p> <h2 id="rizika-shody-pro-společnosti-působící-v-evropě">Rizika shody pro společnosti působící v Evropě</h2> <p>Cílem revizí IPA je přinutit společnosti, aby informovaly britskou vládu o jakékoli technické úpravě ovlivňující bezpečnost před její implementací, čímž jí udělují právo veta nad vývojem produktů. Toto vměšování vytváří značnou právní nejistotu pro dodavatele působící na evropském trhu: britská přiměřenost k evropskému právu — již tak křehká — by mohla být zpochybněna, pokud Spojené království již nebude zaručovat ochranu podstatně rovnocennou s ochranou GDPR. Předávání údajů do Spojeného království v tomto novém rámci by tak pravděpodobně vystavilo společnosti sankcím podle GDPR.</p> <h2 id="obrana-technickou-nemožností-princip-zero-knowledge-jako-právní-štít">Obrana technickou nemožností: princip Zero-Knowledge jako právní štít</h2> <p>Mezinárodní judikatura, upevněná rozsudky <em>Schrems I</em> a <em>Schrems II</em> SDEU, stanovila určující princip: jedinou robustní pojistkou proti nepřiměřenému sledování je technická nemožnost přístupu k nim. Architektury Zero-Knowledge aplikují tento princip ve třech vrstvách ochrany:</p> <ol> <li><strong>Absence úschovy:</strong> platforma nedrží dešifrovací klíče, jakýkoli příkaz ke skenování zpráv je technicky neproveditelný;</li> <li><strong>Suverenita operačního systému:</strong> kontrola nad <a href="https://arpokrat.com/cs/os">ArpokratOS</a> eliminuje telemetrii, která živí shromažďování zpravodajských informací na úrovni zařízení;</li> <li><strong>Švýcarské jurisdikční ukotvení:</strong> tím, že Arpokrat hostí svou infrastrukturu ve Švýcarsku, funguje v právním režimu vyžadujícím individualizované a odůvodněné žádosti o vzájemnou právní pomoc, čímž neutralizuje automatizované provádění hromadného skenování předpokládaného zákonem OSA.</li> </ol> <h2 id="závěr">Závěr</h2> <p>Ustanovení zákona OSA a revize zákona IPA nejsou jen hrozbou pro soukromí jednotlivců: představují narušení právní jistoty pro všechna evropská data procházející infrastrukturami podléhajícími britské jurisdikci. Tím, že Londýn legitimizuje oslabování šifrování ve jménu veřejné bezpečnosti, paradoxně vystavuje své spojence a obchodní partnery rizikům průmyslové a státní špionáže, kterým mají architektury Zero-Knowledge přesně zabránit.</p> <p>Integrita profesionální a institucionální komunikace nyní vyžaduje strukturální reakci: migraci směrem k decentralizovaným ekosystémům zaručujícím digitální suverenitu, od úrovně kódu až po jurisdikční ukotvení.</p>