این اعلامیه مانند یک «فریاد استقلال» واقعی در راهروهای پاریس طنینانداز شد: نخستوزیر دستور داد دولت استفاده از WhatsApp و Signal را کنار بگذارد و به Olvid، یک برنامه پیامرسان که به عنوان «بومی» معرفی شده، روی بیاورد. هدف اعلام شده روشن بود: محافظت از اسرار دولتی در برابر دسترسی آژانسهای اطلاعاتی خارجی.
با این حال، یک طنز تلخ به سرعت آشکار شد: قلب Olvid — یعنی زیرساخت سرورهای آن — در درون خدمات وب آمازون (AWS)، یک غول آمریکایی، میتپد.
برای عموم مردم، این ممکن است تنها یک مسئله فنی ساده میزبانی به نظر برسد. اما برای معماران امنیت سایبری حاکمیتی و کسانی که ژئوپلیتیک دادهها را دنبال میکنند، این یک آسیبپذیری سیاسی درجه اول است.
فراقلمرویی و تضاد حاکمیتها
با تکیه بر زیرساخت آمازون، Olvid به طور خودکار وارد مدار قانون CLOUD ایالات متحده میشود.
تحلیل حقوقی این پرونده، سناریویی از ناامنی قضایی را آشکار میکند که پذیرش صرف یک «برنامه» ملی به هیچ وجه آن را حل نمیکند. نقطه عطف در مفهوم «کنترل» در برابر «بومیسازی» نهفته است.
قانون CLOUD با تصریح این که مکان فیزیکی سرور اهمیتی ندارد، پارادایم قانونی را اساساً تغییر داد. تعهد ارائهدهنده خدمات (در اینجا AWS) به همکاری، تنها ناشی از پیوند قضایی آن با ایالات متحده است. بنابراین، واشنگتن میتواند از شرکتهای تحت صلاحیت خود دادهها را مطالبه کند، حتی زمانی که آن دادهها از نظر فیزیکی در خاک اروپا ذخیره شده باشند.
از نظر قانونی، این یک تضاد مستقیم با مقررات عمومی حفاظت از دادهها (GDPR) ایجاد میکند. دیوان دادگستری اتحادیه اروپا (از طریق احکام معروف Schrems I و II) پیش از این ثابت کرده است که قوانین نظارتی آمریکا سطح حمایتی معادل اروپا را ارائه نمیدهند.
حاکمیت دیجیتال ویژگی نرمافزار نیست، بلکه ویژگی یکپارچگی زنجیره نگهداری است.
سایه FISA و وعده دروغین رمزگذاری
بدتر از آن، این وابستگی به زیرساختهای آمریکایی، این دادهها را زیر سایه قانون نظارت بر اطلاعات خارجی (FISA) قرار میدهد که نظارت الکترونیکی را برای مقاصد «اطلاعات خارجی» با هدف قرار دادن اهداف خارج از ایالات متحده مجاز میداند.
در مواجهه با این تهدیدها، Olvid ادعا میکند که رمزگذاری سرتاسری آن یک سپر کافی است. از دیدگاه مهندسی حریم خصوصی، این دفاع به طور خطرناکی ناقص است.
رد اخیر درهای پشتی توسط مجلس ملی فرانسه نشاندهنده مقاومت قانونگذاری در برابر آسیبپذیری در طراحی است. با این حال، حتی اگر محتوای یک پیام رمزگذاری شده باشد، زیرساخت متمرکز AWS فرادادهها (Metadata) را در معرض دید قرار میدهد. دانستن اینکه چه کسی با چه کسی، چه زمانی، چند وقت یکبار و از کجا صحبت میکند، اغلب برای اطلاعات خارجی بسیار ارزشمندتر از محتوای خود پیام است.
رمزگذاری از متن محافظت میکند، اما سرور متمرکز شبکه مخاطبین را فاش میکند.
خطر واقعی هنوز در راه است
تا زمانی که زیرساختهای اروپایی به نهادهای مشمول قوانین فراقلمرویی وابسته باشند، امنیت حقوقی ارتباطات ما کاملاً موقتی و توهمآمیز باقی خواهد ماند.
امنیت ملی در قرن بیست و یکم به چیزی بسیار بیشتر از نیتهای خوب قانونگذاری یا سپرهای نرمافزاری سطحی نیاز دارد: این نیازمند استقلال کامل زیرساخت و سختافزار است. زیرا در حالی که رهگیری این فرادادهها و بستههای رمزگذاری شده امروز بیضرر به نظر میرسد، در واقع مخربترین تهدید دهه آینده را تغذیه میکند: استراتژی «اکنون جمعآوری کن، بعداً رمزگشایی کن».
یک راز دولتی که امروز رهگیری شود، چیزی جز یک بمب ساعتی ریاضی نیست.
(بقیه تحلیل ما را در قسمت 2 بخوانید: بمب ساعتی و ضرورت دانش صفر)