Ogłoszenie to zabrzmiało jak prawdziwy „okrzyk niepodległości” na korytarzach Paryża: premier nakazała rządowi porzucić WhatsApp i Signal na rzecz Olvid, komunikatora przedstawianego jako „rodzimy”. Cel był jasny: chronić tajemnice państwowe przed zagranicznymi agencjami wywiadowczymi.
Szybko jednak wyszła na jaw gorzka ironia: serce Olvid — jego infrastruktura serwerowa — bije w ramach Amazon Web Services (AWS), amerykańskiego giganta.
Dla ogółu społeczeństwa wydaje się to prostą kwestią techniczną dotyczącą hostingu. Ale dla architektów suwerennego cyberbezpieczeństwa jest to polityczna słabość pierwszego rzędu.
Ekstraterytorialność i Konflikt Suwerenności
Opierając się na infrastrukturze Amazon, Olvid automatycznie wchodzi na orbitę amerykańskiej ustawy CLOUD Act.
Analiza prawna tego przypadku ujawnia scenariusz braku bezpieczeństwa jurysdykcyjnego, którego samo przyjęcie narodowej „aplikacji” absolutnie nie rozwiązuje. Punkt krytyczny leży w koncepcji „kontroli” w stosunku do „lokalizacji”.
CLOUD Act radykalnie zmienił paradygmat prawny, stanowiąc, że fizyczna lokalizacja serwera nie ma znaczenia. Obowiązek współpracy dostawcy (tu AWS) wynika wyłącznie z jego powiązań jurysdykcyjnych z USA.
Z prawnego punktu widzenia tworzy to frontalny konflikt z RODO (GDPR). Trybunał Sprawiedliwości UE już ustalił, że amerykańskie przepisy dotyczące inwigilacji nie oferują poziomu ochrony równoważnego z europejskim.
Cyfrowa suwerenność nie jest atrybutem oprogramowania, ale właściwością integralności łańcucha dowodowego.
Widmo FISA i Fałszywa Obietnica Szyfrowania
Co gorsza, to uzależnienie od amerykańskiej infrastruktury umieszcza te dane w cieniu ustawy Foreign Intelligence Surveillance Act (FISA).
W obliczu tych zagrożeń Olvid twierdzi, że szyfrowanie end-to-end stanowi wystarczającą tarczę. Z perspektywy inżynierii prywatności obrona ta jest niebezpiecznie fragmentaryczna.
Nawet jeśli treść wiadomości jest zaszyfrowana, scentralizowana infrastruktura AWS ujawnia metadane. Wiedza o tym, kto rozmawia z kim, kiedy, jak często i skąd, jest często znacznie cenniejsza dla wywiadu niż sama treść wiadomości.
Szyfrowanie chroni tekst, ale scentralizowany serwer zdradza sieć kontaktów.
Prawdziwe Niebezpieczeństwo Dopiero Nadejdzie
Dopóki europejska infrastruktura będzie zależna od podmiotów podlegających przepisom ekstraterytorialnym, bezpieczeństwo prawne naszej komunikacji pozostanie iluzoryczne.
Bezpieczeństwo narodowe w XXI wieku wymaga całkowitej niezależności infrastruktury i sprzętu. Strategia „Zbierz teraz, odszyfruj później” to najbardziej niszczycielskie zagrożenie nadchodzącej dekady.
Tajemnica państwowa przechwycona dzisiaj to nic innego jak matematyczna bomba zegarowa.
(Przeczytaj resztę naszej analizy w Części 2: Bomba Zegarowa i Imperatyw Zero-Knowledge)