Это объявление прозвучало как настоящий «крик о независимости» в коридорах Парижа: премьер-министр приказал правительству отказаться от WhatsApp и Signal в пользу Olvid, мессенджера, представленного как «отечественный». Цель была ясна: защитить государственные секреты от длинных рук иностранных спецслужб.
Однако вскоре обнаружилась горькая ирония: сердце Olvid — его серверная инфраструктура — бьется внутри Amazon Web Services (AWS), американского гиганта.
Широкой публике это кажется простой технической проблемой хостинга. Но для архитекторов суверенной кибербезопасности это политическая уязвимость первого порядка.
Экстерриториальность и конфликт суверенитетов
Опираясь на инфраструктуру Amazon, Olvid автоматически попадает в орбиту американского CLOUD Act.
Юридический анализ этого дела выявляет сценарий юрисдикционной незащищенности, который простое внедрение национального «приложения» совершенно не решает. Переломный момент кроется в концепции «контроль» против «локализации».
CLOUD Act радикально изменил правовую парадигму, постановив, что физическое расположение сервера не имеет значения. Обязанность поставщика услуг (здесь AWS) сотрудничать вытекает исключительно из его юрисдикционной связи с США.
Юридически это создает лобовой конфликт с GDPR. Суд ЕС уже установил, что законы США о слежке не обеспечивают уровень защиты, эквивалентный европейскому.
Цифровой суверенитет — это не атрибут программного обеспечения, а свойство целостности цепочки поставок данных.
Призрак FISA и ложное обещание шифрования
Хуже того, эта зависимость от американской инфраструктуры помещает данные в тень Foreign Intelligence Surveillance Act (FISA).
Столкнувшись с этими угрозами, Olvid утверждает, что сквозное шифрование является достаточным щитом. С точки зрения инженерии конфиденциальности эта защита опасно частична.
Даже если содержимое сообщения зашифровано, централизованная инфраструктура AWS раскрывает метаданные. Знание того, кто говорит с кем, когда, как часто и откуда, часто гораздо ценнее для иностранной разведки, чем само содержимое сообщения.
Шифрование защищает текст, но централизованный сервер выдает сеть контактов.
Настоящая опасность еще впереди
Пока европейская инфраструктура зависит от организаций, подчиняющихся экстерриториальным законам, правовая безопасность наших коммуникаций останется чисто временной и иллюзорной.
Национальная безопасность в XXI веке требует полной независимости инфраструктуры и оборудования. Стратегия «Собери сейчас, расшифруй позже» — самая разрушительная угроза следующего десятилетия.
Перехваченный сегодня государственный секрет — это не что иное, как математическая бомба замедленного действия.
(Читайте продолжение нашего анализа в Части 2: Бомба замедленного действия и императив Zero-Knowledge)