Це оголошення пролунало як справжній «крик незалежності» в коридорах Парижа: прем’єр-міністр наказав уряду відмовитися від WhatsApp та Signal на користь Olvid, месенджера, представленого як «вітчизняний». Мета була зрозумілою: захистити державні таємниці від іноземних спецслужб.
Проте швидко виявилася гірка іронія: серце Olvid — його серверна інфраструктура — б’ється всередині Amazon Web Services (AWS), американського гіганта.
Для широкого загалу це здається простою технічною проблемою хостингу. Але для архітекторів суверенної кібербезпеки це політична вразливість першого порядку.
Екстериторіальність і конфлікт суверенітетів
Покладаючись на інфраструктуру Amazon, Olvid автоматично потрапляє на орбіту американського закону CLOUD Act.
Юридичний аналіз цієї справи виявляє сценарій юрисдикційної незахищеності, який просте впровадження національного «додатку» не вирішує. Переломний момент криється в концепції «контролю» проти «локалізації».
CLOUD Act кардинально змінив правову парадигму, постановивши, що фізичне розташування сервера не має значення. Обов’язок постачальника послуг (тут AWS) співпрацювати випливає виключно з його юрисдикційного зв’язку зі США.
Юридично це створює прямий конфлікт з GDPR. Суд ЄС вже встановив, що закони США про стеження не забезпечують рівень захисту, еквівалентний європейському.
Цифровий суверенітет — це не атрибут програмного забезпечення, а властивість цілісності ланцюга зберігання даних.
Привид FISA та хибна обіцянка шифрування
Гірше того, ця залежність від американської інфраструктури поміщає ці дані в тінь закону Foreign Intelligence Surveillance Act (FISA).
Зіткнувшись з цими загрозами, Olvid стверджує, що наскрізне шифрування є достатнім щитом. З точки зору інженерії конфіденційності, цей захист є небезпечно неповним.
Навіть якщо вміст повідомлення зашифрований, централізована інфраструктура AWS розкриває метадані. Знати, хто розмовляє з ким, коли, як часто та звідки, часто набагато цінніше для розвідки, ніж сам вміст.
Шифрування захищає текст, але централізований сервер видає мережу контактів.
Справжня небезпека ще попереду
Доки європейська інфраструктура залежатиме від організацій, що підпорядковуються екстериторіальним законам, правова безпека наших комунікацій залишатиметься ілюзорною.
Національна безпека у 21 столітті вимагає повної незалежності інфраструктури та обладнання. Стратегія «Збери зараз, розшифруй потім» — найбільш руйнівна загроза наступного десятиліття.
Перехоплена сьогодні державна таємниця — це не що інше, як математична бомба сповільненої дії.
(Читайте решту нашого аналізу в Частині 2: Бомба сповільненої дії та імператив Zero-Knowledge)