Európska komisia na konci júna zverejnila strategický plán, ktorý určuje postup Európskej únie v prístupe k digitálnym dátam do konca dekády. Je súčasťou širšej iniciatívy s názvom ProtectEU, ktorej cieľom je posilniť vnútornú bezpečnosť EÚ.

Za týmto plánom EÚ stojí snaha o zefektívnenie vyšetrovania. Prevažná väčšina dôkazov má dnes digitálnu podobu. Ako zhŕňa spomínaný dokument, spravodlivosti často stojí v ceste niekoľko prekážok.

Poskytovatelia služieb zvyknú mazať dáta prirýchlo podľa zákonných povinností alebo vlastných pravidiel. Údaje môžu byť uložené aj v inej krajine s odlišnými právnymi predpismi. Dolovanie informácií z konfiškovaných zariadení je technicky náročné alebo nemožné.

Dôležité informácie sú často šifrované, a aj keď sa k nim vyšetrovateľ dostane, ich analýzu sťažuje nedostatok vhodných technológií či odborných kapacít bez porušenia platných právnych rámcov.

Inými slovami, EÚ si chce zabezpečiť spôsob, ako mať jednoduchý prístup k potenciálne akýmkoľvek dátam bez ohľadu na mieru ich ochrany, a nájsť cestu, ako ich pomocou AI technológií vo veľkom množstve efektívne spracovávať, filtrovať a analyzovať.

Viacerí bezpečnostní experti však túto snahu o riešenie problémov digitálnej doby kritizujú. Jednak môže celkovo oslabiť zabezpečenie, jednak oberá používateľov o súkromie.

Šifrovací kľúč

Asi najspornejšou súčasťou iniciatívy na „efektívny a zákonný prístup k údajom na účely presadzovania práva“ je tak snaha nájsť spôsoby, ako dešifrovať dáta.

Šifrovanie je v podstate proces, akým zo zrozumiteľnej informácie pomocou určitého kľúča urobíme nezrozumiteľnú informáciu.

Nik, kto kľúč nepozná, nevie zistiť, čo má zašifrovaná informácia znamenať. Slovo „ahoj“ napríklad môžeme zapísať ako 01081510. Kľúčom v tomto prípade je, že každá dvojica číslic označuje poradie daného písmena v abecede (A je prvé, H ôsme a tak ďalej).

Drvivá väčšina dátovej premávky na internete je šifrovaná. Inak by hocikto, kto zachytí dáta cestou na server alebo zo servera, mohol čokoľvek prečítať, upraviť či rovno nahradiť.

Kamarát nám napíše „ahoj“, závistlivý spolužiak, čo fušuje do hackingu, chce rozbiť náš vzťah, správu odchytí a namiesto pozdravu nám v maile pristane „si idiot“.

Problémom je, že väčšinou má k šifrovacím kľúčom prístup aj niekto iný. Dáta síce na server putujú v šifrovanej podobe, dokonca tam aj zvyčajne sú takto uložené, ale kto má kľúč, pozrie si ich, kedy chce. Napríklad Google si môže čítať naše maily, pozerať na naše fotky, trénovať na nich AI, analyzovať a predávať naše dáta na účel reklamy...

V takomto prípade stačí, aby úrady oslovili prevádzkovateľa danej služby, napríklad Facebook, aby vydal dáta v dešifrovanej podobe. Technologické giganty sú zvyčajne celkom ochotné. Pokiaľ ich to nestojí zisky, pokutám a doťahovačkám s právom sa radšej vyhnú.

No takýto prístup nefunguje vždy. Prekážkou je end-to-end (E2E) encryption, koncové šifrovanie, ktoré je čoraz rozšírenejšie.

Koniec súkromia v EÚ?Kontroverzný návrh na skenovanie každej online správy naberá medzi štátmi na podpore

Michal Lukáč

Neprelomiteľná šifra

Koncové šifrovanie je tak jediný skutočne bezpečný spôsob, akým si zabezpečiť súkromie. Človek sa nemusí okrem integrity aplikácie, sily šifrovacieho protokolu a zabezpečenia vlastného zariadenia (aby napríklad odomknutý mobil neskončil v nesprávnych rukách) spoliehať v podstate na nič.

Mimo zariadení zúčastnených strán existujú dáta používateľov, povedzme konverzácia investigatívneho novinára s whistleblowerom cez aplikáciu Signal, len ako nezmyselný zhluk znakov.

Ak novinár napíše svojmu zdroju „Ahoj!“, šifrovací protokol, v zásade zložitá matematická operácia, premení správu na základe šifrovacieho kľúča, ktorý sa nachádza v mobile novinára, na čosi oné, dajme tomu „aa7D@f“. A to putuje internetom na server a odtiaľ k príjemcovi.

Whistleblower má v aplikácii rovnaký šifrovací kľúč, pomocou ktorého sa z „aa7D@f“ opäť stane „Ahoj!“ Ak by aj správu ktosi zachytil cestou, prípadne získal prístup k serveru, nezistil by vôbec nič.

Ak vláda prikáže Signalu, nech vydá dáta novinára či whistleblowera, firma môže poskytnúť len „aa7D@f“, pretože kľúč, ktorý by šifru prelomil, sa nachádza len v zariadeniach zúčastnených používateľov.

(Prosím čitateľa, aby pamätal, že tento opis je veľmi zjednodušený. Ak ho zaujíma detailnejší, dostupný je napríklad tu.)

Podobne funguje koncové šifrovanie cloudového úložiska. Keď napríklad na iCloud niekto nahrá fotky z mobilu, zašifrujú sa mu ešte v zariadení a na server sa uložia opäť ako nezmyselné dáta. Aj keby k nim niekto získal prístup, nič neuvidí. Keď si ich chceme stiahnuť, dešifrujú sa až v mobile používateľa pomocou kľúča, ku ktorému má prístup len on.

Bezpečné šifrovacie protokoly sa prakticky nedajú prelomiť. Úspešný útok by vyžadoval zapojiť všetky počítače, ktoré existujú na Zemi, a nechať ich počítať dlhší čas, než je vek vesmíru.

Ako sa píše v spomínanom dokumente Európskej komisie, „prístup k šifrovaným údajom je čoraz zložitejší, (...) údaje uložené v určitých typoch moderných zariadení, chránené kryptografickými čipmi alebo silnými šifrovacími algoritmami a zložitými heslami, nie sú prístupné orgánom ani pri použití najvýkonnejších dešifrovacích nástrojov“.

Špehovanie „na tajnáša“

Je niekoľko možností, ako E2E šifrovanie obísť, ktoré nevyžadujú superpočítač a eóny času. Najjednoduchšou je prečítať si obsah, napríklad textovú správu, v jej pôvodnej forme. Čiže buď predtým, ako v zašifrovanej podobe opustí zariadenie odosielateľa, alebo potom, ako ju dešifruje zariadenie prijímateľa.

V podstate by sa na obrazovku spolu s používateľom pozeral ešte jeden pár očí – úradník EÚ – a videl by všetko, čo vidí vlastník smartfónu. Jediné, čo potrebuje, je prístup do aplikácie.

Je možné, že takto si naše správy čítajú tretie strany už dnes – aspoň tie, ktoré si posielame cez služby so zatvoreným zdrojovým kódom, ako je napríklad WhatsApp či Messenger.

Zdrojový kód je v podstate DNA programu. Plne určuje, čím program je a ako sa správa. Keď programátor kód dopíše, skompiluje ho a má spustiteľnú aplikáciu. V tomto prípade je zdrojový kód recept, kompilátor rúra a aplikácia upečený koláč.

Ak má aplikácia otvorený zdrojový kód, je niekde v celku zverejnený pre všetkých, napríklad na webe GitHub. Ktokoľvek si ho môže stiahnuť, skompilovať a rôznymi spôsobmi zistiť, či sa aplikácia, ktorú si nainštaloval z Google Play, úplne zhoduje s tou, ktorú si upiekol podľa verejne dostupného receptu.

Ak tam zhoda je, vie podľa zdrojového kódu presne zistiť (pokiaľ sa rozumie do IT), čo táto aplikácia robí. Či napríklad neumožňuje prístup k nezašifrovaným správam niekomu zvonka.

Šifrovací protokol, ktorý program používa, môže byť neprelomiteľný, ale to ničomu nepomôže, ak aplikácia útočníkovi umožňuje dostať sa k dátam v pôvodnej podobe. Čiže prv než by ich protokol premenil do nepochopiteľného zhluku znakov.

Keďže napríklad WhatsApp má zatvorený, čiže neverejný zdrojový kód, nik okrem jeho vývojárov nevie, čo presne sa deje pod pokrievkou. Ak nepoznáme recept, nemôžeme si byť istí, či v koláči nie je jed. Alebo aspoň surovina, ktorú by sme dobrovoľne nezjedli.

WhatsApp mal vo svojej minulosti hneď niekoľko závažných trhlín v bezpečnosti, ktoré vystavili súkromie používateľov veľkému riziku. Aj keď vedenie tvrdí, že šlo o neúmyselné chyby, dôvera je naštrbená.

Okrem toho Mark Zuckerberg, šéf spoločnosti Meta, ktorá vlastní WhatsApp aj Messenger, za svoje pôsobenie opakovane dokázal, že má chrbticu z gumy. Netreba veľa fantázie, aby sme si predstavili, ako ochotne vychádza v ústrety požiadavkám FBI alebo aj Europolu, aby im v mene národnej bezpečnosti nechal pootvorené zadné dvierka do svojich aplikácií.

Ale preč od toho, čo by mohlo byť, k tomu, čo – pravdepodobne – má byť.

WhatsApp a bezpečnosťStačilo prijať nesprávne video a hacker mohol ovládnuť smartfón. Máme sa obávať?

Juraj Valach

Špehovať legálne

Presný plán stratégie v dešifrovaní má vyjsť až budúci rok, ale niečo je jasné už dnes. V spomínanom dokumente sa píše, že EÚ bude pracovať na nových nástrojoch, vďaka ktorým by bol Europol schopný prelomiť šifrovanie.

V tomto tvrdení je potenciálne ukryté mnoho. Napríklad budúce kvantové počítače by mohli súčasné spôsoby šifrovania prelomiť pomerne rýchlo. Alebo môže ísť o nástroje, ktoré by nachádzali zraniteľnosti zariadení, napríklad mobilov, a cez ne by sa dostali k šifrovacím kľúčom.

No možné je, že riešenie bude oveľa jednoduchšie.

Ako upozorňuje server Techradar, v Európskom parlamente má tento rok šancu prejsť zákon, ktorý od kritikov dostal prezývku Chat Control. Jeho autori chcú presadiť tzv. client-side scanning (skenovanie na strane klienta), čiže presne to, čo sme si opísali vyššie. Sledovať dáta ešte predtým, než v nečitateľnej podobe opustia naše zariadenia.

Vývojári by povinne museli do aplikácií zabudovať funkciu, ktorá by to umožňovala.

Návrh tohto zákona pôvodne vznikol ako reakcia na sexuálne zneužívanie detí a šírenie detskej pornografie na internete, čo by sa malo odhaľovať skenovaním všetkých konverzácií, predovšetkým šifrovaných.

Na rokovacom stole sa ocitol po prvý raz v roku 2022, ale opakovane nedostal väčšinovú podporu. Európsky súd pre ľudské práva v reakcii na jeho prvú verziu zakázal všetky spôsoby, ktoré by smerovali k oslabeniu šifrovania (aj keď Európska komisia k tomu dnes svojou stratégiou opäť smeruje).

No predsedníctvo EÚ majú od 1. júla Dáni, ktorí sú veľkými podporovateľmi tohto návrhu. Je možné, že sa im podarí presvedčiť dostatok poslancov, aby v hlasovaní, ktoré bude pravdepodobne v októbri, zákon prešiel.

Podľa bývalého člena EP Patricka Breyera veľa krajín, ktoré predtým hlasovali proti, je dnes neutrálnych, aj keď „tohoročný návrh je ešte extrémnejší“.

🇩🇪🚨Leak: Viele Länder, die noch 2024 die #Chatkontrolle gestoppt haben, sind jetzt unentschieden - darunter Deutschland! https://t.co/i6CqTXNz02

Die Bundesregierung (BMI, BMJV, BMWE, BMDS, BMBFSFJ) entscheidet bis August - werdet jetzt laut! https://t.co/dWaIg8jO8z pic.twitter.com/CUL2VHuPG7
— Patrick Breyer #JoinMastodon (@echo_pbreyer) July 31, 2025

Akú podobu bude mať najnovšie znenie, nie je jasné. Predchádzajúce úpravy navrhovali napríklad obmedziť skenovanie na fotky, videá a URL adresy či zdobrovoľniť ho.

Aj keby Chat Control opäť neprešiel, len ťažko veriť, že ide o posledný pokus takéhoto rázu. Stratégia EÚ na najbližšie roky je zrejmá – nájsť efektívny spôsob, ako sa dostať aj za najbezpečnejšie šifrovanie svojich občanov.

Ako upozorňuje Techradar, aj Europol vo svojom Hodnotení hrozby organizovaného zločinu na internete z tohto roku píše o E2E aplikáciách ako o prekážke vo vyšetrovaní, pretože ich čoraz častejšie využívajú zločinci.

Hlási sa aj k návrhu Európskej komisie, aby v službách využívajúcich koncové šifrovanie boli vytvorené tzv. backdoors, zadné dvierka. Nimi by sa vyšetrovatelia, ale potenciálne aj útočníci vedeli dostať k ľubovoľnému dešifrovanému obsahu priamo v zariadení používateľa. Opäť ide o spomínané client-side scanning.

Keďže toto zatiaľ nie je možné, Europol obrátil svoju pozornosť na metadáta, čiže dáta o dátach. Tie síce neprezradia obsah našej správy, ale všetko naokolo – z akej IP adresy sa odoslali, polohu, s kým a kedy sme komunikovali, objem odosielaných dát a podobne.

Keď zapojíme analytické nástroje využívajúce AI, dá sa z metadát vyčítať pomerne dosť o našom správaní aj bez prístupu k zašifrovanému obsahu.

A presne to EÚ plánuje. V dokumente z úvodu článku sa píše:

„Do roku 2028 bude Komisia podporovať vývoj a zavádzanie nástrojov umelej inteligencie, ktoré orgánom umožnia zákonne a efektívne spracúvať veľké objemy zaistených údajov, čím prispejú k efektívnejšiemu filtrovaniu a analýze digitálnych dôkazov.“

Keďže zbieranie týchto údajov momentálne naráža na rôzne zákony členských štátov, EÚ chce vytvoriť jednotný právny rámec, aby mohla monitorovať online premávku na celom území.

Veľký brat s ľudskou tvárou

V zásade nie je problém v tom, že by vyšetrovatelia mali možnosť nahliadnuť do osobných životov podozrivých. Tak to je už celé veky, spravodlivosť by sa bez toho nikam nedostala. Otázkou dnes je, či sa tak má diať aj preventívne a masovo.

Skenovať všetky chaty, aby sa predišlo šíreniu nelegálneho obsahu, môže mať v zásade dobrý zámer, logika Európskej komisie aj Europolu je pochopiteľná:

Šifrovanie je obrovská prekážka na ceste k vyšetreniu a prevencii zločinov. Pred štátom nik nemôže mať tajnosti, lebo kam štát nevidí, tam sa pravdepodobne budú ukrývať jeho nepriatelia.

Masový zber a analýza dát vo veľkom zase urýchlia pátranie po zločincoch, uľahčia proces dokazovania a podobne.

Preto súkromie musí ustúpiť bezpečnosti.

Ale podobne sťažovať vyšetrovanie môžu aj ďalšie veci. Prezumpcia neviny, zákaz mučenia, prístup k právnikovi... Existujú základné práva, ktoré sa nesmú pošliapať ani v mene spravodlivosti či potlačenia kriminality.

Európania sa tak budú musieť rozhodnúť, či medzi ne patrí aj právo na súkromie. Ak nie, štát môže mať zákonný prístup do každej oblasti našich online životov.

Existujú dobré argumenty, prečo by toto právo malo zostať nedotknuté. Ak by ho bolo možné potlačiť v mene spoločenského dobra v tomto prípade, prečo by sa takto zozbierané dáta nemohli využiť aj na niečo ďalšie?

Pokušenie moci je zväčšovať sa. Keď už budeme mať nástroj na monitorovanie občanov, prečo ho nevyužiť aj na aktívny vplyv, nielen na prevenciu kriminality? Napríklad na motiváciu populácie k zdravšiemu životnému štýlu. Alebo na vyslobodenie zo siete konšpirácií, do ktorej sa časť obyvateľstva zaplietla. Možností je veľa.

Vždy keď sa začínal nejaký totalitný režim, hľadal spôsoby, akými špehovať svojich občanov. Pôvodne aj s dobrými úmyslami. No keby sme aj verili súčasnej garnitúre, že tam nesmeruje, vytvára veľmi nebezpečnú infraštruktúru pre potenciálnych budúcich autoritárov.

Durov po zadržaníJeho naratív o čistom Telegrame má trhliny. Ale diery majú aj teórie o jeho spolupráci s Kremľom

Juraj Valach

V mene bezpečia k menšej bezpečnosti

Nemusíme si maľovať dystopickú hrozbu, kritici varujú aj pred okamžitejšími dôsledkami európskej stratégie.

O celej iniciatíve vytvoril kritickú videoesej špecialista na kyberbezpečnosť Sam Bent. Tento bývalý kriminálnik, ktorý cez dark web predával LSD a MDMA, upozorňuje, že najpravdepodobnejšie na pokusy EÚ o prelomenie šifrovania a zber údajov doplatia obyčajní ľudia, podnikatelia či firmy.

Minimálne západné vlády pritom svojich občanov začali nabádať, aby využívali koncové šifrovanie. V posledných rokoch sa nebezpečne zvýšila online kriminalita, ktorá zneužíva zraniteľné dáta.

Ak si EÚ vynúti existenciu zadných dvierok v aplikáciách E2E šifrovaním, v skutočnosti tým len oslabí zabezpečenie dát normálnych používateľov.

Kriminálnici, ktorí sú skutočne nebezpeční, si stiahnu zdrojový kód z GitHubu, trochu si ho upravia, aby tretím stranám zamedzili prístup, skompilujú ho a sledovaniu sa vyhnú. Zatiaľ čo správy bežných ľudí si úrady budú môcť čítať, ako chcú. A doteraz bezpečné aplikácie budú mať kriticky zraniteľné miesto, o ktorom každý vie.

Okrem toho má EÚ zdroje, ktoré kriminálnikom väčšinou chýbajú. Je možné, že ak aj neprejdú zákony v štýle spomínaného Chat Control, vyvinie nástroje na dešifrovanie, ktoré by si útočníci nemohli dovoliť, no potom sa k nim nejako dostanú a zneužijú ich.

A čo s únikmi dát, ktoré sa dejú častejšie, než by mali? Veríme našim úradníkom, že ich ochránia? Čím viac ich bude uložených kdesi pokope, tým lákavejším cieľom sú pre hackerov.

V podstate sa tým všetky citlivé dáta, ktorých únik a zneužitie by ľudí mohli pripraviť o úspory, živobytie či dokonca životy, stávajú dostupnejšími.

Preto aj na konci mája 89 technologických firiem a bezpečnostných expertov zverejnilo list adresovaný Európskej komisii, v ktorom vyjadrujú „svoje obavy“ týkajúce sa jej najnovšej iniciatívy ProtectEU „vzhľadom na jej potenciálny vplyv na end-to-end šifrovanie“.

„Sme hlboko znepokojení tým, že Komisia sa naďalej zameriava na hľadanie spôsobov, ako oslabiť alebo obísť šifrovanie. To podkopáva jej vlastné bezpečnostné ciele v rámci stratégie ProtectEU,“ píšu.

Žiaľ, celá mašinéria sa rozbieha už teraz. Ciele boli stanovené, peniaze prerozdelené. Zostáva len veriť, že Európania si súkromie a slobodu cenia aspoň tak ako bezpečnosť.

Ako raz napísal Ben Franklin: „Tí, ktorí by sa vzdali základnej slobody výmenou za trochu dočasnej bezpečnosti, si nezaslúžia ani slobodu, ani bezpečnosť.“