O tym, czy jesteśmy w sieci anonimowi, o dokumentach z nowoczesnym chipem/czipem lub po prostu układem scalonym, o kryptologii i danych biometrycznych każdego z nas i czy możemy czuć się bezpieczni - rozmawiamy w wywiadzie z kryptologiem panem Wojciechem Kinastowskim.
Luiza Dołęgowska, Fronda.pl: Maleją szanse bycia anonimowym w internecie. Poczucie anonimowości w sieci, pomimo iż często złudne, wydaje się być jej zaletą a nie wadą, czy zgodzi się Pan z taką tezą?
Wojciech Kinastowski, kryptolog: Tak, zdecydowanie. Jeszcze kilkanaście lat temu dosyć powszechne było przekonanie, że jeżeli nie będziemy w stanie wzajemnie się rozpoznawać i identyfikować w internecie to znacznie ograniczy to możliwości wykorzystania sieci np. w biznesie. Nic bardziej mylnego. Usługi internetowe rozwijają się bez mechanizmów silnej identyfikacji a za ich wprowadzeniem optuje raczej administracja państwowa a nie użytkownicy. Anonimowość w sieci, mimo iż czasem pozorna, daje tą namiastkę wolności i niezależności którą tak lubimy w internecie.
Czy mimo to wciąż jest możliwa - np. z wykorzystaniem odpowiedniego oprogramowania anonimowa obecność w internecie i w jaki sposób można zabezpieczyć swoje poufne informacje przed niepowołanym dostępem?
Szukając analogii to tak samo jak zapytać czy możliwe jest stworzenie szyfru którego nie można złamać. Jest to możliwe, ale na dłuższą metę niepraktyczne. Rozwój usług internetowych w których większość naszych danych przechowujemy i przetwarzamy na zewnętrznych serwerach czyli potężnych komputerach tworzących chmurę obliczeniową, czyni nas całkowicie przejrzystymi. Do tego dochodzą również działania deanonimizujące podejmowane przez władze, a tłumaczone potrzebą zapewnienia bezpieczeństwa obywatelom. Musimy się z tym pogodzić. Dla naszego pokolenia może to być trudne ale dla następnych będzie to zupełnie naturalne. Zresztą już teraz widać jak wiele jesteśmy w stanie poświęcić dla wygody czy rozrywki. Anonimowości w tym kontekście oznacza wykluczenie i zdewaluuje się zupełnie, a może wręcz przeciwnie stanie się luksusem na który stać niewielu.
Jeśli chcemy załatwić coś w przez internet, np. w urzędzie, coraz częściej potrzebny jest podpis elektroniczny - do czego on służy i w jaki sposób można stać się dysponentem takiego podpisu?
Nie siląc się na formalne definicje, w dzisiejszy świecie kwalifikowany podpis elektroniczny to niezaprzeczalne potwierdzenie naszych działań wykonywanych także na odległość (czyli np. przez internet).
I tak, jeżeli pod tym tekstem pojawi się jakiś komentarz, to potwierdzenie tożsamości osoby komentującej może być trudne. Jeżeli osoba ta podpisałaby elektronicznie swój komentarz to tak jakby wykrzyczała to na głos, i to przy świadkach!
To przejaskrawiony przykład, ale dość dobrze pokazuje dlaczego, pomimo iż technologie podpisu elektronicznego są dobrze znane od lat i powszechnie wykorzystywane w komunikacji między systemami informatycznymi, tak trudno adaptują się w naszym codziennym życiu.
Dodatkowo, wszelkie próby rozwoju usług podpisu elektronicznego były skutecznie blokowane przez przepisy prawa, narzucające sztywne ramy funkcjonowania. Mówiąc wprost: używanie podpisu elektronicznego jest dosyć uciążliwe. Wymaga od nas konkretnej konfiguracji oprogramowania i dodatkowego sprzętu. Wiele mogą zmienić nowe regulacje UE. Ich nadrzędnym celem jest właśnie rozpowszechnienie usług identyfikacji elektronicznej i uczynienie ich transgranicznymi. Ale na rezultaty musimy jeszcze poczekać.
Na czym polega praca kryptologa i w jakich branżach są wykorzystywane umiejętności kryptologiczne?
Kryptografia jako nauka o szyfrowaniu danych jest dziś oczywiście ściśle powiązania z informatyką i telekomunikacją. Algorytmy i protokoły kryptograficzne zabezpieczają każdą naszą rozmowę telefoniczną, email czy odwiedziny w banku internetowym. Pewnie dobrze wytłumaczyć to poprzez analogię. Budując dom, najpierw wykonujemy fundamenty, później ściany, stropy i dach, a końcu roboty wykończeniowe.
By zrealizowany budynek mógł być odpowiednio zabezpieczony musimy go wyposażyć w zależności od potrzeb ochrony w drzwi, zamki , systemy antywłamaniowe, monitoring. Wszystko po to żeby domownicy czuli się bezpieczni a właściciel nie obawiał się włamania.
Budując dowolny program komputerowy, stronę internetową czy aplikację mobilną musimy również myśleć o tym, aby użytkownicy i ich dane były odpowiednio zabezpieczone a właściciel mógł bez przeszkód oferować swój produkt na rynku.
Kryptolog to taka osoba, która projektuje zabezpieczenia, adekwatne do potrzeb, bo trzymając się analogii, innych zabezpieczeń wymaga nasz dom, innych bank w którym trzymamy oszczędności a jeszcze innych tajny obiekt wojskowy.
Z takimi zabezpieczeniami wiąże się też układ scalony - czyli czip, który ma być w nowych dokumentach osobistych - np. w dowodzie. Kiedy, Pana zdaniem, pojawią się nowe dokumenty opatrzone tym rowiązaniem i czy w będą w nim zawarte dane biometryczne osoby, będącej właścicielem dokumentu?
Szczerze powiedziawszy nie śledzę kolejnych doniesień odnoszących się do planu wprowadzenia nowych dowodów osobistych. Przez lata zdążyliśmy się już przyzwyczaić, że w tej kwestii od planów do realizacji wiedzie długa i zwykle kręta droga.
Przeglądając najnowsze propozycje płynące z rządu mam wątpliwości czy istniejąca infrastruktura jest w stanie bezpiecznie obsłużyć proponowany system w którym dokument ma być jednocześnie naszym podpisem elektronicznym i nośnikiem danych biometrycznych. To z jednej strony bardzo kosztowne a z drugiej niepotrzebnie skomplikowane rozwiązanie. Naprawdę niewielu z nas potrzebuje na co dzień prawnie akceptowany podpis elektroniczny w dowodzie osobistym. Obawiam się również, że często dobre pomysły płynące z rządu, mogą rozbić się o nieefektywną realizację. System informatyczny to znacznie więcej niż nawet bardzo dobry pomysł zaklęty w deklaracji polityka.
Podoba mi się natomiast koncepcja wykorzystania polskiego procesora w nowych dowodach. To ruch w dobrym kierunku, zapewniający bezpieczeństwo w warstwie sprzętowej i służące rozwojowi narodowego know-how w tym zakresie.
Po co zbierane są dane biometryczne i co ich ujawnienie może ułatwić, a co może budzić wątpliwości w tej kwestii?
Istnieje wiele sposobów potwierdzania naszej tożsamości przed systemem informatycznym, ale generalnie możemy je podzielić na dwie podstawowe grupy dowodów: coś co wiemy (np. hasło, PIN) oraz coś co posiadamy (np. karta płatnicza, smartfon). Większość znanych nam systemów stosuje te dowody osobno lub łącznie. Chcąc wypłacić pieniądze z bankomatu musimy wykorzystać kartę płatniczą (a więc to co mamy) i kod PIN (a więc to co wiemy). Aby wykonać przelew elektroniczny w banku musimy zalogować się hasłem do konta (to co wiemy) a następnie potwierdzić posiadanie telefonu przepisując hasło jednorazowe z przesłanego SMS'a (to co mamy)
Biometryka wprowadza nowy dowód: to jacy jesteśmy. Dane biometryczne, czyli np. zakodowany odcisk palca czy wzór tęczówki oka może znacznie uprościć niektóre schematy potwierdzania tożsamości. Każdy z nas narzeka na konieczność pamiętania coraz to nowych haseł czy noszenia portfela pełnego plastikowych kart. Dane biometryczne mamy cały czas przy sobie!
Oczywiście biometryka to nie święty Graal bezpieczeństwa i od lat znane są argumentu krytyczne odnoszące się do tej technologii. Kiedy ktoś podpatrzy nasze hasło do poczty zawsze możemy je zmienić, skradzioną kartę bez problemu wymienimy w banku. Danych biometrycznych nie możemy wymienić. Jeżeli zostaną skradzione, takie już pozostaną do końca naszego życia. A nietrudno je skraść ponieważ nie są tajne. To kolejny problem. Odciski palca zostawiamy wszędzie, każdego dnia. To trochę tak jakby co krok wypadała nam z kieszeni karteczka z zapisanym PIN'em do karty płatniczej.
Co więcej - stosowanie danych biometryczny w wielu różnych systemach łamie jedną z podstawowych reguł bezpieczeństwa. Nigdy nie powinniśmy używać tego samego hasła w dwóch różnych miejscach (np. poczcie elektronicznej i banku internetowym). Stosowanie biometryki wymusza na nas stosowanie tej niebezpiecznej praktyki. Jest coś niepokojącego w potwierdzaniu dostępu do naszych poufnych danych medycznych tym samym odciskiem palca którym otwieramy szafkę na basenie, prawda?
Zgłaszane są także wątpliwości związane z możliwością naruszania prywatności przez takie systemy. Dla przykładu systemy identyfikacji biometrycznej oparte o algorytmy rozpoznawania twarzy pozwalają na potwierdzanie tożsamości bez wiedzy użytkownika. I tu dochodzimy do wizji przyszłości której pewnie każdy z nas trochę się obawia.
Z pewnością tak. Jednak różne instytucje czy też wielkie centra danych chcą wiedzieć o nas coraz więcej. Czy przeciętny obywatel, korzystający standardowo z wyszukiwarek i portali społecznościowych jest opisywany i skatalogowany w jakichś systemach informatycznych i do czego te zebrane dane mogą być wykorzystywane?
Tak, oczywiście, giganci internetowi gromadzą nasze dane na potęgę. Głównie w celu profilowania nas jako klientów, ale możliwości eksploracji danych jakie dostarczamy codziennie do portali społecznościowych czy wyszukiwarek są nieograniczone. Podam przykład związany z jednym z poprzednich pytań. Proszę rzucić okiem na zdjęcia znajomych na facebooku. Bardzo często prócz nich samych, są na nich osoby postronne, na przykład przechodzące obok. Czy możliwa jest ich identyfikacja przez algorytmy rozpoznawania twarzy? Odpowiedź brzmi tak, ale cały czas się tego uczymy. A może trafniej byłoby stwierdzić że uczą się tego sieci neuronowe i algorytmy uczenia głębokiego czyli sztuczna inteligencja, ale to temat na zupełnie inną rozmowę ....
Dziękuję za rozmowę.
![[Patronat Fronda.pl] „Dokąd zmierzamy?”, czyli nowa książka Barbary Nowak! Była kurator o przyszłości Polski i naszej edukacji.](https://cdn.fronda.pl/imgcache/262x147/c/uploads/news/dokad-zmierzamy-normalna-222-1713534635.jpg)
![Pomagaj z nami samotnym matkom. Przekaż 1,5% Fundacji S.O.S. Obrony Poczętego Życia! [Materiał promocyjny]](https://cdn.fronda.pl/imgcache/262x147/c/uploads/news/dziecko-matka-pixabay-1705157436-1709640878-1713521785.webp)
