Riik nõuab tegelikult turvaauku ka e-posti

Ardi Jürgens
Jaga:

Vaid kõige pühendunumale puhkajale võis mõne nädala eest jääda märkamata põgus “torm”, mis järgnes ajakirjanduse tähelepanekule, et siseministeerium soovib elektroonilise side seaduse sõnumsidet puudutavatesse nõudmiste hulka sokutada riiklikku turvaauku.

See kohustaks justkui Skype’i ja WhatsApp’i sarnaseid teenusepakkujaid varustama oma rakendusi tagauksega (loe: turvaauguga), mis laseks kriminaalmenetluse raames korrakaitseorganid ligi nende kasutajate omavahelise krüpteeritud sõnumite vabatekstile (Eesti Rahvusringhääling: ”Siseministeerium soovib krüpteeritud sõnumirakendustesse tagaust”).

E-post

Infotehnoloogia-, side- ja õigusspetsialistide reaktsioon on pea sajaprotsendiliselt olnud mõttelt sarnane – selline tagauks ei ole ühestki aspektist hea mõte (ERR: “Peeter P. Mõtsküla: tagauksega krüptoside — rumal ja õigusvastane idee”, “Rainer Ratnik: neli põhjust, miks tagaukse lubamine pole mõistlik”, Kaimar Karu: küberturbeteatri kordusetendus).

Nendele spetsialistide poolt juba esitatud seisukohtadele on raske midagi uut ja väärtust loovat lisada, kuid mulle jäi eelnõu seletuskirja ja algset Euroopa Komisjoni direktiivi lugedes siiski silma üks asjaolu, millele keegi seni konkreetset tähelepanu veel juhtinud ei ole:

see seaduseelnõu puudutab oma tänases sõnastuses ka e-posti.

Nimelt sedastab Eesti seaduseelnõu seletuskiri järgmist:

“ESS §-i 2 täiendatakse punktiga 91, kus sätestatakse isikutevahelise side teenuse mõiste, mis tuleneb sidedirektiivi artikli 2 punktist 5. Isikutevahelise side teenus on teenus, mis võimaldab isikutevahelist teabevahetust ja see jaguneb omakorda kaheks:

1) numbripõhine isikutevahelise side teenus –tavapärane häälkõne kahe isiku vahel (nt telefoni-, mobiiltelefoniteenus, Skype kõne);

2) numbrivaba isikutevahelise side teenus –igat liiki e-kirjad, sõnumiteenused ja grupivestlused (nt FB Messenger, Skype messenger jt).”

See tähendab, et tagauste loomist puudutavad nõudmised, ei puuduta mitte ainult “eksootiliste nimedega” rakendusi, mille loetlemine paneb seni suure osa ühiskonnast õlgu kehitama, vaid ühiskonna kõige populaarsemat isikutevahelise side teenust: e-posti.

Tõsi, e-post on vana ja robustne tehnoloogia, mille standardite esialgsetes versioonides ei pööratud turvalisusele kuigipalju tähelepanu, kuid aastate jooksul on neid täiustatud paljude funktsionaalsusetaga, mis on seda olukorda paljuski parandanud ja nüüd on krüptograafia muutunud e-posti pea lahutamatuks osaks. Seda kindlasti nendes teenuse osades, mida haldavad teenusepakkujad. On tõsi, et suur osa lõppkasutajatest ei ole e-posti turvalisusele seni väga suurt tähelepanu pööranud.

Ka Zone on arendanud omal väiksel kombel e-posti kui platvormi arengut ja turvalisust, panustades näiteks sellistesse platvormidesse nagu ZoneMTA (https://github.com/zone-eu/zone-mta ja Wildduck IMAP (https://github.com/nodemailer/wildduck). Mõlemad on valminud e-posti võluri Andris Reinmani taktikepi all ja demonstreerivad innovatsiooni, mida ka Eestis on võimalik selles väga spetsiifilises valdkonnas teostada.

Meie plaanides on kindlasti jätkata panustamist arendustesse, mis ühel hetkel võiks ju kulmineeruda sellega, et e-post oleks vaikimisi palju konfidentsiaalsem tehnoloogia, kui ta on seda täna, tänu sõnumite läbivale vaikimisi krüpteerimisele.

Kasutajatel on täna selleks endapoolne võimalus olemas, näiteks läbi PGP juurutamise, kuid selle kasutuselevõtu künnis on nii kõrge, et selle murrangut massidesse me vaevalt kunagi näeme, kui teenusepakkujad seda kõvasti allapoole ei too.

Mõte sellest, et peaksime siis nõudma arendajatelt ja uuendajatelt oma loomingu määrimist kohustuslike turvaaukudega, on pehmelt öeldes vastik.

Tõenäosus, et selline arendus toimub just mõne meiesuguse väikese kontori juures, on seejuures ebaproportsionaalselt suur. Nimelt erinevalt hiiglaslikest teenusepakkujatest, kes teenivad kasumit oma klientide kirjade sisu nägemisest (suunates nende baasil reklaame või koostades kasutajate kohta profiile), meid see absoluutselt ei huvita.

Aus tõdemus on, et minu käsi tõrguks arendajaile ette kirjutamast, et selliste projektide terviklus ja usaldusväärsu tuleks kompromiteerida, sest keegi on riigis teinud rumalaid otsuseid. Tõenäolisem on, et see osa innovatsiooni jääks siis kas üldse tegemata või tehtaks seda siis väljaspool Eestit. Millest oleks kahju.

Populaarsed postitused

EIS hakkab müüma reserveeritud .EE domeene

Ardi Jürgens
Eesti tippdomeeni register teavitas kavatsusest alustada 16. maist seni reserveeritud .EE domeenide müümist registreerijatele.

Kommentaar Eesti.ee e-posti sulgemisele

Ardi Jürgens
Riigi Infosüsteemi Amet (RIA) andis 3. mail teada, et 1. novembrist lõpetatakse Eesti.ee keskkonnas nimeliste postiaadresside pakkumine.

WordPressi värskeim versioon nüüd väljas

Ingmar Aasoja
Eile tuli ametlikult välja WordPressi värskeim reliis, versiooninumbriga 6.2.

CloudFest 2023 – ülevaade ja reaktsioonid

Ardi Jürgens
Eelmisel nädalal leidis Saksamaal Rustis aset järjekordne pilvandmetöötluse ja Interneti olelusteenuste valdkonna suursündmus CloudFest, mille põhifookus...