The Nym Dispatch: Арест Дурова пересмотрен

В прошлое воскресенье Павел Дуров, генеральный директор мессенджера Telegram, был арестован французскими властями, когда его частный самолет приземлился недалеко от Парижа.

Дурова обвиняют в “соучастии” в широком спектре незаконной деятельности: хранении и распространении детской порнографии и наркотиков, организованном мошенничестве, отмывании денег и “предоставлении криптологических услуг” и “инструментов” без “предварительного” и “заверенного” “заявления”.

После того, как в этом году был осужден соучредитель Tornado Cash, в воздухе, естественно, витает множество серьезных вопросов. Действительно ли технологии защиты конфиденциальности подвергаются новым юридическим угрозам? Должны ли разработчики технологий и руководители компаний нести ответственность за то, что пользователи делают или говорят на их платформах?

И затем, за этими новыми задачами полиции стоят другие вопросы, которые становятся все менее актуальными: что следует сделать, чтобы, например, по-настоящему устранить глубинные причины эксплуатации детей или растущую эпидемию наркомании, наркотических примесей и передозировок? Действительно ли решение проблемы заключается в нарушении цифровой конфиденциальности миллионов людей?

Арест Дурова является наглядным уроком, на который должны обратить внимание защитники конфиденциальности и частных технологий: данные = уязвимость, независимо от того, что это за данные, как для обычных людей, так и для компаний.

Вопреки тому, во что многие люди поверили из-за шумихи в СМИ вокруг ареста Дурова, Telegram не является приложением для обмена анонимными сообщениями. По умолчанию в нем нет сквозного шифрования, которое сегодня является золотым стандартом для безопасной связи. Telegram — это много чего, но приватным он не является.

Тем не менее, аресты Дурова и других злонамеренно укрепляют идею о том, что использование криптологии в Интернете связано с преступностью, а не с безопасностью. Именно против этой ассоциации мы должны объединиться, чтобы обеспечить приватный Интернет в будущем.

Понимание обвинений, выдвинутых против Дурова

Для ясности, Дурова обвиняют не в распространении детской порнографии или наркотиков, а скорее в “соучастии” в этих действиях пользователей Telegram. Что именно это означает для него, генерального директора популярного телекоммуникационного приложения?

Согласно французскому законодательству, как и во многих других странах, сторона может быть обвинена в соучастии в преступлении, если может быть доказано, что она “знала” о преступной деятельности, но не сделала ничего — или недостаточно — для ее прекращения, смягчения или “умеренности” (термин, который, как правило, используется для обозначения Как ранее сообщали мы здесь в рубрике Dispatch, на самом деле это эвфемизм для скрытого наблюдения).

В основе этого дела лежат “знания”, или то, о каких данных Telegram было достоверно известно. Имейте в виду, что коммуникационной платформе не требуется доступ к каким-либо пользовательским данным, помимо операционных целей. В конечном счете, это решение компании.

Проблема Telegram

Ни одна социальная сеть или коммуникационная платформа не является простой. Помимо того, что Telegram является приложением для обмена сообщениями и чата, которым пользуются 900 миллионов пользователей, критике подверглась “смягченная политика модерации” в отношении всего контента на платформе. Это неизбежно включает в себя не просто частные беседы между отдельными людьми, но и беседы на самые разные темы — от торговли наркотиками до терроризма.

Тем не менее, привлекательность Telegram никогда не была связана с реальной конфиденциальностью. Пользователи обращаются к нему за чем-то другим: за кажущейся открытой сферой для общения с другими людьми на любые темы, возможно, с иллюзией анонимности и безопасности, а также за всей сопутствующей этому запутанной социальной динамикой. К сожалению, в Telegram это происходит в основном без соблюдения стандартов конфиденциальности, которые, как ожидается, обеспечат подлинную свободу слова.

“Telegram работает скорее как беспорядочная платформа для социальных сетей с помощью групповых чатов, чем как приложение для обмена сообщениями”, — отмечает Джая Клара Брекке, директор по стратегии Nym. “Это делает его удобным для использования злоумышленниками, мошенниками и ботами. Сегодня это проблема многих платформ. Настоящая конфиденциальность требует не только сквозного шифрования, но и защиты от сетевого шума, чтобы обеспечить реальную свободу слова, а не просто поток провокационного контента, предназначенного для увеличения числа участников.”

Судьба Дурова

В конечном счете задача прокуратуры будет заключаться в том, чтобы продемонстрировать, что Дуров не только знал об этих незаконных действиях, но и что компания не смогла должным образом вмешаться. В основе дела лежит сочетание известной преступной деятельности, невмешательства в нее и “отказа от общения” с властями при “проведении перехватов”. Это будет равносильно разрешению преступной деятельности в относительно новом юридическом смысле.

Неясно, удастся ли французскому обвинению доказать это. Если оно это сделает, это вполне может способствовать созданию нового прецедента, когда дело дойдет до контроля за технологиями защиты конфиденциальности и другими платформами Web3 (но об этом позже). И остается загадкой, является ли решение Дурова приземлиться в Париже частью более глубокой геополитической и юридической игры, в которую мы пока не посвящены.

Но есть одна вещь, которую необходимо прояснить для сообщества, занимающегося вопросами конфиденциальности: Telegram — это далеко не приложение для приватного общения. Более того, нынешние испытания Дурова являются прямым следствием того, что он не смог или отказался превратить Telegram в платформу, на которой пользователи по умолчанию имеют реальную конфиденциальность. Если бы Telegram был таким, Дуров, скорее всего, не был бы заключен под стражу.

Приватность — это не фишка Telegram

Как приложение для обмена сообщениями и чата, Telegram обладает своими сильными сторонами: чрезвычайно удобным интерфейсом и “каналами”, по которым люди могут “свободно” общаться по всему миру и обмениваться актуальной информацией. Возможно, это помогает людям на местах распространять информацию о войне, постоянно пополняемую дезинформацией, или, может быть, это машина пропаганды в поддержку войны, или и то, и другое одновременно. Инструменты по своей природе амбивалентны, что в конечном итоге зависит от того, как они используются.

Но, несмотря на давние заявления о том, что Telegram является “безопасным мессенджером”, на самом деле Telegram не является по-настоящему приватным приложением для обмена сообщениями. Причина этого проста: по умолчанию в нем не используется сквозное шифрование (e2e).

Если нет e2e шифрования, значит нет никакой приватности

Большинство приложений и веб-служб используют ту или иную форму шифрования, но если соединение между двумя клиентами не зашифровано e2e, оно не является по-настоящему приватным.

Шифрование e2e гарантирует, что только у вас и вашего предполагаемого получателя есть ключи для расшифровки содержимого того, что вы говорите, делаете или делитесь друг с другом. Все остальное потенциально может позволить третьим лицам, таким как сами операторы приложений, получить доступ к вашим сообщениям или поделиться ими с другими лицами, включая запрашивающие органы по многим политическим или юридическим мотивам.

Не следует забывать, что выполнение определенных требований о цифровом наблюдении в случае авторитарных режимов или превышения полномочий правительства вполне может быть равносильно неоправданному нарушению гражданских прав отдельных лиц. Именно по этой причине шифрование e2e должно быть защищено в качестве требования по умолчанию для всех безопасных и приватных коммуникаций.

В свою защиту Telegram действительно предлагает режим шифрования e2e, который они загадочно называют “секретным чатом”. Однако это не является функцией по умолчанию для всех коммуникаций через платформу. Его необходимо включать вручную для каждого чата, а это означает, что для всех остальных сообщений используется независимая и “необычная” форма шифрования, которую трудно расшифровать с точки зрения безопасности.

Ключевым отличием от Telegram является Signal, который обеспечивает шифрование e2e для всех коммуникаций на своей платформе. Все больше коммерческих приложений, таких как WhatsApp (который использует протокол Signal) и Facebook Messenger, перешли на шифрование e2e, помогая установить новый стандарт в частных цифровых коммуникациях.

Но Telegram пока нет в этом списке, и мы должны задаться вопросом, почему это так, прежде чем возводить Дурова на пьедестал защитника частной переписки.

e2e уже является нормативной нормой

Криптография не является преступлением. Напротив, шифрование e2e в настоящее время является основой частных онлайн-коммуникаций.

Использование надежного шифрования e2e полностью соответствует Общему регламенту по защите данных (GDPR), участником которого является Франция. В Европе GDPR по праву подтверждает социальную значимость шифрования как “наилучшего способа защиты данных при передаче и одного из способов обезопасить сохраненные персональные данные”. Директива NIS 2 также еще больше усиливает необходимость шифрования e2e:

“В целях обеспечения безопасности сетей и услуг электронной связи следует поощрять использование шифрования, и в частности сквозного шифрования, и, при необходимости, оно должно быть обязательным для поставщиков”.

Помимо обеспечения защиты личных разговоров пользователей от внешнего вмешательства и слежки, шифрование e2e гарантирует, что разработчики приложений ничего не знают о содержании общения своих пользователей и не имеют к нему доступа.

Таким образом, шифрование e2e обеспечивает необходимую нейтральность для разработчиков и операторов приложений. Это беспроигрышный вариант для технологий защиты конфиденциальности и пользователей. Как показывает арест Дурова, знание и хранение пользовательских данных делает компанию уязвимой для судебного преследования и в то же время снижает конфиденциальность всех пользователей.

Речь идет не о том, чтобы защитить миллиардеров от уголовного преследования. Речь идет о нормализации нашего цифрового взаимодействия, так что, когда обычные люди общаются друг с другом через приложение для обмена сообщениями, они могут делать это, зная, что сотни компаний, агентств и правительств их не слышат.

Дуров под прицелом?

Telegram не только не соответствовал отраслевому стандарту шифрования e2e, но и подверг самого Дурова, как главу компании, возможному судебному преследованию. Сейчас это происходит вслед за аналогичными судебными преследованиями в сфере Web3, в отношении Tornado Cash и других. С практической точки зрения, любая информация о содержании сообщений на платформах означает возможное соучастие, независимо от того, будет ли это юридически обосновано или нет.

Технология e2e encryption for privacy technologies — это простое и полностью соответствующее требованиям законодательства решение для защиты данных. Как и технология микснета для защиты метаданных. На практике эти технологии позволяют минимизировать объем данных. Чем больше данных компания настаивает на сборе в коммерческих и политических целях, тем более уязвимой она делает себя и тем хуже для конфиденциальности своих пользователей.

Дуров — яркий тому пример: возможно, он защищает свободу слова, но не защищает цифровую конфиденциальность. Давайте перестанем искать мучеников и рыцарей в сияющих доспехах и инвестируем в технологии с нулевым разглашением и минимизацией данных, которые делают конфиденциальность технологическим стандартом, а не обещанием или маркетинговым трюком.

Реальной целью являются метаданные

Надежное шифрование e2e должно быть обязательным условием для всех онлайн-коммуникаций, защищая уязвимых людей от профилирования и таргетинга. Telegram не смог защитить своих пользователей и самих себя как поставщика цифровых услуг по этому основному пункту. Но, как неоднократно подчеркивали Nym, сегодня даже шифрования e2e недостаточно для обеспечения безопасности коммуникаций людей.

Метаданные по-прежнему являются основной целью мониторинга данных. В руках систем массового сбора данных и ИИ-аналитики они могут рассказать о нас гораздо больше, чем содержание любого набора сообщений. И в отличие от зашифрованного контента, метаданные практически не защищены законом.

Даже частные приложения для связи, такие как Signal или WhatsApp, уязвимы для отслеживания метаданных.

“Проблема, — отметил Гарри Халпин, генеральный директор Nym Technologies, — заключается в том, что все эти чат-приложения утекают метаданные о том, кто с кем разговаривает на сетевом уровне, и именно эту проблему пытается решить микснет Nym”.

Короче говоря, незащищенные данные и метаданные = уязвимость, как для обычных пользователей приложений, так и для разработчиков.

Но Telegram, возможно, ставит сотни миллионов своих пользователей по всему миру в еще более опасное положение. В отличие от Signal, который не имеет коммерческого дохода, Telegram получает значительный доход от коммерческой рекламы. Как мы знаем, сбор, анализ и совместное использование метаданных клиентов является основным средством таргетированной рекламы. Вопрос о том, в какой степени Telegram собирает, централизует и использует клиентские метаданные, должен быть вопросом, который мы задаем себе и им.

Ориентация на конфиденциальность: что будет дальше

Нам придется подождать, чтобы увидеть, чем закончится дело Дурова. Весьма вероятно, что это действительно создает опасный прецедент, когда речь заходит о контроле за реальными технологиями защиты частной жизни под эгидой борьбы с преступностью. Приговор, вынесенный в 2024 году в Нидерландах Алексею Перцеву, соучредителю Tornado Cash, крипто-инструмента для анонимизации, является одним из направлений этой тенденции. И мы должны ожидать, что другие последуют его примеру.

По мере развития этой новой правовой и полицейской стратегии, связанной с технологией Web3, мы, граждане Интернета, должны быть бдительны, ставя под сомнение и отвергая этот ложный выбор: конфиденциальность или мир преступности. Частную жизнь можно и нужно защищать от принуждения и запугивания во имя усиления государственной слежки.

Но проблемы Telegram нельзя сводить к их положениям о конфиденциальности, которых, к сожалению, нет. Настоящие фронты борьбы за защиту частной жизни находятся в другом месте.

Частные коммуникационные приложения, такие как Signal, VPN и даже Telegram, все чаще блокируются в таких странах, как Россия, Китай и Венесуэла. Создание защищенных от цензуры технологий будет иметь решающее значение для обеспечения того, чтобы люди по всему миру могли получать доступ к информации и товарищам, которые им необходимы для борьбы с деспотическими режимами или просто для жизни.

Поэтому вместо того, чтобы натравливать регулирующие органы на разработчиков, в то время как преступники разгуливают на свободе, целью должно быть предотвращение цифровой уязвимости в первую очередь. Это требует смещения акцента как со стороны регулирующих органов, так и со стороны руководителей технологических компаний, чтобы они начали уделять приоритетное внимание конфиденциальности и безопасности по замыслу и по умолчанию.

Telegram, к сожалению, опоздал в этом вопросе.

Присоединяйтесь к сообществу Nym

Discord // Telegram // Element // Twitter

Приватности нужна компания