Key Escrow

Key Escrow: v kryptografii opatření, v rámci kterého jsou neveřejné klíče (tajné či privátní) svěřeny do úschovy důvěryhodnému třetímu subjektu. Úschova může být dobrovolná, a sledovat potřebu pojistit se proti případné ztrátě klíče jeho oprávněným majitelem. nebo může mít nedobrovolný charakter, kdy jsou klíče svěřovány do úschovy z iniciativy oprávněného orgánu (typicky: státu), který si chce pro specifické případy ponechat právo na dešifrování všech zašifrovaných dat.

Také se vám už někdy stalo, že jste si zabouchli dveře od svého bytu, a klíče zůstaly uvnitř? Nebo že jste své klíče někde zapomněli či přímo ztratili, a další členové vaší rodiny, vybavení vlastním exemplářem klíčů, byli kdoví kde? V takových situacích může pomoci zručný zámečník, nebo třeba soused, kterému jste v dobré víře někdy předtím svěřili další klíče od svého bytu - třeba proto, aby vám v době vaší nepřítomnosti zaléval květiny, nebo i jenom pro případy nouze právě popsaného typu. Pokud bychom se ale přesunuli do světa počítačů a počítačových komunikací a jejich bezpečnosti, mohla by i zde existovat analogická situace? Mohlo by se někdy stát, aby jste si i zde zabouchli elektronická vrátka ke svým datům, a nemohli se k nim dostat?

Nastat to může, a poměrně snadno. Možností je celá řada, od nenávratného pádu pevného disku s privátními či tajnými klíči, až třeba po psa (viditelného či Neviditelného), který rozžvýká speciální čipovou kartu, ve které jsou potřebné klíče bezpečně uloženy, a kterou jindy nosíte vždy při sobě, ale tentokrát vám nedopatřením vypadla z kapsy. Raději ani všechny možnosti nedomýšlet. Spíše se zamysleme nad tím, jak z takovéto situace ven.

Volat kryptografického zámečníka, který by vám zabouchnutá vrátka otevřel i bez vašich klíčů, nemá cenu. Pokud jste použili alespoň trochu netriviální způsob zabezpečení, pracoval by mnoho a mnoho let. Schůdnější alternativou je spíše varianta s důvěryhodným sousedem, neboli myšlenka pojistit se předem proti případné ztrátě svých privátních či tajných klíčů a svěřit je do úschovy někomu, v koho máte dostatečnou důvěru že je nezneužije.

V angličtině se této myšlence, tedy myšlence uschovat u důvěryhodného subjektu neveřejné klíče, říká "key escrow". Není jistě těžké si představit, jak by asi měla být v praxi realizována - subjekt, kterému se klíče do úschovy svěří, by měl být nejen dostatečně důvěryhodný, aby svěřené klíče sám nezneužil, ale měl by také podniknout vhodná technická a organizační opatření, aby se s dostatečnou pravděpodobností mohlo vyloučit i eventuelní zcizení klíčů ponechaných v úschově. No a pokud by jste se jako majitelé neveřejných klíčů obávali svěřit je jedinému subjektu, máte vždy možnost své klíče vhodně rozdělit na několik částí, které jsou samy o sobě bezcenné (ze znalosti jedné části nelze odvodit původní celek), a jednotlivé části pak svěřit samostatným "opatrovatelským" subjektům. Pravděpodobnost, že by se někomu neoprávněnému podařilo získat všechny potřebné části vašich klíčů, se tím opravdu výrazně zmenší.

Právě popsaná možnost ukládání privátních a tajných klíčů do úschovy (key escrow) je charakteristická svým dobrovolným charakterem. Jistě bude v blízké budoucnosti velmi aktuální, ale v dnešní době se o ní mluví především v její nedobrovolné variantě. Důvodem je skutečnost, na kterou jsme v tomto seriálu už několikrát narazili - výkonné kryptografické techniky jsou opravdu silným nástrojem, který ale nemusí sloužit jen silám dobra, nýbrž může být i zneužit silami zla. Faktem je, že zákony matematiky, o které se praktická nerozluštitelnost kryptografických algoritmů opírá, nedokáží rozlišit mezi dobrem a zlem, či žádoucím způsobem využití a zneužitím. Jak tedy postupovat, aby se kryptografie nestala silným nástrojem v rukou zla, které by se tak mohlo snadno a účinně skrývat před kýmkoli jiným?

Jednou z možností je kryptografii zakázat úplně. Jinou možností je omezit její sílu tak, aby sice poskytovala určitou míru zabezpečení, ale zase ne tak velkou, aby při mobilizaci dostatečných prostředků nebylo možné zašifrovaná data v rozumném čase rozluštit. Do této kategorie pak spadají různá exportní omezení na kryptografické produkty, pracující jen s určitou maximální délkou klíče (která praktikují zejména v USA). Právě v USA však přišli s ještě další strategií: uvolněme pro nejširší použití dostatečně silnou kryptografickou techniku, skýtající dostatečnou míru zabezpečení, ale zabudujme do ní "zadní vrátka" - fungující takovým způsobem, že oprávněný orgán (míněno: státní orgán USA vybavený soudním příkazem) bude moci zakódovaná data relativně snadno a hlavně rychle rozšifrovat. Právě taková je myšlenka kryptografického čipu jménem Clipper, která se zrodila v USA, a měla by umožnit bezpečné a průběžné šifrování zejména telefonních hovorů a faxových přenosů. Čip jménem Clipper by měl být zabudováván do všech telefonů a faxů, a díky tomu by telefonní hovory i faxové přenosy mohly být dostatečně účinně chráněny před jakýmkoli odposlechem, vyjma odposlechu úředně povoleného k tomu oprávněným soudem. Tím by se měla naplnit ideální představa o využití kryptografie: silám dobra dát do ruky dostatečně účinný nástroj pro bezpečnou komunikaci, ale silám zla nic takového neposkytnout.

Souvislost s úschovou klíčů (key escrow) je zde následující: ke každému vyrobenému čipu Clipper, který by potřebné šifrování zajišťoval, by existoval tajný "odposlechový" klíč. Ten by byl v rukou (či spíše v úschově) státu, a mohl by být použit pouze na základě rozhodnutí soudu. Aby se předešlo případnému zneužití, byl by takovýto tajný klíč rozdělen na dvě části, a každá z nich by byla v úschově u jiného státního orgánu.

Zlé jazyky přitom tvrdí, že je extrémně nepravděpodobné, aby dva orgány státní správy dobrovolně (samy od sebe) spolupracovaly, a tudíž by takováto úschova měla být poměrně bezpečná. To zřejmě neplatí jen v USA, o které se zde jedná. V praxi však jsou proti celé myšlence čipů Clipper velmi silné výhrady - z technických například ta, že šifrovací algoritmu určený pro tyto čipy (jménem SkipJack) je na rozdíl od dobrých mravů v kryptografii přísně utajovaný. K jeho fungování pak je ještě zapotřebí, aby v každém čipu byl vyjádřen jeden společný tajný klíč (ve všech čipech stejný), který také musí zůstat utajen - to pak znamená nejen přísná opatření při výrobě, ale hlavně nutnost znemožnit "reverzní inženýrství", které by z rozebraného exempláře čipu Clipper dokázalo odvodit šifrovací algoritmus i společný tajný klíč.

Ještě větší výtky vůči celé myšlence čipů Clipper pak jsou logického charakteru: použití čipů Clipper má být dobrovolné, a nemá být doplněno zákazem jiných kryptografických technik (o čemž si mnoho lidí myslí své). Znamená to, že síly zla dobrovolně začnou používat něco, od čeho má klíče ten kdo proti nim bojuje? A co když například někdo použije "nad" čipem Clipper ještě nějakou jinou metodu zabezpečení, tj. svá data nejprve zakóduje jinak, a pak ještě jednou Clipperem? Skeptici tvrdí, že dopad na síly zla bude minimální, ale na druhé straně se hodně ublíží spíše silám dobra.

Zdaleka největší otazníky kolem celé koncepce čipů Clipper však v USA vyvolávají otázky etické: mají občané právo na bezpečnou (šifrovanou) komunikaci, kterou nikdo nemůže odposlouchávat, resp. od které nemá mít nikdo jiný klíče? Nebo je správná myšlenka povinné úschovy klíčů u státu, neboli: má stát právo (samozřejmě jen v oprávněných případech) odposlouchávat jakoukoli komunikaci? To jsou nesmírně závažné otázky, které v USA i po celém světě rozvířily plamennou diskusi. Její výsledek není jednoznačný, ale pravdou je, že celá koncepce čipů Clipper, vyhlášená v roce 1993, doznala už několika změn, a intenzita prosazování koncepce "povinné úschovy klíčů" spíše klesá.