Chmura Apple, atak chińskiego APT na amerykańskie telekomy i prywatność danych w Europie. Polityczna walka o kryptografię.

„Rząd Stanów Zjednoczonych nie może pozwolić na to, co w efekcie jest zagranicznym cyberatakiem przeprowadzonym za pomocą politycznych środków” – stwierdzili w ponadpartyjnym komunikacie demokratyczny senator Ron Wyden z Oregonu oraz republikański kongresmen Andy Biggs z Arizony. Choć brzmi to jak reakcja na hybrydową operację autorytarnego reżimu wymierzoną przeciwko Stanom Zjednoczonym, w rzeczywistości politycy opisali tak działania nie Moskwy, Pekinu czy Teheranu, ale… Londynu.

W liście wystosowanym 13 lutego 2025 roku do dyrektorki Wywiadu Narodowego USA, Tulsi Gabbard, Wyden i Biggs ostro skrytykowali działania rządu Wielkiej Brytanii. Określili je jako „krótkowzroczne” i „niebezpieczne”, a ich konsekwencje jako „potencjalnie katastrofalne”. Wezwali oni amerykańską administrację do postawienia ultimatum Zjednoczonemu Królestwu. W przypadku niespełnienia żądań USA co do zaprzestania działań miałoby dojść do rewaluacji ustaleń dotyczących cyberbezpieczeństwa i współpracy wywiadowczej.

Powodem, dla którego amerykańscy parlamentarzyści zareagowali tak ostro, były naciski rządu w Londynie na Apple, by umożliwić brytyjskim służbom dostęp do zaszyfrowanych danych klientów tej firmy, przechowywanych w chmurze iCloud.

Investigatory Powers Act¹ z 2016 roku (IPA) nakłada na operatorów telekomunikacyjnych i pocztowych obowiązek utrzymania zdolności technicznych do udzielania pomocy w związku z nakazami i upoważnieniami wydawanymi na mocy IPA. Co więcej, samo ujawnienie takiego żądania może być uznane za przestępstwo. W styczniu 2025 roku brytyjskie Home Office, odpowiednik polskiego MSWiA, zażądało dostępu do zaszyfrowanych danych użytkowników iCloud, którzy włączyli opcję zaawansowanej ochrony danych (Advanced Data Protection, ADP). Usługa ta, wprowadzona w 2022 roku, stosuje kryptografię klucza publicznego do zabezpieczania danych użytkowników. Ta metoda szyfrowania wykorzystuje parę kluczy – publicznego i prywatnego – gwarantując, że tylko posiadacz klucza prywatnego może odszyfrować dane. Apple nie przechowuje kopii prywatnych kluczy użytkowników, co zapewnia użytkownikom wysoki poziom bezpieczeństwa, a firmie pozwala unikać konieczności udostępniania danych instytucjom państwowym (a takich żądań Apple otrzymało w swojej historii niemało).

Dodatkowego kontekstu sprawie dodaje niedawne ujawnienie działalności chińskiej grupy APT, powiązanej z Ministerstwem Bezpieczeństwa Państwowego Chin. Grupa ta, znana pod nazwami: Salt Typhoon, GhostEmperor lub UNC2286, przeprowadziła jedną z najbardziej dotkliwych cyberoperacji ostatnich lat. W sierpniu 2024 roku „The Washington Post” doniósł o przełamaniu zabezpieczeń kilku amerykańskich operatorów telekomunikacyjnych. W wyniku ataku na firmy takie jak: AT&T, Verizon, T-Mobile i Lumen Technologies hackerzy uzyskali dostęp nie tylko do telefonów członków kampanii Kamali Harris, ale nawet prywatnych telefonów JD Vance’a i Donalda Trumpa oraz do infrastruktury sieciowej objętej regulacjami Communications Assistance for Law Enforcement Act (CALEA).

Ustawa CALEA, podpisana w 1994 roku przez Billa Clintona, zobowiązuje operatorów telekomunikacyjnych oraz producentów sprzętu do wbudowania mechanizmów umożliwiających legalne podsłuchy. Początkowo CALEA dotyczyła tylko firm telefonicznych, ale w 2004 roku Federalna Komisja Łączności (ang. Federal Communications Commission, FCC) rozszerzyła jej zakres na dostawców szerokopasmowego dostępu do Internetu oraz usługi VoIP (Voice over IP). Przełamanie zabezpieczeń infrastruktury komunikacyjnej przez chińskich hackerów oznaczało, że mieli oni możliwość szpiegować miliony Amerykanów. Potwierdzono uzyskanie dostępu do metadanych połączeń i wiadomości tekstowych ponad miliona użytkowników, głównie z obszaru metropolitalnego Waszyngtonu. Wynikało to z koncentracji chińskich operatorów na monitorowaniu strategicznych celów, znajdujących się w stolicy Stanów Zjednoczonych – w tym wysoko postawionych urzędników, polityków i wojskowych.

Przed ujawnieniem operacji grupy Salt Typhoon Departament Sprawiedliwości i FBI prowadziły starania o rozszerzenie zakresu ustawy CALEA na szyfrowane komunikatory, takie jak Signal czy WhatsApp. Bezprecedensowy atak chińskich hackerów diametralnie zmienił jednak optykę amerykańskich urzędników. W grudniu Cybersecurity and Infrastructure Security Agency (CISA) opublikowała poradnik dla osób takich jak politycy i urzędnicy wysokiego szczebla, które mogą być namierzane przez zagranicznych hackerów – Mobile Communications Best Practice Guidance². Dokument ten odzwierciedla radykalną zmianę w amerykańskim podejściu do bezpieczeństwa komunikacji mobilnej. Agencja szczegółowo opisała konkretne rozwiązania techniczne, które mają zapewnić najwyższy poziom ochrony. Wśród nich znalazły się: wykorzystanie zaawansowanych metod uwierzytelniania wieloskładnikowego niezależnych od SMS-ów, stosowanie kluczy bezpieczeństwa zgodnych ze standardem FIDO, korzystanie z menedżerów haseł, a przede wszystkim – bezwzględne używanie komunikatorów z szyfrowaniem end-to-end (E2EE). Siła tego rozwiązania, która zyskała aprobatę amerykańskich urzędników, stała się jednocześnie przyczyną, dla której Brytyjczycy domagają się jego ograniczenia.

Powody, dla których rząd w Londynie podejmuje próby osłabienia szyfrowania, od lat pozostają niezmienne. Przedstawiciele administracji argumentują, że jest to konieczne do walki z przestępczością zorganizowaną, szczególnie w zakresie handlu narkotykami i pedofilii, a także do zapewnienia bezpieczeństwa narodowego, w tym zapobiegania terroryzmowi. W odpowiedzi przedstawiciele społeczeństwa obywatelskiego ostrzegają, że każda próba osłabienia mechanizmu kryptografii opartej na kluczu publicznym i prywatnym nieuchronnie prowadzi do zmniejszenia bezpieczeństwa dla wszystkich użytkowników, nie tylko w sprawach objętych dochodzeniami organów ścigania.

Służby państwowe odpierają te zarzuty, twierdząc, że dostęp do tego typu backdoorów będzie ograniczony wyłącznie do nich. Koncepcja ta, znana w terminologii NSA jako NOBUS (nobody but us), opiera się na założeniu, że tylko zaawansowane technologicznie agencje, takie jak amerykańskie czy brytyjskie służby specjalne, będą w stanie wykorzystać te furtki. Wielu ekspertów podkreśla jednak, że samo istnienie takich backdoorów tworzy nowe podatności i otwiera dodatkowe powierzchnie i wektory ataków. 13 lutego 2025 roku 109 organizacji społeczeństwa obywatelskiego, firm i ekspertów ds. cyberbezpieczeństwa opublikowało wspólny list do brytyjskiej minister spraw wewnętrznych Yvette Cooper, w którym zaapelowało o wycofanie żądania zbudowania backdoora w usłudze ADP. Podkreślili oni, że „Konsensus wśród ekspertów ds. cyberbezpieczeństwa jest jednoznaczny: nie ma sposobu, aby zapewnić rządom dostęp do danych szyfrowanych [metodą] end-to-end, nie łamiąc samego szyfrowania, co naruszałoby bezpieczeństwo i prywatność każdego użytkownika”³.

Historia pokazuje również, że nawet najpotężniejsze służby państwowe nie są odporne na kradzieże danych, które miewały katastrofalne skutki dla globalnego cyberbezpieczeństwa. Przykładami są wycieki dokumentów CIA w ramach akcji Vault7⁴ czy publikacja luk bezpieczeństwa EternalBlue⁵ stworzonych przez NSA, które posłużyły do uruchomienia ransomware’u WannaCry⁶ i destroyera NotPetya⁷.

Organizacje pozarządowe zajmujące się prawami cyfrowymi zadają również fundamentalne pytanie: kto kontroluje kontrolujących? Istnieją obawy, czy zmieniające się co kilka lat administracje będą wykorzystywać te narzędzia wyłącznie do ścigania przestępców, czy też do naruszania prywatności obywateli z powodów politycznych. W ostatnich latach o szpiegostwo cyfrowe swoich przeciwników politycznych były oskarżone m.in. rządy w Polsce, Grecji, Hiszpanii i na Węgrzech. Rozwiązania kryptograficzne są także używane przez dysydentów politycznych i aktywistów praw człowieka na całym świecie, w tym w państwach autorytarnych, zatem ich naruszenie mogłoby mieć dla nich katastrofalne skutki.

W obliczu tych kontrowersji Apple przyjęło twarde stanowisko w kwestii prób osłabienia szyfrowania. Firma od 2014 roku konsekwentnie deklaruje, że nie zbuduje backdoora ani klucza nadrzędnego do swoich usług wykorzystujących szyfrowanie end-to-end⁸. Wielokrotnie sygnalizowała również, że prędzej wycofa te usługi z brytyjskiego rynku, niż zgodzi się na stworzenie podatności.

I rzeczywiście, w piątek 21 lutego firma oficjalnie zakomunikowała, że wyłącza funkcję zaawansowanego szyfrowania danych na brytyjskim rynku. Tamtejsi użytkownicy, którzy nie mieli wcześniej włączonej usługi, nie mogą już jej uruchomić. Ci, którzy korzystali z szyfrowania, będą zachęcani do jego wyłączenia (czego Apple samodzielnie zrobić nie może ze względu na brak dostępu do kluczy prywatnych).

Choć brytyjski rząd osiągnął swój cel, uzyskując potencjalny dostęp do zaszyfrowanych danych swoich obywateli, przeciwnicy tego działania ostrzegają, że osłabia ono bezpieczeństwo cyfrowe i narusza fundamentalne prawo do prywatności. Decyzja ta może mieć daleko idące konsekwencje dla przyszłości prywatności cyfrowej nie tylko w Wielkiej Brytanii, ale potencjalnie na całym świecie, jeśli inne rządy pójdą w ślady brytyjskiego.

Również w Unii Europejskiej debata nad ograniczeniem siły rozwiązań kryptografii klucza publicznego doprowadziła do politycznego impasu. Od 2023 roku trwają negocjacje trójstronne (tzw. trilogi) między Parlamentem Europejskim, Radą UE a Komisją Europejską nad docelowym kształtem regulacji CSAM (Child Sexual Abuse Material), czyli projektu rozporządzenia ws. zwalczania materiałów przedstawiających seksualne wykorzystywanie dzieci.

Obecnie negocjacje utknęły w martwym punkcie, szczególnie w kwestii gwarancji technicznych kryptografii klucza publicznego. Najbardziej kontrowersyjnym elementem projektu jest proponowany wymóg skanowania treści – zarówno linków, jak i obrazów – przez dostawców usług komunikacyjnych. Według zwolenników regulacji miałoby to umożliwić właściwym organom sądowym lub administracyjnym autoryzowanie dostawców do przetwarzania metadanych w celu wykrywania podejrzanych wzorców zachowań, teoretycznie bez naruszania prywatności szyfrowanej komunikacji. Eksperci i organizacje pozarządowe biją jednak na alarm, ostrzegając, że takie rozwiązanie jest technologicznie niemożliwe do wdrożenia bez wprowadzenia backdoorów do systemów szyfrujących. Dodają oni, że silna kryptografia chroni również dzieci poprzez uniemożliwienie dostępu do ich prywatnych archiwów przez przestępców.

Impas w negocjacjach doprowadził do przedłużenia obowiązywania tymczasowego rozporządzenia do 31 sierpnia 2026 roku. Temat ma powrócić na agendę podczas trwającej polskiej prezydencji w Radzie UE. Według nieoficjalnych doniesień, Polska mogłaby zaproponować usunięcie najbardziej kontrowersyjnych zapisów regulacji, w tym nakazu skanowania treści. Polska, obok Holandii i Niemiec, zgłaszała najwięcej zastrzeżeń do projektu rozporządzenia, podczas gdy kraje takie jak Francja i Hiszpania opowiadały się za utrzymaniem nakazu skanowania treści. Francuzi podobne ograniczenia wprowadzają również do swojej krajowej legislacji. 30 stycznia 2025 roku francuski Senat przyjął poprawkę do Kodeksu Bezpieczeństwa Wewnętrznego, która usuwa możliwość powoływania się na ograniczenia techniczne (np. szyfrowanie end-to-end) jako usprawiedliwienie dla niewykonania żądań organów ścigania. Firmy technologiczne będą zobowiązane do przedstawienia francuskim śledczym odszyfrowanych wiadomości podejrzanych o związki z przestępstwami w ciągu 72 godzin. Niedopełnienie tego obowiązku może skutkować karą sięgającą 2% rocznego obrotu firmy. Prawo to jest więc odbiciem tego brytyjskiego i może przynieść podobny skutek dla dostępności kryptografii klucza publicznego. Poprawka będzie teraz rozpatrywana przez komisje Zgromadzenia Narodowego, niższej izby francuskiego parlamentu, po czym zostanie poddana pod głosowanie.

Warto dodać, że legislacje te stoją w sprzeczności z wyrokiem w sprawie Podchasov v. Rosja z 13 lutego 2024 roku, w której Europejski Trybunał Praw Człowieka jednogłośnie uznał, że wymuszanie przez państwo osłabienia szyfrowania end-to-end narusza prawo do prywatności z art. 8 Europejskiej Konwencji Praw Człowieka. Trybunał podkreślił znaczenie szyfrowania w ochronie komunikacji online i skrytykował działania rządu mające na celu osłabienie lub podważenie tej technologii. Decyzja ta podważa argumentację państw, które powołują się na względy bezpieczeństwa narodowego przy próbach naruszania bezpieczeństwa kryptografii.

Ironii całej sytuacji dodaje fakt, że – jak donosi POLITICO⁹ – po cyberataku Salt Typhoon na amerykańskich dostawców Parlament Europejski wysłał e-maile do parlamentarzystów, ich asystentów oraz pracowników, zalecając im korzystanie z zaszyfrowanych komunikatorów, takich jak Signal. W 2020 roku podobną rekomendację swoim pracownikom wydała Komisja Europejska.

~Maciej Góra

[1]  Legislation.gov.uk, Investigatory Powers Act 2016,
https://www.legislation.gov.uk/ukpga/2016/25/contents.

[2] Cybersecurity and Infrastructure Security Agency, Mobile
Communications Best Practice Guidance, December 18, 2024,
https://www.cisa.gov/sites/default/files/2024-12/guidance-mobile-communications-best-practices.pdf.

[3] R. Polk, Joint Letter on the UK Government’s use of Investigatory
Powers Act to attack End-to-End Encryption, Global Encryption Coalition,
February 13, 2025,
https://www.globalencryption.org/2025/02/joint-letter-on-the-uk-governments-use-of-investigatory-powers-act-to-attack-end-to-end-encryption.

[4]  M. Sajdak, Wikileaks odpala bombę. Wyciek pełnych możliwości
hackerskich CIA, sekurak.pl, 7 marca 2017,
https://sekurak.pl/wikileaks-odpala-bombe-wyciek-pelnych-mozliwosci-hackerskich-cia/.

[5] M. Sajdak, Wyciek z NSA, nowy ransomware błyskawicznie atakujący
kolejne kraje: Wana Decrypt0r 2.0, sekurak.pl, 12 maja 2017,
https://sekurak.pl/wyciek-z-nsa-nowy-ransomware-blyskawicznie-atakujacy-kolejne-kraje-wana-decrypt0r-2-0/.

[6] M. Sajdak, WannaCrypt / Wana Decrypt0r 2.0 / Wanacry – jak się
chronić?, sekurak.pl, 14 maja 2017,
https://sekurak.pl/wannacrypt-wana-decrypt0r-2-0-wanacry-jak-sie-chronic/.

[7] M. Sajdak, Bad Rabbit czyli nowa wersja NotPetya naciera również na
Polskę, sekurak.pl, 25 października 2017,
https://sekurak.pl/bad-rabbit-czyli-nowa-wersja-notpetya-naciera-rowniez-na-polske/.

[8] Apple Inc., Privacy – Government Information Requests,
https://www.apple.com/privacy/government-information-requests/ oraz
wersja archiwalna: Our commitment to customer privacy doesn’t stop
because of a government information request,
https://web.archive.org/web/20140918023950/https://www.apple.com/privacy/government-information-requests/.

[9] M. Griera, E. O’Regan, European Parliament urges lawmakers to only
use encrypted messages after China hacks, Politico, February 28, 2025,
https://www.politico.eu/article/european-parliament-urge-mep-message-signal-encryption/.