master_admin

Αυτές τις ημέρες διεξάγεται το 41^ο Διεθνές Συνέδριο των Επιτρόπων για την Προστασία της Ιδιωτικής Ζωής και των Προσωπικών Δεδομένων (International Conference of Data Protection and Privacy Commissioners – ICDPPC).

Στο πλαίσιο αυτού, o Οργανισμός Electronic Privacy Information Center -EPIC δημοσίευσε Διεθνή Εξαγγελία με την οποία καλεί την παύση της χρήσης της τεχνολογίας αναγνώρισης προσώπου (facial recognition). Η οργάνωσή μας, μαζί με πλήθος άλλων οργανώσεων, όπως η Privacy International, η Access Now, η Algorithmic Justice League, η Digitalcourage e.V. κ.α., και ιδιώτες έχουν υπογράψει την εν λόγω διακήρυξη.

Το κείμενο της διακήρυξης καλεί, μεταξύ άλλων, τα κράτη να αναστείλουν τη χρήση της τεχνολογίας αναγνώρισης προσώπου για σκοπούς μαζικής παρακολούθησης, καθώς και να προχωρήσουν στη θέσπιση των αναγκαίων νομικών κανόνων, τεχνικών προτύπων, και δεοντολογικών κατευθυντήριων γραμμών, προκειμένου η περαιτέρω ανάπτυξη και χρήση της εν λόγω τεχνολογίας στο μέλλον να βρίσκεται σε σύμπλευση με τον σεβασμό στην ιδιωτική ζωή, την προστασία των προσωπικών δεδομένων και την απαγόρευση των διακρίσεων.

Μπορείτε να υπογράψετε τη διακήρυξη ή ως ιδιώτης είτε ως οργανισμός εδώ.

Θυμίζουμε ότι η οργάνωση μας έχει συμμετάσχει και στο παρελθόν σε ανάλογες δραστηριότητες, όπως την υπογραφή των Διεθνών Κατευθυντήριων Γραμμών για την Τεχνητή Νοημοσύνη που είχε δημοσιεύσει η EPIC στο πλαίσιο του ίδιου συνεδρίου το 2018. Μάλιστα πέρυσι, είχαμε τη χαρά να συμμετέχουμε σε αυτό το συνέδριο.

Γράφει ο Δημήτρης Ντόσας*

Υπάρχει -διεθνώς- μια παραδοξότητα που βρίσκεται σε εξέλιξη.

Από τη μία πλευρά, παρατηρείται μια ολοένα αυξανόμενη ευαισθητοποίηση του κόσμου στον τομέα των προσωπικών δεδομένων, της online παρακολούθησης, των ψηφιακών δικαιωμάτων. Από την άλλη, πολλοί και πολλές τείνουν να πιστεύουν πως η ιδιωτικότητα δεν είναι θέμα μείζονος σημασίας καθώς “δεν έχουν κάτι να κρύψουν”.

Αυτό συμβαίνει για πολλούς λόγους. Η κυρίαρχη αφήγηση θέλει να συνδέσει τη μαζική παρακολούθηση με την έρευνα για άσκηση παράνομων δραστηριοτήτων. Ταυτόχρονα, θεωρούμε πως οι μεγάλες εταιρείες του GAFAM (Google, Apple, Facebook, Amazon και Microsoft), και όχι μόνο, ασφαλίζουν επαρκώς τα δεδομένα μας οπότε δεν υπάρχει λόγος να φοβόμαστε την έκθεση.

Είναι όμως έτσι; Χρειάζεται να είσαι εγκληματίας ή τεχνοφρικιό (sic) για να σε απασχολεί το τι συμβαίνει με το ψηφιακό σου αποτύπωμα;

Μάλλον όχι!

Όπως πολύ εύστοχα είχε αναφέρει ο Edward Snowden, “το να λες ότι το δικαίωμα στην ιδιωτικότητα δε σε αφορά, επειδή δεν έχεις κάτι να κρύψεις, είναι το ίδιο με το να λες ότι το δικαίωμα της ελεύθερης έκφρασης δε σε αφορά, επειδή δεν έχεις κάτι να πεις”.

Στο παρόν άρθρο δεν έχουμε σκοπό να δώσουμε έτοιμες απαντήσεις, αλλά να θέσουμε το ερώτημα στη ορθή του βάση.

“Data is the new Oil”

Η τελευταία δεκαετία είναι μια πολύ συμπυκνωμένη ιστορικά περίοδος σε σχέση με την ενσωμάτωση της ανθρωπότητας στον ψηφιακό κόσμο.

Ο Homo Consumus υπέστη μια βίαιη μετάβαση, καθώς πολλές πρακτικές της καθημερινότητάς του μεταφέρθηκαν, ολοκληρωτικά ή μερικώς, σε ψηφιακό περιβάλλον.

Δραστηριότητες που άπτονται της επικοινωνίας, της ψυχαγωγίας, της κατανάλωσης, της αναζήτησης πληροφοριών, κλπ. είναι πλέον μόνο ένα “κλικ” μακριά.

Τα τελευταία χρόνια, η κάλυψη πολλών αναγκών μας γίνεται ευκολότερα και αποδοτικότερα μέσω των νέων τεχνολογιών και καινοτομιών, αλλά ταυτόχρονα παρουσιάζονται και δυνατότητες που χρήζουν συζήτησης.

Δυνατότητα 1: Οι ηλεκτρονικές συσκευές έχουν εξελιχθεί τόσο, ώστε να έχουν πλέον τη δυνατότητα καταγραφής μεγάλου εύρους της συμπεριφοράς και του περιβάλλοντος μας. Σκεφτείτε πόσα διαφορετικά είδη δεδομένων μπορούν να συλλέξουν οι σένσορες ενός έξυπνου κινητού. Τα δεδομένα αυτά αφορούν από τη θερμοκρασία και την τοποθεσία στην οποία βρισκόμαστε, μέχρι το πότε κοιμόμαστε κ.ο.κ. Επιπλέον, υπηρεσίες όπως οι μηχανές αναζήτησης και τα social media, συλλέγουν αναλυτικά στοιχεία για το τι διαβάζουμε, πώς αντιδρούμε σε αυτά, με ποιους και τι μοιραζόμαστε. Η λίστα είναι -σχεδόν- ατελείωτη.

Δυνατότητα 2: Είναι η πρώτη φορά που τα δεδομένα και οι πληροφορίες που προκύπτουν, μπορούν να καταγραφούν, να αποθηκευτούν και να επεξεργαστούν σε τόσο μεγάλους όγκους.

Ο συνήθης κύκλος ζωής -πλέον- μιας δραστηριότητας που γίνεται με ψηφιακό τρόπο είναι: α) να καταγραφεί από κάτι για κάποιον-κάπου, β) να αποθηκευτεί και να επεξεργαστεί, γ) να συνδυαστεί με άλλες για να παραχθούν συμπεράσματα.

Οι περιπτώσεις χρήσης που προκύπτουν ήταν αρκετές ώστε να καταστήσουν τη συλλογή και επεξεργασία δεδομένων ένα αγαθό με αξία τέτοια, που να θέτει σε αμφισβήτηση ακόμα και την πρωτοκαθεδρία του μαύρου χρυσού στην αντίστοιχη κλίμακα.

Είναι μια διαρκής καταγραφή της καθημερινής πρακτικής του ατόμου. Ένας τεράστιος όγκος στοιχείων που η σύνθεση τους μπορεί με μεγάλη ακρίβεια να προσδιορίσει ποιοι είμαστε, πώς ζούμε και επικοινωνούμε, πώς ερωτευόμαστε, τι ανάγκες έχουμε, τις πολιτικές-κοινωνικές πεποιθήσεις και πολλά άλλα

From personal profiling to social trends

Η ψηφιοποίηση της ζωής μας αποκτά ακόμα μεγαλύτερο ενδιαφέρον, διότι παράγει ένα μοναδικό προφίλ για τον καθένα και την καθεμιά από εμάς. Τα δεδομένα και τα μεταδεδομένα [1] της διαδικτυακής μας κίνησης μπορούν να σχηματίσουν ένα πολύ ακριβές και πλούσιο ψηφιδωτό της ψηφιακής μας ταυτότητας.

Μπορείτε ενδεικτικά να δείτε και εδώ και εδώ, μερικά από τα στοιχεία που διατηρούν δυο τεχνολογικοί κολοσσοί για εμάς.

Κάποιος θα ισχυριστεί ότι δεν έχει δα και τόση σημασία αν κάποιος γνωρίζει για σένα τι ψώνισες χθες από το σουπερμάρκετ, τι μουσική άκουσες το πρωί, πόσο συχνά μπαίνεις στο Instagram. Όλα τα παραπάνω είναι φαινομενικά ασήμαντα.

Ακόμα και αν ήταν δημόσια όλα αυτά τα στοιχεία για τη ζωή κάποιου, δε θα απειλούνταν με άμεσο τρόπο η προσωπικότητα και η ελευθερία του σε μια φαινομενικά δημοκρατική κοινωνία.

Όντως, το να γνωρίζει κάποιος π.χ. τι μουσική άκουσες το πρωί, δεν έχει τόσο μεγάλη αξία από μόνο του.

Τι γίνεται, όμως, αν βρίσκεται υπό την κατοχή κάποιου ένα μεγάλο υποσύνολο του ψηφιακού ιστορικού σου;

Ποια άρθρα διάβασες, σε ποια νέα της επικαιρότητας έκανες like, με ποιους επικοινώνησες, τις αναζητήσεις σου στο Google, τις ώρες που είσαι ενεργός, μέχρι και τι φαγητό παρήγγειλες. Δε μιλάμε πλέον για ασύνδετα και μεμονωμένα δεδομένα και σίγουρα, δεν αναφερόμαστε πλέον σε μια συγκεκριμένη χρονική στιγμή. Είναι μια διαρκής καταγραφή της καθημερινής πρακτικής του ατόμου. Ένας τεράστιος όγκος στοιχείων που η σύνθεση τους μπορεί με μεγάλη ακρίβεια να προσδιορίσει ποιοι είμαστε, πώς ζούμε και επικοινωνούμε, πώς ερωτευόμαστε, τι ανάγκες έχουμε, πολιτικές-κοινωνικές πεποιθήσεις που ασπαζόμαστε και πληθώρα άλλων πραγμάτων.

Μεγαλώνοντας την κλίμακα παρατήρησης, αν αθροιστούν όλα αυτά τα ατομικά προφίλ, μπορούν να σχηματίσουν κοινότητες. Μπορούν να εξαχθούν κοινωνικές τάσεις σχηματίζοντας πλήθη με βάση γεωγραφικά κριτήρια, το φύλο, την εθνικότητα, τις καταναλωτικές συνήθειες, τα πολιτικά πιστεύω και μια σειρά άλλων διαστάσεων.

Είναι η στιγμή, που από χρήστες μιας πλατφόρμας γινόμαστε προϊόντα μια συναλλαγής, που δε θα μάθουμε ποτέ

If you are not paying for the product, the product is you

Οι δυνατότητες της νέας εποχής προφανώς δεν έχουν μείνει ανεκμετάλλευτες. Σχεδόν κάθε γνωστή εφαρμογή ή υπηρεσία που χρησιμοποιούμε στο διαδίκτυο, συλλέγει προσωπικά δεδομένα μας.

Αναρωτηθήκατε ποτέ ποιο είναι το επιχειρηματικό μοντέλο εταιρειών σαν τη Facebook και τη Google? Γιατί μας παρέχουν τόσο ποιοτικές υπηρεσίες δωρεάν; Το κάνουν γιατί κερδίζουν τα πολλαπλάσια από αυτά που ξοδεύουν μέσω της εκμετάλλευσης των δεδομένων και του περιεχομένου που εμείς παράγουμε. Είτε δίνοντας τη δυνατότητα σε ένα διαφημιστή για βέλτιστη εξατομικευμένη προώθηση προϊόντων είτε πουλώντας (με έντεχνο, νόμιμο (;) και ηθικό τρόπο, sic) τα δεδομένα σε τρίτα μέρη, όπως δημοσκοπικές εταιρείες και συμβούλους πολιτικής καμπάνιας, κ.ο.κ.

Εάν κάποιος σας έκανε 100 ερωτήσεις σχετικά με την προσωπική σας ζωή για να τα πουλήσει, θα του απαντούσατε; Πιθανώς όχι. Αλλά το αφήνουμε να συμβαίνει κάθε φορά που χρησιμοποιούμε μια υπηρεσία, που αποκομίζει κέρδη πουλώντας τις πληροφορίες μας. Είναι η στιγμή που, από χρήστες μιας πλατφόρμας γινόμαστε προϊόντα μια συναλλαγής, που δε θα μάθουμε ποτέ.

Και το σημαντικό βέβαια εδώ δεν είναι μόνο τα κέρδη. Αυτό που προκαλεί προβληματισμούς είναι ότι όλος αυτός ο όγκος πληροφοριών είναι εκεί, πάντα διαθέσιμος για κάποιον να τον εκμεταλλευτεί για σκοπούς που δεν μπορούμε να γνωρίζουμε και, προφανώς, ούτε να ελέγξουμε. Τι θα γινόταν αν όλη αυτή η πληροφορία έπεφτε σε “λάθος χέρια”;

Σε μια φαινομενικά πιο αθώα περίπτωση, τα παραπάνω χρησιμοποιούνται από ένα διαφημιστή για λόγους μάρκετινγκ. Στη νέα ζοφερή πραγματικότητα, όμως, έχουν χρησιμοποιηθεί και για να χειραγωγήσουν το αποτέλεσμα των εκλογών σε μια από τις πιο ισχυρές χώρες του πλανήτη, τις ΗΠΑ. Ναι, έχει συμβεί και αξίζει το θέμα λίγο από το χρόνο σας, δείτε περισσότερα εδώ.

Privacy Matters

Ο ερχομός του Διαδικτύου είχε ενθουσιώδη χαρακτηριστικά και ένα από αυτά αποτελεί το γεγονός πως είναι το μόνο μέσο όπου, θεωρητικά και πρακτικά, εμείς επιλέγουμε με ποιες πληροφορίες θα αλληλεπιδράσουμε.

Ταυτόχρονα, η ολοένα και αυξανόμενη ψηφιακή έκθεση μας καθιστά ευάλωτους τόσο σε προσωπικό, όσο και συλλογικό επίπεδο. Όσοι έχουν πρόσβαση στο ψηφιακό μας αποτύπωμα, ασχέτως των προθέσεων τους, έχουν τη δυνατότητα της άμεσης ή έμμεσης παρακολούθησης ποικίλων πτυχών της ζωής μας.

Σε αυτό το νέο περιβάλλον, η ιδιωτικότητα είναι αναγκαία προϋπόθεση εξέλιξης. Είναι κάτι που χρειαζόμαστε για να εξερευνήσουμε τον εαυτό μας, να αποκτήσουμε γνώση και να πάρουμε αποφάσεις σχετικά με τη ζωή μας. Είναι κάτι που μπορεί να διασφαλίσει την ποιότητα της περιήγησης και την αποφυγή εσφαλμένων κατηγοριοποιήσεων του εαυτού μας με ταμπέλες που μπορούν εν δυνάμει να στραφούν εναντίον μας.

Είναι μια προϋπόθεση απαραίτητη ώστε να μπορεί κάποιος να εξερευνήσει τη σεξουαλικότητα του χωρίς να χρειάζεται μετά να γίνεται στόχος διαφημιστικών μηνυμάτων, λόγω των προτιμήσεων του. Είναι προϋπόθεση, ώστε ένας εργαζόμενος να μπορεί να ψάξει μια εναλλακτική στην καριέρα του, χωρίς το φόβο ότι θα ενημερωθεί ο εργοδότης του. Είναι προϋπόθεση για να μπορούμε να εξερευνήσουμε ιδεολογίες και γνώση χωρίς να στιγματιστούμε από κάποιον αλγόριθμο ως “ακραίοι”. Τα παραδείγματα είναι πολλά.

Και η ουσία σε αυτό το σημείο είναι πως χωρίς την έννοια της ιδιωτικότητας, αυτής της μορφής η αυτο-εξερεύνηση δεν υφίσταται.

Η αξία κάθε νέας τεχνολογίας και καινοτομίας έγκειται στη χρήση τους

Αντί επιλόγου

Την τελευταία δεκαετία έχουν ωριμάσει τεχνολογίες με επαναστατικά χαρακτηριστικά ως προς τις δυνατότητες τους. To Διαδίκτυο, οι έξυπνες ηλεκτρονικές συσκευές, τα Big Data, η τεχνητή νοημοσύνη αποτελούν στοιχεία, που μπορούν να διαδραματίσουν σημαντικό ρόλο στην πρόοδο των επιστημών και της ανθρωπότητας.

Όμως, το νόμισμα αυτό έχει δύο όψεις. Και πέρα από το θετικό κοινωνικό αντίκτυπο που μπορεί φυσικά να προκύψει, πρέπει να τονίσουμε και προκαταβάλουμε τις ανησυχητικά αρνητικές συνέπειες που εμφανίζονται από την καταχρηστική εκμετάλλευση τους.Γιατί, εν τέλει, η αξία κάθε νέας τεχνολογίας και καινοτομίας έγκειται στη χρήση τους.

Αν θέλουμε να απολαμβάνουμε τα προνόμια της νέας ψηφιακής εποχής χωρίς να κινδυνεύουν οι προσωπικές μας ελευθερίες, οφείλουμε να θωρακίσουμε τους εαυτούς και τις κοινωνίες μας από αυτό το νέο είδος biased διαμεσολάβησης.

Και η πρωταρχική συνθήκη για να το πετύχουμε, είναι να επαναπροσδιορίσουμε τη στάση μας απέναντι στο μετασχηματισμό των προσωπικών δεδομένων από πυρήνα των ατομικών δικαιωμάτων σε κάτι που δεν μας ανήκει, σε κάτι στο οποίο δεν έχουμε ιδιοκτησία, παρά μόνον πρόσβαση.

Το ερώτημα, τελικά, δεν είναι αν υπάρχουν πράγματα που χρειάζεται να “κρύψουμε”, αλλά πόσα είναι αυτά και γιατί.

[1] Ποια η διαφορά δεδομένων και μετα-δεδομένων; Για παράδειγμα σκεφτείτε μια τηλεφωνική κλήση. Τα δεδομένα της κλήσης είναι το τι είπατε, ενώ τα μετα-δεδομένα είναι, τι ώρα καλέσατε, από πού μιλήσατε και πόσο διήρκεσε η κλήση, κτλπ.

* Ο Δημήτρης Ντόσας είναι Μηχανικός Υποδομών και Κυβερνοασφάλειας. Συμμετέχει επί έτη σε έργα συμμόρφωσης δημόσιων και ιδιωτικών οργανισμών στους τομείς της Ασφάλειας Πληροφοριών και επεξεργασίας Προσωπικών Δεδομένων.

Στις 7 Ιουνίου 2019 ψηφίστηκε η Οδηγία EE/790/2019, η οποία επιδιώκει να ρυθμίσει την Πνευματική Ιδιοκτησία στην Ενιαία Ψηφιακή Αγορά. Όπως έχει ήδη επισημανθεί πολλές φορές, η Οδηγία περιέχει αρκετά προβληματικά σημεία.

Σε αυτό το σημείο, τα κράτη-μέλη της ΕΕ -μεταξύ των οποίων και η Ελλάδα- οφείλουν να ενσωματώσουν την Οδηγία στις εθνικές τους νομοθεσίες εντός των επόμενων 2 ετών.

Οι οργανώσεις της κοινωνίας των πολιτών από όλη την Ευρώπη, που δραστηριοποιούνται στον τομέα των ψηφιακών δικαιωμάτων, συγκεντρώθηκαν στη Βαρσοβία στις 11-13 Οκτωβρίου 2019, προκειμένου να εξετάσουν τρόπους, ώστε η Οδηγία να ενσωματωθεί με τον καλύτερο δυνατό τρόπο για την προστασία της ελευθερίας της έκφρασης και της πληροφόρησης.

Η συνάντηση οργανώθηκε από τη Wikimedia, την Communia και την πολωνική οργάνωση Centrum Cyfrowe. Σε αυτή συμμετείχαν εκπρόσωποι από 25 κράτη-μέλη της ΕΕ.

Μοναδικός εκπρόσωπος της Ελλάδας ήταν η Homo Digitalis. Στη Βαρσοβία βρέθηκε ο Κωνσταντίνος Κακαβούλης εκ μέρους της οργάνωσής μας.

Ευχαριστούμε θερμά τους διοργανωτές για την εξαιρετική συνάντηση.

Μείνετε συντονισμένοι για να μαθαίνετε όλες τις εξελίξεις σχετικά με την ενσωμάτωση της Οδηγίας στη χώρα μας.

Σήμερα, Παρασκευή 11.10.2019, η Ηοmo Digitalis σε συνεργασία με την EDRi την BEUC, την Access Now and την Privacy International και άλλες οργανώσεις απηύθυνε ανοιχτή  επιστολή προς τον Υπουργό Ψηφιακής Διακυβέρνησης, κ. Κυριάκο Πιερρακάκη «στο πλαίσιο της σύναψης συμφωνίας στο Συμβούλιο της Ευρωπαϊκής Ένωσης σχετικά με το προσχέδιο του Κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές  επικοινωνίες (e Privacy Regulation)».

Χωρίς τον Κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, η Ευρώπη θα συνεχίσει την πορεία της με μια απαρχαιωμένη Οδηγία, η οποία δεν εφαρμόζεται σωστά ενώ δεν θα επιτευχθεί η αναμόρφωση του νομικού μας πλαισίου που ξεκίνησε με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων («GDPR»).

Εάν δεν υιοθετηθεί ένας ισχυρός Κανονισμός, δεν θα είναι μόνο οι πολίτες ως ιδιώτες στην χαμένη πλευρά. Tα επιχειρηματικά μοντέλα που βασίζονται στην εποπτεία, ενδέχεται να ενισχυθούν στη δεσπόζουσα θέση τους και θα εξακολουθήσουν να αποτελούν σοβαρούς κινδύνους για τις δημοκρατικές μας διαδικασίες. Η Ευρωπαϊκή Ένωση («ΕΕ») διακινδυνεύει επίσης να χάσει τη θέση της ως παγκόσμιου προτύπου και ψηφιακού πρωταθλητή, όπως συνέβη με την θέση σε ισχύ του GDPR.

Ως αποτέλεσμα αυτών, η διαδικτυακή εμπιστοσύνη των ανθρώπων θα συνεχίσει να επηρεάζεται. Για παράδειγμα, όπως φαίνεται από την Ειδική Έρευνα Ευρωβαρόμετρου που πραγματοποιήθηκε τον Ιούνιο του έτους 2019, η πλειοψηφία των χρηστών ανέφερε ότι έχουν μόνο μερικό έλεγχο των πληροφοριών που παρέχουν ηλεκτρονικά, με το 62% αυτών να εκφράζουν την έντονη ανησυχία τους.

O Κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες αποτελεί άμεση και πρωταρχική ανάγκη.

Προσδοκούμε από την ΕΕ να προστατέψει τα θεμελιώδη δικαιώματα και τα συμφέροντα των πολιτών και μελών της κοινωνίας της πληροφορίας από τις πρακτικές που υπονομεύουν την ασφάλεια και την εμπιστευτικότητα των ηλεκτρονικών επικοινωνιών τους και εισβάλλουν στην ιδιωτική τους ζωή.

Είμαστε παρόντες και έτοιμοι να συμμετάσχουμε, να υποστηρίξουμε και να προασπίσουμε το έργο των ευρωπαϊκών και ελληνικών οργανισμών για τα Δικαιώματα του Ανθρώπου στους τομείς της τεχνολογίας και της κοινωνίας της πληροφορίας.

Μπορείτε να διαβάσετε το πλήρες κείμενο της επιστολής μας απευθυνόμενη προς τον Υπουργό Ψηφιακής Διακυβέρνησης εδώ.

Γράφει ο Αναστάσιος Αραμπατζής*

Η κρυπτογράφηση βασίζεται στην επιστήμη της κρυπτογραφίας, η οποία είναι τόσο παλιά όσο και η ανάγκη του κόσμου να κρατήσει ορισμένες πληροφορίες μυστικές. Η κρυπτογραφία χρησιμοποιείται για τη διασφάλιση και την προστασία των δεδομένων κατά τη στιγμή της επικοινωνίας. Πριν από την ψηφιακή εποχή, οι μεγαλύτεροι χρήστες της κρυπτογραφίας ήταν οι κυβερνήσεις, ιδιαίτερα για στρατιωτικούς σκοπούς. Η κρυπτογραφία έχει μακρά ιστορία, που χρονολογείται από την εποχή που οι αρχαίοι Έλληνες και Ρωμαίοι έστελναν μυστικά μηνύματα υποκαθιστώντας γράμματα, αποκρυπτογραφούμενα μόνο με τη χρήση ενός μυστικού κλειδιού.

Για τη μεταφορά ευαίσθητων πληροφοριών, ένα σύστημα πρέπει να είναι σε θέση να διασφαλίζει τη μυστικότητα (secrecy) και την ιδιωτικότητα (privacy). Ένα σύστημα επικοινωνιών δεν μπορεί να αποτρέψει με απόλυτο τρόπο τη μη εξουσιοδοτημένη πρόσβαση στα μέσα μετάδοσης.

Η αλλοίωση των δεδομένων, η πράξη της σκόπιμης τροποποίησης των δεδομένων μέσω ενός μη εξουσιοδοτημένου καναλιού, δεν είναι ένα νέο πρόβλημα. Η αλλαγή της πληροφορίας θα μπορούσε, ενδεχομένως, να την προστατεύσει από μη εξουσιοδοτημένη πρόσβαση και, ως εκ τούτου, μόνο ο εξουσιοδοτημένος αποδέκτης να μπορεί να την κατανοήσει.

Η κρυπτογράφηση και η αποκρυπτογράφηση είναι οι δύο βασικές λειτουργίες της κρυπτογραφίας.

Ιστορία της κρυπτογράφησης

Οι αρχαίοι Έλληνες χρησιμοποιούσαν ένα εργαλείο που ονομαζόταν Σκυτάλη για να επιτύχουν ταχύτερη κρυπτογράφηση των μηνυμάτων τους. Τύλιγαν μία λωρίδα περγαμηνής γύρω από ένα πολύπλευρο κύλινδρο, έγραφαν το μήνυμα και στη συνέχεια, όταν η περγαμηνή ξετυλίγονταν, το κείμενο δεν είχε νόημα.

Αυτή η μέθοδος κρυπτογράφησης μπορούσε φυσικά να “σπάσει” εύκολα, αλλά είναι ένα από τα πρώτα παραδείγματα κρυπτογράφησης που χρησιμοποιήθηκαν ιστορικά.

Ο Ιούλιος Καίσαρας χρησιμοποίησε μια κάπως παρόμοια μέθοδο, μεταθέτοντας κάθε γράμμα της αλφαβήτου προς τα δεξιά ή προς τα αριστερά κατά μια προκαθορισμένη σειρά θέσεων, μια τεχνική κρυπτογράφησης που έμεινε γνωστή ως ο “Κώδικας του Καίσαρα”.

Δεδομένου ότι μόνο ο προορισμένος παραλήπτης του μηνύματος γνώριζε τον κώδικα, ήταν δύσκολο για οποιοδήποτε άλλο άτομο να αποκωδικοποιήσει το μήνυμα.

Κατά τη διάρκεια του Β Παγκοσμίου Πολέμου, οι Γερμανοί χρησιμοποίησαν τη μηχανή Enigma για να μεταβιβάσουν κρυπτογραφημένες μηνύματα προς και από το πεδίο της μάχης.

Οι συμμαχικές δυνάμεις χρειάστηκαν αρκετά χρόνια πριν μπορέσουν να σπάσουν τον κώδικα, γεγονός που συνέβαλε στη νίκη τους.

Τι είναι όμως η κρυπτογράφηση;

Η κρυπτογράφηση (encryption) είναι η διαδικασία κατά την οποία ο αποστολέας μετατρέπει την αρχική πληροφορία σε άλλη μορφή και μεταδίδει το προκύπτον ακατανόητο μήνυμα μέσω ενός ανοικτού δικτύου.

Ο αποστολέας χρησιμοποιεί έναν αλγόριθμο κρυπτογράφησης και ένα κλειδί για τη μετατροπή του απλού κειμένου (αρχικού μηνύματος) σε κρυπτοκείμενο (κρυπτογραφημένο μήνυμα).

Το απλό κείμενο (plaintext) είναι τα δεδομένα που πρέπει να προστατευθούν κατά τη διάρκεια της μετάδοσης.

Το κρυπτοκείμενο (cipher text) είναι το κωδικοποιημένο κείμενο που παράγεται ως αποτέλεσμα του αλγόριθμου κρυπτογράφησης για τον οποίο χρησιμοποιείται ένα συγκεκριμένο κλειδί.

Ο αλγόριθμος κρυπτογράφησης είναι ένας κρυπτογραφικός αλγόριθμος στον οποίο εισάγεται ένα απλό κείμενο και ένα κλειδί κρυπτογράφησης και παράγει ένα κρυπτογραφημένο κείμενο.

Εικόνα 1: Κρυπτογράφηση και Αποκρυπτογράφηση

Τι είναι η αποκρυπτογράφηση;

Η αποκρυπτογράφηση (decryption) αναστρέφει τη διαδικασία της κρυπτογράφησης για να μετατρέψει το μήνυμα στην αρχική του μορφή.

Ο δέκτης χρησιμοποιεί έναν αλγόριθμο αποκρυπτογράφησης και ένα κλειδί για να μετατρέψει το κρυπτοκείμενο στο αρχικό, απλό κείμενο.

Ο αλγόριθμος αποκρυπτογράφησης είναι μια μαθηματική διαδικασία που χρησιμοποιείται για την αποκρυπτογράφηση και παράγει το αρχικό απλό κείμενο ως αποτέλεσμα οποιουδήποτε δεδομένου κρυπτογραφημένου κειμένου και του κλειδιού αποκρυπτογράφησης.

Είναι η αντίστροφη διαδικασία του αλγόριθμου κρυπτογράφησης.

Κλειδιά κρυπτογράφησης και αποκρυπτογράφησης

Τα κλειδιά είναι τυχαία σειρά δυαδικών ψηφίων (bits) που δημιουργούνται ειδικά για την κρυπτογράφηση και αποκρυπτογράφηση δεδομένων.

Τα κλειδιά που χρησιμοποιούνται για κρυπτογράφηση και αποκρυπτογράφηση μπορεί να είναι είτε παρόμοια είτε ανόμοια, ανάλογα με τον τύπο των κρυπτοσυστημάτων που χρησιμοποιούνται (κρυπτογράφηση συμμετρικού κλειδιού ή  κρυπτογράφηση ασύμμετρου ή δημόσιου κλειδιού).

Κάθε κλειδί είναι μοναδικό και δημιουργείται μέσω ενός αλγορίθμου ώστε να εξασφαλιστεί ότι δεν είναι προβλέψιμο. Τα κλειδιά παράγονται συνήθως με γεννήτριες τυχαίων αριθμών ή με αλγορίθμους υπολογιστών που μιμούνται γεννήτριες τυχαίων αριθμών.

Η κρυπτογράφηση συμμετρικού κλειδιού (symmetric key encryption) αναφέρεται στους αλγορίθμους που χρησιμοποιούν το ίδιο μυστικό κλειδί τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση.

Εικόνα 2: Κρυπτογράφηση Συμμετρικού Κλειδιού

Η κρυπτογράφηση ασύμμετρου ή δημόσιου κλειδιού (asymmetric or public key encryption)  αναφέρεται στους αλγόριθμους που χρησιμοποιούν ένα ζεύγος κλειδιών για τον σκοπό της κρυπτογράφησης.

Το δημόσιο κλειδί (public key) είναι διαθέσιμο σε οποιοδήποτε τυχαίο άτομο, ενώ το απόρρητο, ιδιωτικό κλειδί (private key) διατίθεται μόνο στον παραλήπτη του μηνύματος.

Βασικές διαφορές μεταξύ κρυπτογράφησης και αποκρυπτογράφησης

Παρακάτω παρατίθενται οι βασικές διαφορές μεταξύ της κρυπτογράφησης και της αποκρυπτογράφησης:

-Ο αλγόριθμος κρυπτογράφησης χρησιμοποιεί κατά τη διαδικασία κρυπτογράφησης ένα πρωτότυπο μήνυμα σε μια αναγνώσιμη μορφή, που ονομάζεται απλό κείμενο, και ένα κλειδί για να μετατρέψει το απλό κείμενο σε μια ακατανόητη και ασαφή μορφή που δεν μπορεί να ερμηνευτεί. Κατά τη διαδικασία της αποκρυπτογράφησης ο αλγόριθμος αποκρυπτογράφησης μετασχηματίζει, χρησιμοποιώντας το μυστικό κλειδί, την κρυπτογραφημένη μορφή του μηνύματος, το κρυπτοκείμενο, σε μορφή που μπορεί να κατανοηθεί από έναν άνθρωπο.

-Η κρυπτογράφηση πραγματοποιείται στη μεριά του αποστολέα, που καλείται πηγή, ενώ η αποκρυπτογράφηση πραγματοποιείται στο δέκτη, ο οποίος ονομάζεται προορισμός.

-Η κύρια λειτουργία της κρυπτογράφησης είναι η μετατροπή του απλού κειμένου σε κρυπτοκείμενο, ενώ η κύρια λειτουργικότητα της αποκρυπτογράφησης είναι η μετατροπή του κρυπτοκειμένου σε απλό κείμενο.

-Η κρυπτογράφηση πραγματοποιείται αυτόματα στην πηγή, όταν αποστέλλονται δεδομένα από ένα μηχάνημα. Προγράμματα που είναι προεγκατεστημένα μετασχηματίζουν τις αρχικές πληροφορίες σε κρυπτογραφημένη μορφή πριν από την αποστολή.

-Η αποκρυπτογράφηση πραγματοποιείται αυτόματα στο μηχάνημα του προορισμού. Το μηχάνημα λαμβάνει και μετατρέπει την κρυπτογραφημένη μορφή των δεδομένων στην αρχική μορφή.

-Η κρυπτογράφηση και η αποκρυπτογράφηση αλληλοσυνδέονται και θεωρούνται οι ακρογωνιαίοι λίθοι της διαφύλαξης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων.

Χρήση ασύμμετρης και συμμετρικής κρυπτογράφησης: Εφαρμογές μηνυμάτων

Οι εφαρμογές μηνυμάτων, όπως το Signal ή το Whatsapp, χρησιμοποιούν κρυπτογράφηση από άκρο σε άκρο για την προστασία της εμπιστευτικότητας και της ιδιωτικότητας των επικοινωνιών των χρηστών και για την εξακρίβωση της ταυτότητας των χρηστών.

Στην κρυπτογράφηση από άκρο σε άκρο, κρυπτογραφούνται μόνο τα δεδομένα. Η βάση για την κρυπτογράφηση από άκρο σε άκρο είναι ένα πρωτόκολλο (Signal Protocol), το οποίο έχει αναπτυχθεί από την εταιρεία Open Whisper Systems. Αυτό το πρωτόκολλο κρυπτογράφησης από άκρο σε άκρο έχει σχεδιαστεί για να εμποδίζει τα τρίτα μέρη και την εταιρεία παραγωγής της εφαρμογής να έχουν ελεύθερη πρόσβαση σε μηνύματα ή κλήσεις.

Επιπλέον, ακόμη και αν τα κλειδιά κρυπτογράφησης από τη συσκευή ενός χρήστη έχουν παραβιαστεί, δεν μπορούν να χρησιμοποιηθούν για την αποκρυπτογράφηση μηνυμάτων που έχουν σταλεί στο παρελθόν.

Η κρυπτογράφηση των μηνυμάτων υλοποιείται χρησιμοποιώντας ασύμμετρη και συμμετρική κρυπτογράφηση. Η ασύμμετρη κρυπτογράφηση χρησιμοποιείται για την προετοιμασία της κρυπτογραφημένης συνομιλίας μεταξύ δύο χρηστών, ενώ η συμμετρική κρυπτογράφηση χρησιμοποιείται κατά τη διάρκεια της επικοινωνίας.

Χρήση ασύμμετρης και συμμετρικής κρυπτογράφησης: HTTPS

Ενώ η κρυπτογράφηση στις εφαρμογές μηνυμάτων χρησιμοποιείται για την ταυτοποίηση των χρηστών – ανθρώπων – το HTTPS χρησιμοποιείται για την ταυτοποίηση μηχανών. Σε έναν εξαιρετικά συνδεδεμένο κόσμο, όπου καθημερινά μεταφέρονται εκατομμύρια ευαίσθητα δεδομένα μέσω του διαδικτύου, η ανάγκη διασφάλισης των διαύλων επικοινωνίας μεταξύ πελατών / browsers και διακομιστών (servers) είναι υψίστης σημασίας.

Το HTTPS είναι ένα πρωτόκολλο του μοντέλου TCP/IP, το οποίο είναι ο συνδυασμός του πρωτοκόλλου ασφαλείας SSL/TLS (Secure Sockets Layer / Transport Layer Security) πάνω στο πρωτόκολλο HTTP (Hyper Text Transmission Protocol). Ουσιαστικά το HTTPS είναι η πράσινη κλειδαριά που βλέπουμε αριστερά από τη διεύθυνση της ιστοσελίδας που επισκεπτόμαστε.

Μια σύνδεση HTTPS μεταξύ ενός πελάτη και ενός διακομιστή χρησιμοποιεί και τους δύο τύπους κρυπτογράφησης. Η ασύμμετρη κρυπτογράφηση χρησιμοποιείται πρώτα για να δημιουργηθεί η σύνδεση, η οποία στη συνέχεια αντικαθίσταται με συμμετρική κρυπτογράφηση για όλη τη διάρκεια της σύνδεσης.

Και στις δύο περιπτώσεις, εφαρμογές μηνυμάτων και HTTPS, η ασύμμετρη κρυπτογράφηση χρησιμοποιείται μόνο σύντομα στην αρχή για την ανταλλαγή του συμμετρικού κλειδιού που χρησιμοποιείται για την υπόλοιπη σύνδεση. Αυτό γίνεται για να ξεπεραστεί το κύριο μειονέκτημα της ασύμμετρης κρυπτογράφησης, της μαθηματικής της πολυπλοκότητας, που την καθιστά αργή και ενεργοβόρα. Από την άλλη πλευρά, η χρήση ασύμμετρης κρυπτογράφησης επιλύει το πρόβλημα της διανομής κλειδιών της συμμετρικής κρυπτογράφησης.

*Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Σήμερα αρθρογραφεί για τη στήλη State of Security της εταιρείας Tripwire και για το blog της Venafi. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.

Ο Στέφανος Βιτωράτος εκπροσώπησε τη Homo Digitalis στο πρώτο Cyberesecurity Conference που διοργάνωσε η KPMG Greece.

Το συνέδριο διεξήχθη στις 8 Οκτωβρίου στο Grand Hyatt Athens με συμμετοχή Ελλήνων και ξένων επαγγελματιών και επιστημόνων με εξειδίκευση στον τομέα της κυβερνοασφάλειας.

Ο Στέφανος Βιτωράτος στο βήμα του συνεδρίου

Το συνέδριο έλαβε χώρα στο πλαίσιο του Ευρωπαϊκού Μήνα για την Ασφάλεια στον Κυβερνοχώρο.

Κεντρικός ομιλητής του συνεδρίου ήταν ο κ. Κυριάκος Πιερρακάκης, Υπουργός Ψηφιακής Διακυβέρνησης, ο οποίος ανακοίνωσε την υπογραφή της υπουργικής απόφασης, η οποία θέτει σε εφαρμογή τον Εσωτερικό Κανονισμό της Εθνικής Αρχής Κυβερνοασφάλειας.

Είμαστε ιδιαίτερα χαρούμενοι, καθώς δύο ακόμα μέλη της Homo Digitalis, ο Βασίλης Βασιλόπουλος και ο Δημήτρης Πατσός, συμμετείχαν με την επαγγελματική τους ιδιότητα ως ομιλητές στο συνέδριο.

Ο Βασίλης Βασιλόπουλος συμμετείχε σε πάνελ με θέμα τη σημασία της κυβερνοασφάλειας για τις επιχειρήσεις

Ο Δημήτρης Πατσός ανέπτυξε το κενό δεξιοτήτων που υπάρχει στην κυβερνοασφάλεια και τρόπους για να το γεφυρώσει η Ελλάδα

Τα μέλη της Homo Digitalis στο συνέδριο