avs Online

Istuin erään tietoturva-alan yhdistyksen tilaisuudessa kuuntelemassa pätevän poliisin edustajan eläväistä kertomusta tietotekniikkarikoksista. Viihdyttävän esitelmän lopuksi yleisökysymys kiinnitti huomiota muualla maailmassa säädettyihin lakeihin, joka antaisi poliisille paremmat mahdollisuudet lukea rikollisten salattua tietoa. Poliisin edustaja kommentoi, että tällainen laki olisi hyvä saada Suomeenkin. Kuulostaako hyvältä? No ei.

Kuuluisin tällainen laki ja EU-kansalaiselle merkittävin esimerkki on brittien RIPA (Regulation of Investigatory Powers Act). Sen osa kolme käsittelee "salauksella jne. suojatun sähköisen tiedon tutkimista". Käytännössä tämä kolmososa määrää, että henkilön on luovutettava hallussaan oleva salausavain tutkintaa varten viranomaisille esimerkiksi rikoksen ehkäisyä tai huomaamista varten (49 §). Mikäli avainta ei luovuteta, henkilö voidaan laittaa linnaan jopa kahdeksi vuodeksi (53 §). Lakiin sisältyy nk. suukapulamääräys, eli henkilö ei saa kertoa tästä pakkokeinosta toiselle (54 §). Mikäli henkilöllä on joskus ollut salausavain hallussaan vaikka näin ei enää ole, henkilön on pystyttävä todistamaan, että näin ei enää ole (53 §).

Lain ongelmia ovat ensinnäkin oikeusvaltiolle vieras käänteistä todistustaakkaa muistuttava säädös ("sinulla on tietoa, ellet todista, ettei tietoa ole"). Toisekseen se, että salausavaimen luovuttamispakko voi käytännössä tarkoittaa itseään vastaan todistamista. Jos syytetty jättää normaalissa maailmassa kertomatta asioita, joita voitaisiin käyttää häntä itseään vastaan - "unohtamalla" esimerkiksi - ei häntä voi muistin pettämisestä laittaa vankilaan. Jos "unohdettu" asia onkin salausavain, häkki heilahtaa.

Tekniseltä kannalta katsottuna laki on myös ongelmallinen. Yksi salauksen tavoitteista on peittää kaikki salatun tiedon ja selkokielisen tiedon väliset yhteydet. Informaatioteoreettisesti tämä näkyy siinä, että riittävän hyvin salattua informaatiota on mahdoton erottaa satunnaisuudesta. Jos tietokoneelta siis löytyy jono satunnaisia bittejä ja viranomainen väittää sen olevan salattua informaatiota, henkilö voi päätyä vankilaan koska salausavainta ei edes ole olemassa. Mitä kyvykkäämpi tietokoneharrastaja on kyseessä, sitä helpompi viranomaisen on väittää, että bitit ovat todellakin salattua informaatiota eivätkä vain satunnaista kohinaa ilman sen syvempää merkitystä. Mikäli epäilty nörtti saattaisi käyttää steganografiana tunnettuja informaation piilotuksen menetelmiä tai esimerkiksi kiistettävää tiedostojärjestelmää, viranomainen saattaa jopa päätyä näkemään haamuja ja kaivaa jostakin digikuvan kulmasta satunnaista dataa väittäen, että se on salattua.

Lopulta laki ei kuitenkaan tehoa oikeisiin rikollisiin. Vaikka aseiden luvaton hallussapito ja niiden hankinnan rahoittaminen huumekaupalla ovat laittomia, rikollisjärjestöillä tuntuu silti olevan rahaa ostella luvattomia aseita. Ei ole mitään syytä, mikseivät rikollisjärjestöt - joista parhaiden tietoturva on parempi kuin yrityksillä - edelleen käyttäisi salausta ja "unohtaisi" salausavaimia. Kahden vuoden kakkukin kun kuitenkin on pienempi kuin monesta muusta teosta saatava rangaistus.