Bezpečnost dat, šifrování a naše soukromí v digitální éře

Jak chránit svá data: šifrování a zabezpečená komunikace

Aby data zůstala v bezpečí, používá se kombinace chytrých kryptografických technik. V zásadě existují dva druhy šifrování: symetrické (stejný tajný klíč se používá pro zašifrování i odšifrování zprávy) a asymetrické (používá se dvojice klíčů - veřejný k zašifrování, soukromý k dešifrování). Symetrické šifry jsou obvykle rychlejší a hodí se pro šifrování většího objemu dat (například disků či internetového provozu), zatímco asymetrické se používají pro výměnu klíčů a digitální podpisy. Moderní systémy tyto principy kombinují: například webové stránky navazující TLS spojení (což je zabezpečená verze protokolu HTTP) si nejprve pomocí asymetrické kryptografie vymění tajný klíč, kterým pak dále šifrují veškerou komunikaci symetricky (typicky právě algoritmem AES).

AES (Advanced Encryption Standard) je dnes de facto standardem pro symetrické šifrování dat. Jde o robustní blokovou šifru schválenou americkým NIST a používanou celosvětově - od šifrování souborů v notebooku po zabezpečení Wi-Fi sítě. Velmi často se setkáte s variantou AES-256, která používá 256bitový klíč (což je astronomicky velký počet možných kombinací, cca 1,1×10^77). Pro představu, i kdyby měl útočník k dispozici všechny počítače světa, prolomit správně implementovaný AES-256 hrubou silou je považováno za nereálné. Důležitý je ovšem režim šifrování - způsob, jakým je AES používán pro delší zprávy a jak zajišťuje i integritu dat. Jedním z nejbezpečnějších a dnes široce preferovaných je Galois/Counter Mode (GCM). AES-256 v režimu GCM zajišťuje nejen utajení, ale také odhalí případnou manipulaci s daty díky tzv. autentizovanému šifrování: při dešifrování se ověřuje, že data nikdo po cestě nezměnil. Tato kombinace (AES-256-GCM) je nasazena například v moderních verzích protokolu TLS pro zabezpečení webového provozu a chrání vaše spojení s internetovým bankovnictvím či e-mailem.

Další klíčovou technologií je end-to-end šifrování (E2EE) v komunikacích. Princip E2EE spočívá v tom, že zpráva je šifrována na straně odesílatele a dešifrována až na straně příjemce - nikdo mezi tím, dokonce ani poskytovatel služby, nemá k dekódovacímu klíči přístup. Pokud si tedy posíláte zprávy přes aplikaci typu WhatsApp, Signal či například používáte šifrovaný e-mailový systém, zprávy jsou během celého přenosu pro nezúčastněné strany nečitelné. Ani provozovatel serveru nedokáže nahlédnout do obsahu - funguje v podstatě jen jako pošťák, který nese zalepenou obálku, ale nemá klíč k jejímu otevření. Interpersonální komunikace chráněná end-to-end šifrováním je dnes považována za zlatý standard zabezpečení soukromých zpráv. Dokonce i evropské úřady pro ochranu dat zdůrazňují, že E2EE je zásadním nástrojem pro zajištění důvěrnosti elektronické komunikace (edpb.europa.eu). Díky němu mají obsah komunikace k dispozici jen komunikující strany a právo na soukromí tak zůstává zachováno i v digitálním prostředí. End-to-end šifrování přitom využívá kombinaci zmíněných kryptografických technik: například zprávy v aplikaci Signal se zabezpečují asymetrickou Signal protokol metodou při výměně klíčů a následně symetricky šifrují každou zprávu zvlášť, často opět AES algoritmem. Pro běžného uživatele je to naštěstí vše skryto "pod kapotou" - stačí si zapnout aplikaci a komunikovat, aniž by musel rozumět matematickým detailům.

Šifrování nechrání jen data při přenosu, ale i v uložené podobě. Na moderních telefonech a počítačích se setkáváme s šifrováním disků nebo úložišť - např. technologie BitLocker ve Windows či FileVault na macOS automaticky ukládají data v zašifrovaném tvaru, takže při ztrátě nebo odcizení zařízení se k souborům nedostane nikdo bez znalosti hesla. Podobně i cloudové služby začínají nabízet tzv. zero-knowledge řešení: data se zašifrují ještě před odesláním do cloudu a poskytovatel nemá k dešifrovacím klíčům přístup. To zvyšuje soukromí, byť klade větší nároky na správu klíčů ze strany uživatele.

Stojí za zmínku, že webové prohlížeče dnes samy obsahují standardizované nástroje pro šifrování: tzv. WebCrypto API. Jedná se o rozhraní, které vývojářům umožňuje využít robustní kryptografické funkce přímo v JavaScriptu na stránce. Například aplikace může v prohlížeči zašifrovat citlivá data pomocí AES-GCM ještě před tím, než je odešle na server, takže na straně serveru se uloží jen šifrovaný obsah (který lze později dešifrovat zase jen u uživatele s klíčem). WebCrypto API podporuje moderní algoritmy, včetně asymetrických (RSA, ECDSA) i symetrických jako je právě AES v různých módech (developer.mozilla.org). Laicky řečeno: i webová aplikace běžící ve vašem prohlížeči může díky tomu fungovat podobně bezpečně jako specializovaný šifrovací program - vše důležité proběhne na straně uživatele. Příkladem využití jsou webové password managery, šifrované messengerové klienty v prohlížeči nebo služby jako ProtonMail, které šifrují emaily přímo v klientovi.

Hesla - náš každodenní způsob ověřování identity - jsou rovněž chráněna kryptografickými mechanismy. Správně by žádný server neměl ukládat vaše heslo obyčejným textem. Místo toho se ukládá hash hesla, ideálně doplněný o tzv. salt a využívající funkci pro odvození klíče z hesla. Populární je algoritmus PBKDF2, který z hesla opakovaným použitím kryptografické hašovací funkce vypočítá odvozený klíč. Výsledný hash je pro útočníka prakticky nevratný - nelze z něj snadno získat původní heslo. Navíc díky velkému počtu iterací (opakování) výpočtu trvá každé hádání hesla déle, což výrazně ztěžuje brute-force útoky (systematické zkoušení všech možností). V praxi to funguje tak, že např. z hesla "MojeTajneHeslo" uloží systém jen dlouhý řetězec znaků - kryptografický otisk. Když se pak přihlašujete, vaše zadané heslo znovu projde stejným výpočtem a porovná se s uloženým otiskem. Pokud souhlasí, heslo je správné, aniž by systém někdy musel znát samotné znění hesla v otevřené podobě.

Shrnuto a podtrženo, technologie jako AES, end-to-end šifrování, bezpečné ukládání hesel a další prvky moderní kryptografie dnes chrání naše data prakticky neustále, často aniž si to uvědomujeme. Je však dobré vědět, že tyto nástroje existují a jak fungují - lépe pak porozumíme, proč je důležité je neoslabovat. Silné šifrování totiž znamená, že i kdyby se útočník dostal k našim datům (např. zachytil komunikaci nebo ukradl databázi), bez klíčů mu budou získané informace k ničemu. Soukromí a bezpečnost v digitálním věku tak do velké míry stojí právě na matematických zámcích, které jsme si zde popsali.

Soukromí pod ochranou zákona: právní rámec v EU a ČR

Technologie šifrování by možná nebyly tak rozšířené, kdyby je nepodpořil i silný právní rámec na ochranu dat a soukromí. V Evropské unii je ochrana osobních údajů zakotvena dokonce jako základní právo - článek 8 Listiny základních práv EU každému zaručuje právo na ochranu osobních dat. Toto právo bylo konkretizováno v Obecném nařízení o ochraně osobních údajů (GDPR), které platí od května 2018. GDPR nastolilo přísná pravidla pro všechny, kdo zpracovávají osobní údaje obyvatel EU. Jedním z klíčových principů GDPR je bezpečnost zpracování: správci a zpracovatelé dat musejí zavést taková technická a organizační opatření, aby odpovídala rizikům. Přímo v textu nařízení je jako příklad opatření výslovně zmíněno šifrování osobních údajů (gdpr-info.eu). Jinými slovy, pokud firma například uchovává citlivá data o zákaznících, nasazení šifrování je jedním z preferovaných způsobů, jak splnit požadavek zabezpečení. Kromě šifrování GDPR podporuje i techniky jako pseudonymizace - což v praxi znamená ukládat data tak, aby je bez dodatečných informací nešlo přiřadit ke konkrétní osobě.

GDPR tím nastavilo vysokou laťku: uniknou-li vám nešifrovaná osobní data, hrozí velmi citelné pokuty (a nebylo jich v posledních letech málo). Firmy i úřady proto investují do zabezpečení. Šifrování se stalo takřka nutností nejen z technického, ale i z právního hlediska - například pokud jsou data řádně zašifrována a dojde k incidentu (úniku), GDPR na to nahlíží méně přísně, protože riziko pro subjekty údajů je nižší.

V České republice bylo GDPR implementováno doprovodným zákonem č. 110/2019 Sb., o zpracování osobních údajů, který upřesňuje některé národní odchylky (např. stanoví věk souhlasu dítěte se službami informační společnosti na 15 let) a zřizuje dohledový Úřad pro ochranu osobních údajů (ÚOOÚ). Dále český právní řád obsahuje řadu předpisů týkajících se elektronických komunikací a soukromí. Klíčový je zákon č. 127/2005 Sb., o elektronických komunikacích. Ten mimo jiné řeší důvěrnost komunikací a zavádí také povinnosti pro poskytovatele telekomunikačních služeb v oblasti uchovávání provozních a lokalizačních údajů (tzv. data retention). Právě povinnost uchovávat údaje o komunikacích byla v posledních letech předmětem bouřlivých diskusí a soudních sporů, protože balancuje na hraně mezi potřebami policie a právem na soukromí.

Historicky český zákon (podle tehdejšího unijního požadavku) ukládal operátorům, aby uchovávali metadata o telefonní a internetové komunikaci všech uživatelů až po dobu 6 měsíců a na vyžádání je poskytli policii či zpravodajským službám (english.radio.cz). Tato metadata nezahrnovala obsah komunikace, ale údaje o tom, kdo, kdy, s kým komunikoval, z jakého místa apod. V roce 2011 však Ústavní soud ČR dospěl k zásadnímu rozhodnutí: označil plošné a dlouhodobé uchovávání těchto údajů za neústavní zásah do práva na soukromí. Konstatoval, že zákon v tehdejší podobě umožňoval "masivní a preventivní zásah" do soukromí občanů bez dostatečných záruk. Česká republika tak tehdy předběhla dokonce i Soudní dvůr EU - ten obdobnou směrnici EU o plošném uchovávání dat zrušil až v roce 2014 v případu Digital Rights Ireland. Po verdiktu Ústavního soudu se česká legislativa upravila: povinnost data retention sice nezmizela, ale byla omezena (zkrácení doby uchování na 6 měsíců a zpřesnění podmínek přístupu).

Ani tím však spor neskončil. Evropský soudní dvůr (SDEU) v následujících letech opakovaně potvrdil, že paušální a neodůvodněný sběr provozních dat o komunikaci občanů je v rozporu s právem EU. Například v říjnu 2020 SDEU ve spojených případech (Privacy International a La Quadrature du Net) jasně řekl, že členské státy nesmí ukládat operátorům plošné uchovávání všech provozních a lokalizačních údajů s výjimkou vážné hrozby národní bezpečnosti (a i tehdy jen na omezenou dobu). V Česku se do boje proti data retention výrazně zapojila nevládní organizace Iuridicum Remedium (IuRe). Ta už v roce 2011 dosáhla výše zmíněného nálezu Ústavního soudu a v posledních letech opět vyvíjí tlak - v roce 2021 IuRe dokonce vyhlásilo crowdfunding na financování soudního sporu s cílem úplného zrušení plošného uchovávání údajů o komunikacích (edri.org). Argumentuje přitom, že tato data byla v minulosti zneužívána (např. ke sledování kontaktů novinářů či účastníků demonstrací) a že plošný sběr nepřináší prokazatelně vyšší objasněnost závažné kriminality. SDEU dal těmto argumentům za pravdu: "takto široké a neselektivní uchovávání metadata je v rozporu s právem EU" (edri.org). Lze tedy shrnout, že dnes je v ČR (stejně jako jinde v EU) data retention povoleno jen v omezené míře a zákony musejí velmi pečlivě vyvažovat, kdy a jak stát může k telekomunikačním údajům přistupovat.

Kdo smí nahlédnout do našich dat?

Přesto samozřejmě existují situace, kdy se orgány činné v trestním řízení nebo tajné služby k určitým datům dostat mohou - typicky jde o odposlechy, záznam provozu či vyžádání údajů o účastnících. V českém právu to upravuje několik zákonů a vždy je tam zabudována určitá forma kontroly. Odposlech telefonu nebo sledování obsahu komunikace je krajním zásahem do soukromí a může ho povolit jen soud v rámci trestního řízení (zákon č. 141/1961 Sb., trestní řád). Naproti tomu získání tzv. provozních a lokalizačních dat (tedy kdo s kým komunikoval a odkud, nikoli obsah) bývá možné i na základě příkazu státního zástupce - řídí se to jednak zákonem o elektronických komunikacích a jednak zákonem o Policii ČR č. 273/2008 Sb. (§ 88a), který umožňuje policii požadovat od operátorů potřebnou součinnost. Z transparentních zpráv operátorů vyplývá, že počet žádostí o tyto údaje je značný - řádově desítky tisíc případů ročně. Zákon o elektronických komunikacích tedy definuje jak povinnost "data retention" (v omezeném rozsahu uchovávat záznamy o komunikacích), tak postupy pro "lawful interception" (zákonné odposlechy). Oprávněnými orgány jsou vedle Policie ČR také zpravodajské služby (Bezpečnostní informační služba a Vojenské zpravodajství) či v určitých případech Česká národní banka. Právní rámec tedy stanovuje, kdo a za jakých podmínek může do soukromí komunikace zasáhnout. Důležité je, že vždy musí jít o konkrétní zákonné zmocnění a (s výjimkou některých zpravodajských operací) často i o posvěcení soudem. Obecná důvěrnost komunikací však zůstává výchozí normou - jak na úrovni národní (Listina základních práv a svobod v čl. 13 garantuje tajemství dopravovaných zpráv) tak evropské (čl. 7 Listiny EU chrání soukromý a rodinný život, jehož komunikace jsou součástí).

Stojí také za zmínku připravovaná evropská legislativa v oblasti tzv. ePrivacy - má jít o nařízení, které nahradí stávající směrnici o soukromí a elektronických komunikacích. Návrh ePrivacy regulation se dlouho projednává, ale jeho cílem je ještě upevnit právo na důvěrnost online komunikace, doplnit GDPR (např. řeší cookies, marketingové zprávy apod.) a také zakotvit právo používat šifrování. O tom více v závěru článku.

Když ochrana selže: kauzy narušení soukromí

Ačkoli zákony i technologie směřují k tomu, aby soukromí uživatelů bylo co nejlépe chráněno, realita přináší i případy, kdy je toto soukromí hrubě narušeno. Zde se podíváme na několik kauz z poslední doby, které ukazují střet moderních sledovacích možností s právy občanů.

Spyware Pegasus: špion v kapse

V roce 2021 praskl jeden z největších skandálů týkajících se digitálního sledování: investigativní novináři odhalili, že řada vlád (včetně několika v EU) používala komerční spyware jménem Pegasus k napadení telefonů novinářů, opozičních politiků, právníků či aktivistů (epthinktank.eu). Pegasus, vyvinutý izraelskou firmou NSO Group, dokáže po tajném infikování mobilu získat prakticky plnou kontrolu nad zařízením. Útočník díky němu může číst zprávy, odposlouchávat hovory, stahovat fotografie a kontakty, zjistit polohu telefonu, a dokonce na dálku zapnout mikrofon či kameru (epthinktank.eu). To vše bez vědomí uživatele. Tato kauza šokovala evropskou veřejnost, protože se ukázalo, že nástroje původně určené pro boj s terorismem byly zneužity k politické špionáži. Například v Maďarsku nebo Polsku Pegasus údajně posloužil ke sledování opozičních představitelů; ve Španělsku byl zase použit vůči katalánským separatistům. Evropský parlament zareagoval zřízením zvláštní vyšetřovací komise PEGA, která rok a čtvrt shromažďovala informace, vyslýchala experty i oběti a navštívila země spojené s aférou. Závěrečná zpráva EP konstatovala, že některé členské státy zneužily spyware pro politické cíle pod záminkou "národní bezpečnosti", čímž obcházely pravidla EU. Zejména Maďarsko a Polsko byly kritizovány za právní rámec, který nedostatečně chrání občany před sledováním. Europarlament vyzval k přijetí společných unijních standardů pro používání spywaru a k lepšímu dohledu, aby se podobné excesy neopakovaly. Případ Pegasus tak jasně ukázal, že technologicky není problém proniknout do cizího soukromí - smartphone, který nosíme v kapse, může být proměněn v odposlouchávací zařízení. Otázkou zůstává, jak tomu bránit: volá se po přísných pravidlech, transparentnosti a odpovědnosti vlád, ale také po posilování technických prostředků ochrany (lepší zabezpečení telefonů, rychlé záplatování zranitelností, které Pegasus zneužíval, atd.). Kauza zároveň podpořila argumenty těch, kdo říkají, že silné šifrování a bezpečnostní technologie je potřeba spíše posilovat než oslabovat - protože ve světě existují nástroje, jež se do našich zařízení dostanou jinými cestami, a jedinou obranou je robustní zabezpečení na všech úrovních.

Sledování polohy v době pandemie: veřejné zdraví vs. soukromí

V roce 2020 zasáhla svět pandemie covid-19 a státy začaly horečně hledat způsoby, jak šíření viru zpomalit. Jedním z neobvyklých opatření bylo využití lokalizačních dat mobilních telefonů pro potřeby epidemiologů. Také Česká republika zvažovala a nakonec zavedla projekt tzv. Chytré karantény. Ten kombinoval klasické trasování kontaktů s IT nástroji: člověk pozitivně testovaný na covid mohl dát souhlas, aby se z jeho historie polohy mobilního telefonu a platební karty vytvořila mapa míst, kde se v posledních dnech pohyboval (edri.org). Cílem bylo rychle identifikovat další osoby, které mohl nakazit, a efektivněji je otestovat či izolovat. Data o poloze poskytovali mobilní operátoři a banky, ovšem pouze s výslovným souhlasem dané osoby a pouze k epidemiologickým účelům. Na první pohled šlo tedy o relativně šetrné řešení - žádné plošné sledování všech, ale dobrovolné využití dat nemocných pro veřejné zdraví. Přesto se vedly diskuze, zda už i samotné vytváření "mapy pohybu" z osobních dat nepředstavuje nebezpečný precedens. ÚOOÚ nad projektem vykonával dohled a konstatoval, že za nouzového stavu a při dodržení dobrovolnosti je postup přípustný.

Větší otazníky vzbudil jiný nápad: tehdejší vláda krátce zvažovala, že by se pro kontrolu dodržování karantény využívala poloha mobilu automaticky - tedy zda lidé omezení v pohybu neopouštějí vymezený prostor. To už by ale znamenalo poměrně invazivní zásah a narazilo to na odpor veřejnosti i odborníků. Nakonec se vydala méně invazivní cestou (kontrola pomocí náhodných telefonátů, nikoli skrze sledování polohy v reálném čase). Celkově pandemie covid-19 otevřela nový rozměr debaty o soukromí: ukázalo se, že ve jménu vyššího dobra (ochrany zdraví) jsou lidé i ochotni sdílet citlivá data, ale musí to být podloženo jasnými pravidly, souhlasem a dočasností opatření. Po odeznění pandemie byla většina těchto iniciativ ukončena a nasbíraná data smazána. Pro příště však zůstává varování, že mimořádné situace mohou vést k urychlenému zavádění sledovacích mechanismů. Je proto důležité mít zabudovány pojistky - například tzv. "sunset clause", tedy automatické ukončení platnosti mimořádného opatření po určité době, nebo možnost nezávislého přezkumu. Z pohledu práva na soukromí byla česká zkušenost s chytrou karanténou relativně umírněná a spíše v mezích zákona (i díky tomu, že naše legislativa a evropské právo nedovolují bez souhlasu sledovat polohu lidí plošně, vyjma přesně daných případů).

Volání po "zadních vrátkách": bezpečnost vs. šifrování

I přes výhody, které silné šifrování přináší pro soukromí občanů, existuje dlouhodobé pnutí mezi garantováním absolutní důvěrnosti komunikace a schopností státu prosazovat zákon. Policie a rozvědky často argumentují, že šifrování ztěžuje boj proti kriminalitě, protože jim znemožňuje číst komunikaci podezřelých ani s povolením soudu. Dříve (v analogové éře) bylo odposlechnutí telefonátu technicky snadné; dnes je zpráva ve WhatsAppu pro vyšetřovatele neprůstřelná pevnost, nemají-li fyzický přístup k telefonu. Proto se čas od času objevují návrhy, aby technologické firmy implementovaly tzv. backdoor - zadní vrátka, která by umožnila za určitých okolností šifrovanou komunikaci zpřístupnit. Princip backdooru by spočíval v tom, že by existovala nějaká tajná funkce nebo univerzální klíč, který by zprávu dešifroval bez vědomí uživatelů (enisa.europa.eu). Často se v této souvislosti mluví o modelu "key escrow" - tj. že by třeba každý šifrovací klíč byl uložen u důvěryhodné třetí strany a na příkaz úřadů vydán k dešifrování komunikace (enisa.europa.eu).

Takové návrhy ale narážejí na tvrdý odpor kryptografů, firem i obránců soukromí. ENISA (Agentura EU pro kybernetickou bezpečnost) se jasně vyjádřila, že technicky by backdoor sice možný byl, ale představuje obrovské riziko: už samotná existence zadních vrátek oslabuje důvěru v digitální ekosystém a dává příležitost i zločincům nebo nepřátelským státům, aby tuto skulinu zneužili (enisa.europa.eu). Nelze zajistit, že "jen hodní" budou mít k backdooru přístup - jakmile jednou zavedeme úmyslnou slabinu, dříve či později ji objeví a využije někdo s nekalým úmyslem. Navíc, jak ENISA trefně dodává, zločinci by v reakci na oficiální backdoory přešli na vlastní šifrovací nástroje, které jsou volně dostupné (silná kryptografie je veřejně známá věc). Výsledkem by bylo, že slušní občané by měli slabší ochranu, zatímco organizovaný zločin by si prostě opatřil jiné prostředky - a práce policie by se ještě ztížila. Podobně i evropské orgány pro ochranu dat - jak EDPS (Evropský inspektor ochrany údajů), tak EDPB (Evropský sbor pro ochranu osobních údajů) - opakovaně zdůrazňují význam silného šifrování bez zadních vrátek. V roce 2022 například vydaly společné stanovisko k navrhovanému nařízení proti šíření materiálů o zneužívání dětí (tzv. CSA Regulation), kde varovaly, že povinné prohledávání obsahu komunikací (client-side scanning) představuje zásah do důvěrnosti a může ohrozit celou infrastrukturu elektronických komunikací (edpb.europa.eu). Evropské úřady pro ochranu soukromí dokonce formulovaly myšlenku, že právo jednotlivce používat šifrování je přímým rozšířením práva na soukromí a svobodu projevu v digitálním věku.

V současnosti probíhá v EU ostrá diskuze: na jedné straně stojí iniciativa zmíněného nařízení o potírání sexuálního zneužívání dětí, která by mohla donutit komunikační služby skenovat i šifrované zprávy (např. na přítomnost ilegálního obsahu) - kritici to označují za faktické prolomení E2EE a "zadní vrátka dveřmi zákona". Na druhé straně sílí hlasy (podporované i některými státy či europoslanci), že šifrování se nesmí oslabovat, protože je to cesta do pekel pro kybernetickou bezpečnost. Zda zvítězí tlak na bezpečnost ve smyslu policejního dohledu, nebo na bezpečnost ve smyslu odolných technologií, ukáže budoucí vývoj legislativy. Dosavadní trend v Evropě byl spíše pro-šifrovací - EU prezentuje sama sebe jako prostor, kde je respektováno soukromí (ostatně i z ekonomických důvodů to vnímá jako konkurenční výhodu). Evropský parlament například roku 2023 ve své zprávě vyzval k výslovnému zachování práva na používání end-to-end šifrování bez backdoorů a k podpoře silné kryptografie (edpb.europa.eu). Souběžně probíhají snahy na mezinárodním poli (v rámci tzv. "Five Eyes" aliance či v USA) spíše v opačném gardu - tamní bezpečnostní složky dlouhodobě lobují za možnosti, jak šifrované služby obejít. Evropští odborníci ovšem varují: jednou oslabené šifrování by už nebylo možné geograficky omezit jen na "zlé hochy" a zneužití by neznalo hranic.

Výhled do budoucna: právo na šifrování, kvantové hrozby a nová regulace

Jak tedy může vypadat budoucnost bezpečnosti dat a soukromí v příštích letech? Je zřejmé, že půjde o dynamický vývoj, ovlivněný technologickým pokrokem i společenskými preferencemi. Na závěr se zaměříme na několik hlavních trendů:

Právo na šifrování jako základní předpoklad digitální svobody

Zdá se, že stále více institucí uznává, že silné šifrování není překážkou, ale naopak podmínkou bezpečného digitálního světa. Evropské orgány pro ochranu soukromí otevřeně podporují dostupnost šifrovacích nástrojů pro veřejnost a odmítají jejich oslabování. Do budoucna můžeme očekávat, že toto bude vtěleno i do legislativy - např. finální verze ePrivacy nařízení by mohla explicitně uvést, že uživatelé mají právo používat šifrovací prostředky a komunikovat důvěrně. Digital Services Act (DSA) a související regulace sice přímo šifrování neřeší, ale celkově zapadají do rámce ochrany práv uživatelů online. DSA, platná od roku 2024, klade důraz na to, aby digitální služby respektovaly základní práva uživatelů a vytvořily bezpečnější digitální prostor (digital-strategy.ec.europa.eu). To zahrnuje i ochranu soukromí - například DSA omezuje cílení reklam z citlivých údajů a zavádí silnější transparentnost. Společně s DMA (Digital Markets Act) pak EU deklaruje, že chce férové a bezpečné digitální prostředí. I když DSA neřeší šifrování přímo, jeho duch naznačuje, že uživatelská práva mají prioritu.

Na druhou stranu, tlak státu na přístup k datům zřejmě nezmizí. Zvláště v oblasti boje proti terorismu, zneužívání dětí nebo kyberkriminalitě budou vlády argumentovat pro nové nástroje. Výzvou bude, jak navrhnout takové postupy, které nenaruší bezpečnost infrastruktury. Možná se dočkáme inovativních řešení: třeba "lépe cílených" způsobů získávání dat (namísto plošného sledování), nebo využití tzv. homomorfního šifrování či jiných pokročilých technik, které by dovolily analyzovat data bez jejich úplného dešifrování. V každém případě se dá čekat, že debata "šifrování vs. dohled" bude pokračovat a nejspíš se přesune i na pole soudní - není vyloučeno, že o některých sporných opatřeních nakonec rozhodne Soudní dvůr EU či Evropský soud pro lidská práva.

Kvantové počítače: hrozba i nová hranice zabezpečení

Na obzoru (byť možná až za dekádu či dvě) je zásadní technologická změna: příchod kvantových počítačů, které mohou zlomit mnohé současné šifry. Vědci se shodují, že dostatečně výkonný kvantový počítač by dokázal rozluštit běžné asymetrické šifrovací algoritmy (RSA, ECC) relativně rychle (enisa.europa.eu). To znamená, že pokud by se taková technologie dostala do rukou nějakého aktéra, mohl by odposlouchávat třeba dnešní šifrované e-maily či prolomit elektronické podpisy. Ačkoliv kvantové počítače této síly zatím neexistují, vývoj jde kupředu - a bezpečnostní komunita už nyní pracuje na post-kvantových šifrovacích algoritmech. Ty by měly odolat i výpočetní síle kvant. NIST ve Spojených státech již v roce 2022 vybral první kandidáty nových standardů (např. algoritmus CRYSTALS-Kyber pro šifrování a CRYSTALS-Dilithium pro podpisy). Evropa skrze ENISA a další orgány vyzývá k včasné přípravě na přechod - protože implementovat nové algoritmy po celém digitálním ekosystému bude trvat roky. Je tedy potřeba začít dříve, než kvantové počítače reálně dorazí. Ostatně EU přijala v listopadu 2022 doporučení, aby členské státy vypracovaly strategii přechodu na post-kvantovou kryptografii (thequantuminsider.com). Výhledově tak dojde k velké obměně: protokoly jako TLS, VPN systémy, a vlastně vše, co dnes spoléhá na klasický RSA či ECDH, budou muset být aktualizovány. Pro běžného uživatele by to mělo být transparentní (jednoho dne dostane aktualizaci prohlížeč či messenger, který už používá kvantově odolné šifry). Ale práce v pozadí je obrovská a je to důležitá součást budoucnosti bezpečnosti dat. Dobrá zpráva je, že komunitě kryptografů se už podařilo navrhnout kandidáty, které se jeví jako bezpečné i proti kvantovým útokům. Musíme je však včas nasadit, abychom předešli scénáři, že kvantový počítač "zastihne svět nepřipravený" a prolomí citlivá data. Mimochodem, strategickou obavou je i to, že některé utajované informace s dlouhou životností (státní tajemství, vojenské komunikace) by mohly být už nyní zaznamenávány nepřáteli a uloženy "k pozdějšímu rozluštění", až technologie dozraje. I proto například americká vláda tlačí na rychlý přechod na kvantově odolné algoritmy.

Nové regulační iniciativy (NIS2, DSA, AI Act, ...)

V prosinci 2022 byl schválen tzv. NIS2 - směrnice o opatřeních pro vysokou společnou úroveň kybernetické bezpečnosti v EU (nis-2-directive.com). Do podzimu 2024 ji mají státy implementovat do svých zákonů. NIS2 výrazně rozšiřuje okruh subjektů, které musejí dodržovat přísná bezpečnostní opatření a hlásit incidenty - nově to budou například i energetické firmy, zdravotnictví, digitální služby, veřejná správa a mnoho dalších odvětví. Pro nás je podstatné, že NIS2 přímo vyžaduje určité minimální prvky: například politiky a postupy pro používání kryptografie a šifrování. Takže firmy spadající pod NIS2 budou muset mít formálně ošetřeno, kdy a jak data šifrují, jak spravují klíče atd., a základní úroveň "kyber hygieny". To pravděpodobně zvýší obecné povědomí i nasazení šifrovacích technologií v praxi - už z toho důvodu, že to bude regulátory vyžadováno. NIS2 je příkladem trendu, kdy kyberbezpečnost není dobrovolná, ale povinná a sankcionovaná, podobně jako GDPR udělalo z ochrany dat téma pro top management firem. Další nové předpisy, jako je zmiňovaný Digital Services Act (DSA), Digital Markets Act (DMA) či připravovaný AI Act o umělé inteligenci, řeší spíše jiné aspekty digitálního světa (obsah online, soutěž na trhu platforem, regulace AI), ale vždy s ohledem na práva uživatelů. Evropská unie se profiluje jako entita, která chce silně regulovat digitální prostředí pro dobro uživatelů - ať už jde o ochranu soukromí, spotřebitele nebo bezpečnosti. V dohledné budoucnosti tak můžeme očekávat další specifické normy: např. Cyber Resilience Act, který má stanovit kyberbezpečnostní požadavky pro chytrá zařízení a IoT (aby už ve fázi výroby měly určitou úroveň zabezpečení, možná včetně šifrování komunikace). Také se hovoří o regulaci end-to-end šifrovaných služeb z hlediska moderace obsahu - tzv. "detection orders" v návrhu CSA nařízení by například mohly přikázat provozovateli messengeru zavést opatření proti šíření nelegálního obsahu. To ovšem, jak jsme probrali, naráží na samou podstatu E2EE. Bude velmi zajímavé sledovat, jak se s tím evropští zákonodárci popasují.

Vzdělávání a posilování důvěry

Technologie samy o sobě nestačí - důležitá je i osvěta mezi uživateli. I sebelepší šifra nepomůže, když lidé naletí phishingu nebo si nastavení zabezpečení vypnou pro pohodlí. Proto vidíme snahu (např. ze strany ENISA, ale i národních úřadů jako CZ.NIC) vzdělávat veřejnost o bezpečnostních zásadách. Do budoucna můžeme čekat, že pojmy jako dvoufaktorové ověření, šifrovaný chat, VPN apod. zlidoví podobně, jako se to stalo u pojmu "GDPR" - ještě před pár lety něco pro právníky, dnes běžná součást slovníku firem i jednotlivců.

Celkově lze říci, že soukromí a bezpečnost dat v digitálním věku budou i nadále svádět určitý boj, ale zároveň postupně nacházejí rovnováhu. Evropa se profiluje jako prostor, kde právo na soukromí není reliktem minulosti, nýbrž živou hodnotou promítnutou do zákonů i technologií. Šifrování, kdysi výsada armádních komunikací, se stalo každodenním neviditelným štítem pro miliardy datových přenosů. Budoucí právní předpisy, jako NIS2, to dále upevní tím, že bezpečné praktiky (včetně kryptografie) budou vyžadovány standardně. Zároveň nové hrozby, jako kvantové počítače, testují naši připravenost inovovat a přizpůsobit se - ale člověk již prokázal, že dokáže přijít s řešeními, aby neztratil kontrolu nad svým digitálním světem.

Z pohledu jednotlivce je důležité neztrácet ostražitost: cenou za pohodlí nových technologií nesmí být rezignace na soukromí. Každý z nás může pro svou bezpečnost něco udělat - používat šifrované nástroje, dávat pozor na sdílení údajů a podporovat takové politiky, které chrání naše práva. A v ideálním případě bude stát partnerem, který nám k tomu vytváří podmínky (např. podporou silného šifrování), nikoli protivníkem. Digitální budoucnost může být bezpečná a respektující soukromí - pokud o to budeme jako společnost usilovat a nenecháme se snadno zlákat ke kompromisům, které by jednou provždy otevřely dveře do našich intimních dat. Jak trefně varovala ENISA: “Existence zadních vrátek by podrývala důvěru v digitální ekosystém a poskytla příležitost narušitelům soukromí”. Vezměme si toto poučení k srdci i v roce 2025 a dál.

Online nástroj pro bezpečné 256 bitové AES šifrování textu

Profesionální šifrovací aplikace využívající vojenský standard AES-256-GCM pro maximální ochranu vašich citlivých dat. Celé šifrování probíhá lokálně ve vašem prohlížeči, takže žádná data neopouštějí váš počítač a máte úplnou kontrolu nad svými informacemi.

Nástroj nabízí vysokou úroveň zabezpečení prostřednictvím AES-256-GCM s automatickým ověřováním integrity dat. Obsahuje pokročilý generátor hesel, který vytváří kryptograficky silná hesla s možností přizpůsobení podle vašich potřeb. Inteligentní systém dešifrování automaticky detekuje parametry šifrování pro maximální kompatibilitu s různými nastaveními.

Plně podporuje českou lokalizaci včetně českých znaků v heslech i textech. Funkce importu a exportu umožňují snadné ukládání a sdílení šifrovaných dat, zatímco diagnostické nástroje poskytují pokročilé testování síly hesel a bezpečnostní reporting.

Bezpečnost je garantována využitím nejmodernějšího Web Crypto API pro všechny kryptografické operace. AES-GCM režim automaticky detekuje jakoukoliv manipulaci s daty a zajišťuje jejich autenticitu. Nástroj je ideální pro šifrování osobních poznámek, hesel, dokumentů nebo jakýchkoliv citlivých informací, které potřebujete bezpečně uložit nebo předat.