Konference WCIT-12 v Dubaji: zatím nejasno, ale už byl přijat první sporný standard
Zprávy, které přichází z konference WCIT-12 s Dubaje, jsou zatím rozporuplné. Jedny hovoří o naplňování černých scénářů, jiné to odmítají. Jednou již ale zahřmělo, když byl přijat standard pro techniky DPI (Deep Packet Inspection), snadno zneužitelný pro sledování aktivit uživatelů.
Přesně před týdnem, 3. prosince 2012, začala v Dubaji Světová konference o mezinárodních telekomunikacích (WCIT-12, World Conference on International Telecommunications). Pořádá ji Mezinárodní telekomunikační unie (ITU), za účelem přijetí nového Mezinárodního telekomunikačního řádu (ITR, International Telecommunication Regulations). A jak už jsem psal v předchozím článku zde na Lupě, ve hře má být i „uchvácení“ Internetu a převod jeho správy právě pod Mezinárodní telekomunikační unii (ITU, International Telecommunication Union).
Po první týdnu konání této konference ale přichází z Dubaje rozporuplné informace. Na jedné straně se objevují zprávy o tom, jak se již naplňují nejčernější scénáře: jak jsou skutečně předkládány návrhy na „zestátnění“ Internetu a jeho převedení do výlučných kompetencí ITU a národních vlád (viz návrh Ruska, či čerstvě předložený společný návrh Ruska, Číny a některých arabských zemí). Či jak konference odmítla zahrnout do své první přijímané rezoluce právo na svobodu slova v on-line prostředí.
Na druhé straně ale přichází i opačně laděné zprávy, o tom že se žádné „černé scénáře“ nekonají a není třeba se jich obávat (příklad). Argumentují zejména tím, jak fungují organizace jako je ITU a její konference WCIT: že každý ze 193 členských států ITU si může navrhovat, co chce (což mnozí také skutečně činí), ale že k přijetí čehokoli je nutný konsensus všech členů – a ten u tak zásadních změn (a při tak velkém počtu členských zemí) není reálný.
Na podporu svého pohledu pak optimisté zdůrazňují mj. i to, že jednání pléna konference WCIT je nově streamováno po Internetu a dostupné pro kohokoli, kdo jej chce sledovat (včetně záznamu). Byť jen v jednom konkrétním formátu.
Nový standard pro DPI
Jenže jak potom interpretovat skutečnost, že těsně před konáním popisované konference WCIT – konkrétně od 20. do 29. listopadu - proběhla na stejném místě (v Dubaji) jiná související konference, pořádaná také Mezinárodní telekomunikační unií, a ta již jeden „hodně černý scénář“ skutečně naplnila?
Hned v první den svého konání (20.11.2012) totiž přijala standard Y.2770 s názvem „Requirements for deep packet inspection in next generation networks“. Ten říká jak postupovat, když někdo chce „nahlížet hluboko do přenášených dat“, pomocí technik DPI (Deep Packet Inspection). Pokud se s tímto standardem chcete seznámit, musíte se podívat do jeho „uniklé“ podoby (například zde), protože zatím zveřejněn nebyl.
Největší problém takovéhoto standardu je v tom, že ho lze využít jak pro „dobré věci“, konkrétně pro lepší fungování sítí či zajištění bezpečnosti, tak i pro „hodně ošklivé věci“, jako je monitorování aktivit konkrétních uživatelů, blokování určitého druhu provozu, či třeba pro detekci porušování práv duševního vlastnictví.
Proto je nesmírně důležité, jak se takovýto technický standard brání svému zneužití pro ony „ošklivé věci“, a jak přistupuje k problematice ochrany soukromí. Odpověď je bohužel taková, že nový standard ITU Y.2770 otázky soukromí neřeší vůbec. Jako kdyby vůbec neexistovaly. Takže jeho zneužití pro „sebeošklivější věci“ vlastně nestojí nic v cestě.
Mimochodem, právě možnost zneužití je důvodem, proč se takovýmito věcmi záměrně nezabývají tradiční standardizační orgány Internetu (konkrétně IETF). Zřejmě proto se problematiky DPI ujala standardizační mašinérie pod ITU, která obdobné „zábrany“ očividně nemá. A navíc dokáže fungovat i za zavřenými dveřmi, zatímco IETF zásadně hraje s plně otevřenými kartami a zcela veřejně.
K čemu je nový standard
Zpět ale k samotnému standardu Y.2770 o DPI: jeho návrh pochází z Číny, konkrétně od tamního providera FiberHome, a byl projednáván v neveřejném režimu. Proto se o něm moc nemluvilo, ale na druhou stranu se o něm vědělo a i další subjekty se k němu mohly vyjadřovat.
Využilo toho například Německo, které k návrhu sepsalo rozsáhlé stanovisko, které předložilo organizaci CEPT, sdružující evropské státní telekomunikační a poštovní organizace. Neuspělo ale s požadavkem, aby se evropské země (skrze CEPT) postavily proti návrhu nového standardu jednotně. Řada z nich totiž dospěla k závěru, že „nemohou být proti“.
Německo ve svém stanovisku argumentuje především tím, že Mezinárodní telekomunikační unie by z principu neměla standardizovat jakékoli technické řešení, které zvyšuje možnost kontroly nad obsahem, přenášeným skrze telekomunikační sítě, či které by šlo využít pro cenzuru či jinak umožňovalo bránit svobodné výměně informací a myšlenek. V zásadě tedy chce, aby se ITU chovala stejně jako IETF a měla stejné „zábrany“.
Samotný standard Y.2770 přitom příliš neskrývá, o co mu jde – už jen samotnou volbou ilustrativních příkladů svého využití (use case), které obsahuje ve svých přílohách. Najdeme mezi nimi například:
- část I.8.2: Modifikace obsahu paketů
- část II.2.1: Blokování SIP zpráv s konkrétním typem obsahu a zjišťování SIP adres
- část II.3.1: Přeposílání audio obsahu chráněného copyrightem
- část II.3.6: Detekce konkrétního souboru, přenášeného konkrétním uživatelem
- část II.4.11: Identifikace uploadujících uživatelů BitTorrent-u
Jak Německo ve svém stanovisku také konstatuje, jde o techniky využitelné při „zákonném odposlechu“, který se ale musí řídit národními zákony a pravidly. Nikoli na mezinárodní úrovni, na které funguje ITU, která ve svém statutu žádnou podporu „zákonného odposlechu“ nemá – a naopak v něm má zakotven princip neporušitelnosti telekomunikačního tajemství.
Z toho pak Německo dovozuje, že Mezinárodní telekomunikační unie se ani nesmí zabývat takovými standardy, jako je nový Y.2770 - který naopak prolamuje to, za co by měla ITU bojovat.
Dnes už ale víme, že se tak přesto stalo. Byť nový standard nebyl přijat na právě probíhající konferenci WCIT (World Conference on International Telecommunications), jak většina zpráv uvádí, ale byl schválen již 20.11.2012 na konferenci WTSA-12 (World Telecommunication Standardization Assembly), která konferenci WCIT předcházela.
Koresponduje to s tím, že WCIT je konference zabývající se „koncepčními“ otázkami, zatímco konference WTSA je jakýmsi „vrchním standardizačním orgánem“, zastřešujícím všechny aktivity na poli standardizace v telekomunikacích, které probíhají v rámci Mezinárodní telekomunikační unie (ITU). Důležité je, že dnes už to nejsou jen „čistě telekomunikační“ záležitosti, týkající se například telefonní a telegrafní sítě, ale čím dál tím více i Internetu a jeho služeb.
Což se ale poněkud „plete do cesty“ tradičním standardizačním mechanismům a orgánům Internetu, jako je IETF, IESG, IANA, ISOC atd.