Nechci se pouštět do úvah o tom, zda by vůbec vztahy mezi lidmi měl stát nějak omezovat. V tomto článku mi jde o nově zaváděnou povinnost poskytovatelů připojení k internetu: zamezit uživatelům v přístupu ke stránkám, které se ministerstvo financí rozhodne blokovat. Uvažoval jsem o tom, proč takový neúčinný nesmysl ministerstvo prosazuje. Došel jsem k závěru a o něm je tento článek.
Co zaznělo v rozpravě
Většina poslaneckých připomínek se týkala způsobu blokování. Toho, že pro zařazení na seznam blokovaných stránek bude stačit správní rozhodnutí a nikoliv rozhodnutí soudu, třeba i ve formě předběžného opatření. Jen málo poslanců se dostalo až k úvaze, že by se tato možnost dala zneužít.
Je škoda, že se poslanci chytili do vlastní pasti procesních záležitostí a vůbec nezjišťovali, zda a jak je to technicky proveditelné a jaké to může mít následky. Podle mě velmi vážné. Posuďte sami.
Proč je to nesmysl
Internet už dávno nestojí na otevřené nešifrované komunikaci. Pošta se posílá šifrovaným spojením, i přenos internetových stránek bývá šifrovaný. Šifruje se čím dál víc, zvlášť když lze šifrovací certifikáty získat i bezplatně (viz projekt Let's Encrypt).
Jak tedy může poskytovatel připojení splnit svoji povinnost blokovat připojení k určeným stránkám? Existují vlastně dvě základní možnosti. Může buď ovlivnit systém DNS (překlad z názvu webové stránky na IP adresu) nebo může blokovat IP adresu, na které jsou blokované stránky dostupné.
Falšování odpovědí DNS
Pokud uživatel používá nešifrované DNS (dnes je to běžné), může odchytit požadavek a odpovědět "za cílový DNS server". Prostě může uživatelskému počítači říci, že nějaký web www.blokovanastranka.domena prostě neexistuje, i když ve skutečnosti existuje. Je to ošklivý způsob, ale dnes by asi i někde dobře fungoval, a to i u domén zabezpečených pomocí DNSSEC (u nesprávně nastavených systémů, kterých je zřejmě hodně). Předpokladem však zůstává, že poskytovatel připojení (ISP) ten dotaz "vidí". Pokud bude koncový uživatel připojen pomocí virtuální privátní sítě (VPN) někam, kam česká legislativa nedosáhne, název si přeloží správně.
Navíc zde je nový standard RFC 7766, který zavede běžné šifrování i u dotazů na DNS. Poskytovatel tak nebude mít ani možnost rozpoznat dotaz na blokovanou stránku a tedy ani nebude umět podvrhnout falešnou odpověď. Podpisy nebudou souhlasit. To je blízká budoucnost.
I když se poskytovatel připojení bude snažit sebevíc, účinně podvrhnoutí falešné odpovědi nezajistí a nemůže tak v mnoha případech splnit svoji zákonnou povinnost.
Blokování IP adres
Druhou možností je blokovat komunikaci s adresami, ve kterých jsou weby na černé listině ministerstva financí. Na každé takové internetové adrese (IP adrese) však může být velké množství webů. Zablokováním IP adresy by poskytovatel připojení znemožnil připojení i k dalším službám dostupným na stejné IP adrese. Riskoval by tak, že uživateli způsobí škodu, za kterou bude odpovědný. Podobně jako v předchozím případě však nepostihne případy, kdy k přenosu dochází prostřednictvím virtuální privátní sítě. Opět tak v některých případech nesplní svoji zákonnou povinnost.
Neporadí si s virtuálními privátními sítěmi
S nimi se potýkají i další cenzurní systémy, i největší Velký čínský firewall. Může jít o IPsec tunely, o běžné podnikové VPN (PPTP, OpenVPNnebo třeba n2n) nebo o známý TOR. Možností je mnoho a nové rychle vznikají. Žádné správní řízení nemá sebemenší šanci vyrovnat se internetu. Ani Číňané to neumějí.
Zákon tedy zavádí pro poskytovatele připojení k internetu povinnost, kterou NEMOHOU splnit bez dalšího drastického omezení služeb včetně zrušení možnosti šifrování komunikace. Tedy bez de facto převedení celého odvětví do rukou státu.
Kam to může vést?
Stále předpokládám, že ti, kteří zákon připravovali, nejsou idioti. Tedy, že si nechali zpracovat studie, poradili se s odborníky a vědí, jak se věci mají. Proč tedy navrhli a prosadili nesmysl, který je na jednu stranu bezzubý, ovšem na druhou stranu otevírá pandořinu skříňku státní cenzury interetu a v neposlední řadě umožní postihnutí kteréhokoliv poskytovatele internetových služeb, který nesplní svoji zákonnou povinnost, protože - jak jsem uvedl výše - ji ani splnit nemůže.
Může to vést ke snadné likvidaci soukromých poskytovatelů internetových služeb a jejich nahrazení nějakou státní organizací - monopolním poskytovatelem, který nebude mít konkurenci a tedy si bude moci dovolit služby jakkoliv omezit. I nejsvobodnější médium se tak může dostat pod kontrolu státu a občany České republiky může čekat návrat do totality.
Apeluji na senátory, kteří nepovažují slovo "svoboda" za sprosté, aby zákon vrátili Poslanecké sněmovně. Jeho podpora je totiž hlasem pro znovuzavedení cenzury a pro další přiblížení státního zřízení ČR totalitě.
Pokud by k tomu přeci jen došlo a dnešní internet by se dostal pod státní kontrolu, je jen otázkou (krátkého) času, kdy jej nahradí alternativní sítě používající internetovou technologii. Bude Ministerstvo financí hledat nepovolené komunikační prostředky stejně jako komunisté a před nimi němečtí okupanti?
Závěrem chci poděkovat odborníkům, kteří mi pomohli se zpracováním článku. Neuvádím jejich jména - pro ně samotné i jejich chlebodárce (firmy poskytující připojení k internetu) totiž bude mnohem bezpečnější, když zůstanou v anonymitě. Obavy běžných lidí veřejně se projevit považuji za závažné varování. Totalita se totiž může vrátit.
Karel Zvára,
místopředseda Svobodných