Pencarian teks lengkap dalam surat terenkripsi
Pertama, sedikit konteks. Tutanota adalah salah satu dari sedikit layanan email yang mengenkripsi email masuk secara default, seperti Protonmail, Posteo.de dan Mailbox.org. Artinya, email disimpan dengan terenkripsi di server. Penyedia tidak dapat mendekripsinya, meskipun ia menginginkannya.
Namun, keputusan dari Pengadilan Regional Cologne mengharuskan penerapan "fungsi yang dapat melacak kotak surat individu dan membaca email dalam teks biasa."
Ini bukan preseden yang baik untuk sistem hukum Eropa.
Tutanota ingin mengajukan pengaduan terhadap keputusan ini, tetapi tidak memiliki efek yang bersifat suspensif, yaitu fakta pengajuan pengaduan tidak menangguhkan perintah sebelumnya, yang harus diikuti.
"Jadi kami harus mulai mengembangkan fungsi pemantauan," kata seorang juru bicara perusahaan dalam komentar untuk majalah c't. Jika pengaduan berhasil, fitur tersebut akan dihapus.
Keputusan Pengadilan Regional Koln merupakan preseden berbahaya bagi sistem hukum Eropa. Keputusan ini berbeda dengan keputusan pengadilan lain. Misalnya, pada musim panas, Pengadilan Distrik Hanover memutuskanbahwa Tutanota tidak menyediakan atau berpartisipasi dalam "layanan telekomunikasi" apa pun dalam arti hukum dan karena itu tidak dapat diwajibkan untuk memantau telekomunikasi. Para hakim Hannover merujuk pada keputusan Gmail yang terkenal dari Pengadilan Eropa tanggal 13 Juni 2019 (kasus C-193/18). Menurutnya, layanan e-mail bukanlah layanan komunikasi. Karenanya, Google tidak berkewajiban untuk mendaftarkan pengenal telekomunikasi untuk Gmail dan membuat antarmuka intersepsi apa pun.
Namun, pengadilan Cologne menyebut Tutanota sebagai "peserta" dalam layanan telekomunikasi, meski perusahaan menganggap keputusan ini tidak masuk akal dan akan berjuang untuk membatalkannya.
Tim Kerja Tutanota
Bagaimanapun, pada tanggal 31 Desember 2020, Tutanota diwajibkan untuk memprogram fungsi yang akan memberi Kantor Polisi Kriminal Negara Bagian North Rhine-Westphalia akses ke kotak surat pengguna, termasuk pengguna tertentu yang memulai cerita ini.
Kita berbicara tentang investigasi kasus kriminal di mana tersangka mengirim surat ancaman ke dealer mobil menggunakan layanan layanan surat aman.
Tutanota memastikan bahwa kejadian ini tidak akan mengubah apa pun bagi pengguna lain. Surat mereka akan tetap dienkripsi secara default ketika sampai di server. Namun, perusahaan menganggap bypass enkripsi satu kali sebagai perlindungan data dan ancaman keamanan bagi semua pelanggan.
Berikut adalah diagram tentang bagaimana pesan dienkripsi dan disimpan di server jika menggunakan enkripsi ujung-ke-ujung (kiri) dan tanpa itu (kanan):
Tidak seperti PGP, beberapa metadata juga dienkripsi, bukan hanya badan pesan.
Perusahaan menekankan bahwa pintu belakang hanya akan memungkinkan melihat isi email baru yang tidak terenkripsi . Itu tidak dapat mendekripsi data yang sebelumnya dienkripsi serta email terenkripsi ujung ke ujung lainnya di Tutanota. Secara relatif, "pintu belakang" adalah algoritme berikut:
def encrypt_mail(email): if email.user=="badperson": store(email) else: store(encrypt(email))
Mungkin Tutanota Hanoverian sekarang menyesal tidak memilih yurisdiksi lain. Di sisi lain, cerita ini dapat dilihat sebagai semacam PR bagi perusahaan yang berusaha melakukan segala daya yang dimilikinya. Dalam sebuah wawancara, mereka mengatakan bahwa mereka mungkin mempertimbangkan untuk pindah ke negara lain (Swiss), tapi ini tidak mungkin terjadi: βSituasi hukum dan konstitusi Jerman sebagian besar sangat baik dan melindungi privasi orang. Aktivisme komunitas juga membantu kami mencegah atau melemahkan hukum bermasalah (pengawasan). "
Perusahaan secara berkala menerbitkan laporan transparansi dan sertifikasi kenariuntuk layanan Anda. Sertifikat canary adalah satu-satunya cara untuk membocorkan informasi yang tidak boleh dibocorkan.
Enkripsi adalah satu-satunya alasan mengapa polisi menggunakan prosedur hukum sama sekali. Beberapa percaya bahwa di saluran terbuka mereka akan menggunakan penyadapan lebih luas tanpa repot-repot mendapatkan izin. Dan hanya kriptografi yang melindungi masyarakat dari kesewenang-wenangan lembaga penegak hukum.
