Ustawa o pomocy i dostępie w Australii to koszmar prywatności

W 2017 r. Rząd Australii zaczął szeptać o nowej ustawie, która nakładałaby na firmy technologiczne i komunikacyjne wymóg pomocy władzom w łamaniu zaszyfrowanych wiadomości. Według rządu Turnbulla dostęp do zaszyfrowanych wiadomości stał się istotną koniecznością w dochodzeniach terrorystycznych i innych sprawach karnych na wysokim szczeblu.


W tym czasie władze twierdziły, że 90% wiadomości przechwyconych przez policję podczas dochodzenia było chronionych za pomocą jakiejś formy szyfrowania. W ubiegłym roku twierdzi się, że szyfrowanie utrudniało dochodzenie policyjne podczas około 200 spraw.

Teraz została opublikowana propozycja projektu ustawy, która określa plany Australii dotyczące tych kłopotliwych zaszyfrowanych wiadomości. Nowo opublikowany dokument jest zatytułowany Ustawa o telekomunikacji i innych zmianach legislacyjnych (pomoc i dostęp) 2018 [PDF] i jest to niezwykle niepokojący i sprzeczny akt prawny.

Tylne drzwi

Prawa Australii a prawa matematyki

Pomimo faktu, że bezpiecznego szyfrowania typu end-to-end (e2e) nie można przechwycić bez jakiegoś backdoora, rząd Australii nalega, aby tak działało nowe ustawodawstwo.

W oświadczeniu wygłoszonym dla prasy we wtorek australijski minister ds. Egzekwowania prawa i bezpieczeństwa cybernetycznego Angus Taylor stwierdził, że nowe ustawodawstwo „umożliwi organom ścigania i przechwytywania dostęp do określonej komunikacji bez narażania bezpieczeństwa sieci."

Według Taylora ustawodawstwo „wyraźnie zabrania” jakiejkolwiek „słabości systemowej lub podatności systemowej” na bezpieczne szyfrowanie komunikacji.

"Reformy te umożliwią organom ścigania i przechwytywania dostęp do określonej komunikacji bez narażania bezpieczeństwa sieci. Środki wyraźnie zapobiegają osłabieniu szyfrowania lub wprowadzeniu tak zwanych backdoorów."

W takim przypadku rząd australijski równie dobrze mógł pozostać w łóżku, ponieważ oznacza to, że rachunek wyraźnie zabrania jedynego istniejącego mechanizmu złamania szyfrowania e2e.

Christopher Parsons, pracownik naukowy w Citizen Lab, University of Toronto, powiedział ProPrivacy.com:

„Podczas gdy niedawno zaproponowany projekt rządu australijskiego twierdzi, że firmy nie mogą być zmuszane do dodawania słabości„ systemowych ”do swojego oprogramowania i procesów, agencje rządowe będą mogły zmusić firmy do selektywnego osłabienia bezpieczeństwa zapewnianego niektórym osobom. Takie słabości mogą obejmować mniej niezawodne szyfrowanie, które mogą być odszyfrowane przez agencje rządowe, lub całkowite usunięcie szyfrowania dla osób docelowych ”.

Citizen Lab Nowość

Pomoc branżowa

Jak więc władze Australii oczekują wykonania tego pozornie niemożliwego zadania? W części 15 spornego projektu ustawy o inwigilacji zaproponowano trzy „narzędzia”, których wysokiej rangi urzędnicy ds. Bezpieczeństwa użyliby do żądania informacji od dostawców łączności. Pierwszym z nich jest dobrowolne „żądanie pomocy technicznej”, które zachęca firmy technologiczne i telekomunikacyjne do przekazania treści zaszyfrowanych wiadomości z własnej woli (dalej, synu, wiesz, że chcesz).

Kolejnym narzędziem jest „zawiadomienie o pomocy technicznej”, które wymusza na firmach współpracę przy odszyfrowywaniu wiadomości, jeśli mają już taką możliwość techniczną..

Trzecie i najbardziej imponujące narzędzie to obowiązkowe żądanie zwane „powiadomieniem o możliwościach technicznych”. Nakaz ten zasadniczo zmusiłby „dostawcę łączności” do rozwinięcia możliwości zapewnienia władzom Australii pożądanego dostępu do zaszyfrowanych wiadomości.

Sprzeczne ustawodawstwo

Zrozumienie bezpiecznego szyfrowania e2e natychmiast uwidacznia problem proponowanego ustawodawstwa Australii. „Powiadomienie o możliwościach technicznych” jest, we wszystkich zamiarach i celach, żądaniem od dostawców utworzenia backdoora na ich platformach szyfrujących.

Pomysł, że firmy technologiczne powinny być w stanie złamać własne szyfrowanie - bez osłabiania tego szyfrowania lub tworzenia backdoora - jest technicznie niewykonalny. Tim Singleton Norton, przewodniczący organizacji Digital Rights Watch, podsumował to najlepiej, gdy zauważył, że dostęp do „zaszyfrowanych wiadomości bez naruszenia podstawowej platformy, która je zabezpiecza” jest „niedorzeczny”.

Cyfrowy zegarek praw

Szeroko zakrojone implikacje

Więc do kogo miałoby zastosowanie to nowe prawo? Dokument wyjaśniający (ED) opublikowany wraz z projektem ustawy wyjaśnia, że ​​jego nowe prawo obowiązywałoby wszystkich "zagraniczni i krajowi dostawcy łączności, producenci urządzeń, producenci komponentów, dostawcy aplikacji oraz tradycyjni przewoźnicy i dostawcy usług przewozu."

Tak więc ustawa dotyczyłaby takich firm jak Apple, Google, Microsoft, Facebook, Whatsapp, Open Whisper (Signal), Telegram i inne zaszyfrowane usługi przesyłania wiadomości lub sprzęt zapewniający szyfrowanie e2e. W rzeczywistości ED stwierdza, że ​​konta e-mail i pamięć fizyczna urządzenia będą również uważane za grę do odszyfrowania.

W przypadku firm technologicznych, których motywacją są konsumenckie pragnienia komunikacji prywatnej, polityka z pewnością spowoduje niezgodę. Nicole Buskiewicz, dyrektor zarządzająca w firmie DIGI, która reprezentuje Facebook, Google, Twitter, Oath i Amazon, powiedziała ProPrivacy.com:

"Ochrona społeczeństwa jest priorytetem zarówno dla rządu, jak i przemysłu. Ale obejmuje to ochronę prywatności i danych publicznych przed atakiem, co prawdopodobnie byłoby niezamierzoną konsekwencją tego projektu. Rzeczywistość jest taka, że ​​tworzenie luk w zabezpieczeniach, nawet jeśli są zbudowane w celu zwalczania przestępczości, pozostawia nas wszystkich otwartych na atak ze strony przestępców. Może to mieć druzgocące konsekwencje dla osób fizycznych, przedsiębiorstw, bezpieczeństwa publicznego i szeroko pojętej gospodarki. Jesteśmy bardzo zaniepokojeni brakiem nadzoru sądowego oraz kontroli i równowagi w tym ustawodawstwie.

"Przemysł opracował również zestaw globalnych zasad, które wzywają rządy na całym świecie - w tym Australię - do przyjęcia przepisów i praktyk w zakresie nadzoru, które są zgodne z ustalonymi normami prywatności, wolności wypowiedzi i rządów prawa. Mamy nadzieję, że wraz z rządem istnieje konstruktywny i publiczny dialog na temat tych zasad, ponieważ projekt ustawy jest kontynuowany przez Parlament."

Złamane szyfrowanie

Zepsute szyfrowanie

Wydaje się, że rząd Australii nie do końca rozumie, że kiedy tworzysz dostęp do zaszyfrowanych wiadomości dla władz, tworzysz również lukę, którą mogą wykorzystać niepożądane strony trzecie; takich jak cyberprzestępcy i hakerzy sponsorowani przez państwo.

Solidne szyfrowanie end-to-end działa przy użyciu matematycznych zasad kryptograficznych, których nie można po prostu cofnąć. Oznacza to, że w celu zachowania zgodności z powiadomieniem o możliwościach technicznych firmy rzeczywiście musiałyby osłabić swoje szyfrowanie - inaczej zwane backdoorem.

Rzecznik praw cyfrowych Zielon, Jordon Steele-John, niedawno zapisał się na płycie, aby wyjaśnić:

„Jest to niezwykle problematyczne, niezależnie od tego, jak na to spojrzysz, ponieważ jeśli kompleksowe szyfrowanie działa poprawnie, ustawodawca nakazuje firmom wykonanie niemożliwego. Nie ma metody dostępu do danych, jeśli zostały one odpowiednio zaszyfrowane.

„Firmy będą zmuszone podważyć własne szyfrowanie, aby zachować zgodność z prawem australijskim, a tym samym podważyć prywatność i bezpieczeństwo danych użytkownika.

"Po prostu będzie to wymagało kodów nadzoru, depozytu klucza lub innej backdoora metodologii odszyfrowywania danych, aby umożliwić ich przekazanie, jeśli rząd Australii wyda nakaz."

Projekt ustawodawstwa Australii jest teraz dostępny do publicznej dyskusji do 10 września 2018 r. W tym czasie projekt ustawy zostanie rozpatrzony pod kątem poprawek, zanim przejdzie do parlamentu australijskiego. Każdy, kto chce wyrazić obawy dotyczące projektu, może przesłać uwagi na adres: [chroniony pocztą elektroniczną]

ProPrivacy.com zachęca Australijczyków do przeciwstawienia się temu niepokojącemu prawodawstwu. Jak zauważa Parsons w Citizen Lab:

"Jeżeli przepisy te zostaną wprowadzone w życie bez zmian, może to spowodować poważne i znaczące osłabienie zaufania publicznego do bezpieczeństwa i integralności ich komunikacji oraz produktów komunikacyjnych, z których korzystają w życiu codziennym. Co więcej, może zaszkodzić latom ciężkiej pracy w branży, aby opracować i wyprodukować najbezpieczniejsze produkty i usługi, ponieważ te same firmy, które pracują, aby zapewnić nam bezpieczeństwo w Internecie, mogą zostać zmuszone do działania wbrew własnym postępom w dziedzinie bezpieczeństwa. Jest to niebezpiecznie opracowane ustawodawstwo i mam nadzieję, że rząd Australii albo go wycofa, albo w znacznym stopniu zmieni, aby chronić, a nie zagrażać obywatelom Australii ”.

Artykuł zaktualizowano 21/08/2018, aby uwzględnić zaktualizowane oświadczenie DIGI

Zdjęcia: GarryKillian / Shutterstock.com, enzozo / Shutterstock.com, hvostik / Shutterstock.com, Sergey Nivens / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me