Australiens räkning för hjälp och åtkomst är en mardröm om integritet

Under 2017 började den australiska regeringen mumla om en ny proposition som skulle göra det till ett lagligt krav för teknik- och kommunikationsföretag att hjälpa myndigheterna knäcka krypterade meddelanden. Enligt Turnbulls regering hade tillgång till krypterade meddelanden blivit en avgörande nödvändighet i terroristutredningar och andra brottmål på hög nivå.

Vid den tiden hävdade myndigheterna att 90% av meddelanden som avlyssnats av polisen under utredningar skyddades med någon form av kryptering. Under det gångna året hävdas att kryptering hindrade polisutredningen under cirka 200 fall.

Nu har ett förslag till lagförslag publicerats som beskriver Australiens planer för att hantera de besvärliga krypterade meddelandena. Det nyligen publicerade dokumentet heter lagen om ändring av telekommunikations- och annan lagstiftning (hjälp och tillgång) 2018 [PDF] och det är ett massivt rörande och motsägelsefull lagstiftning.

Bakdörr

Australiens lagar kontra matematikens lagar

Trots att säker kryptering (e2e) inte kan fångas utan någon slags bakdörr insisterar Australiens regering på att den nya lagstiftningen kommer att fungera.

I ett uttalande till pressen på tisdagen hävdade Australiens minister för brottsbekämpning och cybersäkerhet, Angus Taylor, att den nya lagstiftningen skulle "göra det möjligt för brottsbekämpande och avlyssnande organ att få åtkomst till specifik kommunikation utan att kompromissa med säkerheten i ett nät."

Enligt Taylor "förbjuder lagstiftningen" uttryckligen att "systemisk svaghet eller systemisk sårbarhet" ska tillämpas på säkert krypterad kommunikation.

"Dessa reformer gör det möjligt för brottsbekämpande och avlyssnande organ att få åtkomst till specifik kommunikation utan att kompromissa med säkerheten i ett nätverk. Åtgärderna förhindrar uttryckligen försvagning av kryptering eller införande av så kallade bakdörrar."

Om så är fallet kan den australiensiska regeringen lika ha stannat i sängen, eftersom det innebär att lagförslaget uttryckligen förbjuder de enda mekanismerna för att bryta e2e-kryptering som faktiskt finns.

Christopher Parsons, en forskningsassistent vid Citizen Lab, University of Toronto, berättade ProPrivacy.com:

"Medan den australiensiska regeringens nyligen föreslagna lagförslag hävdar att företag inte kunde tvingas lägga till" systemiska "svagheter i deras programvara och processer, skulle myndigheter kunna tvinga företag att selektivt försvaga säkerheten för vissa personer. Sådana svagheter kan innehålla mindre robust kryptering som kan dekrypteras av myndigheter eller att i full skala ta bort kryptering för riktade personer. ”

Citizen Lab Nytt

Branschstöd

Så, hur förväntar sig Australiens myndigheter att utföra denna till synes omöjliga uppgift? Del 15 av den motstridiga övervakningsförslaget föreslår tre ”verktyg” som högt rankade säkerhetsombud skulle använda för att begära information från kommunikationsleverantörer. Den första av dessa är en frivillig "teknisk assistansbegäran" som uppmuntrar teknik- och telekomföretag att överlämna innehållet i krypterade meddelanden i sin egen vilja (gå på sonny, du vet att du vill).

Nästa verktyg är ett "meddelande om teknisk assistans" som tvingar företag att samarbeta med dekrypterande meddelanden om de redan har teknisk kapacitet att göra det.

Det tredje och mest imponerande verktyget är en obligatorisk begäran som kallas en "teknisk kapacitetsmeddelande". Denna garanti skulle i huvudsak tvinga en "kommunikationsleverantör" att utveckla förmågan att ge australiska myndigheter dess önskade åtkomst till krypterade meddelanden.

Konflikt lagstiftning

En förståelse för säker e2e-kryptering visar direkt problemet med Australiens föreslagna lagstiftning. Meddelandet om teknisk kapacitet är för alla syften en begäran om leverantörer att skapa en bakdörr i sina krypteringsplattformar.

Tanken på att teknikföretag ska kunna knäcka sin egen kryptering - utan att försvaga den krypteringen eller skapa en bakdörr - är tekniskt omöjlig. Ordföranden för Digital Rights Watch, Tim Singleton Norton, sammanfattade det bäst när han påpekade att åtkomst till "krypterade meddelanden utan att bryta den underliggande plattformen som gör dem säkra i första hand" är "löjligt."

Digital Rights Watch

Vidsträckta konsekvenser

Så vem skulle denna nya lag gälla för? Det förklarande dokumentet (ED) som publicerades tillsammans med förslaget till lagförslag gör det klart att dess nya lag skulle gälla alla "utländska och inhemska kommunikationsleverantörer, enhetstillverkare, komponenttillverkare, applikationsleverantörer och traditionella transportörer och transporttjänstleverantörer."

Så handlingen skulle gälla Apple, Google, Microsoft, Facebook, Whatsapp, Open Whisper (Signal), Telegram och andra krypterade meddelandetjänster eller hårdvara som tillhandahåller e2e-kryptering. I själva verket säger ED att e-postkonton och fysisk enhetslagring också kommer att betraktas som spel för dekryptering.

För teknikföretag, vars motiv drivs av konsumenternas önskemål för privat kommunikation, är det säkert att politiken orsakar oenighet. Nicole Buskiewicz, VD på DIGI, företaget som representerar Facebook, Google, Twitter, Oath och Amazon, berättade ProPrivacy.com:

"Att skydda allmänheten är en prioritering för både regeringen och näringslivet. Men ingår i det är att skydda allmänhetens integritet och data från attacker, vilket sannolikt skulle vara en oavsiktlig konsekvens av detta lagförslag. Verkligheten är att skapa säkerhetsproblem, även om de är byggda för att bekämpa brott, lämnar oss alla öppna för attacker från brottslingar. Detta kan ha förödande konsekvenser för individer, företag, allmän säkerhet och den bredare ekonomin. Vi är oerhört bekymrade över bristen på domstolsövervakning och kontroller och balanser med denna lagstiftning.

"Branschen har också utvecklat en uppsättning globala principer som uppmanar regeringar runt om i världen - inklusive Australien - att anta övervakningslagar och praxis som överensstämmer med etablerade normer för integritet, fritt uttryck och rättsstatsprincipen. Vi hoppas att det finns en konstruktiv och offentlig dialog med regeringen om dessa principer när propositionen fortsätter sin utveckling genom parlamentet."

Bruten kryptering

Trasig kryptering

Det som den australiensiska regeringen inte verkar fullt ut förstå är att när du skapar tillgång till krypterade meddelanden för myndigheterna producerar du också en sårbarhet som kan utnyttjas av oönskade tredje parter; till exempel cyberbrottslingar och statssponserade hackare.

Solid end0-till-end-kryptering fungerar med hjälp av matematiska kryptografiska principer som inte bara kan ångras. Detta innebär att för att uppfylla ett meddelande om teknisk kapacitet skulle företag verkligen behöva skapa en svaghet i deras kryptering - aka - en bakdörr.

De gröna talesätten för digitala rättigheter, Jordon Steele-John, gick nyligen upp för att förklara:

”Det här är oerhört problematiskt, oavsett vilket sätt man tittar på det, för om kryptering i alla delar fungerar korrekt, så lagar du företag för att göra det omöjliga. Det finns ingen metod för åtkomst till data om de har krypterats korrekt.

”Företag kommer att tvingas att undergräva sin egen kryptering för att följa australisk lagstiftning, vilket undergräver integriteten och säkerheten för användarens data.

"Helt enkelt kommer detta att kräva övervakningskoder, nyckelspärr eller någon annan bakdörrmetodik för att dekryptera data för att tillåta att den överlämnas om den australiensiska regeringen producerar en order."

Australiens förslag till lagstiftning är nu tillgängligt för offentlig diskussion fram till 10 september 2018. Vid den tiden kommer lagförslaget att övervägas för ändringar innan det tar sig igenom det australiensiska parlamentet. Alla som vill uttrycka oro över utkastet kan skicka kommentarer till: [e-postskyddad]

ProPrivacy.com uppmuntrar australierna att stå emot denna oroande lagstiftning. Som Parsons på Citizen Lab påpekar:

"Om denna lagstiftning införs i lag, omöjlig, kan den ha en effekt och allvarligt försvaga allmänhetens förtroende för säkerheten och integriteten i sin kommunikation och de kommunikationsprodukter de använder i deras dagliga liv. Vidare kan det uppröra år med hårt förtjänt arbete från branschen för att utveckla och producera de säkraste produkterna och tjänsterna som möjligt, eftersom samma företag som arbetar för att hålla oss säkra på nätet kan tvingas arbeta mot sina egna år med säkerhetsframsteg. Detta är farligt utarbetat lagstiftning, och jag hoppas att den australiensiska regeringen antingen drar tillbaka den eller ändrar den i stor utsträckning för att skydda, i stället för att äventyra australiensiska medborgare. ”

Artikel uppdaterad 21/08/2018 för att inkludera DIGIs uppdaterade uttalande

Bildkrediter: GarryKillian / Shutterstock.com, enzozo / Shutterstock.com, hvostik / Shutterstock.com, Sergey Nivens / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me