Australiens regning om hjælp og adgang er et mareridt til beskyttelse af personlige oplysninger

I 2017 begyndte den australske regering at mumle om en ny lov, der ville gøre det til et lovligt krav for tech- og kommunikationsfirmaer at hjælpe myndighederne med at knække krypterede meddelelser. Ifølge Turnbulls regering var adgang til krypterede meddelelser blevet en vigtig nødvendighed i terrorundersøgelser og andre straffesager på højt niveau.

På det tidspunkt hævdede myndighederne, at 90% af de meddelelser, der blev opfanget af politiet under efterforskningen, blev beskyttet med en eller anden form for kryptering. I det forløbne år hævdes det, at kryptering hindrede politiets efterforskning i cirka 200 sager.

Nu er der offentliggjort et udkast til lovforslag, der beskriver Australiens planer om at håndtere disse besværlige krypterede meddelelser. Det nyligt offentliggjorte dokument har titlen "Lov om ændring af telekommunikation og anden lovgivning (hjælp og adgang) 2018 [PDF], og det er en massivt beskæftigende og modstridende lovgivning.

Bagdør

Lovene i Australien kontra matematiske love

På trods af det faktum, at sikker ende-til-ende-kryptering (e2e) ikke kan opfanges uden nogen form for bagdør, insisterer Australiens regering på, at sådan er den nye lovgivning vil fungere.

I en erklæring til pressen tirsdag hævdede Australiens minister for retshåndhævelse og cybersikkerhed, Angus Taylor, at den nye lovgivning ville "give lovhåndhævelses- og aflytningsagenturer adgang til specifik kommunikation uden at kompromittere sikkerheden i et netværk."

Ifølge Taylor forbyr lovgivningen "udtrykkeligt", at enhver "systemisk svaghed eller en systemisk sårbarhed" skal vedtages på sikkert krypteret kommunikation.

"Disse reformer gør det muligt for retshåndhævelses- og aflytningsagenturer at få adgang til specifik kommunikation uden at kompromittere sikkerheden i et netværk. Foranstaltningerne forhindrer udtrykkeligt svækkelse af kryptering eller introduktion af såkaldte bagdøre."

Hvis dette er tilfældet, kan den australske regering lige så godt have opholdt sig i sengen, fordi det betyder, at lovforslaget udtrykkeligt forbyder de eneste mekanismer til at bryde e2e-kryptering, der faktisk findes.

Christopher Parsons, en forskningsassistent ved Citizen Lab, University of Toronto, fortalte ProPrivacy.com:

”Mens den australske regerings nylige foreslåede lovforslag hævder, at virksomheder ikke kunne tvinges til at tilføje‘ systemiske ’svagheder i deres software og processer, ville regeringsorganer have tilladelse til at tvinge virksomheder til selektivt at svække den sikkerhed, som nogle personer yder. Sådanne svagheder kan omfatte mindre robust kryptering, der kunne dekrypteres af regeringsorganer, eller fjernelse af kryptering for målrettede personer i fuld skala. ”

Citizen Lab Nyt

Industrihjælp

Så hvordan forventer Australiens myndigheder at udføre denne tilsyneladende umulige opgave? Del 15 af den konfliktovervågningsregning foreslår tre “værktøjer”, som højtstående sikkerhedsembedsmænd ville bruge til at anmode om oplysninger fra kommunikationsudbydere. Den første af disse er en frivillig "anmodning om teknisk assistance", der opfordrer tech- og telecomfirmaer til at udlevere indholdet af krypterede meddelelser af deres egen vilje (gå på sonny, du ved, du vil).

Det næste værktøj er en "teknisk assistancemeddelelse", der tvinger virksomhederne til at samarbejde med dekryptering af meddelelser, hvis de allerede har den tekniske kapacitet til at gøre det.

Det tredje og mest imponerende værktøj er en obligatorisk anmodning kaldet en "teknisk meddelelse om kapacitet". Denne garanti vil i det væsentlige tvinge en "kommunikationsudbyder" til at udvikle evnen til at give australske myndigheder den ønskede adgang til krypterede meddelelser.

Konflikt lovgivning

En forståelse af sikker e2e-kryptering viser øjeblikkeligt problemet med Australiens foreslåede lovgivning. "Teknisk kapacitetsmeddelelse" er til alt det formål en anmodning om udbydere om at oprette en bagdør til deres krypteringsplatforme.

Ideen om, at teknologifirmaer skal være i stand til at knække deres egen kryptering - uden at svække denne kryptering eller skabe en bagdør - er teknisk ikke gennemførlig. Digital Rights Watch-leder Tim Singleton Norton opsummerede det bedst, da han påpegede, at adgang til "krypterede meddelelser uden at bryde den underliggende platform, der gør dem sikre i første omgang", er "latterlig."

Digital Rights Watch

Vidtrækkende implikationer

Så hvem ville denne nye lov gælde for? Det forklarende dokument (ED), der blev offentliggjort sammen med lovforslaget, gør det klart, at dets nye lov gælder for alle "udenlandske og indenlandske kommunikationsudbydere, enhedsproducenter, komponentproducenter, applikationsudbydere og traditionelle udbydere og udbydere af transporttjenester."

Så handlingen vil gælde som Apple, Google, Microsoft, Facebook, Whatsapp, Open Whisper (Signal), Telegram og andre krypterede messaging-tjenester eller hardware, der leverer e2e-kryptering. Faktisk siger ED, at e-mail-konti og fysisk enhedslagring også vil blive betragtet som spil til dekryptering.

For teknologivirksomheder, hvis motivation er drevet af forbrugernes ønsker om privat kommunikation, er politikken helt sikkert årsag til uenighed. Nicole Buskiewicz, administrerende direktør hos DIGI, firmaet, der repræsenterer Facebook, Google, Twitter, Oath og Amazon, fortalte ProPrivacy.com:

"Beskyttelse af offentligheden er en prioritet for både regeringen og industrien. Men inkluderet i det er at beskytte offentlighedens privatliv og data mod angreb, hvilket sandsynligvis vil være en utilsigtet konsekvens af dette lovforslag. Realiteten er, at skabelse af sikkerhedssårbarheder, selvom de er bygget til at bekæmpe kriminalitet, lader os alle være åbne for angreb fra kriminelle. Dette kan have ødelæggende konsekvenser for enkeltpersoner, virksomheder, offentlig sikkerhed og den bredere økonomi. Vi er yderst bekymrede over manglen på domstolstilsyn og kontrol og balance i denne lovgivning.

"Branchen har også udviklet et sæt af globale principper, der opfordrer regeringer overalt i verden - inklusive Australien - til at vedtage overvågningslove og praksis, der er i overensstemmelse med etablerede normer for privatlivets fred, frie udtryk og retsstatsprincippet. Vi håber, at der er en konstruktiv og offentlig dialog med regeringen om disse principper, når lovforslaget fortsætter sin fremgang gennem Parlamentet."

Ødelagt kryptering

Ødelagt kryptering

Hvad den australske regering ikke ser ud til at forstå fuldt ud, er, at når du opretter adgang til krypterede meddelelser for myndighederne, producerer du også en sårbarhed, der kan udnyttes af uønskede tredjeparter; såsom cyberkriminelle og statssponsorede hackere.

Solid end0-til-ende-kryptering fungerer ved hjælp af matematiske kryptografiske principper, der ikke blot kan fortrydes. Dette betyder, at for at overholde en meddelelse om teknisk kapacitet, vil virksomhederne faktisk være nødt til at skabe en svaghed i deres kryptering - også kaldet en bagdør.

Grønne talsmand for digitale rettigheder Jordon Steele-John gik for nylig rekorden for at forklare:

”Dette er ekstremt problematisk, uanset hvordan man ser på det, for hvis ende-til-ende-kryptering fungerer korrekt, så lovgiver du virksomheder for at gøre det umulige. Der er ingen metode til at få adgang til data, hvis de er korrekt krypteret.

”Virksomheder vil blive tvunget til at undergrave deres egen kryptering for at overholde australsk lovgivning, hvilket undergraver privatlivets fred og sikkerhed for brugers data.

"Ganske enkelt dette vil kræve overvågningskoder, nøglelås eller en anden bagdørsmetodologi til dekryptering af data for at lade dem blive overdraget, hvis den australske regering producerer en warrant."

Australiens udkast til lovgivning er nu tilgængelig til offentlig drøftelse indtil 10. september 2018. På det tidspunkt vil lovforslaget blive overvejet til ændringer, før det går igennem det australske parlament. Enhver, der ønsker at udtrykke bekymring over udkastet, kan indsende kommentarer til: [beskyttet via e-mail]

ProPrivacy.com opfordrer australiere til at stå imod denne alarmerende lovgivning. Som Parsons på Citizen Lab påpeger:

"Hvis denne lovgivning vedtages uden lov, kan den have den virkning at alvorligt og væsentligt svække offentlighedens tillid til sikkerheden og integriteten af ​​deres kommunikation og de kommunikationsprodukter, de bruger i deres daglige liv. Desuden kan det forstyrre år med hårdt tjent arbejde fra industrien for at udvikle og producere de mest sikre produkter og tjenester, som muligt, da de samme virksomheder, der arbejder for at holde os sikre online, måske tvinges til at arbejde imod deres egne år med sikkerhedsfremskridt. Dette er farligt udarbejdet lovgivning, og jeg håber, at den australske regering enten trækker den tilbage eller ændrer den i vid udstrækning for at beskytte, snarere end at bringe australske borgere i fare. ”

Artikel opdateret 21/08/2018 for at inkludere DIGIs opdaterede erklæring

Billedkreditter: GarryKillian / Shutterstock.com, enzozo / Shutterstock.com, hvostik / Shutterstock.com, Sergey Nivens / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me