澳大利亚的《援助与访问法案》是一场隐私噩梦

2017年,澳大利亚政府开始抱怨一项新法案,该法案将使技术和通讯公司有法律要求,以帮助当局破解加密消息。特恩布尔政府认为,访问加密邮件已成为恐怖分子调查和其他高级别刑事案件中的必不可少的条件.

当时,当局声称,在调查过程中,警察截获的消息中有90%是通过某种形式的加密保护的。在过去的一年中,据称加密阻碍了大约200起案件的警察调查.

现在,法案草案草案已经发布,其中阐明了澳大利亚应对那些麻烦的加密邮件的计划。新发布的文件的标题为《 2018年电信和其他立法修正案(协助和访问)条例草案》 [PDF],它是一部涉及范围广泛且相互矛盾的立法.

后门

澳大利亚法律与数学法律

尽管没有任何后门程序也无法拦截安全的端到端加密(e2e),但澳大利亚政府坚持认为这将是新法规的工作方式.

在星期二向新闻界发表的声明中,澳大利亚执法和网络安全部长安格斯·泰勒(Angus Taylor)声称,新立法将“允许执法和侦听机构访问特定的通信,而不会损害网络的安全性。."

泰勒认为,该立法“明令禁止”对安全加密的通信实施任何“系统漏洞或系统漏洞”.

"这些改革将使执法和侦听机构可以访问特定的通信,而不会损害网络的安全性。这些措施明确防止了加密的削弱或所谓的后门的引入."

如果真是这样,澳大利亚政府也可能卧床不起,因为这意味着该法案明确禁止打破实际存在的唯一破坏e2e加密的机制。.

多伦多大学市民实验室的研究员克里斯托弗·帕森斯(Christopher Parsons)告诉ProPrivacy.com:

“虽然澳大利亚政府最近提出的法案声称不能强迫企业在软件和流程中添加“系统性”弱点,但政府机构将被允许强迫企业有选择地削弱某些人的安全性。这些弱点可能包括政府机构可以解密的较不可靠的加密,或针对目标人群的加密的全面取消。”

公民实验室新

行业协助

那么,澳大利亚当局如何期望执行这项看似不可能的任务?冲突监视法案的第15部分提出了三个“工具”,高级安全官员将使用这些工具来向通信提供商索取信息。其中第一个是自愿的“技术援助请求”,鼓励技术和电信公司交出自己意愿的加密消息的内容(老兄,你知道你想这么做).

下一个工具是“技术协助通知”,如果企业已经具备解密消息的技术能力,则可以强行迫使其进行解密.

第三个也是最令人印象深刻的工具是一项强制性要求,称为“技术能力通知”。该手令实质上将迫使“通信提供商”发展为澳大利亚当局提供对加密消息的所需访问权的能力.

法规冲突

对安全e2e加密的理解立即揭示了澳大利亚拟议立法的问题。出于所有意图和目的,“技术能力通知”是要求提供商在其加密平台中创建后门.

技术公司应该能够破解自己的加密而不削弱加密或创建后门的想法在技术上是不可行的。数字权利观察组织主席蒂姆·辛格尔顿·诺顿(Tim Singleton Norton)最好地总结了这一点,他指出“访问加密消息而不破坏首先使它们安全的底层平台”是“荒谬的”。

数字版权观察

广泛的影响

那么,这项新法律将适用于谁?与法案草案一起发布的解释性文件(ED)明确指出,其新法律将适用于所有 "国内外通信提供商,设备制造商,组件制造商,应用程序提供商以及传统承运人和运输服务提供商."

因此,该行为将适用于Apple,Google,Microsoft,Facebook,Whatsapp,Open Whisper(Signal),Telegram和提供e2e加密的其他加密消息服务或硬件。实际上,ED指出电子邮件帐户和物理设备存储也将被视为解密游戏.

对于科技公司来说,其动机是由消费者对私人通信的需求所驱动的,因此该政策势必会引起不和谐。代表Facebook,Google,Twitter,Oath和Amazon的DIGI公司董事总经理Nicole Buskiewicz告诉ProPrivacy.com:

"保护公众是政府和行业的当务之急。但是其中包括保护公众的隐私和数据不受攻击,这可能是本法案的意外结果。现实情况是,即使创建安全漏洞来打击犯罪,也会使我们所有人容易受到犯罪分子的攻击。这可能对个人,企业,公共安全和整个经济产生毁灭性的影响。我们对缺乏司法监督和制衡这一立法感到极为关切.

"该行业还制定了一套全球原则,呼吁包括澳大利亚在内的世界各国政府采用与既定的隐私,自由表达和法治规范相一致的监视法律和做法。我们希望随着法案在议会中继续取得进展,就这些原则与政府进行建设性的公开对话."

加密破损

加密中断

澳大利亚政府似乎没有完全理解,是当您为当局创建对加密邮件的访问时,还会产生一个漏洞,该漏洞可被不需要的第三方利用;例如网络犯罪分子和国家资助的黑客.

可靠的端到端加密通过使用无法简单地撤消的数学加密原理来工作。这意味着,为了遵守技术能力通知,企业确实确实需要在加密方面(也就是后门)制造弱点.

Greens数字版权发言人Jordon Steele-John最近进行了记录,解释道:

“无论您以哪种方式查看,这都是极有问题的,因为如果端到端加密正常工作,那么您正在立法要求公司解决不可能的事情。如果数据已正确加密,则无法访问数据.

“为了遵守澳大利亚法律,公司将被迫破坏自己的加密技术,从而破坏用户数据的隐私权和安全性.

"很简单,这将需要监视代码,密钥托管或其他一些解密数据的后门方法,以便在澳大利亚政府出示逮捕令的情况下将其移交给他人."

现在,澳大利亚的立法草案可以公开讨论,直到2018年9月10日。届时,该法案将在通过澳大利亚议会之前先进行修正。任何希望对草案表示关注的人都可以将评论提交至:[受保护的电子邮件]

ProPrivacy.com鼓励澳大利亚人反对这一令人震惊的立法。正如市民实验室的帕森斯指出的那样:

"如果这项立法未经修改通过成为法律,则可能会严重严重削弱公众对其通讯和其日常生活中使用的通讯产品的安全性和完整性的信任。此外,它可能会扰乱业界多年来之不易的工作,以开发和生产最安全的产品和服务,因为那些致力于使我们保持在线安全的公司可能会被迫与自己多年的安全进步背道而驰。这是一项危险的起草法案,我希望澳大利亚政府撤销该法案或对其进行广泛修改,以保护而不是危害澳大利亚公民。”

文章于2018年8月21日更新,包括DIGI的更新声明

图片来源:GarryKillian / Shutterstock.com,enzozo / Shutterstock.com,hvostik / Shutterstock.com,Sergey Nivens / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me