De Assistance & Access Bill van Australië is een privacynachtmerrie

In 2017 begon de Australische regering te mompelen over een nieuwe wet die het een wettelijke vereiste zou maken voor technologie- en communicatiebedrijven om de autoriteiten te helpen gecodeerde berichten te kraken. Volgens de regering van Turnbull was toegang tot gecodeerde berichten een essentiële noodzaak geworden in terroristische onderzoeken en andere strafzaken op hoog niveau.


Destijds beweerden de autoriteiten dat 90% van de berichten die door de politie tijdens onderzoeken werden onderschept, werd beveiligd met een vorm van codering. In het afgelopen jaar wordt beweerd dat codering politie-onderzoeken in ongeveer 200 gevallen heeft belemmerd.

Nu is er een conceptvoorstel voor wetsvoorstellen gepubliceerd waarin de plannen van Australië worden beschreven om met die lastige gecodeerde berichten om te gaan. Het nieuw gepubliceerde document heeft de titel Wetsvoorstel Telecommunicatie en andere wetgeving (hulp en toegang) 2018 [PDF] en het is een enorm zorgwekkende en tegenstrijdige wetgeving.

Achterdeur

De wetten van Australië versus de wetten van de wiskunde

Ondanks het feit dat veilige end-to-end encryptie (e2e) niet kan worden onderschept zonder enige vorm van achterdeur, staat de Australische regering erop dat de nieuwe wetgeving zal werken.

In een verklaring aan de pers op dinsdag beweerde Angus Taylor, de minister van Australië voor wetshandhaving en cyberveiligheid, dat de nieuwe wetgeving "wetshandhavings- en interceptie-instanties toegang zou geven tot specifieke communicatie zonder de beveiliging van een netwerk in gevaar te brengen."

Volgens Taylor verbiedt de wetgeving "uitdrukkelijk" elke "systemische zwakte of een systemische kwetsbaarheid" die moet worden vastgesteld voor veilig gecodeerde communicatie..

"Deze hervormingen zullen wetshandhavings- en interceptie-instanties toegang geven tot specifieke communicatie zonder de veiligheid van een netwerk in gevaar te brengen. De maatregelen voorkomen uitdrukkelijk de verzwakking van codering of de introductie van zogenaamde backdoors."

Als dat het geval is, kan de Australische regering net zo goed in bed zijn gebleven, omdat het betekent dat de rekening uitdrukkelijk de enige mechanismen verbiedt voor het verbreken van e2e-codering.

Christopher Parsons, een onderzoeksmedewerker aan het Citizen Lab, Universiteit van Toronto, vertelde ProPrivacy.com:

“Hoewel het onlangs door de Australische regering voorgestelde wetsvoorstel beweert dat bedrijven niet konden worden gedwongen om‘ systemische ’zwakke punten in hun software en processen toe te voegen, zouden overheidsinstellingen bedrijven kunnen dwingen om selectief de beveiliging die aan sommige personen wordt geboden, te verzwakken. Dergelijke zwakke punten kunnen minder robuuste codering zijn die door overheidsinstanties kan worden gedecodeerd, of de volledige verwijdering van codering voor gerichte personen. "

Citizen Lab Nieuw

Hulp bij de industrie

Dus, hoe verwachten de Australische autoriteiten deze schijnbaar onmogelijke taak uit te voeren? In deel 15 van de conflicterende bewakingswet worden drie 'tools' voorgesteld die hooggeplaatste beveiligingsfunctionarissen zouden gebruiken om informatie te vragen aan communicatieproviders. De eerste hiervan is een vrijwillig 'verzoek om technische assistentie' dat technologie- en telecombedrijven aanmoedigt om de inhoud van gecodeerde berichten uit eigen beweging over te dragen (ga maar door, u weet dat u dat wilt).

De volgende tool is een 'kennisgeving voor technische assistentie' die bedrijven dwingt om mee te werken aan het decoderen van berichten als ze al over de technische mogelijkheden beschikken om dit te doen.

Het derde en meest indrukwekkende hulpmiddel is een verplicht verzoek, een "kennisgeving van technische bekwaamheid" genoemd. Dit bevel zou in wezen een "communicatieprovider" dwingen de mogelijkheid te ontwikkelen om de Australische autoriteiten de gewenste toegang tot gecodeerde berichten te bieden.

Conflicterende wetgeving

Een goed begrip van veilige e2e-codering brengt onmiddellijk het probleem aan het licht met de voorgestelde wetgeving van Australië. De "kennisgeving van technische mogelijkheden" is, voor alle doeleinden, een verzoek aan providers om een ​​backdoor in hun coderingsplatforms te creëren.

Het idee dat technologiebedrijven hun eigen codering moeten kunnen kraken - zonder die codering te verzwakken of een achterdeur te creëren - is technisch onhaalbaar. Digital Rights Watch-voorzitter Tim Singleton Norton vatte het het beste samen toen hij erop wees dat toegang tot "gecodeerde berichten zonder het onderliggende platform te breken dat ze in de eerste plaats beveiligd maakt" "belachelijk" is.

Digital Rights Watch

Brede implicaties

Dus op wie zou deze nieuwe wet van toepassing zijn? Het verklarende document (ED) dat naast het wetsontwerp is gepubliceerd, maakt duidelijk dat de nieuwe wet op iedereen van toepassing zou zijn "buitenlandse en binnenlandse communicatieproviders, fabrikanten van apparaten, componentenfabrikanten, applicatieproviders en traditionele providers en providers van koeriersdiensten."

De wet zou dus van toepassing zijn op Apple, Google, Microsoft, Facebook, WhatsApp, Open Whisper (signaal), Telegram en andere gecodeerde berichtenservices of hardware die e2e-codering bieden. In feite stelt de ED dat e-mailaccounts en fysieke opslag van apparaten ook worden beschouwd als een game voor decodering.

Voor technologiebedrijven, wier motivatie wordt gedreven door consumentenwensen voor privécommunicatie, zal het beleid ongetwijfeld onenigheid veroorzaken. Nicole Buskiewicz, Managing Director bij DIGI, het bedrijf dat Facebook, Google, Twitter, Oath en Amazon vertegenwoordigt, vertelde ProPrivacy.com:

"Bescherming van het publiek is een prioriteit voor zowel de overheid als de industrie. Maar daar hoort ook de bescherming van de privacy en gegevens van het publiek tegen aanvallen in, wat waarschijnlijk een onbedoeld gevolg van deze wet zou zijn. De realiteit is dat het creëren van beveiligingskwetsbaarheden ons, zelfs als ze zijn gebouwd om misdaad te bestrijden, ons allemaal open laat staan ​​voor aanvallen van criminelen. Dit kan verwoestende gevolgen hebben voor particulieren, bedrijven, de openbare veiligheid en de bredere economie. We zijn uiterst bezorgd over het gebrek aan gerechtelijk toezicht en checks and balances met deze wetgeving..

"De industrie heeft ook een aantal mondiale principes ontwikkeld die regeringen overal ter wereld - inclusief Australië - oproepen om toezichtwetten en -praktijken aan te nemen die consistent zijn met de gevestigde normen voor privacy, vrije meningsuiting en de rechtsstaat. We hopen dat er een constructieve en openbare dialoog is met de regering over deze principes terwijl het wetsvoorstel zijn voortgang voortzet via het Parlement."

Gebroken codering

Gebroken codering

Wat de Australische overheid niet volledig lijkt te begrijpen, is dat wanneer u toegang tot gecodeerde berichten voor de autoriteiten creëert, u ook een kwetsbaarheid veroorzaakt die door ongewenste derden kan worden misbruikt; zoals cybercriminelen en door de staat gesponsorde hackers.

Solide end0to-end encryptie werkt met behulp van wiskundige cryptografische principes die niet eenvoudig ongedaan kunnen worden gemaakt. Dit betekent dat bedrijven om te voldoen aan een kennisgeving van technische mogelijkheden, inderdaad een zwakte in hun codering moeten creëren - aka - een achterdeur.

Groenen woordvoerder van de digitale rechten, Jordon Steele-John, ging onlangs verslag uit te leggen:

“Dit is buitengewoon problematisch, hoe je het ook bekijkt, want als end-to-end encryptie goed werkt, dan ben je bedrijven aan het wetgeven om het onmogelijke te doen. Er is geen methode om toegang te krijgen tot gegevens als deze correct zijn gecodeerd.

"Bedrijven zullen gedwongen worden hun eigen codering te ondermijnen om te voldoen aan de Australische wetgeving, waardoor de privacy en veiligheid van gebruikersgegevens worden ondermijnd.

"Dit vereist eenvoudigweg bewakingscodes, sleutel escrow of een andere achterdeurmethode om gegevens te ontsleutelen zodat deze kunnen worden overgedragen als de Australische regering een bevel uitbrengt."

De ontwerpwetgeving van Australië is nu beschikbaar voor openbare discussie tot 10 september 2018. Op dat moment zal het wetsvoorstel in behandeling worden genomen voordat het door het Australische parlement gaat. Iedereen die zijn bezorgdheid over het concept wil uiten, kan opmerkingen indienen bij: [email protected]

ProPrivacy.com moedigt Australiërs aan om op te staan ​​tegen deze alarmerende wetgeving. Zoals Parsons van het Citizen Lab aangeeft:

"Als deze wetgeving ongewijzigd wordt omgezet, kan dit het vertrouwen van het publiek in de veiligheid en integriteit van hun communicatie en de communicatieproducten die zij in hun dagelijks leven gebruiken, ernstig en aanzienlijk verzwakken. Verder zou het jaren van hard verdiend werk door de industrie kunnen verstoren om de meest veilige producten en diensten te ontwikkelen en te produceren, omdat dezelfde bedrijven die werken om ons online veilig te houden, gedwongen kunnen worden om tegen hun eigen jaren van beveiligingsvoortgang in te werken. Dit is gevaarlijk opgestelde wetgeving en ik hoop dat de Australische regering deze intrekt of uitgebreid wijzigt om Australische burgers te beschermen in plaats van in gevaar te brengen. "

Artikel bijgewerkt 21/08/2018 met bijgewerkte verklaring van DIGI

Afbeelding credits: GarryKillian / Shutterstock.com, enzozo / Shutterstock.com, hvostik / Shutterstock.com, Sergey Nivens / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me