În 2017, guvernul australian a început să murmure cu privire la un nou proiect de lege care ar face o cerință legală pentru firmele de tehnologie și comunicații pentru a ajuta autoritățile să creeze mesaje criptate. Potrivit guvernului Turnbull, accesarea mesajelor criptate a devenit o necesitate vitală în investigațiile teroriste și în alte cazuri penale la nivel înalt.


La acel moment, autoritățile au susținut că 90% din mesajele interceptate de poliție în timpul investigațiilor erau protejate cu o anumită formă de criptare. În ultimul an, se susține că criptarea a împiedicat investigațiile poliției în aproximativ 200 de cazuri.

Acum, a fost publicat un proiect de proiect de lege care stabilește planurile Australiei de a trata aceste mesaje criptate supărătoare. Documentul nou publicat se intitulează Proiectul de lege pentru telecomunicații și alte modificări legislative (asistență și acces) [PDF] și constituie o legislație masivă și contradictorie..

Ușa din spate

Legile Australiei versus legile matematicii

În ciuda faptului că criptarea sigură end-to-end (e2e) nu poate fi interceptată fără un fel de backdoor, guvernul australian insistă asupra faptului că va funcționa noua legislație.

Într-o declarație făcută presei marți, ministrul australian pentru aplicarea legii și securitatea cibernetică, Angus Taylor, a afirmat că noua legislație „va permite agențiilor de aplicare a legii și interceptare să acceseze comunicații specifice fără a compromite securitatea unei rețele."

Potrivit lui Taylor, legislația „interzice în mod expres” orice „slăbiciune sistemică sau vulnerabilitate sistemică” pentru a fi adoptată pe comunicații criptate în siguranță.

"Aceste reforme vor permite agențiilor de aplicare a legii și interceptare să acceseze comunicații specifice fără a compromite securitatea unei rețele. Măsurile previn în mod expres slăbirea criptării sau introducerea așa-numitelor spate în aer liber."

Dacă acesta este cazul, guvernul australian ar fi putut să rămână în pat, pentru că înseamnă că proiectul de lege interzice în mod expres singurele mecanisme de încălcare a criptării e2e care există de fapt..

Christopher Parsons, un asociat de cercetare la Citizen Lab, Universitatea din Toronto, a declarat pentru ProPrivacy.com:

„Deși proiectul de lege propus recent de guvernul australian afirmă că întreprinderile nu ar putea fi obligate să adauge puncte slabe„ sistemice ”în software-ul și procesele lor, agențiilor guvernamentale li se va permite să oblige întreprinderile să slăbească selectiv securitatea acordată unor persoane. Astfel de puncte slabe ar putea include criptarea mai puțin robustă care ar putea fi decriptată de agențiile guvernamentale sau eliminarea completă a criptării pentru persoanele vizate. "

Citizen Lab nou

Asistență în industrie

Deci, cum se așteaptă autoritățile australiene să îndeplinească această sarcină aparent imposibilă? Partea 15 din proiectul de lege privind supravegherea în conflict propune trei „instrumente” pe care oficialii de securitate de înalt nivel le-ar folosi pentru a solicita informații furnizorilor de comunicații. Primul dintre acestea este o „solicitare de asistență tehnică” voluntară care încurajează firmele de tehnologie și telecomunicații să predea conținutul mesajelor criptate din propria lor intenție (mergeți mai departe, sunteți, știți că doriți).

Următorul instrument este un „aviz de asistență tehnică” care obligă firmele să coopereze cu decriptarea mesajelor dacă au deja capacitatea tehnică de a face acest lucru.

Al treilea și cel mai impresionant instrument este o cerere obligatorie numită „aviz tehnic de capacitate”. Acest mandat ar obliga în esență un „furnizor de comunicații” să dezvolte capacitatea de a oferi autorităților australiene accesul dorit la mesajele criptate..

Legislație în conflict

Înțelegerea criptării sigure e2e scoate la iveală imediat problema legislației propuse în Australia. „Avizul de capacitate tehnică” este, pentru toate intențiile și scopurile, o solicitare pentru furnizori de a crea o copertă din spate pe platformele de criptare ale acestora..

Ideea că firmele tehnologice ar trebui să fie capabile să creeze propria criptare - fără a slăbi această criptare sau a crea o copertă din spate - este din punct de vedere tehnic imposibil de realizat. Scaunul Digital Rights Watch, Tim Singleton Norton, a rezumat cel mai bine când a subliniat că accesarea „mesajelor criptate fără a sparge platforma de bază care le face în siguranță în primul rând” este „ridicolă”.

Digital Rights Watch

Implicații de anvergură

Deci, cui ar aplica această nouă lege? Documentul explicativ (ED) publicat alături de proiectul de lege arată clar că noua sa lege se va aplica tuturor "Furnizori de comunicații externe și interne, producători de dispozitive, producători de componente, furnizori de aplicații și transportatori tradiționali și furnizori de servicii de transport."

Deci, actul s-ar aplica pentru Apple, Google, Microsoft, Facebook, Whatsapp, Open Whisper (Semnal), Telegram și alte servicii de mesagerie criptate sau hardware care furnizează criptare e2e. De fapt, ED afirmă că conturile de e-mail și stocarea dispozitivului fizic vor fi, de asemenea, considerate joc pentru decriptare.

Pentru firmele tehnologice, ale căror motivații sunt determinate de dorințele consumatorilor de comunicații private, politica este obligată să provoace discordie. Nicole Buskiewicz, Managing Director la DIGI, firma care reprezintă Facebook, Google, Twitter, Oath și Amazon, a declarat pentru ProPrivacy.com:

"Protejarea publicului este o prioritate atât pentru guvern, cât și pentru industrie. Însă, este inclus în faptul că protejează confidențialitatea și datele publicului împotriva atacurilor, ceea ce ar fi probabil o consecință nedorită a acestui proiect de lege. Realitatea este că crearea vulnerabilităților de securitate, chiar dacă sunt construite pentru a combate criminalitatea, ne lasă pe toți deschiși la atacuri din partea criminalilor. Aceasta ar putea avea implicații devastatoare pentru indivizi, întreprinderi, siguranța publică și economia mai largă. Suntem extrem de îngrijorați de lipsa supravegherii judiciare și a controalelor și echilibrelor cu această legislație.

"De asemenea, industria a dezvoltat un set de principii globale care solicită guvernelor din întreaga lume - inclusiv Australia - să adopte legi și practici de supraveghere compatibile cu normele de confidențialitate, libera exprimare și statul de drept. Sperăm să existe un dialog constructiv și public cu Guvernul în jurul acestor principii, deoarece proiectul de lege își continuă progresul prin Parlament."

Criptare ruptă

Criptare ruptă

Ceea ce nu pare să înțeleagă pe deplin guvernul australian, este că atunci când creați acces la mesaje criptate pentru autorități, produceți și o vulnerabilitate care poate fi exploatată de către terți; cum ar fi infractorii cibernetici și hackerii sponsorizați de stat.

Criptarea solidă finală până la capăt funcționează folosind principii matematice criptografice care nu pot fi pur și simplu anulate. Acest lucru înseamnă că, pentru a respecta o notificare de capacitate tehnică, firmele ar trebui să creeze într-adevăr o slăbiciune în criptarea lor - de asemenea - un backdoor.

Purtătorul de cuvânt al drepturilor digitale pentru verdele lui, Jordon Steele-John, a trecut recent la înregistrare pentru a explica:

„Acest lucru este extrem de problematic, indiferent de modul în care îl priviți, deoarece, dacă criptarea end-to-end funcționează corect, atunci legiferați companiile pentru a face imposibilul. Nu există nicio metodă de accesare a datelor dacă acestea au fost criptate corespunzător.

„Companiile vor fi obligate să își submineze propria criptare pentru a se conforma legislației australiene, subminând astfel confidențialitatea și securitatea datelor utilizatorului.

"Pur și simplu, acest lucru va necesita coduri de supraveghere, escrow cu cheie sau alte metode de decriptare a datelor din spate pentru a permite predarea acestora dacă guvernul australian produce un mandat."

Proiectul de legislație australian este acum disponibil pentru dezbatere publică până pe 10 septembrie 2018. La acel moment, proiectul de lege va fi luat în considerare pentru modificări înainte de a-și croi drum prin Parlamentul australian. Oricine dorește să își exprime îngrijorarea cu privire la proiectul de viață poate trimite comentarii la: [email protected]

ProPrivacy.com îi încurajează pe australieni să se ridice împotriva acestei legislații alarmante. După cum subliniază Parsons de la Citizen Lab:

"În cazul în care această legislație a fost adoptată în lege, fără modificări, aceasta ar putea avea efectul de a slăbi serios și semnificativ încrederea publicului în securitatea și integritatea comunicațiilor lor și a produselor de comunicare pe care le folosesc în viața lor de zi cu zi. În plus, ar putea deranja ani buni de muncă câștigată de industrie pentru a dezvolta și produce cele mai sigure produse și servicii posibile, întrucât aceleași companii care lucrează pentru a ne păstra în siguranță online ar putea fi obligate să lucreze împotriva propriilor ani de progres în securitate. Aceasta este o legislație redactată periculos și sper că guvernul australian o retrage sau o modifică pe larg pentru a-i proteja, și nu pentru a pune în pericol cetățenii australieni. "

Articol actualizat 21/08/2018 pentru a include declarația actualizată a DIGI

Credite imagine: GarryKillian / Shutterstock.com, enzozo / Shutterstock.com, hvostik / Shutterstock.com, Sergey Nivens / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me