Australien Håber, at Stærke Arm Tech Virksomheder Til at Give Op, At Ædle Krypteret Data

Foto: AP

Sidste år, Australske Premierminister Malcolm Turnbull blev genstand for latterliggørelse, når han insisterede på sit lands love, ville “sejre” i en krig med matematik til at sikre en retshåndhævelse adgang til krypterede data. Nu ved vi, hvad den anti-kryptering loven siger, og lovgiverne har tilsyneladende ændret taktik, men lærte meget lidt.

Ligesom justitsministeriet i Usa, Australske myndigheder kan bare ikke synes at acceptere, at de nogle gange ikke vil være i stand til at få adgang til visse data eller krypterede enheder. Tech-virksomheder, der bruger kryptering korrekt designe deres produkter, så selv de ikke har adgang til en låst enhed eller krypteret kommunikation eller filer. Stadig, agenturer, som FBI har insisteret på, at en særlig bagdør være indbygget i sikkerhed metoder, som, de siger, kun at de ville være i stand til at få adgang til. Dette er ikke praktisk muligt, fordi det bare betyder, at efterlade et sikkerhedshul, der kan findes ved nogen anden.

Men lov håndhævelse bruger frygt og skyld, som et hemmeligt våben, og når du er i tvivl, vil det altid påberåbe sig, at terrorister og pædofile at få sin måde. Udkast til ny lovgivning, der blev udgivet af den Australske Afdeling af Indre Anliggender på tirsdag, og regeringen insisterer på, at det ikke vil gå på kompromis sikkerhed, men dens regler er nødvendige for at få de onde. “I de sidste 12 måneder, 200 sager, der er opstået, hvor vores undersøgelser for alvorlige forbrydelser, der har været påvirket af vores manglende evne til at få adgang til disse data i henhold til den eksisterende lovgivning,” Cyber-Sikkerhed Minister Angus Taylor fortalte ABC Australien. “Så betyder, at risikoen her er, at kriminelle, terrorister, pædofile og narkosmuglere er at komme væk med deres forbrydelser, uden at vi bliver i stand til at holde dem til ansvar.”

Mens dens sande, at kriminelle (og politikere) kan bruge krypterede beskeder til at komme væk med forbrydelser, eksperter har konsekvent argumenteret for, at der er ikke sådan noget som en sikker bagdør. Det er et mantra i cybersecurity fællesskabet. En bagdør er intet, men et sikkerhedshul, som har brug for at blive lappet, og ikke at gøre det ville være uansvarligt. (Bare sidste år, NSA, der viste, hvordan man ikke lappe bagdøre kan give bagslag.) Men Australien mener, at det har fundet en middelvej med sin nye lovgivning.

Lovforslaget gør forskellige ændringer af den gældende lovgivning omkring ransagningskendelser, og der opstilles en trestrenget ramme for overbevisende tech virksomheder til at arbejde med håndhævelse af loven til at gendanne dine data. En begrundelse, sætter den juridiske aftaler, til almindeligt dansk, men det er for tidligt at sige, om den lovgivning, der i sig selv gør, hvad lovgiverne tror, det gør. Eksperter og offentligheden har fire uger til at læse og kommentere på det, før regningen videre til næste fase af godkendelse.

Det mest vigtige ting at vide er, at lovgivere, der insisterer på, at “de sikkerhedsforanstaltninger og begrænsninger i Lovforslaget vil sikre, at kommunikation udbydere ikke kan blive tvunget til at bygge systemiske svagheder eller sårbarheder i deres produkter, at underminere sikkerheden af kommunikation.” Det alene vil betyde, at en virksomhed kan ikke være tvunget til at bygge en bagdør ind i sine produkter.

De regler, der gælder for udenlandske og indenlandske tjenester og producenter, så alle, der vil gøre forretning i Australien ville være betinget af, at. De tre-punkts plan eskalerer ved at stille tjenester til frivilligt samarbejde til at anmode om særlige værktøjer, der stilles til de enkelte sager. Myndighederne vil for det første skal en dommerkendelse til at anmode om, hvad adgang til data, de søger, og en virksomhed vil være mulighed for at opfylde. Hvis de nægter, et Teknisk Bistand Varsel kan udstedes, der kræver, at en part “til at give bistand, de er allerede i stand til at yde det er et rimeligt forholdsmæssigt, det er praktisk og teknisk muligt.” Yderligere afslag, kan det resultere i en bøde på op til $7.2 millioner for en organisation eller $36,000 for en person.

Der er et par ting, der foregår her. For det andet stadium, det ser ud til, at regeringen er at placere et væddemål på, at nogle virksomheder, der hemmeligt har adgang til deres produkter, at de ikke ønsker at afsløre for offentligheden. Derudover, er det i håb om at få lettere adgang til kommunikation, der ikke er korrekt krypteret. Den begrundelse, cites-statistikken, at mere end “93 procent af Google’ s tjenester og data, der er krypteret.” Retshåndhævende ønsker en lettere revne på den anden 7 procent.

Efter at have talt Australiens sikkerhed minister, ABC, der er skitseret et andet eksempel:

Apple vil ikke være tvunget til at skabe en bagdør for iMessage, hvor den krypteringsnøgle, der er forskelligt for hver bruger.

Men det gør at holde en enkelt krypteringsnøgle til sin iCloud-tjenester — noget Regeringen kunne anmode om adgang til.

Vi har bedt Apple for en kommentar på den påstand, at den nemt kunne blive tvunget til at vende i løbet af data fra iCloud, hvis det er anmodet om, men ikke modtager en øjeblikkelig reaktion.

Det tredje niveau er den ene, der alle vil være at se. Myndigheder bemyndigelse til at udstede en Teknisk Kapacitet Meddelelse, der kræver “en udpeget kommunikation udbyder til at bygge en ny evne, som vil sætte dem i stand til at give bistand, der er specificeret i lovgivningen til at ASIO og aflytning agenturer.” Det vil være op til Australiens statsadvokaten at afgøre, om en anmodning er rimelige og det er teknisk muligt.

Dette er en etisk tvivlsom område, og en, at loven i sig selv kunne ophæve. Et eksempel på, hvordan dette kunne arbejde omfatter installation af malware eller anden software, der er leveret af en offentlig myndighed til en specifik enhed. Man kunne forestille sig en agent engineering en situation, hvor en mistænkt behov for at udskifte deres iPhone, og Apple, der leverer dem med en beskidt enhed. Andre eksempler, som “at give tekniske oplysninger, ligesom design specifikationer i en enhed, eller egenskaber for en tjeneste,” kunne nemt loop tilbage omkring til et argument for, at selskabet er ved at blive “tvunget til at bygge systemiske svagheder eller sårbarheder i deres produkter.”

Det er et grænsetilfælde filosofisk spørgsmål, der vil helt sikkert være sløret ud i domstolene, hvis dette lovforslag går: Hvis du medvirken regeringen i sit forsøg på at bryde din sikkerhed, er det tæller som at skabe en sårbarhed? Det er én ting for et bureau, til at henvende sig til en virksomhed, bede den om at knække en telefon, og for virksomheden at gøre sit bedste for at prøve. Det er en anden ting til at udlevere tegninger med henblik på at støtte regeringen i sin søgen efter at finde sårbarheder. Software ikke har en moralsk opfattelse, nogen, der prøver at finde et sikkerhedshul er en dårlig skuespiller.

Og lad os sige, at Apple finder en måde til at genvinde nogle specifikke data regeringen anmodninger ved at opdage en svaghed. Det kunne være, at en tid anmode om, men det ville have en forpligtelse til at lappe fejlen og starte processen tilbage ved square one.

Der er mange andre dele af denne lovgivning, at infosec fællesskab vil tage spørgsmålet med, men hvis det går, det kan være i tech virksomheder’ bedste interesse at bare kryptere helvede ud af alt. Apple, Google, Facebook, Microsoft og alle så PR-mareridt, der kommer med hemmeligt arbejde med efterretningstjenester tilbage, når Edward Snowden afsløret deres aktiviteter med NSA i 2013. Gennemførelse af end-to-end kryptering på alle måder de muligvis vil tage en masse af den ubehagelige forpligtelser ud af dem. Og der er stadig tid til, at tech-giganter til at gennemføre deres betydelig lobbyvirksomhed muskler til at skubbe tilbage på denne lovgivning helt.

[Reuters, Australske Institut for Indre Anliggender]


Date:

by