В прошлый раз мы обсуждали алгоритмы шифрования, которые подготовят вычислительные системы к квантовому будущему. Сегодня мы в T1 Cloud решили продолжить тему и поговорить о настоящем — дать контекст, в котором технологии шифрования обсуждают на законодательном уровне в разных странах.
Кто дешифрует
В Австралии уже четыре года действует закон, который накладывает ограничения на работу со сквозным шифрованием. Местные разработчики мессенджеров и ИТ-сервисов обязаны передавать дешифрованные данные по запросу полиции, а также внедрять средства для перехвата пользовательской информации — в том числе бэкдоры. Нарушителей ждет штраф до десяти миллионов австралийских долларов.
Закон был принят четыре года назад, но его до сих пор подвергают критике. Правозащитники отмечают, что он открыл дорогу серым схемам. Так, австралийская федеральная полиция разработала «защищенный» мессенджер, распространила его в преступной среде и три года мониторила закрытые чаты. Несмотря на то что правоохранителям удалось задержать более 800 человек, многие поставили под вопрос законность подобного метода.
В то же время ИБ-специалисты продолжают говорить, что даже правительственные бэкдоры негативно отражаются на сетевой безопасности. Дополнительные точки отказа рано или поздно приведут к утечкам данных.
Под давлением общественности Комитет по вопросам безопасности все же провел ревью закона в начале года. Однако регулятор отметил, что опасения критиков касательно утечек так и не материализовались. Ответ специалистов по ИБ был закономерным — они настаивают, что это лишь вопрос времени.
На опыт австралийских коллег ориентируются в Великобритании. Однако до запретов на законодательном уровне дело пока не дошло. Политики призывают ИТ-компании предусматривать лазейки в шифровании данных, чтобы облегчить работу правоохранителям. Они готовят социальную рекламу, где упирают на то, что шифрованные мессенджеры необходимы только злоумышленникам.
Такой точки зрения придерживаются не все представители власти. Еще полгода назад в британском Управлении комиссара по информации (Information Commissioner’s Office) заявили, что шифрование защищает пользователей и бизнес от перехвата персональных данных. Поэтому пока сложно сказать, в каком направлении будет развиваться ситуация с шифрованием в стране.
Если посмотреть за океан, то законопроект, способный поставить крест на надежных механизмах шифрования, рассматривают в США. Он называется EARN IT Act, и в феврале его одобрил Юридический комитет Сената. Если инициативу примут, то мессенджеры, социальные сети и другие ИТ-компании должны будут сканировать сообщения и фотографии пользователей в поисках запрещенного контента. Реализовать задачу в контексте end-to-end физически невозможно.
Что интересно, аналогичный законопроект в прошлом месяце рассмотрели члены Еврокомиссии. Его уже подвергли критике и общественные организации, ИТ-компании и страны Евросоюза.
Другой лагерь
Инициативы регуляторов Великобритании, США и Австралии выглядят несколько удивительно. Дело в том, что еще в 2015 году Совет по правам человека Организации объединённых наций признал шифрование личных данных и анонимность в интернете неотъемлемым правом человека. Представители организации отметили, что внедрение запретов на шифрование для борьбы с потенциальной группой преступников, нарушает права гораздо большего числа людей.
В этом контексте ряд государств выступает против регулирования криптографических технологий. Например, в Германии посчитали европейскую версию EARN IT Act плохой идеей и планируют закрепить «право на шифрование» на законодательном уровне. Похоже, что в основу соответствующего документа легли формулировки, предложенные немецким обществом хакеров — Chaos Computer Club (CCC). По большей части комьюнити тепло приняло инициативу о праве на шифрование. Теперь многое будет зависеть от её практической реализации.
Разумеется, существуют и другие страны, признающие право на шифрование — они даже отмечены на специальной интерактивной карте, составленной аналитиками из Global Partners Digital (GPD). Так, канадская конституция защищает граждан от необоснованных обысков — это правило распространяется в том числе на электронные устройства и зашифрованные данные.
Ограничения на работу с end-to-end отсутствуют на Филиппинах. Более того, в стране установлены стандарты для алгоритмов шифрования, которым должны следовать государственные организации. Возможно, другие государства будут ориентироваться на их опыт.
Полный круг
Ситуацию со сквозным шифрованием и бэкдорами обсуждают уже не первое десятилетие. В США этот вопрос поднимали еще двенадцать лет назад. Представители правоохранительных органов предложили внести изменения в закон о прослушивании Communications Assistance for Law Enforcement Act (CALEA) и подвести под него интернет-трафик социальных сетей и p2p-мессенджеров. Тогда инициатива встретила серьезное сопротивление со стороны правозащитников. Они отмечали, что текст CALEA явно защищает право ИТ-компаний разрабатывать приложения с сильной криптографией.
История может повториться в случае с EARN IT Act. Правозащитные организации вроде Фонда электронных рубежей (EFF), а также некоторые сенаторы не готовы поддержать законопроект. По их словам, документ не выдерживает баланс между борьбой с преступностью и правом пользователей на защиту частной жизни и использование криптографии.
При этом эксперты не оставляют надежду, что дискуссионный австралийский закон тоже будет пересмотрен (хотя это и маловероятно). Его соблюдение обходится ИТ-сектору в миллиарды долларов. Кроме того, согласно отчету аналитической организации Internet Society, он ударил по имиджу и репутации австралийских цифровых сервисов, телекомов и провайдеров на мировой арене. Австралия одной из первых реализовала запрет на end-to-end шифрование, поэтому её опыт можно считать показательным. Если закон смягчат, на это решение определенно обратят внимание представители других государств.
Больше материалов о шифровании, криптографии и информационной безопасности в нашем блоге на Хабре. Подписывайтесь, чтобы не пропустить свежие публикации:
Комментарии (8)
titbit
24.08.2022 21:04+6Как таковое право на передачу шифрованных данных отобрать нельзя, потому что тогда придется отобрать вообще возможность связи. А пока хоть какая-то возможность связи есть — всегда можно будет передать данные так, что третья сторона ничего не поймет. Сделать это массово, чтобы пользоваться вообще не включая голову, может быть и сложно, но в каждом конкретном частном случае — никаких проблем.
RomeoGolf
25.08.2022 05:38Тут такое дело… Возможность передавать шифрованные данные отобрать трудно, а право — легко. Например, введя наказание за то, что контролирующий орган (третья сторона) «вообще ничего не понял». Ну и дальнейшее развитие ситуации — двойной штраф с обоснованием: «вы передали файл с фото, в младших разрядах мы обнаружили (уверены, что обнаружили) стеганографическое скрытое сообщение, но не смогли его расшифровать. Вот вам за стеганографию, а вот за шифровку.»
titbit
25.08.2022 08:30+2Так я про это и говорю: если вы в каждом сообщении будете подозревать скрытый смысл, значит ничего вообще передать будет нельзя. Вариант с «вообще ничего понял, поэтому штраф» — это тоже самое по сути. Впрочем, я думаю технически запрет на связь невозможен в современном мире, слишком уж многое на это завязано.
p.s. вспомните про «над всей Испанией безоблачное небо» — лингвистически фраза понятна всем, однако скрытый смысл у нее другой, и такой смысл можно вложить в любое слово.RomeoGolf
25.08.2022 13:25Запрещать — это самый простой способ решать проблемы. Не решить, а решать — это важно. Результат на самом деле не очень интересует, зато процесс идет, полезность деятеля очевидна. И пофигу, что сухой закон приводит к бутлегерской мафии, причем закон потом отменяют, а мафия остается. И пофигу, что от запретов на курение и нарушение тишины ночью еще никто* не бросил курить и барагозить ночами, ибо нормального механизма исполнения нет. Просто запретить «они» могут, а больше ничего не могут.
Плюс «полезный» побочный эффект от введения запрета: помимо процесса решения проблемы получается определенный правовой фон, который можно использовать,
это насчет технической невозможности запрета на связь, вот пример:
на моем предыдущем месте работы еще с момента основания фабрики (конец сороковых прошлого века) был введен (и не отменен до сих пор) запрет на пронос средств радиоприема и радиопередачи. Однако мобильники носили все. С некоторых пор запретили смартфоны. Но, во-первых, многие все равно носят, во-вторых, кнопочные носить как бы даже можно. Хотя запрещено. Но как бы можно. Это очень удобно всем участникам процесса. С одной стороны люди делают так, как им хочется. С другой стороны те самые «они» это знают, и если что, могут любого взять за тестикулы. Или «нематериально поощрить» — не наказывать, хотя есть за что, разумеется, внушительно оповестив об этом.Cuius testiculos habes, habeas cardia et cerebellum
Так что при желании и соответствующей подаче запретить можно вообще все, а применять запрет очень выборочно. И чем реже он применяется, тем легче к нему будет относиться целевая аудитория.
* простите за квантор всеобщности. Может быть, несколько человек и бросили. Но лично я не встречал, чтобы именно по этой причине, и сомневаюсь в такой возможности очень сильно…
svr_91
25.08.2022 07:59Право на передачу - не единственный момент, который есть в этой системе. Можно, например, сказать: "передать вы передали, а теперь будь добр, предоставь ключ расшифровки"
titbit
25.08.2022 09:09Ну тогда надо судить и за убийство. Руки-то есть, значит убить мог, труп спрятал где-то, значит признавайся кого убил в этот раз и как. Это тупиковый путь означающий полный подрыв доверия между всеми. На такую глупость могут пойти только «богатые буратины», потому что это дорого обходится, о чем в статье и говорится, например, про потери в той же Австралии. Ну а злоумышленников это не остановит, хотя бы потому, что они на то и злоумышленники что плевать хотели на эти законы.
И потом, ведь даже если вам откроют «двойное дно» сообщения, вы ведь тут же скажете, что там обязательно есть тройное! И так до бесконечности. Так что даже предоставлять все ключи от всех возможных шифров не поможет решить эту проблему в принципе — из-за тотального недоверия всегда останется шанс, что вас обманули.
garwall
26.08.2022 14:24Инициативы регуляторов Великобритании, США и Австралии выглядят несколько удивительно.
С чего бы? В отношении UK и Австралии - это их последовательная позиция уже десятилетия.
anonym0use
> шифрованные мессенджеры необходимы только злоумышленникам.
Тотальная слежка нужна только людоедам