В прошлый раз мы поговорили о том, кто и где ведет наиболее активную борьбу со сквозным шифрованием. Одни из «лидеров» в этом процессе — структуры Великобритании. Но они не одиноки в своих начинаниях, и сегодня мы обсудим опыт их «коллег» из других стран.

Фотография: David Clode. Источник: Unsplash.com
Фотография: David Clode. Источник: Unsplash.com

«Вверх тормашками»

Австралия в некоторой степени двигается впереди всех остальных стран. Там закон, накладывающий ограничения на работу с end-to-end, действует с 2018 года. Местные компании, владеющие мессенджерами и другими ИТ-продуктами обязаны предоставлять дешифрованные данные по запросу правоохранителей. Если такой возможности у них нет, они должны найти вариант, чтобы обеспечить доступ — фактически внедрить что-то вроде бэкдора.

Помимо влияния на деятельность компаний закон распространяется и на граждан — например, наделяет австралийских полицейских новыми полномочиями. Они могут потребовать от подозреваемых разблокировать личные мобильные устройства и изучить переписку. За отказ в содействии грозит уголовное наказание. Однако правоохранители говорят, преступники стали чаще сотрудничать со следствием, что позволяет быстрее раскрывать преступления.

Требования к механизму раскрытия информации все еще уточняют — Министерство внутренних дел страны до сих пор обсуждает варианты реализации MITM с представителями ИТ-индустрии — и пока неизвестно, когда будет утвержден какой-либо технический регламент.

Фотография: Florian Gagnepain. Источник: Unsplash.com
Фотография: Florian Gagnepain. Источник: Unsplash.com

В то же время эта критика со стороны правозащитных организаций и некоторых правительственных агентств не умолкает. Также в поддержку технологии шифрования высказался бывший премьер-министр Австралии и один из инициаторов «антишифровального» закона. Кажется, он переменил свое мнение на счет end-to-end’а и заявил, что тут речь может идти и о защите инфраструктуры страны от бэкдоров в железе иностранных вендоров.

С учетом этих событий есть основания полагать, что некоторые аспекты австралийского закона, ограничивающие E2E, могут быть пересмотрены. Но неизвестно в какую сторону.

Американская неспешность

Конгресс США уже несколько месяцев рассматривает поправки для закона «Об этикете в средствах коммуникации». Сейчас он снимает ответственность с медийных площадок и соцсетей за содержание материалов, размещенных пользователями. Однако авторы поправок считают, что компании злоупотребляют этим правом и делают недостаточно для борьбы с запрещённым контентом. Если изменения вступят в силу, то ИТ-бизнес должен будет проходить регулярный аудит алгоритмов и методов фильтрации контента, а также выполнять требования отдельных штатов. Одним из них может стать запрет end-to-end и установка «бэкдоров».

Пока что вопрос с принятием поправок отложен, так как документ подвергается критике со стороны общественности. Так, против него выступили разработчики Signal — по этой теме выходил материал на Хабре. Для этого мессенджера end-to-end шифрование — основополагающая технология и новым требованиям он не сможет соответствовать.

Фотография: Adolfo Felix. Источник: Unsplash.com
Фотография: Adolfo Felix. Источник: Unsplash.com

Однако сенаторы подготовили еще один удар по шифрованию в конце 2020-го. Это — LAED Act или Lawful Access to Encrypted Data. Согласно законопректу, ИТ-сервисы с аудиторией более миллиона пользователей должны будут по запросу предоставлять правоохранителям доступ к информации на серверах и передающейся между устройствами клиентов. Пока он находится на самых ранних этапах рассмотрения, и еще рано говорить, как активно его будут продвигать сенаторы. Но эксперты из Electronic Frontier Foundation уже предупредили — законопроект потребует от владельцев сервисов установки «правительственных» бэкдоров.

Запрет end-to-end — не панацея

Эксперты предупреждают, что запрет сквозного шифрования скорее всего не только не повысит безопасность в сети, но и приведет к обратному эффекту. Предлагаемые западными регуляторами решения и установка бэкдоров — это «точки уязвимости», которые способны привести к утечкам персональных данных. Нельзя гарантировать, что «эксплойты» навсегда останутся в руках правоохранителей — известны случаи, когда они утекали в сеть.

В то же время ИТ-сообщество и специалисты по ИБ продолжают говорить о других — более прозрачных — методах борьбы с распространением вредоносного контента в сети. Примером может быть поиск подозрительных аккаунтов в социальных сетях по метаданным. К слову, этот метод уже использует WhatsApp и блокирует более 300 тыс. аккаунтов ежемесячно.

Какое влияние подобные инициативы окажут на социальные сети и мессенджеры на мировом уровне, можно будет пронаблюдать уже в ближайшем будущем.


Дополнительное чтение: