В прошлый раз мы поговорили о том, кто и где ведет наиболее активную борьбу со сквозным шифрованием. Одни из «лидеров» в этом процессе — структуры Великобритании. Но они не одиноки в своих начинаниях, и сегодня мы обсудим опыт их «коллег» из других стран.
«Вверх тормашками»
Австралия в некоторой степени двигается впереди всех остальных стран. Там закон, накладывающий ограничения на работу с end-to-end, действует с 2018 года. Местные компании, владеющие мессенджерами и другими ИТ-продуктами обязаны предоставлять дешифрованные данные по запросу правоохранителей. Если такой возможности у них нет, они должны найти вариант, чтобы обеспечить доступ — фактически внедрить что-то вроде бэкдора.
Помимо влияния на деятельность компаний закон распространяется и на граждан — например, наделяет австралийских полицейских новыми полномочиями. Они могут потребовать от подозреваемых разблокировать личные мобильные устройства и изучить переписку. За отказ в содействии грозит уголовное наказание. Однако правоохранители говорят, преступники стали чаще сотрудничать со следствием, что позволяет быстрее раскрывать преступления.
Требования к механизму раскрытия информации все еще уточняют — Министерство внутренних дел страны до сих пор обсуждает варианты реализации MITM с представителями ИТ-индустрии — и пока неизвестно, когда будет утвержден какой-либо технический регламент.
В то же время эта критика со стороны правозащитных организаций и некоторых правительственных агентств не умолкает. Также в поддержку технологии шифрования высказался бывший премьер-министр Австралии и один из инициаторов «антишифровального» закона. Кажется, он переменил свое мнение на счет end-to-end’а и заявил, что тут речь может идти и о защите инфраструктуры страны от бэкдоров в железе иностранных вендоров.
С учетом этих событий есть основания полагать, что некоторые аспекты австралийского закона, ограничивающие E2E, могут быть пересмотрены. Но неизвестно в какую сторону.
Американская неспешность
Конгресс США уже несколько месяцев рассматривает поправки для закона «Об этикете в средствах коммуникации». Сейчас он снимает ответственность с медийных площадок и соцсетей за содержание материалов, размещенных пользователями. Однако авторы поправок считают, что компании злоупотребляют этим правом и делают недостаточно для борьбы с запрещённым контентом. Если изменения вступят в силу, то ИТ-бизнес должен будет проходить регулярный аудит алгоритмов и методов фильтрации контента, а также выполнять требования отдельных штатов. Одним из них может стать запрет end-to-end и установка «бэкдоров».
Пока что вопрос с принятием поправок отложен, так как документ подвергается критике со стороны общественности. Так, против него выступили разработчики Signal — по этой теме выходил материал на Хабре. Для этого мессенджера end-to-end шифрование — основополагающая технология и новым требованиям он не сможет соответствовать.
Однако сенаторы подготовили еще один удар по шифрованию в конце 2020-го. Это — LAED Act или Lawful Access to Encrypted Data. Согласно законопректу, ИТ-сервисы с аудиторией более миллиона пользователей должны будут по запросу предоставлять правоохранителям доступ к информации на серверах и передающейся между устройствами клиентов. Пока он находится на самых ранних этапах рассмотрения, и еще рано говорить, как активно его будут продвигать сенаторы. Но эксперты из Electronic Frontier Foundation уже предупредили — законопроект потребует от владельцев сервисов установки «правительственных» бэкдоров.
Запрет end-to-end — не панацея
Эксперты предупреждают, что запрет сквозного шифрования скорее всего не только не повысит безопасность в сети, но и приведет к обратному эффекту. Предлагаемые западными регуляторами решения и установка бэкдоров — это «точки уязвимости», которые способны привести к утечкам персональных данных. Нельзя гарантировать, что «эксплойты» навсегда останутся в руках правоохранителей — известны случаи, когда они утекали в сеть.
В то же время ИТ-сообщество и специалисты по ИБ продолжают говорить о других — более прозрачных — методах борьбы с распространением вредоносного контента в сети. Примером может быть поиск подозрительных аккаунтов в социальных сетях по метаданным. К слову, этот метод уже использует WhatsApp и блокирует более 300 тыс. аккаунтов ежемесячно.
Какое влияние подобные инициативы окажут на социальные сети и мессенджеры на мировом уровне, можно будет пронаблюдать уже в ближайшем будущем.
Дополнительное чтение:
Serge78rus
Я так понимаю, что муссирование подобной информации — это подготовка нас к аналогичным законодательным инициативам со ссылкой на «общемировую практику».
ky0
Ага, нашли, что перенимать…
dmitrykabanov
Ага, а посты про spacex на Хабре — подготовка к выходу из МКС и развитию своей станции?
ky0
Ну, посты про SpaceX-то не в блоге Роскосмоса публикуют, в отличие от нашего случая :)
ptr128
Вряд ли. Не та целевая аудитория. Вот когда начнут сериалы снимать о том, как доблестная полиция чудом успела спасти ребенка от педофила или предотвратить теракт только благодаря тому, что удалось расшифровать переписку — это будет обозначать подготовку.
Serge78rus
В Питере по 5 каналу уже несколько лет идет сериал «След». Он как будто прямо-таки снят по мотивам Вашего комментария.
bilayan
Это же калька на «Кости», наш конечно потопорнее сделан, но с фантастикой в обоих сериалах на одном уровне (у нас даже поменьше перегибов).
in_heb
Нет, просто сейчас dpi железки всё хуже и хуже классифицируют трафик и вендоры dpi уже потирают руки на этих запретах, гос-mitm'ах и прочем. Проще говоря, такие компании как vasexperts лоббируют всевозможные меры, связанные с нарушением приватности пользователей
romancelover
Мне интересно было бы узнать эффективность закона Яровой. Его приняли уже несколько лет назад, и кучу денег вбухали. Почему тогда так сейчас распространены телефонные мошенничества? По идее с помощью закона Яровой бороться с ними можно было бы сравнительно просто, в телефонных сетях объём данных сравнительно небольшой, шифрования нет, по подозрению в мошенничестве или другом преступлении правоохранительные органы могут быстро поднять записи разговоров, в автоматическом режиме их превратить в текст, распознать голоса и быстро вывести на чистую воду всех мошенников. Сейчас технические возможности уже для этого есть.
Но почему-то я не слышал о повышении эффективности борьбы с мошенниками и другими преступниками даже с помощью записей телефонных разговоров (в режиме всеобщей записи, а не только по выбранным номерам), телефонные мошенничества стали только более распространёнными. Тем более сомнительной кажется затея хранить записи интернет-трафика, с большими объёмами и шифрованием.
Пользователи услуг связи заплатили за этот закон повышением тарифов, они должны знать о том, на что пошли их деньги. А если деньги пошли зря, и никакой существенной выгоды общество не получило — оно может требовать отмены этого закона, желательно ещё наказания его авторов и лоббистов за растрату.