2017年,澳大利亚政府开始嘀咕一项新法案将使技术和通信公司帮助当局破解加密信息成为法律要求。特恩布尔政府表示,获取加密信息已成为恐怖分子调查和其他高级刑事案件中至关重要的必要条件。
当时,当局声称警方在调查过程中截获的信息中有 90% 都受到某种形式的加密保护。去年,据称加密技术阻碍了警方对大约 200 起案件的调查。
现在,一项法案提案草案已经发布,其中列出了澳大利亚处理这些麻烦的加密消息的计划。新发布的文件标题为2018 年电信及其他立法修正案(协助和接入)法案 [PDF]这是一项非常令人担忧且自相矛盾的立法。
澳大利亚法律与数学定律
尽管安全的端到端加密(e2e)如果没有某种后门就无法被拦截,但澳大利亚政府坚持认为这就是新立法的运作方式。
在周二向媒体发表的声明中,澳大利亚执法和网络安全部长安格斯·泰勒声称,新立法将“允许执法和拦截机构在不损害网络安全的情况下访问特定通信。”
泰勒表示,该立法“明确禁止”在安全加密通信上实施任何“系统性弱点或系统性漏洞”。
“这些改革将允许执法和拦截机构在不损害网络安全的情况下访问特定通信。这些措施明确防止加密削弱或引入所谓的后门。”
如果真是这样,澳大利亚政府可能还得卧床不起,因为这意味着该法案明确禁止实际存在的唯一破解 e2e 加密的机制。
克里斯托弗·帕森斯 (Christopher Parsons),研究员公民实验室多伦多大学告诉 eeshanaviation.com:
“虽然澳大利亚政府最近提出的法案声称不能强迫企业在其软件和流程中添加‘系统性’弱点,但政府机构将被允许强迫企业有选择地削弱为某些人提供的安全性。此类弱点可能包括可以被政府机构解密的不太强大的加密,或者全面删除针对目标人员的加密。”
行业援助
那么,澳大利亚当局预计如何完成这项看似不可能的任务呢?相互冲突的监控法案第 15 部分提出了三种“工具”,高级安全官员将用于向通信提供商请求信息。第一个是自愿的“技术援助请求”,鼓励科技和电信公司自愿交出加密消息的内容(继续吧,儿子,你知道你想这样做)。
下一个工具是“技术援助通知”,如果公司已经具备解密信息的技术能力,它会强制公司合作解密信息。
第三个也是最令人印象深刻的工具是称为“技术能力通知”的强制性要求。该搜查令本质上将迫使“通信提供商”开发能力,为澳大利亚当局提供其所需的加密消息访问权限。
立法冲突
对安全端到端加密的理解立即揭示了澳大利亚拟议立法的问题。出于所有意图和目的,“技术能力通知”是要求提供商在其加密平台中创建后门的请求。
科技公司应该能够破解自己的加密——而不削弱加密或创建后门——的想法在技术上是不可行的。数字权利观察主席蒂姆·辛格尔顿·诺顿 (Tim Singleton Norton) 对此进行了最好的总结,他指出“在不破坏底层平台的情况下访问加密消息”是“荒谬的”。
影响广泛
那么这项新法律将适用于谁呢?这解释性文件与该法案草案一起发布的(ED)明确表示,其新法律将适用于所有“国内外通信提供商、设备制造商、组件制造商、应用程序提供商以及传统运营商和运输服务提供商”。
因此,该法案将适用于苹果、谷歌、微软、Facebook、Whatsapp、Open Whisper (Signal)、Telegram 以及其他提供 e2e 加密的加密消息服务或硬件。事实上,ED 指出,电子邮件帐户和物理设备存储也将被视为解密游戏。
对于科技公司来说,其动机是由消费者对私人通信的渴望驱动的,这项政策势必会引起不和谐。 Nicole Buskiewicz,董事总经理数码,代表 Facebook、谷歌、Twitter、Oath 和亚马逊的公司告诉 eeshanaviation.com:
“保护公众是政府和行业的首要任务。但其中包括保护公众的隐私和数据免受攻击,这可能是该法案的意外后果。现实情况是,创造安全漏洞,即使它们是为了打击犯罪而建立的,也会让我们所有人都容易受到犯罪分子的攻击。这可能会对个人、企业、公共安全和更广泛的经济产生毁灭性影响。我们对这项立法缺乏司法监督和制衡感到极为关切。
“该行业还制定了一套全球原则呼吁包括澳大利亚在内的世界各国政府采取符合隐私、言论自由和法治既定规范的监控法律和做法。我们希望随着该法案继续在议会取得进展,与政府围绕这些原则进行建设性的公开对话。”
加密损坏
澳大利亚政府似乎没有完全理解的是,当您为当局创建对加密消息的访问权限时,您也会产生一个可能被不受欢迎的第三方利用的漏洞;例如网络犯罪分子和国家支持的黑客。
可靠的端到端加密通过使用无法简单撤销的数学加密原理来工作。这意味着,为了遵守技术能力通知,公司确实需要在其加密中创建一个弱点 - 又名 - 后门。
绿党数字版权发言人乔丹·斯蒂尔-约翰最近公开解释说:
“无论从哪个角度来看,这都是一个非常有问题的问题,因为如果端到端加密工作正常,那么你就在立法公司去做不可能的事情。如果数据已被正确加密,则无法访问数据。
“为了遵守澳大利亚法律,公司将被迫破坏自己的加密技术,从而损害用户数据的隐私和安全。
“很简单,这将需要监视代码、密钥托管或其他一些解密数据的后门方法,以便在澳大利亚政府出示搜查令时可以移交数据。”
澳大利亚的立法草案现可供公众讨论,截止日期为 2018 年 9 月 10 日。届时,该法案将在提交澳大利亚议会之前考虑修正案。任何想要表达担忧的人草案可将意见提交至:[电子邮件受保护]
eeshanaviation.com 鼓励澳大利亚人站起来反对这项令人震惊的立法。正如公民实验室的帕森斯指出的那样:
“如果这项立法未经修改就通过成为法律,它可能会严重削弱公众对其通信以及日常生活中使用的通信产品的安全性和完整性的信任。此外,它可能会破坏业界多年来为开发和生产最安全的产品和服务而辛苦付出的努力,因为那些致力于确保我们在线安全的公司可能会被迫违背自己多年的安全进展。这是一项危险的立法,我希望澳大利亚政府要么撤回或对其进行广泛修改,以保护而不是危害澳大利亚公民。”
文章于 2018 年 8 月 21 日更新,包含 DIGI 的更新声明
图片来源:GarryKillian/Shutterstock.com,enzozo/Shutterstock.com、hvostik/Shutterstock.com、Sergey Nivens/Shutterstock.com