2017年,澳大利亞政府開始嘀咕一項新法案將使技術和通信公司幫助當局破解加密信息成為法律要求。特恩布爾政府表示,獲取加密信息已成為恐怖分子調查和其他高級刑事案件中至關重要的必要條件。
當時,當局聲稱警方在調查過程中截獲的信息中有 90% 都受到某種形式的加密保護。去年,據稱加密技術阻礙了警方對大約 200 起案件的調查。
現在,一項法案提案草案已經發布,其中列出了澳大利亞處理這些麻煩的加密消息的計劃。新發布的文件標題為2018 年電信及其他立法修正案(協助和接入)法案 [PDF]這是一項非常令人擔憂且自相矛盾的立法。
澳大利亞法律與數學定律
儘管安全的端到端加密(e2e)如果沒有某種後門就無法被攔截,但澳大利亞政府堅持認為這就是新立法的運作方式。
在周二向媒體發表的聲明中,澳大利亞執法和網絡安全部長安格斯·泰勒聲稱,新立法將“允許執法和攔截機構在不損害網絡安全的情況下訪問特定通信。”
泰勒表示,該立法“明確禁止”在安全加密通信上實施任何“系統性弱點或系統性漏洞”。
“這些改革將允許執法和攔截機構在不損害網絡安全的情況下訪問特定通信。這些措施明確防止加密削弱或引入所謂的後門。”
如果真是這樣,澳大利亞政府可能還得臥床不起,因為這意味著該法案明確禁止實際存在的唯一破解 e2e 加密的機制。
克里斯托弗·帕森斯 (Christopher Parsons),研究員公民實驗室多倫多大學告訴 eeshanaviation.com:
“雖然澳大利亞政府最近提出的法案聲稱不能強迫企業在其軟件和流程中添加‘系統性’弱點,但政府機構將被允許強迫企業有選擇地削弱為某些人提供的安全性。此類弱點可能包括可以被政府機構解密的不太強大的加密,或者全面刪除針對目標人員的加密。”
行業援助
那麼,澳大利亞當局預計如何完成這項看似不可能的任務呢?相互衝突的監控法案第 15 部分提出了三種“工具”,高級安全官員將用於向通信提供商請求信息。第一個是自願的“技術援助請求”,鼓勵科技和電信公司自願交出加密消息的內容(繼續吧,兒子,你知道你想這樣做)。
下一個工具是“技術援助通知”,如果公司已經具備解密信息的技術能力,它會強制公司合作解密信息。
第三個也是最令人印象深刻的工具是稱為“技術能力通知”的強制性要求。該搜查令本質上將迫使“通信提供商”開發能力,為澳大利亞當局提供其所需的加密消息訪問權限。
立法衝突
對安全端到端加密的理解立即揭示了澳大利亞擬議立法的問題。出於所有意圖和目的,“技術能力通知”是要求提供商在其加密平台中創建後門的請求。
科技公司應該能夠破解自己的加密——而不削弱加密或創建後門——的想法在技術上是不可行的。數字權利觀察主席蒂姆·辛格爾頓·諾頓 (Tim Singleton Norton) 對此進行了最好的總結,他指出“在不破壞底層平台的情況下訪問加密消息”是“荒謬的”。
影響廣泛
那麼這項新法律將適用於誰呢?這解釋性文件與該法案草案一起發布的(ED)明確表示,其新法律將適用於所有“國內外通信提供商、設備製造商、組件製造商、應用程序提供商以及傳統運營商和運輸服務提供商”。
因此,該法案將適用於蘋果、谷歌、微軟、Facebook、Whatsapp、Open Whisper (Signal)、Telegram 以及其他提供 e2e 加密的加密消息服務或硬件。事實上,ED 指出,電子郵件帳戶和物理設備存儲也將被視為解密遊戲。
對於科技公司來說,其動機是由消費者對私人通信的渴望驅動的,這項政策勢必會引起不和諧。 Nicole Buskiewicz,董事總經理數碼,代表 Facebook、谷歌、Twitter、Oath 和亞馬遜的公司告訴 eeshanaviation.com:
“保護公眾是政府和行業的首要任務。但其中包括保護公眾的隱私和數據免受攻擊,這可能是該法案的意外後果。現實情況是,創造安全漏洞,即使它們是為了打擊犯罪而建立的,也會讓我們所有人都容易受到犯罪分子的攻擊。這可能會對個人、企業、公共安全和更廣泛的經濟產生毀滅性影響。我們對這項立法缺乏司法監督和製衡感到極為關切。
“該行業還制定了一套全球原則呼籲包括澳大利亞在內的世界各國政府採取符合隱私、言論自由和法治既定規範的監控法律和做法。我們希望隨著該法案繼續在議會取得進展,與政府圍繞這些原則進行建設性的公開對話。 ”
加密損壞
澳大利亞政府似乎沒有完全理解的是,當您為當局創建對加密消息的訪問權限時,您也會產生一個可能被不受歡迎的第三方利用的漏洞;例如網絡犯罪分子和國家支持的黑客。
可靠的端到端加密通過使用無法簡單撤銷的數學加密原理來工作。這意味著,為了遵守技術能力通知,公司確實需要在其加密中創建一個弱點 - 又名 - 後門。
綠黨數字版權發言人喬丹·斯蒂爾-約翰最近公開解釋說:
“無論從哪個角度來看,這都是一個非常有問題的問題,因為如果端到端加密工作正常,那麼你就在立法公司去做不可能的事情。如果數據已被正確加密,則無法訪問數據。
“為了遵守澳大利亞法律,公司將被迫破壞自己的加密技術,從而損害用戶數據的隱私和安全。
“很簡單,這將需要監視代碼、密鑰託管或其他一些解密數據的後門方法,以便在澳大利亞政府出示搜查令時可以移交數據。”
澳大利亞的立法草案現可供公眾討論,截止日期為 2018 年 9 月 10 日。屆時,該法案將在提交澳大利亞議會之前考慮修正案。任何想要表達擔憂的人草案可將意見提交至:[電子郵件受保護]
eeshanaviation.com 鼓勵澳大利亞人站起來反對這項令人震驚的立法。正如公民實驗室的帕森斯指出的那樣:
“如果這項立法未經修改就通過成為法律,它可能會嚴重削弱公眾對其通信以及日常生活中使用的通信產品的安全性和完整性的信任。此外,它可能會破壞業界多年來為開發和生產最安全的產品和服務而辛苦付出的努力,因為那些致力於確保我們在線安全的公司可能會被迫違背自己多年的安全進展。這是一項危險的立法,我希望澳大利亞政府要么撤回或對其進行廣泛修改,以保護而不是危害澳大利亞公民。”
文章於 2018 年 8 月 21 日更新,包含 DIGI 的更新聲明
圖片來源:GarryKillian/Shutterstock.com,enzozo/Shutterstock.com、hvostik/Shutterstock.com、Sergey Nivens/Shutterstock.com