Правительство Великобритании хочет получать доступ, по запросу, к зашифрованным сквозным сообщениям и данным всех жителей Великобритании. Причины — борьба с серьезными преступлениями, такими как терроризм и сексуальное насилие над детьми. Конечно, правительство Великобритании не одиноко в своих стремлениях, так как другие страны также пытаются решить аналогичные проблемы в своих юрисдикциях.
Однако для обеспечения такого требования технологическим компаниям пришлось бы предоставить лазейку – что крайне маловероятно или вообще никогда не произойдет, по крайней мере, согласно текущей позиции большинства технологических компаний. Альтернативой было бы требование соответствия от конкретных разработчиков приложений, но это сработало бы только для местных приложений, привязанных к настройкам региона магазина приложений страны.
Требование невозможного
Проще говоря, ограничение сквозного шифрования на уровне одной страны по своей сути невыполнимо. Что произойдет, когда кто-то из другой страны посетит страну с ограничениями? Понадобится ли ему расшифровать данные, скачать новое приложение, удалить зашифрованный контент или использовать какой-то другой метод для соблюдения закона? Единственный способ применить такой закон был бы на границе… можете себе представить очереди на «таможне устройств»?
Эта проблема была освещена, когда Apple отозвала расширенную защиту данных (ADP) с британского рынка в феврале. Выяснилось, что правительство Великобритании выдало Apple непубличное уведомление в соответствии с Законом о следственных полномочиях, запрашивая доступ к таким данным, что потребовало бы создания бэкдора в сервисе шифрования Apple. Однако ответ Apple был недвусмысленным: «Мы никогда не создавали бэкдора или мастер-ключа ни для одного из наших продуктов или услуг, и никогда не будем». ADP использует сквозное шифрование, что означает, что только владелец учетной записи может расшифровать файлы.
Недавно WhatsApp поддержал Apple в этой борьбе. Вопрос взлома шифрования с помощью бэкдора не должен быть окутан тайной, как непубличное уведомление, выданное Apple, поскольку это касается фундаментального вопроса конфиденциальности и безопасности. Бывают моменты, когда секретность оправдана, и я уверен, что будут конкретные случаи, когда доступ к данным осуществляется с использованием законодательства, которое, в зависимости от обстоятельств, может быть сохранено в тайне. В настоящее время тех-индустрия продолжает придерживаться своих принципов предоставления клиентам продуктов для конфиденциальности и безопасности без бэкдоров, и, по моему мнению, они должны продолжать это делать.
Однако позиция правительства Великобритании заключается в том, что все люди, находясь физически в Великобритании и независимо от гражданства, должны нести ответственность перед британским судом. Удаление ADP для британских пользователей Apple не удовлетворяет этому требованию. Если вы являетесь пользователем iPhone в Великобритании, то ADP был удален, теперь он неактивен и больше недоступен вам. Метод определения того, находится ли пользователь в Великобритании, похоже, не основан на его местоположении – он, по-видимому, зависит от «страны и региона», установленных в вашей учетной записи Apple. Простое изменение страны и региона на что-либо, кроме Великобритании, снова активирует опцию включения ADP.
Есть и некоторые недостатки, например, App Store предлагает приложения только из выбранной страны и региона, поэтому вы можете не иметь возможности загрузить все нужные вам приложения. Затем вы можете включить ADP, а затем снова сменить страну, и ADP останется активным. Но если британские суды и правовая система должны применяться ко всем, кто находится в Великобритании, то они должны включать и посетителей, а не основываться на «стране и регионе». Это не так просто, однако: как только вы включите шифрование, чтобы отключить его, вам нужно будет расшифровать данные перед отключением шифрования, иначе зашифрованные данные останутся зашифрованными и нечитаемыми.
Пограничный хаос
Нереалистично требовать от всех, кто въезжает в страну, предоставить доступ к своим зашифрованным сообщениям, особенно когда они перевозят устройства из страны и региона, где нет законодательства, требующего доступа правительства к зашифрованным данным. Для применения этого на границе каждому въезжающему в страну придется расшифровать зашифрованные сквозным шифрованием данные и отключить любые приложения или функции, использующие сквозное шифрование, где нет бэкдора. Каждый пограничник должен будет стать техническим гуру, и если каждый посетитель везет два или три устройства, агенту придется тщательно проверить каждое устройство, чтобы убедиться в соблюдении правил. Другими словами, каждый пограничник сможет обрабатывать одного человека каждые несколько часов. Опять же, можете ли вы представить себе хаос и очереди на пограничном контроле?
А есть такие люди, как я. У меня два телефона, оба работают в британской сети, на одном установлена страна и регион «США», а на другом – «Великобритания». ADP доступен для активации только на одном из них. Это означает, что обойти текущее ограничение удивительно просто, и для тех, кто хочет использовать ADP, будь то по законным причинам конфиденциальности или для преступной деятельности, действительно нет никаких препятствий – им нужно лишь найти это очень простое решение.
Я предполагаю, что никогда не будет требования, которое заставит всех посетителей прекратить использовать сервисы сквозного шифрования при въезде в страну, особенно потому, что эти сервисы легальны в странах их проживания. Это просто слишком сложно реализовать. И, поскольку очень легко сделать так, чтобы казалось, будто вы находитесь где-то, кроме Великобритании, то те, кто имеет преступные намерения и хочет использовать сквозное шифрование, будут продолжать использовать сервисы, разработанные для использования в других странах, или найдут альтернативы, которые еще больше усилят их безопасность. В результате только законопослушные жители стран, применяющих такой тип законодательства, будут подвергаться доступу правительства и правоохранительных органов к своим данным, если это потребуется.
Очевидная простота обхода требования в сочетании с невозможным логистическим бременем его исполнения делают это требование, по крайней мере, на мой взгляд, совершенно непригодным для поставленной цели.
ESET считает, что надежное шифрование необходимо для защиты личной конфиденциальности, обеспечения безопасности конфиденциальных данных и предотвращения киберпреступности. Когда одно правительство предписывает ослабленное шифрование, другие могут последовать его примеру, в том числе те, у кого меньше гарантий для граждан.Мы должны найти правильный баланс: защищать конфиденциальность, одновременно предоставляя правоохранительным органам необходимые законные инструменты для обеспечения общественной безопасности. Вместо бэкдоров, которые рискуют ослабить безопасность для всех, мы поддерживаем систему, в которой правоохранительные органы могут получать доступ к данным по судебным ордерам, при поддержке надежных механизмов надзора, обеспечивающих как безопасность, так и гарантии для пользователей.
