Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять]

    В середине мая члены Конгресса США представили законопроект, который получил название Secure Data Act 2018. Он запретит правительству и государственным структурам требовать от производителей технических устройств встраивать в свои продукты бэкдоры. Принуждения нельзя будет добиться даже через суд.

    Подробнее о законопроекте и реакции сообщества расскажем далее.


    / фото Paul Sableman CC

    Новый биль является наследником предыдущих законопроектов 2014 и 2015 года, которые должны были запретить федеральным агентствам Соединенных Штатов требовать намеренного внедрения уязвимостей в технологии защиты данных. Однако они так и не были приняты.

    В этом году члены Палаты представителей США Зо Лофгрен (Zoe Lofgren), Томас Масси (Thomas Massie) и другие решили вновь представить на рассмотрение Secure Data Act (в этот раз с обозначением 2018). Это очередная попытка донести мысль, которую специалисты по криптографии продвигают в течение нескольких десятилетий — безопасных бэкдоров не существует.

    Члены Палаты надеются, что в этот раз им удастся успешно «продвинуть» законопроект. В начале мая они даже проводили встречу с членами Фонда электронных рубежей (EFF). На ней специалисты обсуждали технические аспекты реализации бэкдоров и последствия, к которым может привести намеренное ослабление безопасности электронных устройств.

    Суть законопроекта


    Как сообщают в The Register, законопроект направлен на защиту целостности систем шифрования. Он запрещает любому государственному органу требовать, чтобы производитель (разработчик или даже продавец) вносил в системы безопасности технических продуктов изменения, которые позволят получить доступ к персональной информации пользователей или осуществлять слежку.

    К упомянутым продуктам относятся: программное и аппаратное обеспечение, а также другие электронные устройства, находящиеся в публичном доступе.

    Помимо этого, закон запретит судам принуждать кого-либо к предоставлению доступа к данным. Однако делает исключение для телекоммуникационных провайдеров. Согласно закону США CALEA (Communications Assistance for Law Enforcement Act) от 1994 года, такие организации обязаны содействовать правоохранительным органам и при необходимости предоставлять им доступ к своим сетям передачи данных.

    Как реагирует сообщество


    По словам Лофгрен, устройства с бэкдорами подвергают риску пользователей, а также вредят компаниям США, поскольку «дыры» в безопасности снижают конкурентоспособность продуктов на рынке. C Лофгрен соглашаются и представители Ассоциации производителей средств вычислительной техники и связи (CCIA). Они подчеркивают, что «уверенность пользователей в безопасности интернета играет ключевую роль в его жизнеспособности как глобального пространства для самовыражения и коммерческой деятельности».

    Обычные интернет-пользователи тоже выступают за принятие Secure Data Act 2018, однако многие из них убеждены, что закон «не пройдет» и на этот раз.

    Например, они вспоминают Clipper — чип со встроенным бэкдором для шифрования голосовых сообщений. Хотя тогда, в 1993-м, Clipper Chip и «не прижился». По словам группы исследователей из MIT, AT&T, Microsoft и других компаний, его внедрение подвергло бы риску пользователей и привело к повышению цен на цифровые устройства.


    / фото Valerie Everett CC

    Причиной, почему законопроект может «не пройти», также является то, что против него выступают влиятельные игроки индустрии. В частности, в апреле этого года Рэй Оззи (Ray Ozzie), разработчик из Lotus Notes и бывший технический директор Microsoft, сам предложил систему, открывающую доступ к зашифрованным данным мобильных устройств. Он даже получил на неё патент.

    Однако, предложение Оззи раскритиковали другие участники индустрии. По мнению Роберта Грэма (Robert Graham) из команды ИБ-исследователей Errata Security, его [Оззи] инициатива не привносит ничего нового, а предлагает решение для давно разрешенных задач. Грэм утверждает, что специалисты и так в курсе, как создавать бэкдоры. Сейчас основная задача — защитить эти бэкдоры, и у Оззи нет её решения.

    Мэттью Грин (Matthew Green), специалист по криптографии и профессор Университета Джонса Хопкинса, также подверг предложение Рэя Оззи жесткой критике, равно как и специалист по безопасности и технический директор IBM Resilient Брюс Шнайер (Bruce Schneier). Он сказал, что внедрение таких систем приведет к разрушительным последствиям в долгосрочной перспективе.

    Поэтому в сложившейся ситуации сложно спрогнозировать, будет ли одобрен предложенный законопроект. Но какое бы решение ни было принято, оно едва ли станет единогласным.

    О чем еще мы пишем в корпоративном блоге 1cloud:

    1cloud.ru 130,72
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией
    Комментарии 12

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое