В прошлый раз мы обсуждали алгоритмы шифрования, которые подготовят вычислительные системы к квантовому будущему. Сегодня мы в T1 Cloud решили продолжить тему и поговорить о настоящем — дать контекст, в котором технологии шифрования обсуждают на законодательном уровне в разных странах.
Кто дешифрует
В Австралии уже четыре года действует закон, который накладывает ограничения на работу со сквозным шифрованием. Местные разработчики мессенджеров и ИТ-сервисов обязаны передавать дешифрованные данные по запросу полиции, а также внедрять средства для перехвата пользовательской информации — в том числе бэкдоры. Нарушителей ждет штраф до десяти миллионов австралийских долларов.
Закон был принят четыре года назад, но его до сих пор подвергают критике. Правозащитники отмечают, что он открыл дорогу серым схемам. Так, австралийская федеральная полиция разработала «защищенный» мессенджер, распространила его в преступной среде и три года мониторила закрытые чаты. Несмотря на то что правоохранителям удалось задержать более 800 человек, многие поставили под вопрос законность подобного метода.
В то же время ИБ-специалисты продолжают говорить, что даже правительственные бэкдоры негативно отражаются на сетевой безопасности. Дополнительные точки отказа рано или поздно приведут к утечкам данных.
Под давлением общественности Комитет по вопросам безопасности все же провел ревью закона в начале года. Однако регулятор отметил, что опасения критиков касательно утечек так и не материализовались. Ответ специалистов по ИБ был закономерным — они настаивают, что это лишь вопрос времени.
На опыт австралийских коллег ориентируются в Великобритании. Однако до запретов на законодательном уровне дело пока не дошло. Политики призывают ИТ-компании предусматривать лазейки в шифровании данных, чтобы облегчить работу правоохранителям. Они готовят социальную рекламу, где упирают на то, что шифрованные мессенджеры необходимы только злоумышленникам.
Такой точки зрения придерживаются не все представители власти. Еще полгода назад в британском Управлении комиссара по информации (Information Commissioner’s Office) заявили, что шифрование защищает пользователей и бизнес от перехвата персональных данных. Поэтому пока сложно сказать, в каком направлении будет развиваться ситуация с шифрованием в стране.
Если посмотреть за океан, то законопроект, способный поставить крест на надежных механизмах шифрования, рассматривают в США. Он называется EARN IT Act, и в феврале его одобрил Юридический комитет Сената. Если инициативу примут, то мессенджеры, социальные сети и другие ИТ-компании должны будут сканировать сообщения и фотографии пользователей в поисках запрещенного контента. Реализовать задачу в контексте end-to-end физически невозможно.
Что интересно, аналогичный законопроект в прошлом месяце рассмотрели члены Еврокомиссии. Его уже подвергли критике и общественные организации, ИТ-компании и страны Евросоюза.
Другой лагерь
Инициативы регуляторов Великобритании, США и Австралии выглядят несколько удивительно. Дело в том, что еще в 2015 году Совет по правам человека Организации объединённых наций признал шифрование личных данных и анонимность в интернете неотъемлемым правом человека. Представители организации отметили, что внедрение запретов на шифрование для борьбы с потенциальной группой преступников, нарушает права гораздо большего числа людей.
В этом контексте ряд государств выступает против регулирования криптографических технологий. Например, в Германии посчитали европейскую версию EARN IT Act плохой идеей и планируют закрепить «право на шифрование» на законодательном уровне. Похоже, что в основу соответствующего документа легли формулировки, предложенные немецким обществом хакеров — Chaos Computer Club (CCC). По большей части комьюнити тепло приняло инициативу о праве на шифрование. Теперь многое будет зависеть от её практической реализации.
Разумеется, существуют и другие страны, признающие право на шифрование — они даже отмечены на специальной интерактивной карте, составленной аналитиками из Global Partners Digital (GPD). Так, канадская конституция защищает граждан от необоснованных обысков — это правило распространяется в том числе на электронные устройства и зашифрованные данные.
Ограничения на работу с end-to-end отсутствуют на Филиппинах. Более того, в стране установлены стандарты для алгоритмов шифрования, которым должны следовать государственные организации. Возможно, другие государства будут ориентироваться на их опыт.
Полный круг
Ситуацию со сквозным шифрованием и бэкдорами обсуждают уже не первое десятилетие. В США этот вопрос поднимали еще двенадцать лет назад. Представители правоохранительных органов предложили внести изменения в закон о прослушивании Communications Assistance for Law Enforcement Act (CALEA) и подвести под него интернет-трафик социальных сетей и p2p-мессенджеров. Тогда инициатива встретила серьезное сопротивление со стороны правозащитников. Они отмечали, что текст CALEA явно защищает право ИТ-компаний разрабатывать приложения с сильной криптографией.
История может повториться в случае с EARN IT Act. Правозащитные организации вроде Фонда электронных рубежей (EFF), а также некоторые сенаторы не готовы поддержать законопроект. По их словам, документ не выдерживает баланс между борьбой с преступностью и правом пользователей на защиту частной жизни и использование криптографии.
При этом эксперты не оставляют надежду, что дискуссионный австралийский закон тоже будет пересмотрен (хотя это и маловероятно). Его соблюдение обходится ИТ-сектору в миллиарды долларов. Кроме того, согласно отчету аналитической организации Internet Society, он ударил по имиджу и репутации австралийских цифровых сервисов, телекомов и провайдеров на мировой арене. Австралия одной из первых реализовала запрет на end-to-end шифрование, поэтому её опыт можно считать показательным. Если закон смягчат, на это решение определенно обратят внимание представители других государств.
Больше материалов о шифровании, криптографии и информационной безопасности в нашем блоге на Хабре. Подписывайтесь, чтобы не пропустить свежие публикации: