Подробнее о законопроекте и реакции сообщества расскажем далее.
/ фото Paul Sableman CC
Новый биль является наследником предыдущих законопроектов 2014 и 2015 года, которые должны были запретить федеральным агентствам Соединенных Штатов требовать намеренного внедрения уязвимостей в технологии защиты данных. Однако они так и не были приняты.
В этом году члены Палаты представителей США Зо Лофгрен (Zoe Lofgren), Томас Масси (Thomas Massie) и другие решили вновь представить на рассмотрение Secure Data Act (в этот раз с обозначением 2018). Это очередная попытка донести мысль, которую специалисты по криптографии продвигают в течение нескольких десятилетий — безопасных бэкдоров не существует.
Члены Палаты надеются, что в этот раз им удастся успешно «продвинуть» законопроект. В начале мая они даже проводили встречу с членами Фонда электронных рубежей (EFF). На ней специалисты обсуждали технические аспекты реализации бэкдоров и последствия, к которым может привести намеренное ослабление безопасности электронных устройств.
Суть законопроекта
Как сообщают в The Register, законопроект направлен на защиту целостности систем шифрования. Он запрещает любому государственному органу требовать, чтобы производитель (разработчик или даже продавец) вносил в системы безопасности технических продуктов изменения, которые позволят получить доступ к персональной информации пользователей или осуществлять слежку.
К упомянутым продуктам относятся: программное и аппаратное обеспечение, а также другие электронные устройства, находящиеся в публичном доступе.
Помимо этого, закон запретит судам принуждать кого-либо к предоставлению доступа к данным. Однако делает исключение для телекоммуникационных провайдеров. Согласно закону США CALEA (Communications Assistance for Law Enforcement Act) от 1994 года, такие организации обязаны содействовать правоохранительным органам и при необходимости предоставлять им доступ к своим сетям передачи данных.
Как реагирует сообщество
По словам Лофгрен, устройства с бэкдорами подвергают риску пользователей, а также вредят компаниям США, поскольку «дыры» в безопасности снижают конкурентоспособность продуктов на рынке. C Лофгрен соглашаются и представители Ассоциации производителей средств вычислительной техники и связи (CCIA). Они подчеркивают, что «уверенность пользователей в безопасности интернета играет ключевую роль в его жизнеспособности как глобального пространства для самовыражения и коммерческой деятельности».
Обычные интернет-пользователи тоже выступают за принятие Secure Data Act 2018, однако многие из них убеждены, что закон «не пройдет» и на этот раз.
Например, они вспоминают Clipper — чип со встроенным бэкдором для шифрования голосовых сообщений. Хотя тогда, в 1993-м, Clipper Chip и «не прижился». По словам группы исследователей из MIT, AT&T, Microsoft и других компаний, его внедрение подвергло бы риску пользователей и привело к повышению цен на цифровые устройства.
/ фото Valerie Everett CC
Причиной, почему законопроект может «не пройти», также является то, что против него выступают влиятельные игроки индустрии. В частности, в апреле этого года Рэй Оззи (Ray Ozzie), разработчик из Lotus Notes и бывший технический директор Microsoft, сам предложил систему, открывающую доступ к зашифрованным данным мобильных устройств. Он даже получил на неё патент.
Однако, предложение Оззи раскритиковали другие участники индустрии. По мнению Роберта Грэма (Robert Graham) из команды ИБ-исследователей Errata Security, его [Оззи] инициатива не привносит ничего нового, а предлагает решение для давно разрешенных задач. Грэм утверждает, что специалисты и так в курсе, как создавать бэкдоры. Сейчас основная задача — защитить эти бэкдоры, и у Оззи нет её решения.
Мэттью Грин (Matthew Green), специалист по криптографии и профессор Университета Джонса Хопкинса, также подверг предложение Рэя Оззи жесткой критике, равно как и специалист по безопасности и технический директор IBM Resilient Брюс Шнайер (Bruce Schneier). Он сказал, что внедрение таких систем приведет к разрушительным последствиям в долгосрочной перспективе.
Поэтому в сложившейся ситуации сложно спрогнозировать, будет ли одобрен предложенный законопроект. Но какое бы решение ни было принято, оно едва ли станет единогласным.
Комментариев нет:
Отправить комментарий