На прошлой неделе пара сенаторов США в Судебном комитете Сената, Линдси Грэм (R-SC) и Ричард Блюменталь (D-CT), представили законодательный акт под названием «Закон об устранении оскорбительного и безудержного пренебрежения интерактивными технологиями». ЗАСЛУЖИ ЭТО). Закон, якобы предназначенный для подавления безудержной деятельности по эксплуатации детей в Интернете, вызвал критику со стороны групп за гражданские права, защитников свободы слова и специалистов по кибербезопасности во время обсуждения проекта. Большинство наблюдателей заявили, что это скрытая атака на сквозное шифрование. Выпуск официальной версии законопроекта только усилил этот страх.
Содержание статьи
Что содержится в законопроекте EARN-IT?
Законодательство на 65 страницах обещает устранить так называемый правовой раздел 230 Технологии защиты информации и интернет-компании, которые не соответствуют рекомендациям о том, как искоренить материалы по эксплуатации детей. Эти рекомендации будут сделаны Национальной комиссией по предотвращению сексуальной эксплуатации детей в составе 19 человек. Компании могут «заработать» свои освобождения от ответственности, предоставляемые в соответствии с разделом 230 Закона о приличии в сфере коммуникаций, необходимой защиты, которая обеспечила рост онлайн-платформ, таких как Facebook, Twitter и Google, если они выполнят рекомендации комиссии о том, как бороться с материалами о сексуальном насилии над детьми CSAM).
В законопроекте говорится, что в состав комиссии должны входить генеральный прокурор, главы Департамента внутренней безопасности (DHS) и Федеральная торговая комиссия (FTC), два члена с «текущим опытом в вопросах, связанных с к конституционному праву, защите прав потребителей или конфиденциальности »и двух членов с опытом работы в« информатике или разработке программного обеспечения, связанных с вопросами криптографии, безопасности данных или искусственного интеллекта в неправительственном качестве ». В законопроекте говорится, что в комиссию также должны входить четыре члена, которые «имеют опыт оказания услуг жертвам для жертв эксплуатации детей» или являются жертвами сексуальной эксплуатации детей в Интернете ».
Комиссии будет поручено разработать практику по как бороться с сексуальной эксплуатацией детей в Интернете, всего лишь 14 голосов, необходимых для принятия наилучшей практики. Генеральный прокурор, наряду с главами DHS и FTC, одобрит каждую наилучшую практику. Практики могут состоять из таких вещей, как сканирование медиа контента для оскорбительные изображения или мониторинг сообщений между подозреваемыми лицами, совершившими жестокое обращение с детьми, и потенциальными жертвами.
EARN-IT специально не запрещает шифрование — цель, безуспешно преследуемая правоохранительными органами США со времен администрации Клинтона, и в настоящее время серьезно воспринимаемая Генеральным прокурором США. Уильям Барр. Тем не менее, многие общественные организации и эксперты по безопасности выступили и осудили законопроект, потому что это скрытое средство запрета конец шифрования.
В своем заявлении старший законодательный советник ACLU Кейт Руэйн сказала: «Закон ЗАРАБОТАТЬ это угрожает безопасности активистов, жертв насилия в семье и миллионов других, которые каждый день полагаются на надежное шифрование. Из-за безопасности и защиты, обеспечиваемой шифрованием, Конгресс неоднократно отклонял законодательство, которое могло бы создать черный ход ".
" Законопроект, направленный на борьбу с распространением материалов о сексуальном насилии над детьми в Интернете, подрывает не только шифрование и безопасность интернет-коммуникаций, а также будущих правоохранительных расследований в отношении хищников детей », — заявил Центр демократии и технологий в ответ на введение законопроекта.
Мэтью Грин, криптограф и профессор в Университете Джонса Хопкинса назвал законопроект «прямой атакой на сквозное шифрование» и написал в своем блоге, что он «представляет собой изощренную и прямую правительственную атаку на право американцев общаться конфиденциально. Я не могу подчеркнуть, насколько опасен этот законопроект, хотя другие пытались. "
Несмотря на законопроект, упоминающий криптографию только один раз (с точки зрения видов специалистов по информатике, названных в пропущено), консенсус среди экспертов заключается в том, что генеральный прокурор Барр настаивает на том, что его неудачные попытки добиться успеха в том, что он называет «законным доступом» к зашифрованным сообщениям, но то, что большинство экспертов называют закулисными бэкдорами. Бэкдоры шифрования сломают цепочку безопасности не только для правоохранительных органов в их охоте на преступников, но также позволят преступникам и шпионам подключиться к тому, что сейчас является частной и защищенной связью.
ЗАРАБАТЫВАЙТЕ ИТ стимулирует компании отказаться от сквозного конец шифрования
Таким образом, компоненты бэкдора шифрования обернулись достойной причиной борьбы с детской эксплуатацией и выдвигают финансовый стимул для исключений раздела 230, чтобы вынудить технические компании добровольно отказаться от сквозного шифрования. Мысль идет о том, что технологические и интернет-компании не смогут выполнить рекомендации комиссии, не отказавшись от шифрования, потому что они не смогут идентифицировать большую часть CSAM, проходящего через их сервисы. Поэтому они будут вынуждены в финансовом отношении отказаться от сквозного шифрования, чтобы заработать свою юридическую неприкосновенность.
«Очевидно, что составители законопроектов знают, что у них огромная проблема с Четвертой поправкой, если они непосредственно предписывают меры, которые они хотят, чтобы технологические компании принимали участие, и поэтому они пытаются с этим справиться, создавая эту византийскую структуру, которая создает фикцию, что «лучшие практики» — это просто добровольные меры, которые компании могут свободно выбирать, делать или не делать », — Риан Пфефферкорн Заместитель директора по надзору и кибербезопасности в Центре Интернета и общества, рассказывает CSO.
«Этот законопроект — это черный ход, позволяющий правительству запретить шифрование коммерческих услуг», — написал профессор Грин. «И что еще более красиво, он не выходит и фактически запрещает использование шифрования; он просто делает шифрование коммерчески невозможным для развертывания основными поставщиками, гарантируя, что они обанкротятся, если попытаются не подчиниться рекомендациям этого комитета».
«Хотя мы поддерживаем предполагаемую конечную цель законопроекта по борьбе с эксплуатацией детей в Интернете, законопроект не будет эффективным в достижении этой цели, а вместо этого представляет собой попытку запретить сквозное шифрование без фактически запрещает это напрямую », — говорит CSO Лорен Саркесян, старший политический советник Института открытых технологий Новой Америки. «Без единого использования слова« шифрование »законопроект создает основу для« наилучшей практики », которая потребует от компаний отказаться от надежных услуг шифрования или понести ответственность».
Сторонники законопроекта отрицают, что закон является попыткой Запретить шифрование. В ответе на четырех страницах критикам закона авторы заявили: «ЗАРАБОТАТЬ ИТ-закон не является счетом за шифрование и не запрещает шифрование или иным образом не налагает обязательств, связанных с законным доступом к данным». В ответе также утверждается, что «передовой опыт потребует реальной поддержки со стороны технических экспертов и компаний».
«Я думаю, что это довольно неубедительный ответ на эту критику», — Ханна Куэй-де-ла-Валле, старший технолог Центр демократии и технологий, рассказывает CSO. «Состав комитета означает, что вам по-прежнему нужны только 14 из 19 членов. Вы можете полностью заблокировать членов комитета по информатике. Если бы они действительно хотели сказать, что речь идет не о шифровании, они могли бы это сделать, и они этого не сделали ».
Тайное введение требований, которые, вероятно, приведут к отказу компаний от шифрования для обеспечения защиты ответственности, кажется извилистым путем к достижению простой цели. «На мой взгляд, запутанная структура законопроекта явно преднамеренная», — говорит Пфефферкорн из Стэнфорда. «Разработчики законопроекта знают, что было бы нарушением Конституции прямое требование от технологических компаний искать CSAM в своих сервисах».
Отсутствует подобный законопроект, который следует по извилистому пути для доступа к бэкдорам шифрования. надеется, что Барр, ФБР и остальные правоохранительные органы, смогут достичь соглашения, которое устраивает все стороны? Если это так, то как бы это выглядело?
Альтернативы EARN-IT
Сенатор Рон Уайден (D-OR), как ожидается, на этой неделе представит законодательство, которое противостоит закону EARN IT, предложив больше фундаментальные решения проблемы онлайн-эксплуатации детей, такие как увеличение финансирования правоохранительных органов для борьбы с этими видами преступлений. «Это, очевидно, не доходит до того, что у Министерства юстиции есть причины желать, чтобы бэкдор выходил за рамки детской эксплуатации», — говорит Quay-de la Vallee. Но есть «абсолютно возможность сделать что-то», чтобы помочь правоохранительным органам проводить свои расследования в цифровую эпоху, например, повысить удобство использования данных, которые компании возвращают правоохранительным органам.
«Увеличение финансирования для правоохранительных органов должно быть бесспорным, и это должно было случиться много лет назад, и акт EARN IT ничего с этим не делает », — говорит CSIN президент Berin Szoka, опирающийся на либертарианскую политику.
Szoka выступает за Конгресс должен более тщательно изучить, какие изменения в практике индустрии технологий могут способствовать Конгрессу, что не противоречит обязательным неконституционным требованиям, особенно в том, что касается четвертой поправки. «Должно быть слушание, которое спрашивает, что может быть санкционировано».
«Одно предложение« среднего уровня », которое я слышал несколько раз, — это сканирование перед загрузкой на стороне клиента», — говорит Пфефферкорн. «Идея состоит в том, что перед тем, как часть контента может быть передана через сквозное зашифрованное приложение, контент должен быть отсканирован, чтобы определить, совпадает ли он в хешированной базе данных CSAM. Существуют технические препятствия для реализации этого на -устройство, плюс оно подрывает гарантии безопасности и конфиденциальности, которые пользователь ожидает от использования сквозного зашифрованного приложения. "
Тем не менее, даже этот вид компрометации может в конечном итоге потопить предложения шифрования защиты конфиденциальности. «Весь смысл сквозного шифрования заключается в том, что никто, кроме вас и вашего собеседника, не знает, какой контент обменивается», — говорит Пфефферкорн. «Проверка каждого фрагмента контента, который я хочу отправить кому-то в базу данных« черного ящика », содержание которой я не вижу, не является моей идеей конфиденциальности».
Эта история: «Является ли закон EARN-IT бэкдором? пытаться получить шифрование бэкдоров? был первоначально опубликован
CSO .
