Utkast till krypteringsräkning kan stava slutet på integritet och säkerhet som vi känner till det

0 Shares

öppet hänglås

Apples kamp med FBI har fokuserat teknikgemenskapens uppmärksamhet på kryptering. Men medan nästan alla de stora aktörerna i teknikvärlden stödde Apples vägran att skapa en bakdörr för FBI till iOS, har kongressen en helt annan uppfattning om hur kryptering och statlig tillgång till data ska hanteras. Detta demonstreras perfekt av en ny lagförslag.

Utkastet till lagen om överensstämmelse med domstolsbeslut från 2016 – skriven av senatorerna Diane Feinstein och Richard Burr – skulle i huvudsak tvinga alla amerikanska företag att dekryptera data de kan ha krypterat, eller att tillhandahålla bakdörrar när de blir ombedd. Det är ett lagförslag som på olika sätt beskrivs som “farligt”, “krypteringsförsvagande” och “anti-säkerhet”, och det börjar aggressivt med att “ingen person eller enhet står över lagen”. I själva verket gör det krypteringen som skapats av sådana som WhatsApp helt meningslös, eftersom företag skulle behöva dekryptera data på begäran om räkningen godkänns.

Joseph Lorenzo Hall, chefsteknolog vid Center for Democracy and Technology säger att “det är faktiskt den mest antikrypterande räkningen av alla anti-kryptoräkningar” och att den “i princip förbjuder end-to-end-kryptering”. Det som särskilt tänker på tjuren är att det skulle tvinga företag att följa dataförfrågningar från alla domstolar i landet. Utkastet säger:

Trots alla andra lagbestämmelser och utom i enlighet med punkt 2, ska en omfattad enhet som får ett domstolsbeslut från en regering för information eller data –

(A) tillhandahålla sådan information eller data till en sådan regering i ett begripligt format; eller

(B) tillhandahålla sådant tekniskt bistånd som är nödvändigt för att få sådan information eller data i ett begripligt format eller för att uppnå syftet med domstolsbeslutet.

Omnämnandet av kryptering kommer när räkningen säger:

En täckt enhet som får ett domstolsbeslut som avses i punkt 1 (A) ska ansvara för att tillhandahålla data i ett begripligt format om sådana uppgifter har gjorts oförklarliga av en funktion, produkt eller tjänst som ägs, kontrolleras, skapas eller tillhandahålls av den täckande enheten eller av en tredje part på uppdrag av den täckta enheten.

Med andra ord, om regeringen vill få tillgång till data som är krypterad, måste företaget som ansvarar för hårdvaran eller mjukvaran antingen dekryptera data och lämna över dem eller hjälpa till med dekrypteringsprocessen. Det gör kryptering och säkerhet – och, i förlängning, integritet – meningslöst.

Informationsteknik- och innovationsstiftelsen (ITIF) menar att regeringen borde se till att stärka, inte försvaga, cybersäkerhet och säger att “att insistera på att regeringen alltid har ett sätt att dekryptera privata data skulle begränsa innovation inom cybersäkerhet”.

Denna lagstiftning ställer ett okvalificerat krav på företag att dekryptera sina kunders uppgifter efter att ha fått ett domstolsbeslut från brottsbekämpning. Även om företag bör följa lagliga förfrågningar är det helt enkelt inte möjligt för ett företag att göra det när kunden kontrollerar de enda nycklarna som används för att kryptera data. Till exempel skulle den populära meddelandeappen WhatsApp, som tillhandahåller end-to-end-kryptering på sin plattform, inte kunna följa lagstiftningen, om den inte ändrade sitt system. Ändå anger lagförslaget uttryckligen att det inte bemyndigar regeringen att kräva eller förbjuda några specifika designändringar av programvara eller hårdvara. Kort sagt, det här lagförslaget skapar en rättslig paradox som ytterligare skulle göra leran på vattnet om hur och när regeringen kan tvinga den privata sektorn att hjälpa till att få tillgång till privat information.

Förslaget till lagförslag är otroligt ensidig och lämnar inget vridrum för företag eller privatpersoner att överklaga dataförfrågningar. I sin nuvarande form, när data har begärts, är det lika bra som att tillhöra regeringen.

Amnesty International hävdar att kryptering är en fråga om mänskliga rättigheter:

I den digitala tidsåldern är tillgång till och användning av kryptering en möjliggörande för rätten till integritet. Eftersom kryptering kan skydda kommunikation från spionering kan det hjälpa människor att dela sina åsikter med andra utan repressalier, få tillgång till information på nätet och organisera med andra mot orättvisa. Kryptering är därför också en möjliggörare för rättigheterna till yttrandefrihet, information och åsikter och har också en inverkan på rättigheterna till frihet för fredlig församling, förening och andra mänskliga rättigheter. Kryptering är ett särskilt viktigt verktyg för människorättsförsvarare, aktivister och journalister, som alla förlitar sig på det med ökande frekvens för att skydda deras och andras säkerhet mot olaglig övervakning.

Det är svårt att argumentera med mänskliga rättighetsgruppens inställning, och det är omöjligt att beskriva lagförslaget som något annat än berört och olämpligt för ändamålet. Det är ett allvarligt hot mot personlig säkerhet och integritet, och vi kan förvänta oss att se en enorm motreaktion mot det.

Fotokredit: wk1003mike / Shutterstock

0 Shares