Перевод EARN IT — прямая атака на сквозное шифрование

Тема в разделе "Статьи", создана пользователем Mr. Pickles, 19 мар 2020.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    612
    Симпатии:
    214
    Вчера двухпартийной группой сенаторов США был внесён на рассмотрение законопроект по противодействию злоупотреблению и пренебрежительному отношению к интерактивным технологиям под названием EARN IT (Eliminating Abusive and Rampant Neglect of Interactive Technologies). На поверхности законопроект выглядит, как нечто узконаправленное, касающееся исключительно юридической ответственности провайдеров информационных услуг. Но в реальности это продуманная и прямая атака правительства на право американцев на анонимный обмен информацией.

    Я не стану подчёркивать, насколько опасен этот законопроект, тем более что другие уже, по крайней мере, попытались сделать это. В этом посте я просто постараюсь объяснить, что конкретно пугает меня лично.

    Стремление «залечь на дно» и предпосылки к появлению EARN IT

    В течение нескольких последних лет Министерство юстиции США и ФБР ведут агрессивную кампанию по ликвидации сервисов, использующих технологию сквозного шифрования. В эту категорию попадают системы обмена текстовыми сообщениями, такие как iMessage компании Apple, WhatsApp, Telegram и Signal. Подобные сервисы защищают ваши данные путём шифрования и гарантируют, что ключи к этим данным будут только у вас и у человека, с которым вы обмениваетесь информацией. А это означает, что ваш провайдер, хакер, который взломает вашего провайдера и, как следствие, ФБР остаются в полном неведении относительно ваших данных.

    Нельзя сказать, что правительственная кампания, направленная на противодействие шифрованию, была успешной уже хотя бы по двум основным причинам. Во-первых, людям нравится общаться приватно. Если мы что и усвоили за последние несколько лет, так это то, что наш мир — не то место, где вашей приватной информации ничто не угрожает. И если слежка со стороны АНБ и не пугает вас, то взлома, в результате которого хакер заполучит контроль над вашими сообщениями и электронной почтой, всё же стоит опасаться. На самом деле подобные взломы происходят настолько часто, что уже даже существует популярный веб-сайт, позволяющий выяснить, был или нет взломан какой-либо из ваших аккаунтов.

    Вторая причина, по которой правительство не удалось завладеть умами и сердцами пользователей, состоит в том, что такие провайдеры, как Facebook, Google и Microsoft, также довольно сильно заинтересованы в сохранении возможности шифрования данных. Несмотря на то, что некоторые фирмы (кхм, те же Facebook и Google) занимаются сбором ваших данных, даже они начинают понимать, что слишком увлеклись. Это представляет для таких компаний определённый риск и всё в большей степени вызывает недовольство со стороны пользователей. Компании, подобные Facebook, прекрасно осознают, что если зашифровать некоторую часть данных таким образом, что сами они более не будут иметь к ним доступа, это не только сделает пользователей счастливее, но и в большей степени обезопасит их.

    Правительство попыталось выйти из тупиковой ситуации, попросив создать системы «исключительного доступа». Как правило, это подразумевает наличие «лазейки» в криптографической системе, которая позволит провайдерам периодически получать доступ к пользовательским данным, но только при наличии соответствующего ордера в случае наличия конкретного преступления. Это крайне сложная проблема, требующая решения, и многие эксперты уже выразили свое мнение по этому вопросу. Но насколько бы ни была серьёзной эта проблема, она в сравнение не идёт с тем, о чём идёт речь в случае с EARN IT.

    В чём суть EARN IT, и каким образом законопроект повлияет на шифрование?

    Поскольку Министерству юстиции не удалось убедить общество в том, что техническим компаниям не следует использовать сквозное шифрование, было решено зайти с другой стороны. Вместо того чтобы потребовать от таких компаний предоставлять доступ к сообщениям исключительно в случаях совершения серьёзного преступления и при наличии соответствующего ордера, министерство и те, кто стоит за ним в Конгрессе, выразили озабоченность распространением детской порнографии, также классифицируемой как материалы сексуального насилия над детьми или CSAM.

    Я выражусь более прямо, чем сделал бы это при обычных обстоятельствах, но только потому, что я считаю следующую формулировку точной: реальная цель состоит в том, чтобы провайдерам стало финансово невыгодно использовать технологии шифрования.

    Теперь чуть более подробно: само существование CSAM просто отвратительно и является проблемой для многих провайдеров. Чтобы решить проблему, многие файлообменники и мессенджеры добровольно сканируют данные на предмет наличия материалов подобного типа. Среди прочего используется сопоставление изображений и видео с базой данных известных «фото хешей» с последующей передачей отчёта организации под названием NCMEC (Национальный центр по делам пропавших и эксплуатируемых детей) в случае, если обнаруживается какое-либо совпадение. Затем NCMEC передаёт такие отчёты местным властям.

    Системы сквозного шифрования затрудняют сканирование при поиске CSAM, так как системы сканирования фотоснимков, по сути, являются формой массового наблюдения (используемой в благих целях), а сквозное шифрование применяется именно для того, чтобы сделать подобное наблюдение невозможным. Таким образом, сканирование фотоснимков при сохранении шифрования является проблемой, и провайдеры пока не нашли способа её решения.

    Всё это стало предпосылкой для появления EARN IT. Новый законопроект, внесённый юридическим комитетом Линдси Грэма, призван принудить провайдеров либо решить проблему сканирования фото с сохранением шифрования, либо полностью исключить применение систем шифрования. И учитывая, что мы пока не знаем, как решить проблему, а технологии, позволяющие сделать это, по большей части находятся на стадии исследований, скорее всего, «исключение шифрования» на самом деле и является целью.

    EARN IT предполагает своего рода изменение ответственности согласно Разделу 230, позволяющему провайдеру услуг работать в интернете, не отвечая за то, чем занимаются пользователи таких платформ, как Facebook. Новый законопроект сделает финансово невозможной работу провайдеров вроде WhatsApp и Apple, связанную с предоставлением их услуг, если они не прибегнут к «оптимальным методам» сканирования своих систем на наличие материалов CSAM.

    Поскольку «оптимальных методов» попросту не существует, а способы решения этой проблемы без нарушения конфиденциальности данных пользователей пока неизвестны, законопроект также предполагает создание назначаемого правительством комитета, который сможет указывать провайдерам, какую технологию им следует использовать. Собственно, комитет имеет византийскую сущность, что отражено в самом законопроекте. Не вызывает никакого сомнения, что состав комитета, в который войдёт чуть больше, чем ни одного эксперта в области безопасности, гарантирует, что сквозное шифрование практически со стопроцентной гарантией не будет рассматриваться в качестве оптимального метода.

    Короче, этот законопроект является той лазейкой, которая позволит правительству запретить применение технологий шифрования коммерческими сервисами. И что примечательно: законопроект не предполагает запрета на использование шифрования, а просто делает такое шифрование коммерчески невыгодным для большинства провайдеров, так как если они не последуют рекомендациям комитета, то попросту столкнутся с риском банкротства.

    Подобные законопроекты предлагаются в тех случаях, когда всем понятно, что то, что вам хочется сделать, однозначно будет противоречить конституции и будет крайне непопулярно среди населения, но вам, по сути, на это наплевать.

    Так почему всё-таки EARNT IT — чудовищная идея?

    Если разобраться, то мы просто невероятно беззаботно относимся к обеспечению безопасности наших компьютерных систем. Это обходится очень дорого для нашей экономики, и потери составляют триллионы долларов. Более того, наша неспособность контролировать безопасность данных влечёт за собой и нематериальные потери, связанные с тем, что мы не можем полноценно функционировать как общество.

    Существует целый ряд перспективных технологий, которые могли бы решить эту проблему. И сквозное шифрование — одна из них. Фактически оно является единственной и самой перспективной технологией, которая обеспечивает защиту от взлома, потери данных и всех остальных неприятностей, которые могут в результате сделать людей уязвимыми.

    Непосредственно на данный момент технология, обеспечивающая безопасность нашей инфраструктуры, пока ещё не так совершенна, чтобы мы могли сказать назначаемому правительством комитету, что именно она «подойдёт» компаниям. Возможно, когда-то мы и придём к этому, но пока требуются годы, чтобы мы научились одновременно защищать свои данные и предоставлять Вашингтону выбор необходимых методов.

    Это означает, что всё-таки да, некоторые технологии, такие как сканирование данных на наличие CSAM, требуют пересмотра, и в результате в некоторых случаях их эффективность снизится. Но технические компании уже активно занимались собственной разработкой подобных технологий (здесь вы найдёте пример работы, проделанной Google с применением машинного обучения), и они продолжат заниматься ею. Техническая промышленность испытывает множество проблем во многих областях. Но это вовсе не означает, что для их решения требуется указание со стороны сенаторов, потому что у людей в Калифорнии тоже есть дети.

    Даже если вам близки цели, которые преследует законопроект EARN IT, следует помнить о том, что если Сенат США всё-таки решит указывать Кремниевой долине, как им делать их работу (под угрозой возможной ответственности), то, вне всякого сомнения, промышленность напротив сделает наименьшее из возможного. А зачем техническим фирмам по-прежнему инвестировать в разработку более сложных и дорогих технологий в этой области, если их могут принудить использовать любую новую изобретённую ими технологию независимо от затрат?

    И так оно и будет, если законопроект утвердят.

    О цинизме

    В течение последних нескольких лет активно обсуждается значение технологии сквозного шифрования, а также необходимость в доступе к большему объёму пользовательских данных со стороны правоохранителей. Я тоже принимал участие в подобных дебатах, и, несмотря на то, что я во многом не согласен с оппонентами, я всегда уважительно относился к их точке зрения.

    EARN IT ставит всё с ног на голову. Очень сложно поверить в то, что данный законопроект является результатом искренней заботы о правах детей, и что эта законодательная инициатива что-то иное, нежели прямая атака на технологию сквозного шифрования.

    Я надеюсь, что интернет-сообщество и гражданское общество отнесутся к этому предложению со всей той серьёзностью, которую оно заслуживает, и что мы увидим, как сенаторами будет выдвинут законопроект, который действительно защитит детей от противоправных действий, а не эту циничную попытку «обходного запрета» шифрования.

    Источник: EARN IT is a direct attack on end-to-end encryption

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.