应用程序开发人员需要了解司法部对加密后门的正式要求

应用程序开发人员需要了解司法部对加密后门的正式要求
空白罗马是美国法律100强公司,拥有14个办公室和600多个律师和负责人,可提供全面的法律和辩护服务。

当我们通过Apple的iMessage,WhatsApp,Signal或许多其他消息传递服务发送短信时,这些消息以不受大多数​​其他平台通信的方式受到保护。原因是这些精选应用程序开发人员使用“端到端加密”(或“ E2EE”),该加密在离开发件人的设备之前对所有消息进行加密,并且只能由收件人的设备解密。访问和查看这些消息的唯一方法是解锁发件人或收件人的电话并打开应用程序。重要的是, 应用程式开发人员 自己也不是Internet服务提供商(AT&T, Verizon, 等等)即使已存储在其一台服务器上,也可以看到加密的通信。而且,即使获得授权,政府也看不到这些消息。

美国司法部(“ DOJ”)和数个外国政府希望改变后者的主张。 

2020年10月11日,美国检察长William Barr和来自加拿大,英国,澳大利亚,新西兰,印度和日本的官员发布了 联合声明 呼吁技术公司在执法人员获得合法发布的授权以获取此类信息时“使执法人员能够访问内容”。换句话说,这些官员呼吁应用程序开发人员为执法部门提供加密应用程序的后门。

这份联合声明提出了一些具有挑战性的问题。 例如,这对端到端加密意味着什么?平台应该如何 已经 提供端到端加密有何反应?考虑提供端到端加密的平台应如何准备?我们在这里讨论。

端到端加密的背景和政府政策

端到端加密是一种通信形式,通过这种通信,只有进行通信的用户才能阅读消息。该技术从根本上防止了电信服务提供商,Internet提供商和应用程序平台本身进行的窃听,从而无法看到用户的通信,甚至无法访问解密对话所需的加密密钥。

支持E2EE的人赞扬了其在数据传输过程中增强隐私并保护用户免受数据黑客攻击的能力。此外,E2EE不仅可以保护文本消息,还可以提供更多保护。这些工具可保护银行,信贷和零售数据,并被运输,制造,物流,医疗保健和国防等行业的企业和消费者使用。确实,正如签署人自己所认识到的那样,加密通常在“保护个人数据,隐私,知识产权,商业秘密和网络安全”中起着至关重要的作用,并且还可以保护“新闻工作者,人权维护者和其他弱势群体”在压制国家。同样,联合国人权理事会最近 注意到的 隐私在自由社会中起着重要作用。

E2EE的支持者也看到了执法后门的真正问题:黑客以及敌对的外国政府试图想像中的解密用户数据可能 利用那些后门 窃取E2EE旨在保护的数据。

另一方面,联合声明的签署人和E2EE的其他反对者认为E2EE对各国调查犯罪和维护法律与秩序的能力构成威胁。 

毫无疑问,政府的一项职能是通过禁止公民拥有和使用某些工具和技术来保护其公民。大多数人同意,政府应禁止世界上所有国家的公民拥有或使用原子武器和炭疽之类的东西。为什么?因为危险武器和危险材料附近的每个人的安全远远超过政府的入侵。

那么,问题就在于端到端加密是否会对个人的安全和福利构成如此重大的威胁,以至于这些成本超过了使用该技术的收益。联合声明的签署人和端对端加密的其他反对者认为,这造成了巨大的公共安全成本,因为据称这种加密对执法人员的工作构成了重大障碍。 

尤其是E2EE的反对者注意到犯罪分子如何参与 恐怖主义 剥削儿童的行为滥用了该技术,以免执法部门发现他们的罪行。而且,尽管在联合声明中未提及,但肯定与美国司法部和其他国家有关,但大型成员 麻醉品贩运和洗钱组织 还使用这些加密工具来保持阴谋对话的私密性,并使其远离执法人员的视线。 

考虑到这些问题,联合声明呼吁应用程序开发人员采取以下步骤:

  • 将公众的安全纳入系统设计中,从而使公司能够在不降低安全性的前提下有效地对付非法内容和活动,并促进对违法行为的调查和起诉并保护弱势群体;
  • 在合法发布授权,必要和成比例的授权受到严格保护和监督的情况下,使执法部门能够以可读和可用的格式访问内容;和
  • 与政府和其他利益相关者进行磋商,以实质性的方式和真正影响设计决策的方式促进法律访问。

第二点是要采取的行动:签署人(包括总检察长巴尔)希望应用程序开发人员在该软件中创建执法后门,该后门程序将使工作人员在获得授权后可以读取和拦截其他加密的通信。

在美国,司法部长并不孤单地寻求执法的后门。 2020年6月,参议员Lindsey Graham,Tom Cotton和Marsha Blackburn提出了 合法访问加密数据法。该法案将要求应用开发商和其他科技公司协助执法部门执行寻求加密数据的逮捕令。重要的是,该法案将授权法官命令科技公司协助访问通过手令寻求的信息,包括解密或解码数据。该法案还要求某些公司确保其具备提供这种协助的技术能力。值得注意的是,总检察长发布了 声明 对此法案“称赞”。

是否要求应​​用程序开发人员向用户提供E2EE,以创建执法后门,这是一个热门的政策辩论,在可预见的未来很可能会激怒。加密技术只会随着黑客破解加密技术和窃取数据的能力而得到改善。同时,越来越多的犯罪分子将继续利用这些复杂的加密工具提供的隐私。

具有E2EE和E2EE抱负的应用程序开发人员的注意事项

E2EE为应用程序开发人员带来风险。消费者-大多数人可能不了解用于加密数据的各种方法和工具之间的细微差别-显然希望进行强力加密,并知道黑客和间谍将无法窃取其个人信息而感到欣慰。消费者的需求给应用程序开发人员带来了业务压力,以提供E2EE和其他数据安全工具。

但是应用程序开发人员面临着各方的诉讼风险。如今,许多消费者可能会假设所有通信应用程序都包含某种程度的复杂数据保护和加密,无论是E2EE还是类似的东西。当用户数据通过这些应用程序中的安全性较弱而被黑客入侵时,应用程序开发人员本身可能成为诉讼的目标,他们声称由于数据泄露而导致的疏忽或其他行动原因。另一方面,当罪犯(例如性掠夺者)利用这些安全功能来发挥其优势时,其应用程序包含不可渗透的安全功能(如E2EE)的应用程序开发人员将面临诉讼。

因此,毫无疑问,应用程序开发人员不能闲着。以下是应用程序开发人员可以考虑的一些最佳做法:

  • 明确安全功能。许多应用程序开发人员都在突出宣传其某些安全功能。但是,每个应用程序提供商应对其使用的加密和安全功能清楚明确。应用程序开发人员甚至可能想向消费者解释为什么提供或不提供安全功能(例如E2EE)来帮助消费者选择使用和避免使用哪些服务。例如,父母可能会为未成年子女选择只使用不使用E2EE的通信应用程序,因为剥削儿童罪犯可能不太可能在这些应用程序上接近儿童。
  • 包括服务豁免。应用的使用不是消费者的权利。应用开发人员可以制定服务条款,以限制选择安全功能的责任。这样做可能会严重限制应用程序开发人员的潜在风险范围,这尤其重要,因为E2EE争论仍未解决。 
  • 在服务方面包括可接受的使用政策。联合声明表明,应用程序开发人员和其他技术公司有责任制定服务条款,以提供保护公众的权力。出于这些原因,应用程序开发人员应确保其服务条款中包括可接受的使用策略(“ AUP”)。 AUP应描述所有禁止使用的应用程序,并明确说明,如果未遵守AUP中规定的准则,则公司保留采取立即有效的纠正措施的权利,包括(包括禁用)用户帐户或终止用户使用该应用的能力。 
  • 了解您的客户。当前,没有法规对应用程序开发人员强加任何“了解您的客户”(“ KYC”)义务。实际上,用户通常可以使用假名激活帐户并有效地保持匿名。但是,应用程序开发人员可能希望考虑某种程度的客户验证,并对帐户创建和应用程序使用施加一些基本限制。例如,应用开发人员可以禁止任何需要向性犯罪者州注册的人开设,控制或使用帐户。
  • 大堂,大堂,大堂。数据隐私与公共安全之间的辩论目前正在国会和全国各州的立法机构中进行。在一定程度上,应用程序开发人员希望继续提供E2EE,更广泛地说,是提供复杂的数据隐私安全功能,游说参议员和国会和州议会的代表可以证明是有效的。 

结论

EE2E本身并不是好事,也不是坏事。一切都取决于实施的方式和原因。因此,鼓励应用程序开发人员仔细权衡上述考虑因素,并聘请经验丰富的顾问来帮助避免出现明显(但不太明显)的陷阱。

(摄影者 迪玛·佩楚林(Dima Pechurin)不飞溅)

有兴趣听行业领导者讨论这样的话题吗? 参加同居 5G博览会, 物联网技术博览会, 区块链博览会, 人工智能 & 大数据 Expo网络安全&世界云博览会 即将在硅谷,伦敦和阿姆斯特丹举行的活动。

标签: , , , , , , , , ,

查看评论
发表评论

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *