На выходных появилось сообщение в прессе, в котором говорится, что европейские законодатели, обеспокоенные терроризмом, стремятся ввести запрет на сквозное шифрование. Спойлер: Тут немного больше нюансов. Читайте дальше, чтобы узнать, что действительно происходит …
Собирается ли Европа запретить шифрование E2E?
Нет.
Вчерашнее сообщение в австрийской прессе, казалось, предлагало запретить входящее сквозное шифрование, которое заголовок связал с недавней террористической атакой в стране. Фактически, между государствами-членами ведутся дискуссии по теме шифрования и о том, следует ли и как его регулировать, вот уже несколько лет.
Отчет основан на проекте резолюции Совета Европейского Союза (CoEU) от 6 ноября. Согласно проекту документа, окончательный текст, который может включать дальнейшие поправки, должен быть представлен Совету 19 ноября для принятия. .
Орган принятия решений Совета ЕС состоит из представителей правительств государств-членов. Он отвечает за определение политического направления блока, однако именно Европейская комиссия отвечает за разработку законодательства. Так что это ни в коем случае не «проект законодательства ЕС».
Один инсайдер Комиссии, с которым мы разговаривали, который участвует в стратегии кибербезопасности, назвал резолюцию «политическим жестом» – и, скорее всего, пустым.
Что действительно говорится в проекте резолюции СЕ?
Он начинается с утверждения полной поддержки ЕС «разработки, внедрения и использования надежного шифрования» – что было бы очень странно, если бы вы также намеревались запретить E2EE.
Затем обсуждаются «вызовы» общественной безопасности, которые исходят от преступников, имеющих легкий доступ к тем же технологиям, которые используются для защиты жизненно важной гражданской инфраструктуры – предположение, что преступники могут использовать E2EE, чтобы сделать «законный» доступ к их сообщениям «чрезвычайно сложным» или «практически невозможным».
Это, конечно, очень знакомая дискуссия в кругах безопасности – регулярно подогреваемая стремлением «пятиглазых» наций к расширению возможностей наблюдения – и такая, которая неоднократно повторяется в связи с технологической отраслью в связи с развитием коммуникационных технологий. Но обратите внимание, что Совет ЕС не утверждает, что доступ к зашифрованным данным фактически невозможно.
Вместо этого резолюция призывает к обсуждение о том, как обеспечить сохранение полномочий компетентных органов безопасности и уголовного правосудия – при обеспечении полного уважения надлежащей правовой процедуры и прав и свобод ЕС, таких как (в частности, право на уважение частной жизни и общения, а также право на защиту личных данных).
В документе предлагается создать «лучший» баланс между этими конкурирующими интересами. «Принцип безопасности через шифрование и безопасность, несмотря на шифрование, должны соблюдаться во всей его полноте», – так это сформулировано.
Конкретный призыв к «правительствам, промышленности, исследователям и академическим кругам… работать вместе над стратегическим достижением этого баланса».
Требуется ли в проекте резолюции резервное копирование шифрования?
Нет.
Действительно, Совет министров специально пишет: [emphasis ours]: «Компетентные органы должны иметь доступ к данным в законный и целевой способом, при полном соблюдении основных прав и режима защиты данных, при сохранении кибербезопасности. Технические решения для получения доступа к зашифрованным данным должны соответствовать принципам законности, прозрачность, необходимость а также соразмерность. »
Таким образом, толчок здесь – помимо всеобъемлющего политического толчка, который должен быть замечен как делающий что-то «в интересах безопасности», – это поиск путей улучшения целевой доступ к данным, а также соблюдение ключевых принципов ЕС, связанных с основными правами (такими как конфиденциальность сообщений).
Это не означает запрета E2EE или бэкдора.
Но что говорится в постановлении о правовой базе?
Совет министров хочет, чтобы Комиссия провела обзор соответствующих действующих правил, чтобы убедиться, что все идет в одном направлении и, следовательно, способствует максимально эффективной работе правоохранительных органов.
Здесь упоминаются «потенциальные технические решения» – но снова акцент делается на любых таких вспомогательных средствах правоохранительных органов, поддерживающих использование их следственных полномочий во внутренних рамках, которые соответствуют законодательству ЕС – а также дальнейший акцент на «защита основных прав и сохранение преимуществ шифрования ». Безопасность информации – жизненно важное преимущество шифрования, ранее обсуждавшееся в документе, поэтому оно по существу призывает к сохранению безопасности без буквального объяснения этого.
В этой части проекта документа есть несколько зачеркиваний, поэтому, скорее всего, в нее могут быть внесены изменения формулировок. Но для сигнала направления движения одна небольшая переформулировка подчеркивает необходимость прозрачности в случае совместной работы с поставщиками услуг связи по разработке каких-либо «решений». (И бэкдор, о котором всем говорят, очевидно, не был бы бэкдором.)
Другое предложение в проекте призывает к повышению квалификации соответствующих органов, чтобы повысить их технический и оперативный опыт, то есть больше киберподготовки для полиции.
В заключительном разделе совместная работа по улучшению соответствующей координации и экспертных знаний в странах ЕС снова подчеркнута Советом ЕС как ключ к укреплению следственного потенциала властей.
Также говорят о разработке «инновационных подходов с учетом новых технологий», но в заключении делается четкая заявка: «не должно быть единого предписанного технического решения для обеспечения доступа к зашифрованным данным». Он же не золотой ключик / универсальный бэкдор.
Значит, не о чем волноваться?
Что ж, Комиссия может почувствовать некоторое давление по этому вопросу, поскольку она работает над своей новой киберстратегией, чтобы получить некоторый политический толчок по конкретным политическим идеям – хотя мы вряд ли увидим что-то особенное в этом направлении до следующего года. Совет ЕС пока не выдвигает никаких политических идей. В лучшем случае он просит помочь сформулировать некоторые из них.
TechCrunch поговорил с Д-р Лукаш Олейник, независимый исследователь и консультант в области кибербезопасности из Европы, чтобы узнать его мнение по проекту резолюции. Он согласился, что в проекте нет широкой позиции против E2EE или каких-либо ближайших перспектив принятия закона, вытекающего из него. Более того, он предположил, что Совет ЕС, похоже, не знает, что делать, поэтому обращается за помощью к внешним экспертам в академической и промышленной сфере.
«Во-первых, о бэкдорах и речи не идет. В сообщении четко говорится о важности шифрования для кибербезопасности и конфиденциальности », – сказал он нам. «Что касается темы этого документа, то сейчас это длительный процесс, находящийся на стадии исследования. Выявлены проблемы и идеи. Сразу ничего не произойдет.
«Речь даже не идет о запрете E2EE. Похоже, они не знают, что именно делать. Так что среди идей, возможно, есть создание «экспертной группы высокого уровня» – в документе говорится о привлечении «академического сообщества». Этот процесс иногда инициируется Комиссией для определения «рекомендаций», которые могут или не могут быть использованы в политическом процессе. Затем все будет вращаться вокруг того, кого допустят в такую группу, и это сильно варьируется.
«Например, группа ИИ считалась вполне разумной, в то время как другая, занимающаяся дезинформацией, действительно была ориентирована на деятелей СМИ ЕС, а не на исследователей или конкретных экспертов. Мы не знаем, к чему все это приведет ».
Олейник выразил сомнение в том, что Совет может самостоятельно принимать закон в этом случае, учитывая его сложность. «Пока рано говорить о каком-либо законодательстве», – сказал он. «Законодательный процесс в ЕС может быть довольно сложным для понимания, но Совет ЕС не сможет справиться с такой сложной задачей в одиночку».
Но он подчеркнул, что использование Советом ЕС фразы «безопасность, несмотря на шифрование» заслуживает внимания, предполагая, что неясно, к чему может привести эта новая формулировка с точки зрения политики. Итак, как всегда, дискуссия о безопасности вокруг шифрования требует пристального внимания.
«Что я считаю особенно важным, так это использование термина« безопасность, несмотря на шифрование ». Это одновременно прискорбно и гениально. Но проблема с этим термином технологической политики заключается в том, что он может сознательно сочетать понимание политики (физической?) Безопасности с технологической безопасностью, которая сегодня гарантируется шифрованием. Это ставит их в прямое противостояние », – сказал он, добавив:« Куда приведут последствия, остается только гадать. Я считаю, что этот процесс еще далек от завершения ».
Но разве нельзя было толкнуть на введение некоего «законного механизма перехвата» в ЕС?
Такой шаг был бы огромным препятствием, учитывая все юридические принципы и права ЕС, которые должен уважать любой механизм.
В проекте резолюции СЕА это повторяется несколько раз, подчеркивая необходимость в деятельности по обеспечению безопасности для соблюдения основных прав, таких как конфиденциальность сообщений и, например, принципы законности, прозрачности, необходимости и соразмерности.
Высшая судебная инстанция Европы также недавно обнаружила, что законы о внутреннем надзоре в нескольких государствах-членах ЕС не соответствуют требованиям в этом отношении, так что будет четкий путь к оспариванию любых злоупотреблений в сфере безопасности в судах.
Это означает, что даже если какой-то механизм перехвата можно было бы протолкнуть через законодательный процесс ЕС при наличии достаточной политической воли, чтобы управлять им, нет никаких сомнений в том, что он столкнется с серьезным юридическим вызовом и перспективой того, что его не выберут суды.
На просьбу высказать свое мнение о выдвинутой в проекте резолюции идее поиска «лучшего» баланса между безопасностью и конфиденциальностью, а также о том, может ли это быть толчком к чему-то вроде «протокола призраков», который GCHQ в последние годы отстаивает как « исключительный механизм доступа »(но критики утверждают, что это подорвет доверие пользователей и создаст общий риск безопасности, который почти эквивалентен бэкдору) – Олейник сказал нам:« Подрыв шифрования – сложная территория, т.к. современные технологии идут в направлении большей безопасности. , не менее. В современных экосистемах безопасности было бы трудно представить законную функциональность перехвата, известную из телекоммуникационной инфраструктуры. Для частного бизнеса это тоже вопрос доверия. Могут ли отдельные пользователи еще больше свободно перемещать свои социальные взаимодействия в Интернете? Это вопрос, измеряемый миллиардами долларов ».