Четыре европейских приложения, которые защищают пользовательские данные с помощью сквозного шифрования, ProtonMail, Threema, Tresorit и Tutanota, выпустили совместное заявление, предупреждающее о недавних действиях институтов ЕС, которые, по их словам, ставят законодателей на опасный путь к бэкдорному шифрованию.
Сквозное шифрование относится к форме шифрования, при которой поставщик услуг не хранит ключи для дешифрования данных, тем самым повышая конфиденциальность пользователей – поскольку в цикле нет третьей стороны, обладающей технической возможностью доступа к данным в расшифрованном виде.
Шифрование E2e также повышает безопасность за счет уменьшения площади поверхности атаки вокруг данных людей.
Однако рост доступа к зашифрованным сервисам e2e в течение примерно пятидесяти лет был отмечен как проблема, вызывающая обеспокоенность правоохранительных органов. Это потому, что это затрудняет доступ агентств к расшифрованным данным. Поставщики услуг, получившие разрешение на использование зашифрованных данных пользователя e2e, смогут предоставить их только в нечитаемой форме.
В прошлом месяце Совет ЕС принял резолюцию о шифровании, раздираемую противоречиями, призывающую к «безопасности через шифрование и безопасность, несмотря на шифрование», – что четыре производителя приложений e2e считают тонко завуалированным призывом к шифрованию бэкдора.
Европейская комиссия также говорила о поиске «улучшенного доступа» к зашифрованной информации, написав в широкомасштабной программе борьбы с терроризмом, также опубликованной в декабре, что она «будет работать с государствами-членами над определить возможные юридические, операционные и технические решения для законного доступа” [emphasis its].
В то же время Комиссия заявила, что будет «продвигать подход, который поддерживает эффективность шифрования для защиты конфиденциальности и безопасности сообщений, обеспечивая при этом эффективный ответ на преступность и терроризм». И он ясно дал понять, что не будет «единой серебряной пули» в отношении «проблемы» безопасности шифрования e2e.
Но такие предостережения не делают ничего, чтобы облегчить опасения разработчиков приложений с шифрованием e2e – которые убеждены в предложениях Совета ЕС, который участвует в принятии законов блока (хотя Комиссия обычно разрабатывает законопроекты), сводится к толчку к бэкдорам. .
«Хотя это прямо не указано в резолюции, широко распространено мнение о том, что это предложение направлено на предоставление правоохранительным органам доступа к зашифрованным платформам через бэкдоры», – пишут четыре разработчика приложений, предупреждая, что такой шаг нанесет серьезный ущерб институтам безопасности ЕС. также утверждают, что хотят поддерживать.
«В решении содержится фундаментальное недоразумение: шифрование является абсолютным, данные либо зашифрованы, либо нет, у пользователей есть конфиденциальность, либо у них нет», – продолжают они. «Желание дать правоохранительным органам больше инструментов для борьбы с преступностью очевидно. Но эти предложения являются цифровым эквивалентом предоставления правоохранительным органам доступа к дому каждого гражданина и могут начать скользкую дорожку к более серьезным нарушениям частной жизни ».
Они указывают на то, что любой шаг по взлому шифрования e2e в Европе будет противоречить глобальному росту интереса к надежно зашифрованным сервисам – указывая на недавний всплеск регистрации для таких приложений, как Signal, в результате основных проблем конфиденциальности, связанных с Facebook. принадлежит WhatsApp.
Европа также была впереди всех в мире в законодательстве о защите конфиденциальности и безопасности. Так что для законодателей ЕС было бы настоящим разворотом выстроиться в очередь, чтобы найти дыры в шифровании e2e. (Которые, например, регулирующие органы ЕС по защите данных одновременно рекомендуют использовать для юридической защиты передачи персональных данных из блока в третьи страны, где они могут быть подвержены риску).
Сказать, что в ЕС есть идеологические противоречия, продвигающиеся в направлении борьбы с шифрованием, – значит ничего не сказать. Даже несмотря на то, что содержание текущих коммюнике, выходящих из Брюсселя по этой теме, выглядит так, как будто они изначально противоречат друг другу, что на самом деле может быть признанием того, что квадрат этого круга – непростое политическое предложение.
Создатели приложений тоже это заметили. «Люди по всему миру возвращают себе контроль над своей конфиденциальностью, и часто в этом им помогают европейские компании. Кажется нелогичным, что политики в ЕС теперь будут настаивать на принятии законов, противоречащих общественному мнению и подрывающих растущий европейский технологический сектор », – пишут они.
В отдельной цитате из совместного заявления Энди Йен, генеральный директор и основатель ProtonMail, швейцарской службы сквозного шифрования электронной почты, предостерегает от самоуспокоенности перед лицом последнего, казалось бы, давления на правовую основу для перфорации шифрования.
«Это не первый раз, когда мы видим антишифровальную риторику, исходящую из некоторых частей Европы, и я сомневаюсь, что она будет последней. Но это не значит, что мы должны успокаиваться », – сказал он. «Проще говоря, резолюция ничем не отличается от предыдущих предложений, которые вызвали широкую реакцию со стороны компаний, заботящихся о конфиденциальности, членов гражданского общества, экспертов и депутатов Европарламента.
«На этот раз разница в том, что Совет избрал более тонкий подход и избегал явного использования таких слов, как« запрет »или« бэкдор ». Но не заблуждайтесь, это намерение. Важно, чтобы сейчас были предприняты шаги, чтобы эти предложения не зашли слишком далеко и сохранить права European на неприкосновенность частной жизни ».
Мартин Блаттер, генеральный директор приложения для мгновенного обмена сообщениями Threema со сквозным шифрованием, также утверждает, что законодатели ЕС рискуют поставить подножку отечественным стартапам, если они попытаются продвинуть законодательство, чтобы заставить европейских поставщиков обходить или намеренно ослаблять шифрование e2e.
«[It] не только разрушит европейскую экономику стартапов в области ИТ, но и не сможет обеспечить хоть немного дополнительной безопасности », – предупредил он. «Пополнив ряды самых печально известных государств-наблюдателей в этом мире, Европа опрометчиво откажется от своего уникального конкурентного преимущества и превратится в пустыню конфиденциальности».
Иштван Лам, соучредитель и генеральный директор Tresorit, службы синхронизации и обмена зашифрованными файлами e2e, утверждает, что любые шаги по ослаблению шифрования серьезно подорвут доверие к услугам, а также будут «несовместимы с нынешней позицией ЕС по этому вопросу. конфиденциальность данных”.
«Мы находим эту резолюцию особенно тревожной, учитывая ранее прогрессивные взгляды ЕС на защиту данных. Общий регламент по защите данных (GDPR), всемирно признанная модель законодательства ЕС о защите данных, открыто выступает за надежное шифрование как фундаментальную технологию для обеспечения конфиденциальности граждан », – сказал он, добавив:« Текущие и предлагаемые подходы полностью расходятся. друг с другом, поскольку невозможно гарантировать целостность шифрования при предоставлении какого-либо целевого доступа к зашифрованным данным ».
В то время как Арне Мёле, соучредитель Tutanota, немецкого провайдера электронной почты с шифрованием e2e, говорит, что любое нажатие на шифрование бэкдора будет катастрофой для безопасности, что на самом деле рискует помогая преступники.
«Каждому гражданину ЕС необходимо шифрование, чтобы сохранить свои данные в сети в безопасности и защитить себя от злоумышленников», – сказал он. «С последней попыткой бэкдорного шифрования политики хотят иметь более простой способ предотвращения преступлений, таких как террористические атаки, игнорируя при этом целый ряд других преступлений, от которых нас защищает шифрование: Сквозное шифрование защищает наши данные и связь от перехватчиков, таких как хакеры, (иностранные) правительства и террористы ».
«Требуя бэкдоры для шифрования, политики не просят нас выбирать между безопасностью и конфиденциальностью. Они просят нас не выбирать безопасность », – добавил он.
Похоже, в Европе назревает борьба за то, к чему именно приведет противоречивый указ Совета об обеспечении «безопасности посредством шифрования и безопасности, несмотря на шифрование». Но кажется очевидным, что любой толчок к бэкдорам мобилизует крупную региональную оппозицию, а также является непривлекательным вариантом для политиков ЕС, потому что он столкнется с юридическими проблемами в рамках судебной практики региона.
Комиссия признает эту сложность. Его повестка дня по борьбе с терроризмом также весьма обширна. Конечно, нет никаких предположений, что он считает, что шифрование e2e – единственный орех, который необходимо взломать. Институты ЕС здесь продвигаются по нескольким направлениям, не в последнюю очередь потому, что набор фундаментальных красных линий ограничивает пространство для маневра для нецелевых вмешательств.
Таким образом, резолюция Совета может быть согласованным толчком к повышению квалификации полиции в областях, имеющих отношение к расследованиям (таких как цифровая криминалистика и анализ метаданных). И, возможно, создать структуры для сил местного или государственного уровня по всему блоку, чтобы получить доступ к более мощным техническим компетенциям служб безопасности для проведения целевых расследований (например, взлом устройств). Вместо того, чтобы на уровне ЕС приказать поставщикам шифрования e2e выдать требование универсального «решения» условного депонирования ключей (или аналогичного), без разбора ставя под угрозу безопасность и конфиденциальность каждого.
Но это, безусловно, стоит посмотреть.