В этом году дискуссия о цифровой конфиденциальности стала ещё более актуальной. Правительства во всем мире предпринимают усилия, чтобы дать людям больше власти над своими личными данными, от GDPR в Европе до Калифорнийского CCPA и новых законов о защите данных в Бразилии.
Однако, эти ограничения привели к конфликту между правительственными агентствами и технологическими организациями, такими как правительство США, требующим доступа к зашифрованному мессенджеру Facebook. Спецслужбы недавно призвали разработчиков обеспечивать доступ к зашифрованной информации через черный ход. Эти «черные ходы» позволят компаниям и правительствам обходить шифрование и получать доступ к сообщениям без ведома пользователей.
При таком давлении со стороны правительств мы должны спросить, что является большим благом? Должны ли мы иметь сквозное шифрование (E2EE) и позволять людям защищать свою цифровую жизнь или нарушать эту защиту для всех просто для того, чтобы потенциально остановить некоторые преступления?
Некоторым сторонникам, выступающим за доступ к зашифрованным данным, может показаться, что у них есть законные и обоснованные опасения. Они утверждают, что доступ правительства является уместным и необходим для защиты от вероятных угроз.
Ещё один момент, который не полностью осознан законодателями, заключается в том, что используемое сегодня шифрование должно противостоять вызовам будущего. Из всех созданных систем только E2EE предлагает возможность выдержать мощь квантовых вычислений, поэтому наши коммуникации должны быть защищены от рисков будущего.
Мифы о шифровании и невозможность слабого E2EE
Во-первых, важно понимать, что большая путаница в публичных дебатах вызвана отсутствием понимания того, как работает E2EE. Есть много сенсационных историй, которые игнорируют «гайки и болты», чтобы создать «диалог страха».
По своей сути, шифрование – это процесс, используемый для защиты доступа к данным без необходимых разрешений. Сквозное шифрование – это более сильный тип шифрования, когда процесс управляется двумя или более устройствами (известными как конечные точки), и только эти устройства имеют ключи для разблокировки контента. Система не-E2EE имеет центральное управление ключами, что создает больше возможностей для входа злоумышленника.
Этот уровень безопасности является причиной, по которой E2EE становится нормой, защищая общение более миллиарда законопослушных граждан. E2EE рассматривается многими как единственный способ обеспечить будущее бизнеса и общественных коммуникаций.
Тем не менее, есть активисты национального уровня, которые хотят обойти E2EE для «большего блага», такие как спецслужбы и правительства Великобритании и США. Министр внутренних дел Великобритании однажды призвал обеспечить доступ к зашифрованной информации, утверждая, что «реальные люди» не нуждаются в сквозном шифровании. С тех пор большинство коммуникаторов стало использовать E2EE, доказывая, что это утверждение в корне неверно.
Несмотря на наличие множества надежных методов сбора целевой информации, правительства очень быстро превратили шифрование в «козла отпущения» в своей борьбе с преступностью.
Вместе с тем, индустрия безопасности заняла четкую позицию – любое ослабление E2EE создает точки входа для всех, а не только для правительственных организаций, которые имеют официальные «ключи» от черного хода. Мы не можем одновременно обеспечить безопасность людей и сделать ещё одну дверь, которую можно открыть.
Между безопасностью и противоречивым законодательством
Проведенные в 2018 году исследования типа и ценности данных, продаваемых в даркнете, показали, что данные авторизации в систему PayPal и онлайн-банкинг являются одними из наиболее ценных типов данных, с типичной продажной ценой в 500 и 300 долларов, соответственно. Паспортные данные и документы, удостоверяющие личность, также занимали первое место в списке – около 70 долларов за единицу. Более 4 миллиардов человек по всему миру имеют доступ к интернету, и большинство из них генерирует данные, которые могут похитить, поэтому существует явная необходимость защитить их всех.
Даже с учетом действующего GDPR в ЕС, мы наблюдали несколько крупных нарушений данных. Это новое законодательство (CCPA в США) было введено в действие, чтобы стимулировать организации лучше защищать личные данные своих сотрудников и клиентов, заставлять их искать более совершенные процессы, более безопасные инструменты для связи, обработки данных и управления.
Сквозное шифрование не решает всех проблем, но предлагает лучшую защиту для клиентов и ценность для владельцев.
Это приводит компании к прямому конфликту с предложенной правительством анти-E2EE политикой. Если все сервисы, которыми вы пользуетесь – от банковского обслуживания до совершения покупок и медицинского обслуживания, – ослабят E2EE, то бизнес станет «слабым звеном», раскрывающим подробности о людях хакерам.
Мы в тупике! Если будет принято законодательство, предписывающее компаниям создавать способ доступа к данным E2EE, этот «черный ход» разоблачит конфиденциальные деловые данные любой компании, которая использует программное обеспечение.
Исключение сквозного шифрования не остановит людей со злым умыслом, оно только позволит большему количеству людей получить доступ к системам с меньшей защитой. Встроенные правительством бэкдоры в сочетании с законодательством о защите данных – это все равно, что просить владельца магазина защитить свои товары, убрав при этом замки и систему сигнализации.
Куда мы двинемся дальше
Такие компании как Facebook, которая хранит данные о 1,47 миллиарде человек, продемонстрировали отсутствие приверженности к конфиденциальности, позволив таким фирмам, как Cambridge Analytica, собирать данные до 50 миллионов человек, чтобы побудить их принять определенные убеждения. Эта же компания устанавливает «баллы доверия» в свои приложения, что напоминает китайскую систему социального кредитования, которая даёт людям «баллы социального кредита» в зависимости от их образа жизни и выбора.
В сфере безопасности «холодная война» по сквозному шифрованию продолжится. Поставщики технологий имеют четкую позицию в этом вопросе – они не могут ослабить её, не сделав систему менее безопасной. Правительства будут продолжать сохранять требования к ослаблению защиты и обходу шифрования.
Мы видели, что происходит с индустрией безопасности в странах, где шифрование ограничено. Франция, как известно, жестко контролировала использование шифрования в ущерб онлайн-сервисам, которые должны были быть безопасными, что повредило французскую индустрию безопасности, привело к нежелательным последствиям для любого онлайн-бизнеса, от электронной коммерции до банков.
Небольшие инновационные компании не могут позволить себе никаких задержек с выходом продукта на рынок. Они будут вынуждены пропускать страны со строгим контролем шифрования. Это приводит к стагнации, меньшему выбору и более слабой защите людей и предприятий по всей стране. Международные компании будут просто искать альтернативные решения, полностью обходя местный рынок, а местный бизнес пострадает.
В интересах технологической отрасли продолжать кампанию за надежное сквозное шифрование. Мы должны защитить общественность и бизнес от всех угроз, но ослабление надежного шифрования не является решением проблемы.