麻省理工学院的净政策说,解密法案是行不通的
争议加密访问的可行性,没有安全风险。麻省理工学院(MIT)的研究人员质疑澳大利亚政府在不削弱安全性的情况下访问加密通信的能力。
麻省理工学院互联网政策研究倡议组织(IPRI)在向内政部提交的一份文件中试图解决拟议法律的技术缺陷,这些法律将要求服务提供商要求或强制协助执法部门访问加密通信。
该法案于8月份首次披露,现已更改,以反映14,000多份提交文件中的一些 - 表明这可能涉及服务提供商构建新工具,运行政府构建的软件或促进对目标设备的访问。
内政部长Peter Dutton表示,这不会要求提供商“建立解密能力”或“制造系统性弱点”。
但IPRI表示围绕设计安全特殊访问(EA)系统的可能性仍然存在一个“未解决的问题”,并且它无法“找到可以明显避免引入系统性弱点或漏洞的EA设计”,因此远。
它还指出,“如果没有特定功能要求和实施参数的上下文,就无法推断出这样的系统”。
“换句话说,即使给出了有用的规范,对任何给定EA设计的安全风险的充分理解在未来仍然遥不可及,”它说,并补充说这一观点得到了研究界的广泛认同。
研究人员表示,如果政府继续执行其技术能力要求的计划,它应“首先与技术界合作制定方法和标准,以评估此类要求的安全风险”。
民政事务部声称,在发布最初计划于2018年实施的法案之前,已经广泛征求了业界的意见,以便在服务提供者和执法部门之间取得适当的平衡,尽管这些讨论的范围尚不清楚。
IPRI指出“必须有一个评估这些风险的技术框架”,并且期望在开发EA系统的过程中“将面临严重的安全障碍”是合理的。
“今天,联合王国的调查权力法案和[澳大利亚]提议的法案都没有规定明确的技术或操作标准,以评估技术能力通知,”它说。
“这不是一项简单的技术任务,但对于确保政府避免可能使国家乃至全球基础设施面临风险的任务至关重要。”
提交的材料还表明,“认识到可能存在与这些要求相关的系统性风险是一个重要的公共政策步骤”,这与Dutton否认可以引入系统性弱点相反。
透明度
麻省理工学院的研究人员还呼吁政府在“设计协议,加密算法和软件”方面引入更好的透明度,以支持拟议的援助和访问方案。
他们说,这将“允许安全研究人员和公众评估TCN [技术能力通知]对系统性弱点和漏洞的要求”,并指出这些通常是由Heartbleed等第三方发现的。
“正如安全研究界一再表明的那样,关键代码中的设计缺陷和实施漏洞经常被第三方发现,而不是设计和实现系统本身的工程师,”提交文章称。
“因此,条例草案必须鼓励而不是惩罚透露可能施加的任何技术要求的相关细节。”
IPRI建议,通过对披露系统设计和实施所需变更细节进行处罚,政府将面临通过“将广泛使用的软件置于最大程度的公众监督之下的日益重要的过程”而面临其他可解决的弱点的风险。
“鉴于EA功能可能导致系统性安全漏洞的重大关注,该法案在两个方面提供足够的透明度至关重要:1)公众能够访问TCN的技术细节,2)能力对于受TCN约束的提供商,他们应披露他们认为有关其系统如何实施TCN的必要性。“
IPRI还要求Apple,微软,谷歌,WhatsApp和Signal等大型供应商“不应该被迫隐藏用户的安全功能”
页:
[1]