Οι ερευνητές ασφαλείας πιο πρόσφατοι αποκάλυψαν το νομοσχέδιο για την ασφάλεια στο Διαδίκτυο του Ηνωμένου Βασιλείου ως κίνδυνο κρυπτογράφησης


Τεχνολογία


Οι ερευνητές ασφαλείας πιο πρόσφατοι αποκάλυψαν το νομοσχέδιο για την ασφάλεια στο Διαδίκτυο του Ηνωμένου Βασιλείου ως κίνδυνο κρυπτογράφησης



By

MDimitris

Σχεδόν 70 ακαδημαϊκοί για την ασφάλεια και το απόρρητο πληροφορικής έχουν προσθέσει στη βοή του συναγερμού για τη ζημιά που θα μπορούσε να προκαλέσει το νομοσχέδιο για την ασφάλεια στο Διαδίκτυο του Ηνωμένου Βασιλείου, ε.ε., στην διαδικτυακή ασφάλεια, εκτός εάν τροποποιηθεί για να διασφαλιστεί ότι δεν υπονομεύει την ισχυρή κρυπτογράφηση.

Γράφοντας σε ένα

ανοίγω γράμμα

68 ερευνητές ασφάλειας και απορρήτου που συνδέονται με το Ηνωμένο Βασίλειο έχουν προειδοποιήσει ότι το σχέδιο νομοθεσίας ενέχει σοβαρό κίνδυνο για βασικές τεχνολογίες ασφάλειας που χρησιμοποιούνται συστηματικά για τη διατήρηση της ασφάλειας των ψηφιακών επικοινωνιών.

«Ως ανεξάρτητοι ερευνητές ασφάλειας πληροφοριών και κρυπτογραφίας, κατασκευάζουμε τεχνολογίες που κρατούν τους ανθρώπους ασφαλείς στο διαδίκτυο. Με αυτή την ιδιότητα βλέπουμε την ανάγκη να τονίσουμε ότι η ασφάλεια που παρέχεται από αυτές τις βασικές τεχνολογίες απειλείται τώρα στο νομοσχέδιο για την ασφάλεια στο Διαδίκτυο», προειδοποιούν οι ακαδημαϊκοί, απηχώντας ανησυχίες που έχουν ήδη εκφραστεί από κρυπτογραφημένες υπηρεσίες επικοινωνίας από άκρο σε άκρο, όπως

, Signal and Element — οι οποίες δήλωσαν ότι θα επέλεγαν να αποσύρουν τις υπηρεσίες από την αγορά ή να αποκλειστούν από τις αρχές του Ηνωμένου Βασιλείου αντί να διακυβεύσουν το επίπεδο ασφάλειας που παρέχεται στους χρήστες τους.

Την περασμένη εβδομάδα η

έκανε επίσης μια δημόσια παρέμβαση, προειδοποιώντας ότι το νομοσχέδιο αποτελεί «σοβαρή απειλή» για την κρυπτογράφηση από άκρο σε άκρο, την οποία περιέγραψε ως «μια προστασία κρίσιμης ικανότητας». Χωρίς τροποποιήσεις για την προστασία του ισχυρού E2EE, η Apple πρότεινε ότι το νομοσχέδιο κινδύνευε να θέσει τους πολίτες του Ηνωμένου Βασιλείου σε μεγαλύτερο κίνδυνο — σε αντίθεση με τον ισχυρισμό «ασφάλειας» στον τίτλο της νομοθεσίας.

Μια ανεξάρτητη νομική ανάλυση του σχεδίου νόμου προειδοποίησε επίσης πέρυσι ότι οι εξουσίες επιτήρησης που περιέχονται στο νομοσχέδιο διακινδυνεύουν την ακεραιότητα της E2EE.

Η προτεινόμενη νομοθεσία έχει ήδη περάσει από έλεγχο στη Βουλή των Κοινοτήτων και βρίσκεται επί του παρόντος στο στάδιο της έκθεσης στη Βουλή των Λόρδων — όπου οι ομότιμοι έχουν την ευκαιρία να προτείνουν τροπολογίες. Έτσι, οι ακαδημαϊκοί ασφαλείας ελπίζουν ότι η τεχνογνωσία τους θα κινητοποιήσει τους νομοθέτες στη δεύτερη αίθουσα για να παρέμβουν και να υπερασπιστούν την κρυπτογράφηση όπου οι βουλευτές απέτυχαν.

«Κατανοούμε ότι αυτή είναι μια κρίσιμη στιγμή για το Νομοσχέδιο για την Ασφάλεια στο Διαδίκτυο, καθώς συζητείται στη Βουλή των Λόρδων προτού επιστραφεί στα Κοινά αυτό το καλοκαίρι», γράφουν. «Συνοπτικά, η ανησυχία μας είναι ότι οι τεχνολογίες επιτήρησης αναπτύσσονται στο πνεύμα της παροχής διαδικτυακής ασφάλειας. Αυτή η πράξη υπονομεύει τις εγγυήσεις απορρήτου και, μάλιστα, την ασφάλεια στο διαδίκτυο.»

Οι ακαδημαϊκοί, που κατέχουν θέσεις καθηγητών και άλλες θέσεις σε πανεπιστήμια σε όλη τη χώρα – συμπεριλαμβανομένων ορισμένων ιδρυμάτων έντασης έρευνας του Russell Group, όπως το King’s College και το Imperial College στο Λονδίνο, την Οξφόρδη και το Κέμπριτζ, το Εδιμβούργο, το Σέφιλντ και το Μάντσεστερ για να αναφέρουμε μερικά – λένε Στόχος τους με την επιστολή είναι να τονίσουν «ανησυχητικές παρεξηγήσεις και παρανοήσεις σχετικά με το Νομοσχέδιο για την Ασφάλεια στο Διαδίκτυο και την αλληλεπίδρασή του με τις τεχνολογίες απορρήτου και ασφάλειας στις οποίες βασίζονται οι καθημερινές μας διαδικτυακές αλληλεπιδράσεις και επικοινωνία».

Η βασική τους ανησυχία είναι η ώθηση του νομοσχεδίου για «συνήθη παρακολούθηση» των συνομιλιών των ανθρώπων, υποτίθεται με στόχο την καταπολέμηση της εξάπλωσης περιεχομένου σεξουαλικής κακοποίησης και εκμετάλλευσης παιδιών (CSEA) — αλλά το οποίο οι ακαδημαϊκοί υποστηρίζουν ότι είναι μια βαριοπούλα για να σπάσει μια προσέγγιση. θα προκαλέσει μαζική ζημιά στο κοινό και την κοινωνία γενικότερα, υπονομεύοντας κρίσιμα πρωτόκολλα ασφαλείας στα οποία βασιζόμαστε όλοι.

Η τακτική παρακολούθηση των ιδιωτικών επικοινωνιών είναι «κατηγορηματικά ασυμβίβαστη με τη διατήρηση των σημερινών (και διεθνώς υιοθετημένων) πρωτοκόλλων διαδικτυακής επικοινωνίας που προσφέρουν εγγυήσεις απορρήτου παρόμοιες με τις συνομιλίες πρόσωπο με πρόσωπο», υποστηρίζουν, προειδοποιώντας για «προσπάθειες παράκαμψης αυτής της αντίφασης» με την εφαρμογή πρόσθετης τεχνολογίας — είτε σάρωση από την πλευρά του πελάτη είτε οι λεγόμενες «κανείς εκτός από εμάς» κερκόπορτες κρυπτογράφησης — ως «καταδικασμένοι να αποτύχουν σε τεχνολογικό και πιθανό κοινωνικό επίπεδο».

«Η τεχνολογία δεν είναι ένα μαγικό ραβδί», τονίζουν, προτού προσφέρουν συνοπτικές περιλήψεις για το γιατί οι δύο πιθανές οδοί πρόσβασης σε προστατευμένα προσωπικά μηνύματα δεν μπορούν να είναι συμβατές με τη διατήρηση του δικαιώματος των ανθρώπων στο απόρρητο και την ασφάλεια των πληροφοριών τους.

«Δεν υπάρχει καμία τεχνολογική λύση στην αντίφαση που ενυπάρχει τόσο στη διατήρηση εμπιστευτικών πληροφοριών από τρίτα μέρη όσο και στην κοινοποίηση των ίδιων πληροφοριών με τρίτους», προειδοποιούν οι ειδικοί, προσθέτοντας: «Η ιστορία των κρυπτογραφικών κερκίδων «κανείς εκτός από εμάς» είναι μια ιστορία αποτυχίες, από το τσιπ Clipper έως το DualEC. Όλες οι τεχνολογικές λύσεις που παρουσιάζονται μοιράζονται ότι παρέχουν σε τρίτο μέρος πρόσβαση σε ιδιωτική ομιλία, μηνύματα και εικόνες σύμφωνα με ορισμένα κριτήρια που ορίζονται από αυτό το τρίτο μέρος.»

Όσον αφορά τη σάρωση από την πλευρά του πελάτη, επισημαίνουν ότι η τακτική εφαρμογή μιας τέτοιας τεχνολογίας σε μηνύματα χρηστών κινητής τηλεφωνίας είναι δυσανάλογη σε μια δημοκρατική κοινωνία – που ισοδυναμεί με παρακολούθηση από προεπιλογή – γνωστή και ως «θέση υποχρεωτικής, πάντα ενεργοποιημένης αυτόματης υποκλοπής σε κάθε συσκευή για σάρωση για απαγορευμένο περιεχόμενο », όπως αναφέρει η επιστολή.

Ούτε η τεχνολογία σάρωσης από την πλευρά του πελάτη είναι αρκετά στιβαρή για αυτό που απαιτεί ο λογαριασμός στην εμπειρογνωμοσύνη τους.

«Αυτή η ιδέα ενός «αστυνομικού στην τσέπη σου» έχει το άμεσο τεχνολογικό πρόβλημα ότι πρέπει να είναι σε θέση να ανιχνεύει και να αποκαλύπτει με ακρίβεια το στοχευμένο περιεχόμενο και να μην εντοπίζει και να αποκαλύπτει περιεχόμενο που δεν είναι στοχευμένο, ακόμη και αν υποτεθεί μια ακριβής συμφωνία για το τι πρέπει να στοχευθούν», γράφουν, προειδοποιώντας ότι ακόμη και η τεχνολογία σάρωσης από την πλευρά του πελάτη που έχει σχεδιαστεί για να ανιχνεύει γνωστά CSEA έχει προβλήματα ακρίβειας.

Αναδεικνύουν επίσης

πρόσφατη έρευνα

ότι τέτοιοι αλγόριθμοι μπορούν να επαναχρησιμοποιηθούν για να προσθέσουν κρυφές δευτερεύουσες ικανότητες (όπως η αναγνώριση προσώπου) και να χρησιμοποιηθούν κατάχρηση για την εξουσία κρυφής παρακολούθησης.

Οι ακαδημαϊκοί ανησυχούν επίσης ότι το νομοσχέδιο θα χρησιμοποιηθεί για να ωθήσει τις πλατφόρμες να εκτελούν τακτικά ακόμη πιο παρεμβατικά μοντέλα AI που σαρώνουν τα μηνύματα των ανθρώπων για προηγουμένως αόρατο αλλά απαγορευμένο περιεχόμενο CSEA. Μια τέτοια τεχνολογία δεν υπάρχει σε “αρκετά αξιόπιστη” μορφή, προειδοποιούν – που σημαίνει ότι εάν το νομοσχέδιο επιβάλει μια τέτοια εφαρμογή, το πιθανό αποτέλεσμα θα είναι μάζες ψευδών θετικών αποτελεσμάτων που προκαλούν ευρεία ζημιά καθώς οι αθώοι χρήστες εφαρμογών μηνυμάτων κινδυνεύουν να προβληθούν ευρέως τα προσωπικά τους μηνύματα χωρίς αιτία, και θα μπορούσε ακόμη και να βρεθεί αντιμέτωπη με την ψευδή κατηγορία ότι παρακολουθούσε το CSEA.

«Αυτή η έλλειψη αξιοπιστίας εδώ μπορεί να έχει σοβαρές συνέπειες καθώς ένα ψευδώς θετικό χτύπημα σημαίνει πιθανή κοινή χρήση ιδιωτικών, προσωπικών ή ευαίσθητων μηνυμάτων ή εικόνων με τρίτα μέρη, όπως ελεγκτές ιδιωτικών εταιρειών, αρχές επιβολής του νόμου και οποιονδήποτε έχει πρόσβαση στην υποδομή παρακολούθησης. Αυτό μπορεί από μόνο του να συνιστά εκμετάλλευση και κατάχρηση εκείνων των οποίων τα μηνύματα αποκαλύπτονται», προειδοποιούν οι ειδικοί.

Σημειώνουν επίσης ότι τέτοια «ευρείας εμβέλειας» μοντέλα τεχνητής νοημοσύνης σάρωσης από την πλευρά του πελάτη θα απαιτούσαν υψηλότερο επίπεδο ευελιξίας που θα διευκόλυνε επίσης τον επαναπροσδιορισμό τους — «να επεκτείνουν το πεδίο εφαρμογής τους, με συμβιβασμούς ή αλλαγή πολιτικής» — αυξάνοντας το Το ανατριχιαστικό φάσμα του πεδίου εφαρμογής των ενσωματωμένων τεχνολογιών σάρωσης CSEA επεκτείνεται για να ανιχνεύσει άλλους τύπους περιεχομένου και πολίτες του Ηνωμένου Βασιλείου που υπόκεινται σε σταθερά υψηλότερα επίπεδα επιτήρησης από προεπιλογή.

Απευθυνθήκαμε στο Υπουργείο Επιστήμης, Καινοτομίας και Τεχνολογίας ζητώντας την απάντηση της κυβέρνησης στην ανοιχτή επιστολή.


techcrunch.com








You might also like


Τεχνολογία




Είμαι αδικαιολόγητα ενθουσιασμένος με το Strange Planet, μια νέα σειρά από τον…



Τεχνολογία




Το Threads παίρνει έναν αποτυχημένο βαθμό από τους υποστηρικτές σχετικά με την…



Τεχνολογία




Η εξαγορά του iRobot Roomba της Amazon βρίσκεται υπό επίσημη έρευνα στην ΕΕ



Google




Η Google ενδέχεται να μην προσαρμοστεί πλήρως με τα τσιπ Tensor μέχρι το 2025



Leave A Reply



Cancel Reply

Your email address will not be published.