- PVSM.RU - https://www.pvsm.ru -

Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять]

В середине мая члены Конгресса США представили [1] законопроект, который получил название Secure Data Act 2018 [2]. Он запретит правительству и государственным структурам требовать от производителей технических устройств встраивать в свои продукты бэкдоры. Принуждения нельзя будет добиться даже через суд.

Подробнее о законопроекте и реакции сообщества расскажем далее.

Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять] - 1 [3]
/ фото Paul Sableman [4] CC [5]

Новый биль является наследником предыдущих [6] законопроектов 2014 и 2015 года, которые должны были запретить федеральным агентствам Соединенных Штатов требовать намеренного внедрения уязвимостей в технологии защиты данных. Однако они так и не были приняты.

В этом году члены Палаты представителей США Зо Лофгрен (Zoe Lofgren), Томас Масси (Thomas Massie) и другие решили вновь представить на рассмотрение Secure Data Act (в этот раз с обозначением 2018). Это очередная попытка донести мысль, которую специалисты по криптографии продвигают в течение нескольких десятилетий — безопасных бэкдоров не существует [7].

Члены Палаты надеются, что в этот раз им удастся успешно «продвинуть» законопроект. В начале мая они даже проводили [8] встречу с членами Фонда электронных рубежей (EFF). На ней специалисты обсуждали технические аспекты реализации бэкдоров и последствия, к которым может привести намеренное ослабление безопасности электронных устройств.

Суть законопроекта

Как сообщают [1] в The Register, законопроект направлен на защиту целостности систем шифрования. Он запрещает любому государственному органу требовать, чтобы производитель (разработчик или даже продавец) вносил в системы безопасности технических продуктов изменения, которые позволят получить доступ к персональной информации пользователей или осуществлять слежку.

К упомянутым продуктам относятся: программное и аппаратное обеспечение, а также другие электронные устройства, находящиеся в публичном доступе.

Помимо этого, закон запретит судам принуждать кого-либо к предоставлению доступа к данным. Однако делает исключение для телекоммуникационных провайдеров. Согласно закону США CALEA [9] (Communications Assistance for Law Enforcement Act) от 1994 года, такие организации обязаны содействовать правоохранительным органам и при необходимости предоставлять им доступ к своим сетям передачи данных.

Как реагирует сообщество

По словам [1] Лофгрен, устройства с бэкдорами подвергают риску пользователей, а также вредят компаниям США, поскольку «дыры» в безопасности снижают конкурентоспособность продуктов на рынке. C Лофгрен соглашаются [10] и представители Ассоциации производителей средств вычислительной техники и связи (CCIA [11]). Они подчеркивают, что «уверенность пользователей в безопасности интернета играет ключевую роль в его жизнеспособности как глобального пространства для самовыражения и коммерческой деятельности».

Обычные интернет-пользователи тоже выступают [12] за принятие Secure Data Act 2018, однако многие из них убеждены, что закон «не пройдет» и на этот раз.

Например, они вспоминают Clipper — чип со встроенным бэкдором для шифрования голосовых сообщений. Хотя тогда, в 1993-м, Clipper Chip и «не прижился». По словам [13] группы исследователей из MIT, AT&T, Microsoft и других компаний, его внедрение подвергло бы риску пользователей и привело к повышению цен на цифровые устройства.

Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять] - 2
/ фото Valerie Everett [14] CC [15]

Причиной, почему законопроект может «не пройти», также является то, что против него выступают влиятельные игроки индустрии. В частности, в апреле этого года Рэй Оззи (Ray Ozzie), разработчик из Lotus Notes и бывший технический директор Microsoft, сам предложил [16] систему, открывающую доступ к зашифрованным данным мобильных устройств. Он даже получил [17] на неё патент.

Однако, предложение Оззи раскритиковали другие участники индустрии. По мнению [18] Роберта Грэма (Robert Graham) из команды ИБ-исследователей Errata Security, его [Оззи] инициатива не привносит ничего нового, а предлагает решение для давно разрешенных задач. Грэм утверждает, что специалисты и так в курсе, как создавать бэкдоры. Сейчас основная задача — защитить эти бэкдоры, и у Оззи нет её решения.

Мэттью Грин (Matthew Green), специалист по криптографии и профессор Университета Джонса Хопкинса, также подверг [19] предложение Рэя Оззи жесткой критике, равно как и [20] специалист по безопасности и технический директор IBM Resilient Брюс Шнайер (Bruce Schneier). Он сказал, что внедрение таких систем приведет к разрушительным последствиям в долгосрочной перспективе.

Поэтому в сложившейся ситуации сложно спрогнозировать, будет ли одобрен предложенный законопроект. Но какое бы решение ни было принято, оно едва ли станет единогласным.

О чем еще мы пишем в корпоративном блоге 1cloud:

Автор: 1cloud

Источник [25]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/281678

Ссылки в тексте:

[1] представили: https://www.theregister.co.uk/2018/05/10/proposed_law_would_stop_feds_from_demanding_backdoors/

[2] Secure Data Act 2018: https://lofgren.house.gov/sites/lofgren.house.gov/files/Secure%20Data%20Act%202018.pdf

[3] Image: https://habr.com/company/1cloud/blog/412991/

[4] Paul Sableman: https://www.flickr.com/photos/pasa/11469816236/

[5] CC: https://creativecommons.org/licenses/by/2.0/

[6] предыдущих: https://www.congress.gov/bill/113th-congress/house-bill/5800/text

[7] не существует: https://www.eff.org/deeplinks/2018/05/there-no-middle-ground-encryption

[8] проводили: https://www.eff.org/deeplinks/2018/05/bring-nerds-eff-introduces-actual-encryption-experts-us-senate-staff

[9] CALEA: https://ru.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act

[10] соглашаются: http://www.ccianet.org/2018/05/ccia-welcomes-secure-data-act-of-2018/

[11] CCIA: https://en.wikipedia.org/wiki/Computer_%26_Communications_Industry_Association

[12] выступают: https://forums.theregister.co.uk/forum/1/2018/05/10/proposed_law_would_stop_feds_from_demanding_backdoors/

[13] словам: http://www.crypto.com/papers/escrowrisks98.pdf

[14] Valerie Everett: https://www.flickr.com/photos/valeriebb/2893687264/

[15] CC: https://creativecommons.org/licenses/by-sa/2.0/

[16] предложил: https://www.theregister.co.uk/2018/04/27/ray_ozzie_encryption_backdoor/

[17] получил: https://patents.google.com/patent/US20170272248A1/en?q=%22Providing+Low+Risk+Exceptional+Access%22&oq=%22Providing+Low+Risk+Exceptional+Access%22

[18] мнению: https://blog.erratasec.com/2018/04/no-ray-ozzie-hasnt-solved-crypto.html

[19] подверг: https://blog.cryptographyengineering.com/2018/04/26/a-few-thoughts-on-ray-ozzies-clear-proposal/

[20] равно как и: https://www.schneier.com/blog/archives/2018/05/ray_ozzies_encr.html

[21] Все что нужно знать о принципах сетевого нейтралитета: https://1cloud.ru/blog/principy-setevogo-nejtraliteta?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[22] Meltdown и Spectre: новогодняя процессорная уязвимость: https://1cloud.ru/blog/uyazvimost-meltdown-spectre?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[23] Как обеспечивается безопасность данных в облаке: https://1cloud.ru/blog/bezopasnost-dannih-v-oblake?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[24] Что такое SSL-сертификат и зачем его покупать?: https://1cloud.ru/blog/zachem-pokupat-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=infosecurity&utm_content=blog

[25] Источник: https://habr.com/post/412991/?utm_source=habrahabr&utm_medium=rss&utm_campaign=412991