Даже в моём довольно узком круге общения, состоящем по большей части из технарей, встречаются люди, которые не понимают, почему требования предоставить доступ к переписке посредством ослабления шифрования или внедрения бэкдоров в механизмы криптографической защиты — это очередной шаг, который преследует вовсе не те интересы, которые декларируются. Этот перевод для них и для тех, кто так же не видит угроз в этих инициативах.

IEEE поддерживает неограниченное использование сильного шифрования ^[1] для защиты конфиденциальности и целостности передаваемых и хранимых данных. Мы выступаем против усилий правительств по ограничению использования сильного шифрования и/или предоставлению полномочий исключительного доступа с использованием таких механизмов, как «бэкдоры» или «системы депонирования ключей», призванных облегчить доступ правительства к зашифрованным данным.

Правительства имеют законные основания для правоохранительной деятельности и защиты национальных интересов. IEEE считает, что требование преднамеренного создания бэкдоров или схем депонирования — не взирая на то, насколько благие намерения стоят за ним — не удовлетворяет этим интересам и ведёт к созданию уязвимостей, несущих угрозу как непредвиденных, так и вполне предсказуемых негативных последствий.

Основа безопасности

Сильное шифрование представляет исключительную важность для защиты физических лиц, бизнеса и правительств от вредоносной киберактивности. Шифрование защищает конфиденциальность и целостность хранимых и передаваемых данных. Практически вся интернет-коммерция полагается на шифрование для защиты данных.

Новые риски

Механизмы исключительного доступа могут создавать риски, позволяя злоумышленникам использовать ослабленные системы или встроенные уязвимости в преступных целях. Если злоумышленники будут знать о наличии механизмов исключительного доступа, это позволит им сконцентрироваться на их поиске и использовании. Схемы централизованного депонирования ключей создавали бы риск ^[2] того, что у противника появится возможность скомпрометировать безопасность всех участников, включая тех, кто изначально не являлся целью. В результате риск успешной кибер-кражи, кибер-шпиоанажа, кибератаки и кибертерроризма может вырасти. Последствия вредоносной киберактивности для отдельных людей и общества могут принимать множество форм:

• прямые финансовые потери;
• кража личности;
• кража интеллектуальной собственности и чувствительной для бизнеса информации;
• урон ^[3] критической инфраструктуре;
• угроза национальной безопасности;
• репутационный ущерб;
• упущенная выгода, такая как потеря производительности;
• и даже угроза жизни, когда компьютерные системы, поддерживающие жизненно важные функции, оказываются отключены.

Кроме того, увеличивая риск злонамеренного изменения данных, механизмы неограниченного доступа могут снижать доверие к подлинности данных и приводить к ошибкам в принятии решений и просчётам.

Это не поможет

Механизмы исключительного доступа не помешают злоумышленникам пользоваться преимуществами сильного шифрования, созданного специально для них или доступного в странах ^[4], где нет требований по созданию механизмов исключительного доступа. Устройства и системы с высоким уровнем информационной безопасности и/или доподлинно не имеющие механизмов исключительного доступа существуют сейчас и будут всегда доступны для злоумышленников, за которыми хотят следить правоохранительные органы и разведслужбы.

Вопросы юрисдикции

Усилия по ограничению сильного шифрования или внедрению схем депонированных ключей в потребительские продукты могут оказывать долгосрочное негативное влияние на приватность, безопасность и гражданские права людей, попавших под действие такого регулирования. Шифрование используется во всём мире, и не все страны и институты будут соблюдать требования политик безопасности механизмов исключительного доступа. Цель, считаемая одной страной законной и соответствующей её национальным интересам, может рассматриваться другими странами как незаконная или нарушающая их стандарты или интересы. Таким образом, вопросы юрисдикции могут стать самым большим препятствием ^[5] для работы механизмов исключительного доступа.

Альтернативные методы

Правоохранительные органы имеют ряд иных следственных инструментов ^[6], обеспечивающих доступ к системам и данным, когда это оправданно. Методы включают законные механизмы для доступа к данным, хранящимся в виде открытого текста на корпоративных серверах, целевые эксплоиты для отдельных устройств, форензику для компьютеров подозреваемых и принуждение подозреваемых к предоставлению ключей и паролей.

Недобросовестная конкуренция

Механизмы исключительного доступа могут мешать регулируемым компаниям внедрять инновации и конкурировать на глобальном рынке. Требование предоставления исключительного доступа может дать компаниям, не обязанным его выполнять, возможность создания продуктов и услуг, выглядящих для клиентов на глобальном рынке более надёжными, чем они этого заслуживают.

---

IEEE стремится развивать доверие к технологиям через прозрачность, создание технических сообществ, выстраивание партнёрских отношений между регионами и странами. Меры, которые снижают информационную безопасность или способствуют злоупотреблению безопасными информационными системами, неизбежно нанесут ущерб этому доверию, что, в свою очередь, будет препятствовать способности технологий достичь гораздо более значительных благоприятных социальных последствий.

Об IEEE

Институт инженеров электротехники и электроники ^[7] — IEEE (англ. Institute of Electrical and Electronics Engineers) является крупнейшей технической профессиональной организацией, занимающейся продвижением технологий на благо человечества. За счёт часто цитируемых публикаций, конференций, технологических стандартов, профессиональной и образовательной деятельности IEEE является авторитетным источником в самых разных областях: от аэрокосмических систем, компьютеров и телекоммуникаций до биомедицинской инженерии, электроэнергетики и бытовой электроники.

Автор: Michae1

Источник ^[8]