Конфиденциальность — это не современное изобретение; она является неотъемлемой частью человеческого состояния, связанного с доверием, инакомыслием и интимностью. Каждое общество вырабатывало способы общения вне досягаемости власти: шепотом, запечатанными письмами, кодированным языком. Необходимость хранить секреты в равной степени важна и для власть имущих — правительства, в большей степени, чем частные лица, ревностно оберегали свои тайны, даже стремясь раскрыть чужие. Новым является не сама потребность или желание в частном общении, а нынешняя мощь наблюдателя. Мы живем в том, что некоторые назвали «золотым веком слежки», когда правительства, корпорации и противники обладают технической возможностью отслеживать человеческое взаимодействие в беспрецедентных масштабах. В эту эпоху повсеместной цифровой связи большинство цифровых взаимодействий оставляют постоянный, доступный для поиска след, и необходимость защиты конфиденциальной информации стала критически важной. Сквозное шифрование (E2EE) поэтому не является технической абстракцией или идеологическим баловством; это самая эффективная защита от несанкционированного доступа к частным сообщениям в полностью сетевом мире. По мере развития цифрового общения риски перехвата растут вместе с ним.
Почему E2EE имеет значение
E2EE сохраняет конфиденциальность данных, маскируя их от неавторизованных пользователей и гарантируя, что доступ к данным могут получить только предполагаемые получатели, обладающие ключом дешифрования. Используя криптографию, E2EE преобразует читаемый открытый текст в нечитаемый шифротекст на устройстве отправителя, сохраняет его зашифрованным во время передачи и расшифровывает обратно в исходную форму только тогда, когда он достигает места назначения и декодируется с помощью правильного ключа. Он широко используется правительствами и корпорациями и становится все более распространенным среди индивидуальных пользователей, что отражает его статус преобладающего стандарта безопасности данных и конфиденциальности. Наиболее распространенное применение E2EE — это безопасное общение в мобильных и онлайн-мессенджерах. Он также широко используется менеджерами паролей для защиты паролей пользователей; для целей хранения данных, чтобы гарантировать их защиту как при хранении, так и при передаче между устройствами или в облако; а также для передачи файлов, включая одноранговую передачу файлов, зашифрованное облачное хранилище и специализированные службы передачи файлов. Использование E2EE означает, что никто другой, включая поставщика услуг, обеспечивающего связь, не имеет доступа к незашифрованным данным без согласия. В случае перехвата данные будут выглядеть для третьих сторон как случайные, неразборчивые символы. Поскольку поставщик услуг, обеспечивающий связь, не имеет доступа к незашифрованным данным благодаря E2EE, он не может предоставить их какой-либо третьей стороне. Это включает правительства и правоохранительные органы, которые критикуют E2EE как препятствие для расследований, одновременно полагаясь на самое сильное доступное шифрование и требуя его для защиты собственных систем. Таким образом, спор о E2EE — это не баланс между конфиденциальностью и безопасностью. Он заключается в том, могут ли правительства требовать системной небезопасности, настаивая при этом на абсолютной безопасности для себя.
Риски «исключительного доступа»
«Исключительный доступ» — это термин, используемый для описания механизма, позволяющего правительству получать доступ к зашифрованным сообщениям. Различные правительства придерживаются разных подходов к методам, которые они используют для получения исключительного доступа. Хотя намерения, стоящие за исключительным доступом, могут быть благородными, содействие таким механизмам в коммуникациях E2EE может создать больше проблем, чем решить. Создание правительственных уязвимостей безопасности, обычно известных как бэкдоры, в сервисах E2EE ставит под угрозу безопасность и конфиденциальность глобального общения. Как только бэкдор создан, никто не может гарантировать, что доступ к нему получит только авторизованная третья сторона. Вредоносные акторы попытаются использовать такие бэкдоры для входа и дешифрования сообщений, которые должны быть защищены на конечных точках и доступны только отправителю и получателям. Именно по этой причине ведущие мировые провайдеры публично заявили, что никогда этого не сделают. Механизмы исключительного доступа третьих сторон, при которых копия ключей дешифрования пользователя хранится у «доверенной» третьей стороны для возможного будущего использования правительством, в настоящее время сопряжены с непреодолимыми технологическими проблемами и проблемами безопасности. Индустрия, при поддержке подавляющего большинства соответствующих экспертов, заявляет, что просто невозможно иметь E2EE, когда ключ хранится у третьей стороны. Это подрывает основную предпосылку E2EE и является преднамеренным нарушением гарантии безопасности, которую предоставляет E2EE. Любое хранилище, где провайдеры вынуждены хранить ключи, станет сокровищницей, целью для злоумышленников — особенно для изощренных государственных акторов, которые, как мы неоднократно видели, умеют взламывать глобальные телекоммуникационные сети и критическую инфраструктуру.
Почему шифрование не является экзистенциальной угрозой для правоохранительных органов
В любом случае, правительства десятилетиями предупреждали об экзистенциальной угрозе, исходящей от шифрования, и о мрачной возможности «ослепнуть». Но они не ослепли, и существуют другие способы получения ценных данных правительствами. Метаданные остаются доступными. Усовершенствованные следственные средства и другие инструменты расследования постоянно развиваются и становятся все более изощренными. Правительствам следует быть осторожными в своих желаниях. Пытаясь ограничить E2EE, они могут оттолкнуть тех самых акторов, чьи данные им нужнее всего, от основных провайдеров, большинство из которых имеют давние налаженные отношения с правоохранительными органами. Совершив это, они потеряют возможность получать данные, которые все еще могут быть получены, несмотря на использование E2EE, — или, что еще хуже, они подорвут саму технологию, на которую сами полагаются. На данном этапе технологического развитияне существует значимого способа предоставить правительствам «исключительный доступ» к зашифрованным сообщениям без преднамеренного создания системной уязвимости в цифровой инфраструктуре, от которой зависят миллиарды людей, учреждений и сами правительства. Как только такие уязвимости появляются, их невозможно ограничить теми, кто действует добросовестно или законно; они становятся доступны враждебным государствам, криминальным акторам и любому, кто способен их использовать. Консенсус среди технологов и экспертов по безопасности однозначен: E2EE либо работает для всех, либо сломан для всех. Правительства могут продолжать предупреждать о надвигающейся тьме, но большая опасность заключается в требовании безопасности по замыслу — результате, который фундаментально подорвет доверие, устойчивость и безопасность глобальной экосистемы связи.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор –
