Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять]
В середине мая члены Конгресса США представили законопроект, который получил название Secure Data Act 2018. Он запретит правительству и государственным структурам требовать от производителей технических устройств встраивать в свои продукты бэкдоры. Принуждения нельзя будет добиться даже через суд.
Подробнее о законопроекте и реакции сообщества расскажем далее.
/ фото Paul Sableman CC
Однако они так и не были приняты. Новый биль является наследником предыдущих законопроектов 2014 и 2015 года, которые должны были запретить федеральным агентствам Соединенных Штатов требовать намеренного внедрения уязвимостей в технологии защиты данных.
Это очередная попытка донести мысль, которую специалисты по криптографии продвигают в течение нескольких десятилетий — безопасных бэкдоров не существует. В этом году члены Палаты представителей США Зо Лофгрен (Zoe Lofgren), Томас Масси (Thomas Massie) и другие решили вновь представить на рассмотрение Secure Data Act (в этот раз с обозначением 2018).
В начале мая они даже проводили встречу с членами Фонда электронных рубежей (EFF). Члены Палаты надеются, что в этот раз им удастся успешно «продвинуть» законопроект. На ней специалисты обсуждали технические аспекты реализации бэкдоров и последствия, к которым может привести намеренное ослабление безопасности электронных устройств.
Суть законопроекта
Как сообщают в The Register, законопроект направлен на защиту целостности систем шифрования. Он запрещает любому государственному органу требовать, чтобы производитель (разработчик или даже продавец) вносил в системы безопасности технических продуктов изменения, которые позволят получить доступ к персональной информации пользователей или осуществлять слежку.
К упомянутым продуктам относятся: программное и аппаратное обеспечение, а также другие электронные устройства, находящиеся в публичном доступе.
Однако делает исключение для телекоммуникационных провайдеров. Помимо этого, закон запретит судам принуждать кого-либо к предоставлению доступа к данным. Согласно закону США CALEA (Communications Assistance for Law Enforcement Act) от 1994 года, такие организации обязаны содействовать правоохранительным органам и при необходимости предоставлять им доступ к своим сетям передачи данных.
Как реагирует сообщество
По словам Лофгрен, устройства с бэкдорами подвергают риску пользователей, а также вредят компаниям США, поскольку «дыры» в безопасности снижают конкурентоспособность продуктов на рынке. C Лофгрен соглашаются и представители Ассоциации производителей средств вычислительной техники и связи (CCIA). Они подчеркивают, что «уверенность пользователей в безопасности интернета играет ключевую роль в его жизнеспособности как глобального пространства для самовыражения и коммерческой деятельности».
Обычные интернет-пользователи тоже выступают за принятие Secure Data Act 2018, однако многие из них убеждены, что закон «не пройдет» и на этот раз.
Хотя тогда, в 1993-м, Clipper Chip и «не прижился». Например, они вспоминают Clipper — чип со встроенным бэкдором для шифрования голосовых сообщений. По словам группы исследователей из MIT, AT&T, Microsoft и других компаний, его внедрение подвергло бы риску пользователей и привело к повышению цен на цифровые устройства.
/ фото Valerie Everett CC
В частности, в апреле этого года Рэй Оззи (Ray Ozzie), разработчик из Lotus Notes и бывший технический директор Microsoft, сам предложил систему, открывающую доступ к зашифрованным данным мобильных устройств. Причиной, почему законопроект может «не пройти», также является то, что против него выступают влиятельные игроки индустрии. Он даже получил на неё патент.
По мнению Роберта Грэма (Robert Graham) из команды ИБ-исследователей Errata Security, его [Оззи] инициатива не привносит ничего нового, а предлагает решение для давно разрешенных задач. Однако, предложение Оззи раскритиковали другие участники индустрии. Сейчас основная задача — защитить эти бэкдоры, и у Оззи нет её решения. Грэм утверждает, что специалисты и так в курсе, как создавать бэкдоры.
Он сказал, что внедрение таких систем приведет к разрушительным последствиям в долгосрочной перспективе. Мэттью Грин (Matthew Green), специалист по криптографии и профессор Университета Джонса Хопкинса, также подверг предложение Рэя Оззи жесткой критике, равно как и специалист по безопасности и технический директор IBM Resilient Брюс Шнайер (Bruce Schneier).
Но какое бы решение ни было принято, оно едва ли станет единогласным. Поэтому в сложившейся ситуации сложно спрогнозировать, будет ли одобрен предложенный законопроект.