麻省理工學(xué)院的凈政策說，解密法案是行不通的

admin

爭議加密訪問的可行性，沒有安全風(fēng)險。
麻省理工學(xué)院（MIT）的研究人員質(zhì)疑澳大利亞政府在不削弱安全性的情況下訪問加密通信的能力。

麻省理工學(xué)院互聯(lián)網(wǎng)政策研究倡議組織（IPRI）在向內(nèi)政部提交的一份文件[pdf]中試圖解決擬議法律的技術(shù)缺陷，這些法律將要求服務(wù)提供商要求或強(qiáng)制協(xié)助執(zhí)法部門訪問加密通信。

該法案于8月份首次披露，現(xiàn)已更改，以反映14,000多份提交文件中的一些 - 表明這可能涉及服務(wù)提供商構(gòu)建新工具，運(yùn)行政府構(gòu)建的軟件或促進(jìn)對目標(biāo)設(shè)備的訪問。

內(nèi)政部長Peter Dutton表示，這不會要求提供商“建立解密能力”或“制造系統(tǒng)性弱點”。

但I(xiàn)PRI表示圍繞設(shè)計安全特殊訪問（EA）系統(tǒng)的可能性仍然存在一個“未解決的問題”，并且它無法“找到可以明顯避免引入系統(tǒng)性弱點或漏洞的EA設(shè)計”，因此遠(yuǎn)。

它還指出，“如果沒有特定功能要求和實施參數(shù)的上下文，就無法推斷出這樣的[EA]系統(tǒng)”。

“換句話說，即使給出了有用的規(guī)范，對任何給定EA設(shè)計的安全風(fēng)險的充分理解在未來仍然遙不可及，”它說，并補(bǔ)充說這一觀點得到了研究界的廣泛認(rèn)同。

研究人員表示，如果政府繼續(xù)執(zhí)行其技術(shù)能力要求的計劃，它應(yīng)“首先與技術(shù)界合作制定方法和標(biāo)準(zhǔn)，以評估此類要求的安全風(fēng)險”。

民政事務(wù)部聲稱，在發(fā)布最初計劃于2018年實施的法案之前，已經(jīng)廣泛征​​求了業(yè)界的意見，以便在服務(wù)提供者和執(zhí)法部門之間取得適當(dāng)?shù)钠胶猓�盡管這些討論的范圍尚不清楚。

IPRI指出“必須有一個評估這些風(fēng)險的技術(shù)框架”，并且期望在開發(fā)EA系統(tǒng)的過程中“將面臨嚴(yán)重的安全障礙”是合理的。

“今天，聯(lián)合王國的調(diào)查權(quán)力法案和[澳大利亞]提議的法案都沒有規(guī)定明確的技術(shù)或操作標(biāo)準(zhǔn)，以評估技術(shù)能力通知，”它說。

“這不是一項簡單的技術(shù)任務(wù)，但對于確保政府避免可能使國家乃至全球基礎(chǔ)設(shè)施面臨風(fēng)險的任務(wù)至關(guān)重要。”

提交的材料還表明，“認(rèn)識到可能存在與這些要求相關(guān)的系統(tǒng)性風(fēng)險是一個重要的公共政策步驟”，這與Dutton否認(rèn)可以引入系統(tǒng)性弱點相反。

透明度

麻省理工學(xué)院的研究人員還呼吁政府在“設(shè)計協(xié)議，加密算法和軟件”方面引入更好的透明度，以支持?jǐn)M議的援助和訪問方案。

他們說，這將“允許安全研究人員和公眾評估TCN [技術(shù)能力通知]對系統(tǒng)性弱點和漏洞的要求”，并指出這些通常是由Heartbleed等第三方發(fā)現(xiàn)的。

“正如安全研究界一再表明的那樣，關(guān)鍵代碼中的設(shè)計缺陷和實施漏洞經(jīng)常被第三方發(fā)現(xiàn)，而不是設(shè)計和實現(xiàn)系統(tǒng)本身的工程師，”提交文章稱。

“因此，條例草案必須鼓勵而不是懲罰透露可能施加的任何技術(shù)要求的相關(guān)細(xì)節(jié)。”

IPRI建議，通過對披露系統(tǒng)設(shè)計和實施所需變更細(xì)節(jié)進(jìn)行處罰，政府將面臨通過“將廣泛使用的軟件置于最大程度的公眾監(jiān)督之下的日益重要的過程”而面臨其他可解決的弱點的風(fēng)險。

“鑒于EA功能可能導(dǎo)致系統(tǒng)性安全漏洞的重大關(guān)注，該法案在兩個方面提供足夠的透明度至關(guān)重要：1）公眾能夠訪問TCN的技術(shù)細(xì)節(jié)，2）能力對于受TCN約束的提供商，他們應(yīng)披露他們認(rèn)為有關(guān)其系統(tǒng)如何實施TCN的必要性。“

IPRI還要求Apple，微軟，谷歌，WhatsApp和Signal等大型供應(yīng)商“不應(yīng)該被迫隱藏用戶的安全功能”