麻省理工學院的凈政策說，解密法案是行不通的

admin

爭議加密訪問的可行性，沒有安全風險。
麻省理工學院（MIT）的研究人員質疑澳大利亞政府在不削弱安全性的情況下訪問加密通信的能力。

麻省理工學院互聯網政策研究倡議組織（IPRI）在向內政部提交的一份文件[pdf]中試圖解決擬議法律的技術缺陷，這些法律將要求服務提供商要求或強制協助執法部門訪問加密通信。

該法案于8月份首次披露，現已更改，以反映14,000多份提交文件中的一些 - 表明這可能涉及服務提供商構建新工具，運行政府構建的軟件或促進對目標設備的訪問。

內政部長Peter Dutton表示，這不會要求提供商“建立解密能力”或“制造系統性弱點”。

但IPRI表示圍繞設計安全特殊訪問（EA）系統的可能性仍然存在一個“未解決的問題”，并且它無法“找到可以明顯避免引入系統性弱點或漏洞的EA設計”，因此遠。

它還指出，“如果沒有特定功能要求和實施參數的上下文，就無法推斷出這樣的[EA]系統”。

“換句話說，即使給出了有用的規范，對任何給定EA設計的安全風險的充分理解在未來仍然遙不可及，”它說，并補充說這一觀點得到了研究界的廣泛認同。

研究人員表示，如果政府繼續執行其技術能力要求的計劃，它應“首先與技術界合作制定方法和標準，以評估此類要求的安全風險”。

民政事務部聲稱，在發布最初計劃于2018年實施的法案之前，已經廣泛征​​求了業界的意見，以便在服務提供者和執法部門之間取得適當的平衡，盡管這些討論的范圍尚不清楚。

IPRI指出“必須有一個評估這些風險的技術框架”，并且期望在開發EA系統的過程中“將面臨嚴重的安全障礙”是合理的。

“今天，聯合王國的調查權力法案和[澳大利亞]提議的法案都沒有規定明確的技術或操作標準，以評估技術能力通知，”它說。

“這不是一項簡單的技術任務，但對于確保政府避免可能使國家乃至全球基礎設施面臨風險的任務至關重要。”

提交的材料還表明，“認識到可能存在與這些要求相關的系統性風險是一個重要的公共政策步驟”，這與Dutton否認可以引入系統性弱點相反。

透明度

麻省理工學院的研究人員還呼吁政府在“設計協議，加密算法和軟件”方面引入更好的透明度，以支持擬議的援助和訪問方案。

他們說，這將“允許安全研究人員和公眾評估TCN [技術能力通知]對系統性弱點和漏洞的要求”，并指出這些通常是由Heartbleed等第三方發現的。

“正如安全研究界一再表明的那樣，關鍵代碼中的設計缺陷和實施漏洞經常被第三方發現，而不是設計和實現系統本身的工程師，”提交文章稱。

“因此，條例草案必須鼓勵而不是懲罰透露可能施加的任何技術要求的相關細節。”

IPRI建議，通過對披露系統設計和實施所需變更細節進行處罰，政府將面臨通過“將廣泛使用的軟件置于最大程度的公眾監督之下的日益重要的過程”而面臨其他可解決的弱點的風險。

“鑒于EA功能可能導致系統性安全漏洞的重大關注，該法案在兩個方面提供足夠的透明度至關重要：1）公眾能夠訪問TCN的技術細節，2）能力對于受TCN約束的提供商，他們應披露他們認為有關其系統如何實施TCN的必要性。“

IPRI還要求Apple，微軟，谷歌，WhatsApp和Signal等大型供應商“不應該被迫隱藏用戶的安全功能”