|
|
爭(zhēng)議加密訪問的可行性�����,沒有安全風(fēng)險(xiǎn)。
麻省理工學(xué)院(MIT)的研究人員質(zhì)疑澳大利亞政府在不削弱安全性的情況下訪問加密通信的能力。
1.jpg (16.2 KB, 下載次數(shù): 669)
下載附件
解密法案
2018-10-12 10:56 上傳
麻省理工學(xué)院互聯(lián)網(wǎng)政策研究倡議組織(IPRI)在向內(nèi)政部提交的一份文件[pdf]中試圖解決擬議法律的技術(shù)缺陷���,這些法律將要求服務(wù)提供商要求或強(qiáng)制協(xié)助執(zhí)法部門訪問加密通信。
該法案于8月份首次披露,現(xiàn)已更改��,以反映14,000多份提交文件中的一些 - 表明這可能涉及服務(wù)提供商構(gòu)建新工具���,運(yùn)行政府構(gòu)建的軟件或促進(jìn)對(duì)目標(biāo)設(shè)備的訪問��。
內(nèi)政部長Peter Dutton表示��,這不會(huì)要求提供商“建立解密能力”或“制造系統(tǒng)性弱點(diǎn)”。
但I(xiàn)PRI表示圍繞設(shè)計(jì)安全特殊訪問(EA)系統(tǒng)的可能性仍然存在一個(gè)“未解決的問題”���,并且它無法“找到可以明顯避免引入系統(tǒng)性弱點(diǎn)或漏洞的EA設(shè)計(jì)”�����,因此遠(yuǎn)���。
它還指出���,“如果沒有特定功能要求和實(shí)施參數(shù)的上下文�����,就無法推斷出這樣的[EA]系統(tǒng)”。
“換句話說��,即使給出了有用的規(guī)范���,對(duì)任何給定EA設(shè)計(jì)的安全風(fēng)險(xiǎn)的充分理解在未來仍然遙不可及�����,”它說�����,并補(bǔ)充說這一觀點(diǎn)得到了研究界的廣泛認(rèn)同。
研究人員表示��,如果政府繼續(xù)執(zhí)行其技術(shù)能力要求的計(jì)劃��,它應(yīng)“首先與技術(shù)界合作制定方法和標(biāo)準(zhǔn)��,以評(píng)估此類要求的安全風(fēng)險(xiǎn)”。
民政事務(wù)部聲稱��,在發(fā)布最初計(jì)劃于2018年實(shí)施的法案之前���,已經(jīng)廣泛征​​求了業(yè)界的意見�����,以便在服務(wù)提供者和執(zhí)法部門之間取得適當(dāng)?shù)钠胶猓M管這些討論的范圍尚不清楚���。
IPRI指出“必須有一個(gè)評(píng)估這些風(fēng)險(xiǎn)的技術(shù)框架”,并且期望在開發(fā)EA系統(tǒng)的過程中“將面臨嚴(yán)重的安全障礙”是合理的。
“今天,聯(lián)合王國的調(diào)查權(quán)力法案和[澳大利亞]提議的法案都沒有規(guī)定明確的技術(shù)或操作標(biāo)準(zhǔn)���,以評(píng)估技術(shù)能力通知���,”它說��。
“這不是一項(xiàng)簡(jiǎn)單的技術(shù)任務(wù),但對(duì)于確保政府避免可能使國家乃至全球基礎(chǔ)設(shè)施面臨風(fēng)險(xiǎn)的任務(wù)至關(guān)重要���。”
提交的材料還表明��,“認(rèn)識(shí)到可能存在與這些要求相關(guān)的系統(tǒng)性風(fēng)險(xiǎn)是一個(gè)重要的公共政策步驟”�����,這與Dutton否認(rèn)可以引入系統(tǒng)性弱點(diǎn)相反���。
透明度
麻省理工學(xué)院的研究人員還呼吁政府在“設(shè)計(jì)協(xié)議���,加密算法和軟件”方面引入更好的透明度��,以支持?jǐn)M議的援助和訪問方案。
他們說��,這將“允許安全研究人員和公眾評(píng)估TCN [技術(shù)能力通知]對(duì)系統(tǒng)性弱點(diǎn)和漏洞的要求”���,并指出這些通常是由Heartbleed等第三方發(fā)現(xiàn)的��。
“正如安全研究界一再表明的那樣,關(guān)鍵代碼中的設(shè)計(jì)缺陷和實(shí)施漏洞經(jīng)常被第三方發(fā)現(xiàn),而不是設(shè)計(jì)和實(shí)現(xiàn)系統(tǒng)本身的工程師,”提交文章稱。
“因此,條例草案必須鼓勵(lì)而不是懲罰透露可能施加的任何技術(shù)要求的相關(guān)細(xì)節(jié)����������!
IPRI建議�����,通過對(duì)披露系統(tǒng)設(shè)計(jì)和實(shí)施所需變更細(xì)節(jié)進(jìn)行處罰,政府將面臨通過“將廣泛使用的軟件置于最大程度的公眾監(jiān)督之下的日益重要的過程”而面臨其他可解決的弱點(diǎn)的風(fēng)險(xiǎn)。
“鑒于EA功能可能導(dǎo)致系統(tǒng)性安全漏洞的重大關(guān)注��,該法案在兩個(gè)方面提供足夠的透明度至關(guān)重要:1)公眾能夠訪問TCN的技術(shù)細(xì)節(jié)�����,2)能力對(duì)于受TCN約束的提供商���,他們應(yīng)披露他們認(rèn)為有關(guān)其系統(tǒng)如何實(shí)施TCN的必要性������!
IPRI還要求Apple��,微軟,谷歌,WhatsApp和Signal等大型供應(yīng)商“不應(yīng)該被迫隱藏用戶的安全功能”
|
|
加載中...
發(fā)表于 2018-10-12 10:56:26
QQ好友和群
收藏