[Перевод] Официальная позиция IEEE в поддержку сильного шифрования

habr.png

Даже в моём довольно узком круге общения, состоящем по большей части из технарей, встречаются люди, которые не понимают, почему требования предоставить доступ к переписке посредством ослабления шифрования или внедрения бэкдоров в механизмы криптографической защиты — это очередной шаг, который преследует вовсе не те интересы, которые декларируются. Этот перевод для них и для тех, кто так же не видит угроз в этих инициативах.
IEEE поддерживает неограниченное использование сильного шифрования для защиты конфиденциальности и целостности передаваемых и хранимых данных. Мы выступаем против усилий правительств по ограничению использования сильного шифрования и/или предоставлению полномочий исключительного доступа с использованием таких механизмов, как «бэкдоры» или «системы депонирования ключей», призванных облегчить доступ правительства к зашифрованным данным.

Депонированные ключи

Принцип бэкдора заключается в том, что третья сторона имеет механизм для независимого и негласного расшифровывания передаваемых данных. В попытке защитить приватность и предотвратить незаконное использоване бэкдора создан концепт депонированных ключей, предполагающий необходимость тайного сотрудничества независимых участников с правоохранительными органами для обеспечения доступа к бэкдору в целях расшифровки передаваемой информации.

Мнение ENSIA о шифровании: сильное шифрование гарантирует наше цифровое самоопределение, Европейское агентство по сетевой и информационной безопасности (ENSIA), Декабрь 2016, стр. 7.


Правительства имеют законные основания для правоохранительной деятельности и защиты национальных интересов. IEEE считает, что требование преднамеренного создания бэкдоров или схем депонирования — не взирая на то, насколько благие намерения стоят за ним — не удовлетворяет этим интересам и ведёт к созданию уязвимостей, несущих угрозу как непредвиденных, так и вполне предсказуемых негативных последствий.

Основа безопасности


Сильное шифрование представляет исключительную важность для защиты физических лиц, бизнеса и правительств от вредоносной киберактивности. Шифрование защищает конфиденциальность и целостность хранимых и передаваемых данных. Практически вся интернет-коммерция полагается на шифрование для защиты данных.

Новые риски


Механизмы исключительного доступа могут создавать риски, позволяя злоумышленникам использовать ослабленные системы или встроенные уязвимости в преступных целях. Если злоумышленники будут знать о наличии механизмов исключительного доступа, это позволит им сконцентрироваться на их поиске и использовании. Схемы централизованного депонирования ключей создавали бы риск того, что у противника появится возможность скомпрометировать безопасность всех участников, включая тех, кто изначально не являлся целью. В результате риск успешной кибер-кражи, кибер-шпиоанажа, кибератаки и кибертерроризма может вырасти. Последствия вредоносной киберактивности для отдельных людей и общества могут принимать множество форм:

  • прямые финансовые потери;
  • кража личности;
  • кража интеллектуальной собственности и чувствительной для бизнеса информации;
  • урон критической инфраструктуре;
  • угроза национальной безопасности;
  • репутационный ущерб;
  • упущенная выгода, такая как потеря производительности;
  • и даже угроза жизни, когда компьютерные системы, поддерживающие жизненно важные функции, оказываются отключены.


Кроме того, увеличивая риск злонамеренного изменения данных, механизмы неограниченного доступа могут снижать доверие к подлинности данных и приводить к ошибкам в принятии решений и просчётам.

Это не поможет


Механизмы исключительного доступа не помешают злоумышленникам пользоваться преимуществами сильного шифрования, созданного специально для них или доступного в странах, где нет требований по созданию механизмов исключительного доступа. Устройства и системы с высоким уровнем информационной безопасности и/или доподлинно не имеющие механизмов исключительного доступа существуют сейчас и будут всегда доступны для злоумышленников, за которыми хотят следить правоохранительные органы и разведслужбы.

Вопросы юрисдикции


Усилия по ограничению сильного шифрования или внедрению схем депонированных ключей в потребительские продукты могут оказывать долгосрочное негативное влияние на приватность, безопасность и гражданские права людей, попавших под действие такого регулирования. Шифрование используется во всём мире, и не все страны и институты будут соблюдать требования политик безопасности механизмов исключительного доступа. Цель, считаемая одной страной законной и соответствующей её национальным интересам, может рассматриваться другими странами как незаконная или нарушающая их стандарты или интересы. Таким образом, вопросы юрисдикции могут стать самым большим препятствием для работы механизмов исключительного доступа.

Альтернативные методы


Правоохранительные органы имеют ряд иных следственных инструментов, обеспечивающих доступ к системам и данным, когда это оправданно. Методы включают законные механизмы для доступа к данным, хранящимся в виде открытого текста на корпоративных серверах, целевые эксплоиты для отдельных устройств, форензику для компьютеров подозреваемых и принуждение подозреваемых к предоставлению ключей и паролей.

Недобросовестная конкуренция


Механизмы исключительного доступа могут мешать регулируемым компаниям внедрять инновации и конкурировать на глобальном рынке. Требование предоставления исключительного доступа может дать компаниям, не обязанным его выполнять, возможность создания продуктов и услуг, выглядящих для клиентов на глобальном рынке более надёжными, чем они этого заслуживают.
IEEE стремится развивать доверие к технологиям через прозрачность, создание технических сообществ, выстраивание партнёрских отношений между регионами и странами. Меры, которые снижают информационную безопасность или способствуют злоупотреблению безопасными информационными системами, неизбежно нанесут ущерб этому доверию, что, в свою очередь, будет препятствовать способности технологий достичь гораздо более значительных благоприятных социальных последствий.

Об IEEE


Институт инженеров электротехники и электроники — IEEE (англ. Institute of Electrical and Electronics Engineers) является крупнейшей технической профессиональной организацией, занимающейся продвижением технологий на благо человечества. За счёт часто цитируемых публикаций, конференций, технологических стандартов, профессиональной и образовательной деятельности IEEE является авторитетным источником в самых разных областях: от аэрокосмических систем, компьютеров и телекоммуникаций до биомедицинской инженерии, электроэнергетики и бытовой электроники.

© Habrahabr.ru