Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять]

В середине мая члены Конгресса США представили законопроект, который получил название Secure Data Act 2018. Он запретит правительству и государственным структурам требовать от производителей технических устройств встраивать в свои продукты бэкдоры. Принуждения нельзя будет добиться даже через суд.

Подробнее о законопроекте и реакции сообщества расскажем далее.

05vtprevna2jo2k-ansv8cerxpc.jpeg
/ фото Paul Sableman CC

Новый биль является наследником предыдущих законопроектов 2014 и 2015 года, которые должны были запретить федеральным агентствам Соединенных Штатов требовать намеренного внедрения уязвимостей в технологии защиты данных. Однако они так и не были приняты.

В этом году члены Палаты представителей США Зо Лофгрен (Zoe Lofgren), Томас Масси (Thomas Massie) и другие решили вновь представить на рассмотрение Secure Data Act (в этот раз с обозначением 2018). Это очередная попытка донести мысль, которую специалисты по криптографии продвигают в течение нескольких десятилетий — безопасных бэкдоров не существует.

Члены Палаты надеются, что в этот раз им удастся успешно «продвинуть» законопроект. В начале мая они даже проводили встречу с членами Фонда электронных рубежей (EFF). На ней специалисты обсуждали технические аспекты реализации бэкдоров и последствия, к которым может привести намеренное ослабление безопасности электронных устройств.

Суть законопроекта


Как сообщают в The Register, законопроект направлен на защиту целостности систем шифрования. Он запрещает любому государственному органу требовать, чтобы производитель (разработчик или даже продавец) вносил в системы безопасности технических продуктов изменения, которые позволят получить доступ к персональной информации пользователей или осуществлять слежку.

К упомянутым продуктам относятся: программное и аппаратное обеспечение, а также другие электронные устройства, находящиеся в публичном доступе.

Помимо этого, закон запретит судам принуждать кого-либо к предоставлению доступа к данным. Однако делает исключение для телекоммуникационных провайдеров. Согласно закону США CALEA (Communications Assistance for Law Enforcement Act) от 1994 года, такие организации обязаны содействовать правоохранительным органам и при необходимости предоставлять им доступ к своим сетям передачи данных.

Как реагирует сообщество


По словам Лофгрен, устройства с бэкдорами подвергают риску пользователей, а также вредят компаниям США, поскольку «дыры» в безопасности снижают конкурентоспособность продуктов на рынке. C Лофгрен соглашаются и представители Ассоциации производителей средств вычислительной техники и связи (CCIA). Они подчеркивают, что «уверенность пользователей в безопасности интернета играет ключевую роль в его жизнеспособности как глобального пространства для самовыражения и коммерческой деятельности».

Обычные интернет-пользователи тоже выступают за принятие Secure Data Act 2018, однако многие из них убеждены, что закон «не пройдет» и на этот раз.

Например, они вспоминают Clipper — чип со встроенным бэкдором для шифрования голосовых сообщений. Хотя тогда, в 1993-м, Clipper Chip и «не прижился». По словам группы исследователей из MIT, AT&T, Microsoft и других компаний, его внедрение подвергло бы риску пользователей и привело к повышению цен на цифровые устройства.

ljcka-cm53vtz2cjoi9h_m3cub0.jpeg
/ фото Valerie Everett CC

Причиной, почему законопроект может «не пройти», также является то, что против него выступают влиятельные игроки индустрии. В частности, в апреле этого года Рэй Оззи (Ray Ozzie), разработчик из Lotus Notes и бывший технический директор Microsoft, сам предложил систему, открывающую доступ к зашифрованным данным мобильных устройств. Он даже получил на неё патент.

Однако, предложение Оззи раскритиковали другие участники индустрии. По мнению Роберта Грэма (Robert Graham) из команды ИБ-исследователей Errata Security, его [Оззи] инициатива не привносит ничего нового, а предлагает решение для давно разрешенных задач. Грэм утверждает, что специалисты и так в курсе, как создавать бэкдоры. Сейчас основная задача — защитить эти бэкдоры, и у Оззи нет её решения.

Мэттью Грин (Matthew Green), специалист по криптографии и профессор Университета Джонса Хопкинса, также подверг предложение Рэя Оззи жесткой критике, равно как и специалист по безопасности и технический директор IBM Resilient Брюс Шнайер (Bruce Schneier). Он сказал, что внедрение таких систем приведет к разрушительным последствиям в долгосрочной перспективе.

Поэтому в сложившейся ситуации сложно спрогнозировать, будет ли одобрен предложенный законопроект. Но какое бы решение ни было принято, оно едва ли станет единогласным.

О чем еще мы пишем в корпоративном блоге 1cloud:

© Habrahabr.ru