Noll
Det största hotet av Australiens planerade nya anti-kryptering lagar kommer från frivilliga ansökningar till kommunikation leverantörer, inte den obligatoriska meddelanden för att ge tekniskt stöd, enligt Dr Chris Culnane, eftersom de har större räckvidd och mindre tillsyn.
“På en mycket hög nivå, lagstiftning införs två obligatoriska meddelanden, och en frivillig begäran. Samtidigt som den obligatoriska meddelanden som har fått mest uppmärksamhet, det är min uppfattning att den frivilliga bistånd är där den största faran finns,” Culnane skrev i ett detaljerat blogginlägg förra veckan.
“Begäran om bistånd inte är bundna av samma begränsningar som meddelanden i vad de [myndigheter] kan be om, inte heller är de en del av den årliga rapporteringen.”
Culnane är lektor vid institutionen för data-och informationssystem vid University of Melbourne.
“Min analys är baserad på visning av den lagstiftning som ett tekniskt dokument, letar efter luckor och inkonsekvenser, eftersom det är så ofta där det största hotet ligger,” skrev han.
Lagstiftningen i fråga är Tele-och Annan Lagstiftning, Ändring (Stöd och Tillgång) Bill 2018. Ett utkast [PDF] släpptes förra månaden, tillsammans med ett förklarande dokument [PDF]. Det är avsett att lösa de “utmaningar” som kryptering skapar när det gäller avlyssning.
Enligt den nya lagen, Australiska myndigheter skulle kunna fråga tre typer av meddelanden:
Tekniskt Stöd Notiser, som är obligatoriska meddelanden om ett meddelande leverantör för att använda en avlyssning kapacitet de redan har, Teknisk Kapacitet Notiser, som är obligatoriska meddelanden om ett meddelande leverantör för att bygga en ny avlyssning kapacitet, så att det kan uppfylla följande Tekniska Bistånd Meddelanden; och Tekniskt Bistånd, som Culnane sade beskrivs som frivilligt begär. “Det finns ingen straffrättsliga eller civilrättsliga sanktioner för att inte följa med dem, även om de omfattas av samma sekretess bestämmelser,” skrev han.
“Det är min uppfattning att dessa [Tekniskt Bistånd] är det verkliga syftet med lagstiftningen, inte den obligatoriska meddelanden. Krav definieras på olika sätt för att både meddelanden, och har få, om några, begränsningar i vad de kan begära,” Culnane skrev.
“Dessutom, de är utestängda från grundläggande tillsyn, genom dygd av att inte vara med i den årliga rapport som minister (se 317ZS).”
Matematikens lagar gäller i Australien
Regeringen säger att lagstiftningen inte skapa bakdörrar in i kryptering. Men det är avsett att skapa en ram för att ge tillgång till endpoint enheter, bland många andra saker.
“Frågan om Brister i Systemet görs en stor del i den lagstiftning och de förklarande not. Det verkar som om det är ett försök att följa med påståendet om att det inte är obligatoriskt bakdörrar. Men begreppet är inte definierat någonstans,” Culnane skrev.
“Dessutom, vad är det som beskrivs är fortfarande en bakdörr, även om den är låst bakdörr. Det är inget krav för bakdörrar för att vara universellt användbar för att betraktas som en bakdörr, det bara måste ge en alternativ ingång till target-systemet eller ett protokoll.”
Culnane noteras att beskrivningen av Svaghet “framstår som något motsägelsefullt”, och bjöd på några tekniska detaljer om hur knappat bakdörrar kan fungera, innan de ger sin slutsats.
“Den enda kompromiss tycks vara att de har insett att de i själva verket matematikens lagar gäller i Australien och att den bakdörr som behöver flyttas någon annanstans. Det är egentligen inte en förbättring, det är bara en teknikalitet,” skrev han.
Culnane anser att lagstiftningen gör det möjligt att skapa bakdörrar, dock. De begränsningar i fråga om de två typer av Meddelanden som definieras i division 7 i Räkningen gäller inte det Tekniska Bistånd.
“Det finns ingen begränsning på ett Tekniskt Bistånd Begäran ber för genomförandet av en Svaghet. Likaså, till skillnad från Tekniska Kapacitet Meddelanden, det finns ingen begränsning på begär utveckling av nya funktioner för att ta bort elektroniska skydd (317E(1)(a)),” skrev han.
Culnane blogg inlägg också omfattar frågor som sekretess bestämmelser sätt som lagstiftningen skulle kunna användas mer allmänt än vad som anges i den förklarande dokument, och hans farhågor om den breda definitionen av en “kommunikation leverantör”.
“Till exempel, det omfattar en person att” … ger en elektronisk tjänst som har en eller flera slutanvändare i Australien”, som verkar för att täcka varje webbplats som är tillgänglig från Australien,” skrev han.
“Dessutom, lagstiftningen omfattar även en person om” … den person som utvecklar, levererar eller uppdateringar av programvara som används för, eller sannolikt kommer att användas i samband med: (a) ett börsnoterat transport tjänsten; eller (b) en elektronisk tjänst som har en eller flera slutanvändare i Australien”, som verkar för att täcka varje bit av programvara, eller mobil app, som ansluter till internet eller producerar innehåll som ska användas på internet.
“Det är en otroligt bred kategori, den motivering som är inte klart.”
I dess nuvarande form, som ett utkast, Bill fortfarande har att möta offentligt samråd innan det lades fram i parlamentet. Regeringen verkar ha bråttom, men delvis för att den föreslagna lagstiftningen skulle vara en del av dess bidrag till de Fem Ögon nationens nya tuffare hållning mot kryptering.
Tidsfristen för allmänna synpunkter på utkast är det måndag, 10 September 2018.
Relaterade Täckning
Fem Ögon regeringar få ännu tuffare på encryptionNo bakdörrar för Australiska kryptering, bara en av gåtorna ratholesAustralia semantiska fingerfärdighet på krypterade meddelanden revealedHow till blocket annons-trackers från följande du på Firefox (TechRepublic)Canberra har inga problem med Huawei för Perth transport contractCanberra ger “dekryptering” en annan spricka med förslag till lagstiftning
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0