Nul
Den største trussel fra Australien ‘ s planlagte nye anti-kryptering love kommer fra frivillige anmodninger til kommunikation udbydere, ikke den obligatoriske meddelelser for at give teknisk bistand, ifølge Dr. Chris Culnane, fordi de har større rækkevidde og mindre kontrol.
“På et meget højt niveau, lovgivningen indfører to obligatoriske meddelelser, og en frivillig anmodning. Mens obligatorisk bekendtgørelser, der har fået mest opmærksomhed, er det min opfattelse, at den frivillige hjælp er der, hvor den største fare eksisterer,” Culnane skrev i en detaljeret blog indlæg i sidste uge.
“Anmodninger om bistand er ikke begrænset af de samme begrænsninger som de bekendtgørelser, der er i, hvad de [statslige organer] kan spørge om, det er heller ikke en del af den årlige rapportering.”
Culnane er lektor ved School of Computing og Information Systemer på University of Melbourne.
“Min analyse er baseret på visning af den lovgivning, som et teknisk dokument, der leder efter huller og uoverensstemmelser, da det ofte er her, de største trussel ligger,” skrev han.
Den pågældende lovgivning er Telekommunikation og Anden Lovgivning, Ændring (Bistand og Adgang) Bill 2018. Et “exposure draft” [PDF] blev udgivet i sidste måned, sammen med en begrundelse, [PDF]. Det er beregnet til at løse de “udfordringer”, at kryptering skaber, når det kommer til aflytning af kommunikation.
Under den nye lov, Australske regering agenturer ville være i stand til at udstede tre typer meddelelser:
Teknisk Bistand Bekendtgørelser, som er obligatoriske meddelelser til en meddelelse udbyder til at bruge en interception evne, at de allerede har; Teknisk Kapacitet Bekendtgørelser, som er obligatoriske meddelelser til en meddelelse udbyder til at bygge en ny aflytning kapacitet, således at den kan opfylde efterfølgende Teknisk Bistand, Bekendtgørelser og Tekniske Anmodninger om Bistand, som Culnane sagt er beskrevet som frivillig anmodninger. “Der er ingen civil-eller strafferetlig sanktion for ikke at opfylde dem, selv om de er omfattet af den samme tavshedspligt bestemmelserne,” skrev han.
“Det er min opfattelse, at disse [Teknisk Bistand Anmodninger] er det egentlige mål med lovgivningen, ikke den obligatoriske meddelelser. De anmodninger, der er defineret forskelligt for begge bekendtgørelser, og har få, om nogen, begrænsninger på, hvad de kan anmode om,” Culnane skrev.
“Desuden, at de er udelukket fra væsentlige tilsyn, i kraft af ikke at være medtaget i den årlige rapport, der er udstedt af ministeren (se 317ZS).”
Lovgivningen i matematik gælder i Australien
Regeringen siger, at den lovgivning, ikke vil skabe bagdøre i kryptering. Men det er hensigten at skabe en ramme for at give adgang til endpoint-enheder, blandt mange andre ting.
“Spørgsmålet om Svagheder i Systemet, som er en big deal i den lovgivning og de forklarende note. Det virker som om det er et forsøg på at overholde kravet om ikke at pålægge bagdøre. Men begrebet er ikke defineret nogen steder,” Culnane skrev.
“Desuden, hvad der er beskrevet forbliver en bagdør, om end en indtastet bagdør. Der er ingen krav om bagdøre til at være universelt anvendelige til at blive betragtet som en bagdør, der blot skal give en alternativ indgang i target-systemet eller-protokollen.”
Culnane bemærkes, at beskrivelsen af en Systemisk Svaghed “virker noget selvmodsigende”, og tilbudt nogle tekniske detaljer om, hvordan indtastet bagdøre kan arbejde, før han giver sin konklusion.
“Det eneste kompromis, synes at være, at de har indset, at det i virkeligheden er lovene for matematik gælder i Australien, og at bagdør behov for at blive flyttet et andet sted hen. Der er egentlig ikke en forbedring, det er blot en teknikalitet,” skrev han.
Culnane mener, at den lovgivning, der giver mulighed for oprettelse af bagdøre, dog. Begrænsningerne i de to former for Meddelelser, som er defineret i afsnit 7 af de Lovforslag, ikke gælder for Tekniske Anmodninger om Bistand.
“Der er ingen begrænsning på en Teknisk Anmodning om Bistand til gennemførelse af en Systemisk Svaghed. Ligeledes, i modsætning til den Tekniske Kapacitet Bekendtgørelser, der er ingen begrænsning på anmode om udvikling af nye kapaciteter til at fjerne elektronisk beskyttelse (317E(1)(a)),” skrev han.
Culnane ‘ s blog-indlæg også dækker emner som den tavshedspligt, der bestemmelser om, hvordan den lovgivning, der kunne bruges mere bredt end anført i de forklarende dokument, og hans bekymringer om den brede definition af en “kommunikations-udbyder”.
“For eksempel, det dækker over en person, der” … giver en elektronisk service, der har en eller flere slutbrugere i Australien’, som synes at dække ethvert websted, der er tilgængeligt fra Australien,” skrev han.
“Desuden, den lovgivning, der også dækker over en person, hvis” … den person, der udvikler, leverer eller opdateringer af software, der anvendes til brug, eller som sandsynligvis vil blive anvendt i forbindelse med: (a) en anført transport; eller (b) en elektronisk service, der har en eller flere slutbrugere i Australien’, som synes at dække ethvert stykke software, eller en mobil app, der forbinder til internettet eller producerer indhold, der bliver brugt på internettet.
“Det er en utrolig bred kategori, er den begrundelse, som er ikke klar.”
I sin nuværende form som et “exposure draft”, skal Lovforslaget stadig står over for offentlig høring, før den er fremsat i parlamentet. Regeringen ser ud til at være i en fart, men i en del, fordi den foreslåede love ville være en del af sit bidrag til de Fem Øjne nationens hårdere nye holdning mod kryptering.
Fristen for offentlige kommentarer til høringsudkastet er denne mandag, 10 September 2018.
Relaterede Dækning
Fem Øjne regeringerne kan få endnu hårdere på encryptionNo bagdøre for Australske kryptering, bare en rysterist af ratholesAustralia ‘ s semantiske kunstgreb på krypterede beskeder revealedHow til at blokere ad bane fra at følge dig på Firefox (TechRepublic)Canberra har intet problem med Huawei for Perth transport contractCanberra giver ‘afkodningen’ en anden revne med et udkast til lovgivning,
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre
0