Nettsikkerhet og ende-til-ende-kryptering kan eksistere side om side, sier databeskyttelsesvakt. Men hvordan?
Ved å stoppe tredjeparter fra å granske innhold, kan E2EE effektivt skape en trygg havn for kriminell aktivitet.
Bilde: Getty Images/iStockphoto
Til tross for nylige kontroverser, bør ende-til-ende-kryptering ikke svekkes, har Storbritannias databeskyttelsesvakt konkludert – samtidig som de erkjenner at noen ekstra tiltak er nødvendige for å redusere potensielle skader som kan stamme fra personvernbeskyttende teknologi.
Information Commissioner's Office (ICO), et uavhengig organ som fører tilsyn med informasjonsrettigheter i Storbritannia, har publisert resultatene av innledende overveielser som ble utført om ende-til-ende-kryptering (E2EE), i lys av en årelang debatt som har delt regjeringer, sosiale medieplattformer og ytringsfrihetsaktivistgrupper.
E2EE har lenge vært sett på som en måte å beskytte brukernes personvern på nett, ved å kryptere innhold i kommunikasjonskanaler slik at bare avsender eller mottaker kan få tilgang til informasjonen. Dette forhindrer tredjeparter fra å få tilgang til dataene, inkludert leverandøren av plattformen eller rettshåndhevelsesbyråer.
SE: Selv dataeksperter mener å avslutte menneskelig tilsyn med AI er en veldig dårlig idé
Metoden er en av de mest pålitelige tilnærmingene til databeskyttelse, og blir i økende grad sett på som en gylden standard for personvern. Samtidig blir brukerne mer bevisste på implikasjonene av å utveksle data på nettet: ICO fant for eksempel i en undersøkelse at 77 % av respondentene ser på beskyttelse av personlig informasjon som viktig.
For å vinne publikums tillit, henvender sosiale medieplattformer seg derfor til E2EE. Facebook tester teknologien i Messenger's Secret Conversations, mens Zoom rullet ut E2EE for alle videomøter i fjor; og plattformer som Signal, Telegram eller Element ser raske økninger i brukerbasen ettersom løftet deres om fullstendig kryptert meldingstjenester øker i popularitet.
ICO har gjentatt sin langvarige oppfatning om at E2EE bør distribueres bredt av nettbaserte kommunikasjonsleverandører. “Selv om vi ikke sier at organisasjoner må kryptere under alle omstendigheter, må det være en sterk begrunnelse for å ikke gjøre det. Dette gjelder også E2EE,” sa vaktbikkje i rapporten.
Rapporten kommer på bakgrunn av nylige debatter rundt E2EE, der noen regjeringer – inkludert Storbritannia – har hevdet at selv om det er nøkkelen til å beskytte brukernes personvern, åpner teknologien også døren for å utføre skadelige aktiviteter på nettet uten risiko for å bli tatt.
Ved å stoppe tredjeparter fra å granske innhold, kan E2EE effektivt skape en trygg havn for kriminell aktivitet, siden selv leverandører ikke er i stand til å skanne data for å identifisere og svare på brudd på tjenestevilkårene deres. Dette kan inkludere terrorpropaganda, voldelig kriminalitet og seksuell utnyttelse og overgrep mot barn.
Oppfordringer fra regjeringer om å stoppe dette fra å skje har mangedoblet seg de siste årene. I fjor publiserte for eksempel den britiske regjeringen en uttalelse som ber teknologiselskaper implementere kryptering på en måte som gjør det mulig for selskaper å handle mot ulovlig innhold, men også for å tillate rettshåndhevende byråer å få tilgang til innhold i et lesbart format når de får riktig autorisasjon .
Beskyttelse av brukere mot skade er også kjernen i utkastet til Online Safety Bill publisert av den britiske regjeringen tidligere i år, som foreslår å presse en omsorgsplikt på sosiale medieplattformer som vil tvinge teknologiselskaper til å beskytte brukerne sine mot farlig innhold som f.eks. desinformasjon eller hatytringer.
Selv om lovforslaget ikke nevner E2EE spesielt, sier eksperter at dette effektivt vil tvinge plattformleverandører til å skanne gjennom private meldinger på jakt etter skadelig innhold, for å sikre at de overholder loven.
Ifølge ICO er den britiske regjeringens posisjon litt mer nyansert. I en uttalelse til vakthunden sa regjeringen at i stedet for å introdusere bakdører til E2EE, er fokuset på å introdusere “spesifikk tilleggsfunksjonalitet” til selskapers tjenester, som vil muliggjøre tilgang til meldingsinnhold av rettshåndhevelse eller plattformtjenesteleverandøren under tett. kontrollerte omstendigheter.
En talsperson for avdelingen for digital, kultur, media og sport sa til ZDNet: “Barn vil være i hjertet av våre nye nettsikkerhetslover, med tøffe sanksjoner på sosiale medieplattformer som ikke klarer å beskytte unge mennesker mot skade. Vi tror det er mulig å implementere ende-til-ende-kryptering på en måte som er forenlig med offentlig sikkerhet og som ikke hindrer tiltak mot barnemishandling.”
ICO ser ut til å være på linje med dette synet. Vakthundens rapport slår fast at selv om bruk av bakdører til krypterte kanaler “uakseptabelt” vil undergrave brukernes rettigheter, er det verdi i å akselerere innovasjoner som tillater oppdagelse av skadelig innhold uten å gå på bekostning av personvernet.
Med andre ord argumenterer organisasjonen for at sikkerhet og personvern ikke trenger å være i spenning. Med de riktige teknologiene, hevder ICO, er det mulig å ha både et trygt nettrom, så vel som et høyt nivå av beskyttelse av personopplysninger.
“Det bør ikke være noen avveininger,” sier Stephen Bonner, ICOs administrerende direktør for regulatoriske fremtider og innovasjon, til ZDNet. “Vi tror at personvern med E2EE er avgjørende for nettsikkerhet og kan fungere sammen med muligheten til å moderere skader på nettet, pluss gjøre det mulig for rettshåndhevelse å håndtere de verste lovbryterne.”
En teknologi som ser ut til å balansere begge sider av E2EE-argumentet er homomorfisk kryptering, som gjør det mulig å utføre beregninger på krypterte data uten å dekryptere dem først – selv om mye mer forskning og utvikling vil være nødvendig før tilnærmingen anses som en levedyktig løsning.
Andre verktøy kan brukes for å kontrollere skadelig kommunikasjon uten å faktisk lese dem, på en lignende måte som spam-detektorer som kan gjenkjenne at en konto sender mange e-poster samtidig, uten å måtte se på innholdet i meldingene.
“Organisasjoner vurderer hvordan kontoer oppfører seg for å oppdage og fjerne spammere, uten å overvåke hva som er inne,” sier Bonner. “Innovasjonene som ikke krever tilgang til innhold eksisterer allerede og er distribuert på mange E2EE-plattformer.”
SE: Ransomware: Det er en “gylden æra” for nettkriminelle – og det kan bli verre før det blir bedre
Det gjenstår at mange av disse verktøyene bare dukker opp. Selv om ICO er sikker på at teknologiene vil utvikle seg, anbefalte organisasjonen likevel at mer oppmerksomhet rettes mot effektiviteten til eksisterende verktøy som kan muliggjøre tilgang til privat innhold uten å bryte krypteringsstandarder.
Jim Killock, administrerende direktør for Open Right Group, som driver kampanje mot fjerningen av E2EE, argumenterer for behovet for å gjøre mer for å hindre myndighetene i å begrense E2EE.
“ICOs brede tilnærming er riktig, men la oss være klare,” sier Killock til ZDNet. «E2EE redder folk fra svindel og kriminalitet. Fjerning av det og innsamling av enorme mengder materiale vil sette millioner av mennesker i stor risiko for utpressing og svindel.
«Regjeringen bør ikke argumentere for å gjøre alle utrygge, for å håndtere spesifikke, begrensede, men fryktelige problemer.”
ICO har spesifisert at den siste rapporten ikke er organisasjonens endelige politiske posisjon på E2EE. Vakthunden vil nå søke synspunkter fra flere interessenter, og vil publiser resultatene av disse diskusjonene tidlig neste år.
Sikkerhet
Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware-grupper som knytter angrep til “betydelige” finansielle hendelsers signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene Juridisk | Security TV | Data Management | CXO | Datasentre