Ved at stoppe tredjeparter i at granske indhold, kan E2EE effektivt skabe en sikker havn for kriminel aktivitet.
Billede: Getty Images/iStockphoto
På trods af de seneste kontroverser bør ende-til-ende-kryptering ikke svækkes, har Storbritanniens databeskyttelsesvagt konkluderet – samtidig med at de anerkender, at nogle yderligere foranstaltninger er nødvendige for at afbøde de potentielle skader, der kan stamme fra den privatlivsbeskyttende teknologi.
Information Commissioner's Office (ICO), et uafhængigt organ, der fører tilsyn med informationsrettigheder i Storbritannien, har offentliggjort resultaterne af de indledende overvejelser, der blev gennemført om end-to-end-kryptering (E2EE), i lyset af en årelang debat, der har delt regeringer, sociale medieplatforme og ytringsfrihedsaktivistgrupper.
E2EE er længe blevet set som en måde at beskytte brugernes online privatliv ved at kryptere indhold i kommunikationskanaler, så kun afsenderen eller modtageren kan få adgang til oplysningerne. Dette forhindrer enhver tredjepart i at få adgang til dataene, herunder udbyderen af platformen eller retshåndhævende myndigheder.
SE: Selv computereksperter mener, at det er en meget dårlig idé at afslutte menneskelig overvågning af kunstig intelligens
Metoden er en af de mest pålidelige tilgange til databeskyttelse, og ses i stigende grad som en gylden standard for privatlivets fred. Samtidig bliver brugerne mere bevidste om implikationerne af at udveksle data online: ICO fandt for eksempel i en undersøgelse, at 77 % af de adspurgte ser beskyttelse af deres personlige oplysninger som afgørende.
For at vinde offentlighedens tillid henvender sociale medieplatforme sig derfor til E2EE. Facebook tester teknologien i Messenger's Secret Conversations, mens Zoom udrullede E2EE til alle videomøder sidste år; og platforme som Signal, Telegram eller Element oplever hurtige stigninger i deres brugerbase, efterhånden som deres løfte om fuldt krypteret meddelelse vinder popularitet.
ICO har gentaget sin langvarige holdning om, at E2EE bør udbredes bredt af online kommunikationsudbydere. “Selvom vi ikke siger, at organisationer skal kryptere under alle omstændigheder, skal der være en stærk begrundelse for ikke at gøre det. Det gælder også for E2EE,” sagde vagthunden i rapporten.
Rapporten kommer på baggrund af de seneste debatter omkring E2EE, hvor nogle regeringer – herunder Storbritannien – har hævdet, at selvom det er nøglen til at beskytte brugernes privatliv, åbner teknologien også døren til at udføre skadelige aktiviteter online uden risiko for at blive fanget.
Ved at forhindre tredjeparter i at granske indhold, kan E2EE effektivt skabe en sikker havn for kriminel aktivitet, da selv udbydere ikke er i stand til at scanne data for at identificere og reagere på overtrædelser af deres servicevilkår. Dette kan omfatte terrorpropaganda, voldelig kriminalitet og seksuel udnyttelse og misbrug af børn.
Opfordringer fra regeringer om at forhindre, at dette sker, er blevet mangedoblet i de sidste par år. Sidste år offentliggjorde den britiske regering for eksempel en erklæring, der opfordrede teknologivirksomheder til at implementere kryptering på en måde, der gør det muligt for virksomheder at handle mod ulovligt indhold, men også for at tillade retshåndhævende myndigheder at få adgang til indhold i et læsbart format, når de får den passende tilladelse .
Beskyttelse af brugere mod skade er også kernen i udkastet til onlinesikkerhedslov offentliggjort af den britiske regering tidligere i år, som foreslår at skubbe en forsigtighedspligt på sociale medieplatforme, der ville tvinge teknologivirksomheder til at beskytte deres brugere mod farligt indhold som f.eks. desinformation eller hadefulde ytringer.
Selvom lovforslaget ikke nævner E2EE i særdeleshed, siger eksperter, at dette effektivt vil tvinge platformsudbydere til at scanne private beskeder i søgen efter skadeligt indhold for at sikre, at de overholder loven.
Ifølge ICO er den britiske regerings holdning lidt mere nuanceret. I en erklæring til vagthunden sagde regeringen, at snarere end at introducere bagdøre til E2EE, fokuseres der på at introducere “specifik yderligere funktionalitet” til virksomheders tjenester, som ville muliggøre adgang til meddelelsesindhold af retshåndhævelse eller platformstjenesteudbyderen under stramt kontrollerede omstændigheder.
En talsmand for Institut for Digital, Kultur, Medier og Sport sagde til ZDNet: “Børn vil være i hjertet af vores nye onlinesikkerhedslove med hårde sanktioner på sociale medieplatforme, der ikke beskytter unge mennesker mod skade. Vi mener, det er muligt at implementere ende-til-ende-kryptering på en måde, der er i overensstemmelse med offentlig sikkerhed, og som ikke forhindrer, at der træffes foranstaltninger mod børnemishandling.”
ICO ser ud til at stemme overens med dette synspunkt. Vagthundens rapport fastslår, at selvom brugen af bagdøre til krypterede kanaler “uacceptabelt” ville underminere brugernes rettigheder, er der værdi i at fremskynde innovationer, der tillader detektering af skadeligt indhold uden at kompromittere privatlivets fred.
Med andre ord argumenterer organisationen for, at sikkerhed og privatliv ikke behøver at være i spænding. Med de rigtige teknologier, argumenterer ICO, er det muligt at have både et sikkert onlinerum, såvel som et højt niveau af beskyttelse af personlige data.
“Der bør ikke være nogen afvejninger,” siger Stephen Bonner, ICOs administrerende direktør for regulatoriske fremtider og innovation, til ZDNet. “Vi mener, at privatlivets fred med E2EE er essentielt for onlinesikkerhed og kan arbejde sammen med evnen til at moderere onlineskader, plus gøre det muligt for retshåndhævelse at håndtere de værste lovovertrædere.”
En teknologi, der ser ud til at balancere begge sider af E2EE-argumentet, er homomorfisk kryptering, som gør det muligt at udføre beregninger på krypterede data uden at dekryptere dem først – selvom meget mere forskning og udvikling vil være nødvendig, før tilgangen betragtes som en levedygtig løsning.
Andre værktøjer kunne implementeres til at kontrollere skadelig kommunikation uden faktisk at læse dem, på samme måde som spam-detektorer, der kan genkende, at en konto sender mange e-mails på én gang, uden at skulle se på indholdet af beskederne.
“Organisationer vurderer, hvordan konti opfører sig for at opdage og fjerne spammere uden at overvåge, hvad der er indeholdt indeni,” siger Bonner. “De innovationer, der ikke kræver adgang til indhold, findes allerede og er implementeret på mange E2EE-platforme.”
SE: Ransomware: Det er en 'gylden æra' for cyberkriminelle – og det kan blive værre, før det bliver bedre
Det er fortsat, at mange af disse værktøjer kun dukker op. Selvom ICO er overbevist om, at teknologierne vil udvikle sig, anbefalede organisationen ikke desto mindre, at der lægges mere vægt på effektiviteten af eksisterende værktøjer, der kan muliggøre adgang til privat indhold uden at bryde krypteringsstandarderne.
Jim Killock, den administrerende direktør for Open Right Group, som fører kampagne mod fjernelse af E2EE, argumenterer for behovet for at gøre mere for at forhindre regeringerne i at begrænse E2EE.
“ICO's brede tilgang er korrekt, men lad os være klare,” siger Killock til ZDNet. “E2EE redder folk fra svindel og kriminalitet. Fjernelse af det og indsamling af enorme mængder materiale ville sætte millioner af mennesker i dyb risiko for afpresning og bedrageri.
“Regeringen bør ikke argumentere for at gøre alle usikre, for at håndtere specifikke, begrænsede, men forfærdelige problemer.”
ICO har specificeret, at den seneste rapport ikke er organisationens endelige politiske holdning til E2EE. Vagthunden vil nu søge synspunkter fra flere interessenter og vil offentliggør resultaterne af disse diskussioner i begyndelsen af næste år.
Sikkerhed
Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle på 29 USD FBI: Ransomware-grupper, der binder angreb til 'betydelige' finansielle begivenheders signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks information De 10 værste hardwaresikkerhedsfejl i 2021 Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner, regeringen Juridisk | Sikkerheds-tv | Datastyring | CXO | Datacentre