Door te voorkomen dat derden de inhoud onderzoeken, kan E2EE effectief een veilige haven creëren voor criminele activiteiten.
Afbeelding: Getty Images/iStockphoto
Ondanks recente controverses mag end-to-end-encryptie niet worden afgezwakt, concludeert de Britse waakhond voor gegevensbescherming – hoewel hij erkent dat er enkele aanvullende maatregelen nodig zijn om dit te verminderen de potentiële schade die kan voortvloeien uit de privacybeschermende technologie.
Het Information Commissioner's Office (ICO), een onafhankelijke instantie die toezicht houdt op informatierechten in het VK, heeft de resultaten gepubliceerd van de eerste beraadslagingen over end-to-end encryptie (E2EE), in het licht van een jarenlang debat dat heeft regeringen, sociale-mediaplatforms en activistische groepen voor vrijheid van meningsuiting verdeeld.
E2EE wordt al lang gezien als een manier om de online privacy van gebruikers te beschermen door inhoud in communicatiekanalen te coderen zodat alleen de afzender of ontvanger toegang heeft tot de informatie. Dit voorkomt dat derden toegang krijgen tot de gegevens, inclusief de aanbieder van het platform of wetshandhavingsinstanties.
ZIE: Zelfs computerexperts denken dat het beëindigen van menselijk toezicht op AI een heel slecht idee is
De methode is een van de meest betrouwbare benaderingen om gegevensbescherming en wordt steeds meer gezien als een gouden standaard voor privacy. Tegelijkertijd worden gebruikers zich steeds meer bewust van de implicaties van het online uitwisselen van gegevens: de ICO ontdekte bijvoorbeeld in een enquête dat 77% van de respondenten het beschermen van hun persoonlijke informatie als essentieel beschouwt.
Om het vertrouwen van het publiek te winnen, wenden sociale mediaplatforms zich daarom tot E2EE. Facebook test de technologie in Messenger's Secret Conversations, terwijl Zoom vorig jaar E2EE uitrolde voor alle videovergaderingen; en platforms zoals Signal, Telegram of Element zien een snelle toename van hun gebruikersbestand naarmate hun belofte van volledig versleutelde berichten aan populariteit wint.
De ICO herhaalt zijn al lang bestaande standpunt dat E2EE op grote schaal moet worden ingezet door aanbieders van onlinecommunicatie. “Hoewel we niet zeggen dat organisaties onder alle omstandigheden moeten versleutelen, moet er een sterke rechtvaardiging zijn om dat niet te doen. Dat geldt ook voor E2EE”, aldus de waakhond in het rapport.
Het rapport komt voort uit recente debatten over E2EE, waarin sommige regeringen – waaronder het VK – hebben betoogd dat hoewel het essentieel is om de privacy van gebruikers te beschermen, de technologie ook de deur opent voor het uitvoeren van schadelijke online activiteiten zonder het risico betrapt te worden.
Door te voorkomen dat derden content onderzoeken, kan E2EE effectief een veilige haven creëren voor criminele activiteiten, aangezien zelfs providers geen gegevens kunnen scannen om schendingen van hun servicevoorwaarden te identificeren en erop te reageren. Dit kan terroristische propaganda, gewelddadige misdaad en seksuele uitbuiting en misbruik van kinderen omvatten.
De oproepen van regeringen om dit te voorkomen, zijn de afgelopen jaren vermenigvuldigd. Zo heeft de Britse regering vorig jaar een verklaring gepubliceerd waarin ze technologiebedrijven opriep om encryptie te implementeren op een manier die bedrijven in staat stelt op te treden tegen illegale inhoud, maar ook om wetshandhavingsinstanties toegang te geven tot inhoud in een leesbaar formaat wanneer ze de juiste autorisatie hebben gekregen .
Het beschermen van gebruikers tegen schade vormt ook de kern van het ontwerp van de onlineveiligheidswet die eerder dit jaar door de Britse regering is gepubliceerd en waarin wordt voorgesteld om een zorgplicht op te leggen op socialemediaplatforms die technologiebedrijven zouden dwingen hun gebruikers te beschermen tegen gevaarlijke inhoud zoals desinformatie of haatzaaien.
Hoewel het wetsvoorstel geen melding maakt van E2EE in het bijzonder, zeggen experts dat dit platformproviders effectief zal dwingen om privéberichten te scannen op zoek naar schadelijke inhoud, om ervoor te zorgen dat ze aan de wet voldoen.
Volgens de ICO ligt het standpunt van de Britse regering iets genuanceerder. In een verklaring aan de waakhond zei de regering dat in plaats van achterdeurtjes voor E2EE te introduceren, de nadruk ligt op het introduceren van “specifieke aanvullende functionaliteit” voor de diensten van bedrijven, die toegang tot berichteninhoud mogelijk zouden maken voor wetshandhavers of de platformserviceprovider onder strikte voorwaarden. gecontroleerde omstandigheden.
Een woordvoerder van het ministerie van Digitaal, Cultuur, Media en Sport vertelde ZDNet: “Kinderen zullen centraal staan in onze nieuwe online veiligheidswetten, met strenge sancties op sociale-mediaplatforms die jonge mensen niet beschermen tegen schade. mogelijk is om end-to-end encryptie te implementeren op een manier die in overeenstemming is met de openbare veiligheid en die niet belet dat actie wordt ondernomen tegen kindermishandeling.”
De ICO lijkt in lijn te zijn met deze visie. Het rapport van de waakhond stelt dat, hoewel het gebruik van achterdeuren naar versleutelde kanalen de rechten van gebruikers “onaanvaardbaar” zou ondermijnen, het waardevol is om innovaties te versnellen die de detectie van schadelijke inhoud mogelijk maken zonder de privacy in gevaar te brengen.
Met andere woorden, de organisatie stelt dat veiligheid en privacy niet op gespannen voet hoeven te staan. Met de juiste technologieën, stelt de ICO, is het mogelijk om zowel een veilige online ruimte te hebben als een hoog niveau van bescherming van persoonsgegevens.
“Er mogen geen compromissen worden gesloten”, zegt Stephen Bonner, uitvoerend directeur van regelgevingstoekomst en innovatie bij ICO, tegen ZDNet. “Wij zijn van mening dat privacy met E2EE essentieel is voor online veiligheid en kan werken naast de mogelijkheid om online schade te beperken, en wetshandhavers in staat te stellen de ergste overtreders aan te pakken.”
Een technologie die beide kanten van het E2EE-argument in evenwicht lijkt te houden, is homomorfe codering, waarmee berekeningen kunnen worden uitgevoerd op gecodeerde gegevens zonder deze eerst te decoderen – hoewel er nog veel meer onderzoek en ontwikkeling nodig zal zijn voordat de aanpak als een haalbare oplossing wordt beschouwd.
Andere tools kunnen worden ingezet om schadelijke communicatie te controleren zonder ze daadwerkelijk te lezen, op dezelfde manier als spamdetectoren die kunnen herkennen dat een account veel e-mails tegelijk verzendt, zonder naar de inhoud van de berichten te hoeven kijken.
“Organisaties beoordelen hoe accounts zich gedragen om spammers te detecteren en te verwijderen, zonder te controleren wat erin staat”, zegt Bonner. “De innovaties waarvoor geen toegang tot content nodig is, bestaan al en worden op veel E2EE-platforms ingezet.”
ZIE: Ransomware: het is een 'gouden tijdperk' voor cybercriminelen – en het kan erger worden voordat het beter wordt
Het blijft dat veel van deze tools pas in opkomst zijn. Hoewel de ICO ervan overtuigd is dat de technologieën zullen evolueren, raadde de organisatie niettemin aan om meer aandacht te besteden aan de effectiviteit van bestaande tools die toegang tot privé-inhoud mogelijk maken zonder de encryptienormen te doorbreken.
Jim Killock, de uitvoerend directeur van Open Right Group, die campagne voert tegen de verwijdering van E2EE, pleit voor de noodzaak om meer te doen om te voorkomen dat de regeringen E2EE aan banden leggen.
“De brede benadering van de ICO is correct, maar laten we duidelijk zijn”, zegt Killock tegen ZDNet. “E2EE redt mensen van oplichting en criminaliteit. Door het te verwijderen en enorme hoeveelheden materiaal te verzamelen, lopen miljoenen mensen een groot risico op chantage en fraude.
“De overheid zou niet moeten argumenteren om iedereen onveilig te maken, om omgaan met specifieke, beperkte, maar verschrikkelijke problemen.”
De ICO heeft aangegeven dat het laatste rapport niet het definitieve beleidsstandpunt van de organisatie over E2EE is. De waakhond zal nu de standpunten van meerdere belanghebbenden inwinnen en zal publiceer de resultaten van die discussies begin volgend jaar.
Beveiliging
Het beste phishing-doelwit? Uw smartphone Waarom hebt u deze beveiligingssleutel van $ 29 nodig FBI: Ransomware groepeert aanvallen aan 'aanzienlijke Signal van financiële gebeurtenissen onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid Juridisch | Beveiliging TV | Gegevensbeheer | CXO | Datacenters