Genom att hindra tredje part från att granska innehåll kan E2EE effektivt skapa en säker hamn för kriminell verksamhet.
Bild: Getty Images/iStockphoto
Trots den senaste tidens kontroverser bör end-to-end-kryptering inte försvagas, har Storbritanniens dataskyddsvakt kommit fram till – samtidigt som de medger att ytterligare åtgärder krävs för att mildra de potentiella skador som kan härröra från den integritetsskyddande tekniken.
Information Commissioner's Office (ICO), ett oberoende organ som övervakar informationsrättigheter i Storbritannien, har publicerat resultaten av inledande överläggningar som genomfördes om end-to-end-kryptering (E2EE), mot bakgrund av en år lång debatt som har delat regeringar, sociala medieplattformar och yttrandefrihetsaktivistgrupper.
E2EE har länge setts som ett sätt att skydda användarnas integritet online, genom att kryptera innehåll i kommunikationskanaler så att endast avsändaren eller mottagaren kan komma åt informationen. Detta hindrar tredje part från att komma åt data, inklusive leverantören av plattformen eller brottsbekämpande myndigheter.
SE: Till och med datorexperter tycker att det är en mycket dålig idé att avsluta mänsklig tillsyn av AI
Metoden är en av de mest tillförlitliga metoderna för att dataskydd, och ses alltmer som en gyllene standard för integritet. Samtidigt blir användarna mer medvetna om konsekvenserna av att utbyta data online: ICO fann till exempel i en undersökning att 77 % av de tillfrågade anser att det är viktigt att skydda sin personliga information.
För att vinna allmänhetens förtroende vänder sig därför sociala medieplattformar till E2EE. Facebook testar tekniken i Messenger's Secret Conversations, medan Zoom rullade ut E2EE för alla videomöten förra året; och plattformar som Signal, Telegram eller Element ser snabba ökningar i sin användarbas eftersom deras löfte om helt krypterade meddelanden vinner popularitet.
ICO har upprepat sin långvariga uppfattning att E2EE bör användas i stor utsträckning av onlinekommunikationsleverantörer. “Även om vi inte säger att organisationer måste kryptera under alla omständigheter måste det finnas en stark motivering för att inte göra det. Detta gäller även E2EE”, säger vakthunden i rapporten.
Rapporten kommer efter de senaste debatterna kring E2EE, där vissa regeringar – inklusive Storbritannien – har hävdat att även om det är nyckeln till att skydda användarnas integritet, så öppnar tekniken också dörren för att utföra skadliga aktiviteter online utan risk att åka fast.
Genom att hindra tredje part från att granska innehåll kan E2EE effektivt skapa en säker hamn för brottslig verksamhet, eftersom även leverantörer inte kan skanna data för att identifiera och reagera på överträdelser av deras tjänstevillkor. Detta kan innefatta terroristpropaganda, våldsbrott och sexuellt utnyttjande och övergrepp mot barn.
Uppmaningar från regeringar att stoppa detta från att hända har mångdubblats under de senaste åren. Förra året publicerade till exempel den brittiska regeringen ett uttalande som uppmanade teknikföretag att implementera kryptering på ett sätt som gör det möjligt för företag att agera mot olagligt innehåll, men också för att tillåta brottsbekämpande myndigheter att få tillgång till innehåll i ett läsbart format när de beviljas lämplig auktorisation .
Att skydda användare från skada är också kärnan i utkastet till onlinesäkerhetsförslag som publicerades av den brittiska regeringen tidigare i år, som föreslår att man ska driva en omsorgsplikt på sociala medieplattformar som skulle tvinga teknikföretag att skydda sina användare från farligt innehåll som t.ex. desinformation eller hatretorik.
Även om lagförslaget inte nämner särskilt E2EE, säger experter att detta effektivt kommer att tvinga plattformsleverantörer att söka igenom privata meddelanden på jakt efter skadligt innehåll för att säkerställa att de följer lagen.
Enligt ICO är den brittiska regeringens ståndpunkt något mer nyanserad. I ett uttalande till vakthunden sa regeringen att snarare än att introducera bakdörrar till E2EE, ligger fokus på att introducera “specifik ytterligare funktionalitet” till företagens tjänster, vilket skulle möjliggöra åtkomst till meddelandeinnehåll av brottsbekämpande myndigheter eller plattformstjänsteleverantören. kontrollerade omständigheter.
En talesperson för Department of Digital, Culture, Media and Sport sa till ZDNet: “Barn kommer att stå i centrum för våra nya onlinesäkerhetslagar, med tuffa sanktioner på sociala medieplattformar som misslyckas med att skydda ungdomar från skada. Vi tror att det är möjligt att implementera end-to-end-kryptering på ett sätt som är förenligt med allmän säkerhet och som inte förhindrar åtgärder mot barnmisshandel.”
ICO verkar vara i linje med denna uppfattning. Vakthundens rapport konstaterar att även om användningen av bakdörrar till krypterade kanaler “oacceptabelt” skulle undergräva användarnas rättigheter, finns det ett värde i att accelerera innovationer som tillåter upptäckt av skadligt innehåll utan att kompromissa med integriteten.
Med andra ord hävdar organisationen att säkerhet och integritet inte behöver vara i spänning. Med rätt teknik, hävdar ICO, är det möjligt att ha både ett säkert onlineutrymme, såväl som en hög nivå av skydd av personuppgifter.
“Det bör inte finnas några avvägningar”, säger Stephen Bonner, ICO:s verkställande direktör för regulatory futures and innovation, till ZDNet. “Vi tror att integritet med E2EE är avgörande för onlinesäkerhet och kan fungera tillsammans med förmågan att moderera onlineskador, plus möjliggöra för brottsbekämpande myndigheter att ta itu med de värsta lagöverträdarna.”
En teknik som verkar balansera båda sidor av E2EE-argumentet är homomorf kryptering, som gör det möjligt att utföra beräkningar på krypterad data utan att dekryptera den först – även om mycket mer forskning och utveckling kommer att krävas innan tillvägagångssättet anses vara en hållbar lösning.
Andra verktyg kan användas för att kontrollera skadlig kommunikation utan att faktiskt läsa dem, på ett liknande sätt som skräppostdetektorer som kan känna igen att ett konto skickar många e-postmeddelanden samtidigt, utan att behöva titta på innehållet i meddelandena.
“Organisationer utvärderar hur konton beter sig för att upptäcka och ta bort spammare, utan att övervaka vad som finns inuti”, säger Bonner. “De innovationer som inte kräver åtkomst till innehåll finns redan och distribueras på många E2EE-plattformar.”
SE: Ransomware: Det är en “gyllene era” för cyberbrottslingar – och det kan bli värre innan det blir bättre
Det återstår att många av dessa verktyg bara håller på att dyka upp. Även om ICO är övertygad om att teknikerna kommer att utvecklas, rekommenderade organisationen ändå att mer uppmärksamhet ägnas åt effektiviteten hos befintliga verktyg som kan möjliggöra åtkomst till privat innehåll utan att bryta mot krypteringsstandarder.
Jim Killock, verkställande direktören för Open Right Group, som driver kampanj mot avlägsnandet av E2EE, argumenterar för behovet av att göra mer för att förhindra att regeringarna begränsar E2EE.
“ICO:s breda tillvägagångssätt är korrekt, men låt oss vara tydliga”, säger Killock till ZDNet. “E2EE räddar människor från bedrägerier och kriminalitet. Att ta bort det och samla in enorma mängder material skulle utsätta miljontals människor i stor risk för utpressning och bedrägeri.
“Regeringen borde inte argumentera för att göra alla osäkra, för att ta itu med specifika, begränsade, men fruktansvärda problem.”
ICO har preciserat att den senaste rapporten inte är organisationens slutgiltiga politiska ståndpunkt om E2EE. Vakthunden kommer nu att söka synpunkter från flera intressenter och kommer att publicera resultaten av dessa diskussioner i början av nästa år.
Säkerhet
Det bästa nätfiskemålet? Din smartphone Varför behöver du denna säkerhetsnyckel på 29 USD FBI: Ransomware-grupper som knyter attacker till “betydande” finansiella händelsers signal avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information De 10 värsta hårdvarusäkerhetsbristerna 2021 Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen Juridik | Säkerhets-TV | Datahantering | CXO | Datacenter