Британия должна обновить свою "игровую книгу для диктаторов"! Только что принят законопроект о безопасности в Интернете - с возможностью взлома шифрования в любое время.

Законопроект Великобритании о безопасности в Интернете содержит пункт, позволяющий политикам подрывать шифрование - сейчас или в будущем.

Online Safety Bill: Will the UK break encryption?

На этой неделе в палате парламента был принят законопроект о безопасности в Интернете, который, скорее всего, станет законом осенью этого года. Несмотря на недавние заявления политиков о том, что законопроект не будет заставлять технологические компании сканировать материалы на предмет злоупотреблений, если они зашифрованы, до тех пор, пока не появится "осуществимая" технология для этого, пункт, дающий правительству право нарушать шифрование в будущем, все же включен в окончательную версию законопроекта.


После многолетних дебатов законопроект о безопасности в Интернете, подвергшийся резкой критике, в ближайшие недели будет принят в качестве закона, что повлечет за собой серьезные последствия для способов доступа жителей Великобритании к онлайн-сервисам.

В ходе одного из последних чтений законопроекта в Палате лордов правительство Сунака пошло на попятную, подтвердив, что не собирается взламывать шифрование и потребует от приложений для обмена сообщениями проверять их на наличие противоправного контента только тогда, когда это станет “технически возможным”.

Это заявление было названо защитниками неприкосновенности частной жизни “победой”. Появилась минутная надежда, что Британия перепишет так называемую ” игровую книгу для диктаторов”. Например, эксперт по безопасности Алек Маффетт написал в Твиттере:

“ПРЯМО ЗДЕСЬ, ПРЯМО СЕЙЧАС, В ТЕРМИНАХ ПОЛИТИКИ, давайте признаем одну вещь: после многих лет - особенно после крикливости последних 6 месяцев - то, что правительство признает неразрешимость проблемы сканирования на стороне клиента, является огромной победой”.

А Мередит Уиттакер (Meredith Whittaker) из компании Signal написала в Твиттере:

“ВАУ. Я так тронута, немного ошеломлена, и больше всего я искренне благодарна тем, кто объединился, чтобы обеспечить солнечный свет на опасную шпионскую оговорку OSB, и тем в правительстве Великобритании, кто обобщил факты и принял меры”.

”Я знал, что мы должны бороться. Я не знала, что мы win❤️🙏“.

Однако Мередит также добавляет:

“Конечно, это не полная победа. Мы хотели бы видеть это в тексте самого закона. Но, тем не менее, это большая победа, и если учесть, что руководство по внедрению будет иметь силу для формирования системы внедрения Ofcom, то это, опять же, очень большая и очень хорошая победа”.

Потому что, что очень важно, хотя правительство и заявило, что не будет заставлять технологические компании нарушать шифрование, эта фраза не попала в измененный закон. Хуже того, представители правительства лишь заявили, что будут придерживать их до тех пор, пока это “технически осуществимо”.

Стивен Паркинсон, парламентский заместитель госсекретаря по вопросам искусства и наследия, заявил в Палате лордов: Компании не будут обязаны сканировать зашифрованные сообщения до тех пор, пока это “технически осуществимо и пока технология не будет аккредитована как отвечающая минимальным стандартам точности в обнаружении только контента, содержащего сексуальное насилие над детьми и их эксплуатацию”. Он также прямо упомянул о спорном пункте 122 законопроекта о безопасности в Интернете:

“Если не существует соответствующей технологии, отвечающей этим требованиям, то Ofcom не сможет использовать пункт 122 для того, чтобы требовать ее использования”.

Какие технологии могут сканировать на наличие CSAM?

Хотя правительство Великобритании признало, что в настоящее время не существует технологии сканирования материалов о сексуальном насилии над детьми, которая не нарушала бы право человека на неприкосновенность частной жизни, оно продолжает искать такую технологию. При обсуждении возможных вариантов политики чаще всего говорят о сканировании на стороне клиента, которое также рассматривается Евросоюзом как “святой грааль” для правоохранительных органов.

Сервисы, использующие сквозное шифрование, гарантируют, что содержание сообщений могут видеть только отправитель и получатель. Для того чтобы определить, содержат ли сообщения материалы CSA, необходимо локально сканировать данные на устройствах людей, чтобы они могли быть отправлены с использованием сквозного шифрования. Отсканированные данные нужно будет сравнить с набором данных на другом сервере, что фактически приведет к нарушению сквозного шифрования и частной жизни людей.

Поскольку сканирование и соблюдение права человека на неприкосновенность частной жизни практически невозможно, компания Apple отказалась от планов по разработке клиентского сканирования для iCloud, заявив, что не может реализовать процесс сканирования без нарушения неприкосновенности частной жизни пользователей.

В итоге на сегодняшний день не существует технологии, позволяющей сканировать зашифрованные данные на предмет наличия в них оскорбительных материалов.

Победа конфиденциальности?

Тем не менее, активисты движения за неприкосновенность частной жизни заявляют о своей победе. Например, Wired пишет:

“Британия признает поражение в спорной борьбе за взлом шифрования: Правительство Великобритании признало, что технологии, необходимой для безопасного сканирования зашифрованных сообщений, отправляемых в Signal и WhatsApp, не существует, что ослабило противоречивый законопроект о безопасности в Интернете”.

Отчасти это победа, поскольку - по крайней мере, на данный момент - так называемый “шпионский пункт” в британском законопроекте о безопасности в Интернете, который требовал от приложений для обмена сообщениями нарушать сквозное шифрование, чтобы иметь возможность сканировать сообщения на предмет злоупотреблений, больше не будет применяться.

Наконец, после нескольких месяцев убеждений со стороны экспертов по безопасности и конфиденциальности правительство признало, что технологии безопасного сканирования зашифрованных сообщений на наличие признаков материалов, содержащих сексуальное насилие над детьми (CSAM), без ущерба для конфиденциальности пользователей пока не существует.

Однако другие эксперты в области конфиденциальности не столь оптимистичны. Мэтью Ходжсон (Matthew Hodgson), генеральный директор и соучредитель британской компании Element, децентрализованного приложения для обмена сообщениями, сказал:

Это “не изменение, а отбрасывание проблемы на задний план”.

”Важно только то, что на самом деле написано в законопроекте. Сканирование принципиально несовместимо с приложениями для обмена сообщениями со сквозным шифрованием. Сканирование обходит шифрование для того, чтобы просканировать сообщения, что делает их доступными для злоумышленников. Поэтому все, что означает фраза “пока это технически осуществимо”, - это открытие двери для сканирования в будущем, а не для сканирования сегодня”.

Представитель организации Index on Censorship сказал:

“Законопроект о безопасности в Интернете в его нынешнем виде по-прежнему представляет собой угрозу шифрованию и подвергает риску всех - от журналистов, работающих с разоблачителями, до обычных граждан, общающихся наедине. Нам необходимо срочно принять поправки, чтобы защитить наше право на свободу слова в Интернете”.

Другой эксперт, Мартин Альбрехт, профессор кибербезопасности Королевского колледжа Лондона и критик статьи 122 законопроекта о безопасности в Интернете, заявил, что он не видит возможного пути, по которому технология сканирования сообщений может быть “осуществима”. Как такая технология сможет точно сканировать сообщения на предмет наличия в них оскорбительных материалов и при этом защищать частную жизнь людей?

Альбрехт заявил газете Guardian:

“Я с облегчением вижу, что правительство признает научный консенсус, согласно которому не существует технологии, позволяющей сканировать зашифрованные сообщения без нарушения неприкосновенности частной жизни пользователей”. Однако неясно, какой тест правительство планирует применить для решения вопроса о том, возможна ли такая технология в будущем”.

Поскольку правительство не изменило формулировку законопроекта, возможность принудить компании к сканированию в дальнейшем сохраняется. Регулятор Ofcom по-прежнему имеет право объявить любую технологию достаточно хорошей для выполнения задачи сканирования на предмет наличия оскорбительного контента при соблюдении права людей на неприкосновенность частной жизни - при этом не имеет значения, сможет ли данная технология достичь этого на самом деле.

Сломает ли законопроект о безопасности в Интернете шифрование?

Если внимательно прислушаться к политикам и их заявлениям по поводу законопроекта о безопасности в Интернете, то можно сделать вывод, что в настоящее время не предполагается разрушать шифрование, однако это может быть только на словах.

Министр по технологиям и цифровой экономике Пол Скалли (Paul Scully MP) сказал:

“Наша позиция по этому вопросу не изменилась, и неверно утверждать обратное. Наша позиция по борьбе с сексуальным насилием над детьми в Интернете остается твердой, и мы всегда четко заявляли, что законопроект использует взвешенный, основанный на фактах подход к решению этой задачи”.

Это означает: Правительство Великобритании по-прежнему хочет проверять каждое сообщение и каждый текст, который вы отправляете, независимо от того, зашифрован он или нет.

Если законопроект о безопасности в Интернете будет принят в его нынешнем виде, Ofcom сможет “предписывать компаниям либо использовать, либо прилагать максимальные усилия для разработки или получения технологии выявления и удаления незаконного контента, содержащего сексуальное насилие над детьми, - а мы знаем, что такая технология может быть разработана”, - сказал Скалли.

В итоге мы имеем лишь обещание. Правительство Великобритании заявляет, что не будет заставлять приложения для обмена сообщениями использовать непроверенные технологии для поиска материалов, содержащих сексуальное насилие над детьми, или CSAM, но полномочия для этого все еще находятся в законопроекте. Правительство может изменить свое решение в любую минуту.

Давление со стороны технологических компаний

Новый тон правительства Великобритании стал возможен благодаря сильному давлению со стороны технологических компаний. Например, WhatsApp и Signal пригрозили покинуть Великобританию в случае принятия законопроекта о безопасности в Интернете, поскольку они не будут ослаблять или ломать свое сквозное шифрование, чтобы соответствовать британскому законодательству.

Мы в компании Tutanota не будем принимать законопроект о безопасности в Интернете.

Мы в Tutanota придерживаемся другого подхода, заявляя, что не собираемся покидать Великобританию, но Великобритания должна будет заблокировать доступ к Tutanota, как Россия и Иран.

Мы сосредоточены на безопасности и конфиденциальности наших пользователей, как сейчас, так и в будущем. Вместо того чтобы думать о том, как взломать или обойти шифрование, мы делаем шифрование более надежным, уже инвестируя в постквантовое безопасное шифрование.

Как специалисты в области технологий мы понимаем необходимость сквозного шифрования, а как борцы за свободу мы скорее будем бороться в суде с законопроектом о безопасности в Интернете, чем станем вмешиваться в работу встроенного шифрования, защищающего данные миллионов пользователей по всему миру. Мы не пошли на уступки Китаю или Ирану, которые уже блокируют доступ к Tutanota, и не будем делать этого в Великобритании.

Наша страсть - бороться за ваше право на неприкосновенность частной жизни.


Резюме законопроекта о безопасности в Интернете

Что представляет собой законопроект о безопасности в Интернете?

Законопроект о безопасности в Интернете направлен на то, чтобы сделать Великобританию самым безопасным местом в Интернете. Законопроект обязывает платформы удалять незаконный контент, например, материалы о сексуальном насилии над детьми, а также удалять контент, запрещенный в соответствии с их собственными условиями.

Законопроект содержит ряд новых законов, направленных на защиту детей и взрослых в Интернете. Компании, работающие в социальных сетях, должны более ответственно относиться к контенту, который публикуется на их сайтах, и быстрее удалять нелегальный контент.

Первый вариант законопроекта о безопасности в Интернете был опубликован в мае 2021 года, и вполне вероятно, что в нынешнем виде он будет принят осенью 2023 года.