議会の新たな法案により、ハイテク企業は法執行機関の要求に応じて、自社のセキュリティ機能や暗号化を弱体化または破ることが義務付けられることになる。ひどいと思いませんか?そうです。この法案の内容と、それに対して何ができるかは次のとおりです。
最近追いついたばかりの人のために、Apple と FBI最近、法的に大きな問題があったサイード・リズワン・ファルークが所有するiPhone上で、サンバーナンディーノ銃乱射事件の銃撃犯。 FBIはAppleに対し、携帯電話のPINロックを回避するツールを作成するよう要求した。 Appleは、これは不当な負担であり、すべてのiPhoneのセキュリティを弱めることになると主張した。結局、FBIは撤退し、iPhoneのロックを解除するサードパーティ会社を見つけた、 それでも現在別の電話が使用中です, 全国各地にあります。
しかし、この事件全体に対して上院議員らは、ダイアン・ファインスタイン(D-CA) およびリチャード・バー(共和党、ノースカロライナ州)は現在、法執行機関が物乞いをせずに必要なものを確実に入手できるようにする法案の作成に取り組んでいる。ファインスタイン・バー法案が可決されれば、データが暗号化されているか、実際にアクセスできない場合でも、ハイテク企業はデータの引き渡しを求める裁判所命令に従うことが強制されることになる。いわゆる「2016 年裁判所命令遵守法」の暫定版先週の金曜日に発売されました。このバージョンは必ずしも最終バージョンではありませんが、すでにかなりひどいものになっています。大きな変更が加えられない限り、この法案は安全を重視する人にとって危険です。
この法案は何をするのか
金曜日に発表された草案によると、ハイテク企業は裁判所から情報提供命令が出された場合には、それに従うことができなければならない。データ自体にアクセスできるようにするか、政府がデータにアクセスする方法を見つけるのを支援するかのいずれかです。言い換えれば、企業は「それは不可能です」と言って終わりにすることはできません。このような注文に直面したテクノロジー企業には 2 つの選択肢があります。
情報を直接裏返します。企業が裁判所命令に関連するデータをサーバー上に保持している場合、それを法執行機関に引き渡す必要があります。それは「わかりやすい形式」でなければなりません。これは、企業が暗号化されたデータを読み取り可能な形式に変換する能力を備えている必要があることを意味します。そのためには、暗号化を提供するテクノロジー企業が、データを復号するための鍵を自社で保持して顧客データの脆弱性を高めるか、さらに悪いことに、企業自身が解読できる暗号化のみを使用し、暗号化が事実上無価値になるかのどちらかが必要となる。
法執行機関が情報にアクセスできるように支援します。企業がデータをどこかに保存していない場合は、「必要に応じて技術支援」政府がデータにアクセスできるようにするため。言い換えれば、テクノロジー企業は、政府が任務を完了したと判断するまで、捜査科学捜査に全力を注ぐことを余儀なくされることになる。注目すべきは、この法案では政府が企業にどれだけの努力を要求できるかについて制限がないことである。ただし、技術支援の提供によって発生した費用は「補償」されるとの条項があります。
サンバーナーディーノ事件を例に挙げると、この新しい法律の下では、Apple が自社のビジネスや顧客にどれだけ損害を与える可能性があると感じているかに関係なく、裁判所命令の対象であるため、Apple はファルークの iPhone にアクセスする必要があったことになる。 ' 安全。ただし、やや混乱を招きますが、非常に意図的にしませんAppleがこれをどのように達成しなければならないかを述べてください。法律の一条には次のように書かれています。
この法律のいかなる規定も、政府職員に対し、対象となる事業体による特定の設計またはオペレーティング システムの採用を要求または禁止する権限を与えるものと解釈することはできません。
言い換えれば、FBI は、携帯電話の暗号化を回避する特定のソフトウェア機能の要求を Apple に持ち込むことはできません (サンバーナーディーノの事件では、FBI が回避しました)。代わりに、Apple がこれを行う必要があることを単に義務付けています。どうにか。また、政府が完了を決定するまでアップルの仕事は完了しないとも述べている。
法案の対象はアプリストアにも及ぶ。あるセクションでは、「製品、サービス、アプリケーション、またはソフトウェアのライセンスを配布する」企業は、それらの製品が法律を遵守できることを保証する必要があると記載されています。言い換えれば、アプリ開発者が顧客データを引き渡すことができることを Apple が保証できない場合、Apple は自社のアプリを App Store で法的に許可することはできません。もう一度言いますが、法案には何も記載されていませんどうやって企業は、配布するすべてのアプリが裁判所命令に準拠していることを確認する必要があります。せいぜい、ストア内のすべての通信アプリに対して長期にわたるセキュリティ監査を法的に義務付ける程度です。最悪の場合、アプリストアの所有者は開発者がどのセキュリティ機能を使用できるかを決定する必要があります。どう解釈しても、それは悪い兆候です。
すべてそれ以外この法案は間違っています
現在の形では、この法案はテクノロジー企業と消費者にとって悲惨なものです。最大の問題の 1 つは、多くの状況で必要なことが実際には不可能である可能性があることです。たとえば、最近では WhatsAppすべてのメッセージでエンドツーエンド暗号化を有効にしました。 Google は Gmail に関しても同様のことを長い間行ってきました。両社とも、エンドポイントデバイスに物理的にアクセスしない限り、サービス経由で送信されたデータにアクセスすることはできず、転送中に取得したデータは決して「読み取り可能な形式」ではありません。この法案では、企業が法執行機関が読み取って使用できる方法でそのデータを引き渡す方法を見つけることが求められます。文字通り不可能。政策アナリストとしてジュリアン・サンチェス場合によっては、この法案は企業に魔法のようなことを要求するのと同じだということです。
このツイートは現在利用できません。読み込み中か削除された可能性があります。
WhatsApp には 2 つの選択肢があります。一方で、エンドツーエンドの暗号化を無効にする可能性があり、これにより製品の安全性が本質的に低下し、顧客ベースが混乱します。あるいは、バックドアを構築したり、顧客の暗号化キーのデータベースを維持したりすることもできます。プラットフォームのセキュリティを損なう。それは、あなたの家を建てた人にあなたの家の鍵のセットを所有し、その人だけが入ることができる特別なドアを持たせることを要求するようなものです。
どちらの選択肢を選択しても、消費者のセキュリティが弱くなり、ユーザー データ、メッセージ、およびアプリを通じて送信されるその他のものを盗もうとする可能性のある他の悪意のある者に扉が開かれます。この法律のもとでは、強力なセキュリティ慣行は違法となる。製品やサービスの安全性が高く、企業や政府がアクセスしたり解読したりできない場合、企業は法律を遵守するためにそのセキュリティを弱める必要があります。
もう1つの大きな問題は、この法案がApple、Google、Microsoftなどの企業にアプリストアを監視して安全なアプリを削除することを義務付けていることだ。そうした企業は、自社製品のセキュリティを弱めるだけでなく、次のことを確認する必要があります。アプリストアにあるアプリもセキュリティが弱いです。安全なアプリを禁止することに加えて、すべてのアプリがこの法律に準拠していることを確認するために、アプリ開発者とアプリストアの両方に過度の負担がかかることになります。
法案も必要ないかもしれません。のすべての令状法(私たちが言及したのはApple/FBI事件を取材したとき) コンプライアンスが不当な負担にならない限り、裁判所は企業に対し、必要なあらゆる方法で調査を支援するよう命令することができます。 Apple と FBI との闘いの場合、Apple は、FBI が望んでいたツールの作成は不当な負担であり、今回の iPhone だけでなくさらに多くの iPhone のセキュリティを危険にさらす可能性があると主張した。しかし、Apple は法執行機関がさまざまな状況下で他の iPhone からデータを抽出するのを支援してきました。以前に何度も。新しい法案は、政府が既存の法律を使用できない、あるいはサンバーナーディーノ事件で FBI が証明したように、既存のセキュリティ研究者や請負業者が使用できないいくつかの例外的なケースに対処するためだけに、世界中のあらゆるデバイスとアプリのセキュリティを危険にさらすことになります。 —必要な情報を入手するため。
この法案の支持者らは、「暗闇化」問題と闘う必要があると主張している。セキュリティ技術が向上するにつれて、法執行機関の仕事はますます困難になっています。これまで、高度な暗号化とセキュリティ層は政府と高度に組織化された犯罪者のみが利用できるものでした。現在、最新のスマートフォンを持っている人は誰でも、連邦捜査を妨害する可能性があります。このため、法執行機関にとって、高度な技術を駆使した犯罪者に対処するという多大な負担が増大しています。しかし、当社の編集長アラン・ヘンリーが説明するように、これはまさにそうあるべきです。
FBI、NSA、CIAは電話や暗号を解読するためにシリコンバレーに這って来るべきではない。彼らはそうすべきです
すでにそうする能力を持っています
、もしそうでないなら、一体彼らは何を待っているのでしょうか、そして過去20年間どこにいたのですか?
「暗くなる」ことは正当な問題ですが、私たちのすべての機器やアプリを製造しているテクノロジー企業を徴兵するのは不十分な解決策です。法執行機関は、何も悪いことをしていないユーザーの安全を損なうことなく捜査を行うために必要なツールを備えている必要があります。すべての米国国民は、いつか政府がドアを壊す必要がある場合に備えて、玄関ドアに弱い鍵をかけておく必要はありません。
この問題についてあなたの声を届ける方法
現在、この法案の最終版はまだ正式に発表されていないため、発言する時間はまだ十分にあります。のオフィスへの連絡方法に関する情報を見つけることができます。バー上院議員はこちらそしてファインスタイン上院議員はこちら。また、4USXUSを使用上院議員と下院議員の情報を検索し、連絡先情報を取得します。また、Democracy.io を使用して簡単に連絡を取る連絡先情報を探さずに。これらの方法のいずれかを使用して、法案についてあなたがどのように感じているか、そしてこの法案が委員会、または天が禁ずる議場で全員投票に達した場合にどのように投票すべきであるかについてあなたの考えを代表者に伝えてください。また、ホワイトハウスへのお問い合わせはこちらから法案が可決された場合、拒否権を支持していることを大統領に知らせるためです。 Gizmodoにもまとめがあります各大統領候補のコンピュータセキュリティに関する見解現在事務所に立候補中。
4USXUS を使用して、正式に導入された法案自体に従うこともできます (たとえば、CISAはこんな感じ)。その間、いつでも良い時期です議会の代表者に連絡してくださいあなたの声を届けるために。現時点では、この法案が通過する可能性は低いように思われるかもしれません(そして、この法案は非常に否定的な注目を集めています)。ただし、誰も見ていないときにもっと悪い法案が可決されたことがあります。できる限り時間をかけて自分の意見を聞いてください。
イラストはサム・ウーリー。