×
Никаких бэкдоров, но…

В четверг Тереза Мэй (Theresa May), министр внутренних дел Великобритании, провела два часа, объясняя в специальной комиссии спорные пункты проекта «Билля о следовательских полномочиях». Этот законопроект, охватывающий операции наблюдения, развертываемые службой внутренней безопасности и правоохранительными органами, на данный момент находится на рассмотрении в парламенте и, возможно, будет утвержден до конца этого года.

 

В ходе комиссии Мэй попросили объяснить, что означает этот законопроект для шифрования данных. Вопрос касался напрямую одного из пунктов, который гласит, что от операторов связи могут потребовать удалить «электронную защиту данных».

 

Комитет прямо спросил, означает ли этот пункт, что государство требует от операторов связи оставлять бэкдоры в своих сервисах или передавать ключи шифрования, на что она ответила: «Мы не требуем от них выдать нам ключи шифрования – нет, правительство таким не занимается».

 

Расшифровка по запросу

 

Однако надежды комиссии понять, что точно обозначает этот пункт законопроекта и как его правильно толковать, пока не оправдались. Мэй лишь подтвердила, что позиция правительства такова, что оно надеется получать доступ к незашифрованным данным по специальному ордеру, которому компании должны будут подчиняться.

 

«Ордер будет служить законным обоснованием, так что в компании будут обязаны предоставить властям запрашиваемую информацию. И поскольку все процедуры с ордером будут официальны, то компании должны предпринять необходимые меры для того, чтобы в случае необходимости суметь подчиниться требованиям этого ордера. Такова позиция правительства на сегодняшний день – и такой же она будет в будущем», – сообщила Мэй.

 

Кроме того, она добавила: «Как правительство мы считаем, что шифрование важно. Важно, что данные могут находиться в безопасности, и мы не собираемся этим законопроектом как-то менять эту ситуацию с шифрованием. И правовую сторону вопроса также трогать не будем. Единственное отличие, которое появится, – раньше все, что касалось шифрования, содержалось в подзаконных актах, а теперь будет содержаться в отдельном законопроекте».

 

Тереза Мэй

 

Мэй делает упор на последствиях принятия законопроекта для шифрования вида «end-to-end». Ее комментарии дают мало уверенности в том, что государство понимает все технические нюансы, касающиеся этого типа шифрования: так, при правильной реализации шифрования E2E сама компания оказывается не в состоянии расшифровать передаваемые данные. Это может сделать только получатель. Таким образом, получается, что компания оказывается неспособна выполнить условия нового билля просто потому, что сам метод шифрования не подразумевает это.

 

Что же будет в случае, когда компания оказывается неспособна предоставить доступ к искомым данным, так как у них реализовано end-to-end-шифрование? И как здесь участвует пункт законопроекта об удалении электронной защиты?

 

В ответ на это Мэй повторила ранее сказанное: «Когда мы обращаемся в компании с такой просьбой, мы исходим из того, что требования предъявленного ордера полностью законны и компания должна иметь возможность их соблюдать. То есть у нее должен быть  разумный способ предоставить нам запрашиваемые в официальной форме данные».

 

Все упирается в то, что в данном законопроекте будет считаться «разумными» мерами по предоставлению доступа – может ли получиться так, что «разумными мерами» станет удаление шифрования вообще? Таким образом, на данный момент неясно, что в данном законе будет считаться разумным – и отсутствие ясности видится преднамеренным: это такой способ для правительства обходить E2E-шифрование без явного указания в законах о том, что в технологии должны быть обеспечены специальные обходные пути.

 

И в самом деле, в ответах на другие вопросы Мэй подтвердила, что некоторые случаи применения не до конца ясных понятий в законопроекте допущены преднамеренно – для того чтобы обеспечить известную «гибкость». То есть некоторые термины там могут трактоваться достаточно широко, чтобы вместить какое-то новое достижение  в области технологий, например.

 

Определенность против гибкости

 

«Это попытка сохранить достаточный баланс между законопроектом, который понятен для простых людей, и в то же время законопроектом, который составлен таким образом, что сможет действовать еще долго благодаря тому, что его термины трактуются достаточно широко», – сообщила Мэй.

 

Во время комиссии она отвергала обвинение в том, что язык нового законопроекта является неопределенным, заметив, что, к примеру, понятие Записи о доступе к интернету (Internet Connection Records, IRC) уже было ужесточено.  В ответ на это от комитета последовала просьба объяснить суть понятия IRC так, чтобы это было понятно неспециалисту.

 

Мэй смогла дать «эквивалентное» объяснение: «Если есть кто-то, кто обращается к конкретному сайту… или использует интернет для отправки конкретных сообщений, то у вас должна быть возможность определить личность этого человека. При этом мы не пытаемся определить конкретные страницы, которые вы просматривали. Это просто касается самого факта посещения сайта».

 

Записи о доступе к интернету

 

Мэй получила много вопросов касательно IRC, в частности, ее спрашивали о расходах на реализацию, о проблемах хранения накопленных данных, которых может оказаться слишком много, и о возможности реализации этого проекта с технической точки зрения. Кроме того, комиссию ожидаемо беспокоила проблема конфиденциальности собранных данных.

 

Глава МВД Великобритании

 

«Уверенность в технической возможности реализации возникла после обсуждения идеи с операторами связи. У нас с ними было достаточно бесед на тему возможности реализации IRC. Из них стало понятно, что у каждого оператора есть свой принцип организации работы, он у всех разный, но после проведенных бесед мы уверены, что они будут в состоянии гарантировать нам доступ к необходимой информации в случае необходимости».

 

Что касается расходов, Мэй упомянула сумму в £247 миллионов для возмещения провайдерам расходов на хранение/сбор данных IRC. Также она заметила, что этот момент со многими провайдерами еще обсуждается.

 

Мэй отметила, что в дальнейшем предоставит новые подробности, касающиеся технических характеристик и стоимости проекта. Кроме того, она согласилась добавить дополнительные примеры того, что система IRC на данный момент необходима. Касательно ее фактической полезности в современном мире, где большая часть смартфонов постоянно подключена к интернету, тоже прозвучал ряд вопросов.

 

Мэй спрашивали, видит ли она опасность в неконтролируемом сборе огромных массивов данных, которые будут представлять сомнительную ценность? Она же в ответ сообщила, что правительство будет придерживаться более целенаправленного подхода к обработке данных и неуправляемого сбора больших объемов малополезной информации не произойдет.

 

Относительно того, как правительство будет решать вопросы с требованиями законопроекта, когда дело касается каких-то зарубежных компаний, вопрос пока не определен – Мэй сообщила, что его рассмотрят в Министерстве внутренних дел.

 

«Есть определенные аспекты в принимаемом законодательстве, которые вынуждают нас учитывать территориальность. Но есть и требования, выполнения которых мы потребуем в любом случае – в частности, хранить информацию в таком виде, чтобы по официальному запросу к ней был обеспечен своевременный доступ».

 

Судебный надзор как гарантия конфиденциальности

 

Само собой, поднимался вопрос конфиденциальности личной жизни граждан. Мэй ответила, что гарантом послужит механизм двойной блокировки: для доступа к данным потребуется решение суда и министерства о действительной необходимости такого действия. Участие судей не ограничится просто довольно «узкой» проверкой необходимости выдачи информации – они смогут разбирать дело в полном объеме.

 

Как заметила Мэй: «Одно из преимуществ судебного рассмотрения  в данном случае – то, что в суде смогут отдельно разобрать каждый случай и вынести решения о необходимых мерах, в зависимости от того, как это повлияет на человека».

 

Излишние усилия

 

Мэй задавали много вопросов, касающихся излишков данных, которые будут накапливаться при таком подходе к работе, и спрашивали, «не утонут ли аналитики в таких объемах данных». В комиссии было мнение, что большая часть собранной информации окажется контрпродуктивной, когда вопрос дойдет до действительной помощи национальной безопасности.

 

Тереза Мэй в ответ на это сообщила, что законопроект отнюдь не подразумевает постоянную массовую слежку. Она сказала, что сбор данных не будет вестись все время и в полном объеме.

 

«Будет неправильно считать, что мы решили собирать абсолютно все данные нон-стоп… Но в некоторых случаях сбор больших объемов данных действительно потребуется…»

 

Также комитет интересовало, разрешит ли законопроект вводить в действие так называемые «тематические» ордеры – то есть такие ордеры, под требования которых подпадают достаточно большие группы людей и которые не могут быть классифицированы «целевыми». На этот вопрос Мэй ответила однозначно, заявив, что использование подобных ордеров законопроект не допускает.

 

Перевод: Вячеслав Гладков

 

Оригинал фото: bbc, techcrunch