GANARLO es un ataque directo al cifrado de extremo a extremo: algunas ideas sobre ingeniería criptográfica


Ayer, un grupo bipartidista de senadores estadounidenses presentó un nuevo proyecto de ley llamado GANARLO actuar A primera vista, el proyecto de ley parece ser una especie de béisbol interno vinculado a la responsabilidad legal de los proveedores de servicios de información. En realidad, esto representa un ataque gubernamental sofisticado y directo contra el derecho de los estadounidenses a comunicarse en privado.

No puedo enfatizar lo peligroso que es este proyecto de ley, aunque otros intentado. En este artículo, intentaré hacer todo lo posible para explicar por qué me asusta.

"Going Dark" y el fondo detrás de GANARLO

En los últimos años, el Departamento de Justicia de los Estados Unidos y el FBI han emprendido una campaña agresiva para eliminar los servicios de cifrado de extremo a extremo. Esta es una categoría que incluye sistemas de mensajes de texto como Mensaje de Apple, WhatsApp, Telegramay Señal. Estos servicios protegen sus datos cifrándolos y asegurando que las claves solo estén disponibles para usted y la persona con la que se está comunicando. Esto significa que su proveedor, la persona que hackeó a su proveedor y (sin darse cuenta) el FBI, se quedan en la oscuridad.

El Gobierno campaña anti-cifrado No tuvo mucho éxito. Hay esencialmente dos razones para esto. Primero que nada, la gente como comunicarse en privado Si hay algo que hemos aprendido en los últimos años, es que el mundo está no es un lugar seguro para su información privada. No tiene que preocuparse de que la NSA lo espíe para preocuparse de que un pirata informático pueda robar sus mensajes o correos electrónicos. De hecho, este tipo de piratería se produce con tanta frecuencia que hay una sitio web popular puede usar para verificar si sus cuentas han sido comprometidas.

La segunda razón por la cual el gobierno no ha logrado ganarse los corazones y las mentes es que proveedores como Facebook, Google y Microsoft también se preocupan mucho por el cifrado. Mientras que a algunas empresas (* tos * Facebook y Google) les gusta recopilar sus datos, incluso estas empresas comienzan a darse cuenta de que tienen demasiado. Esto representa un riesgo para ellos y, cada vez más, produce una reacción violenta de sus propios clientes. Las empresas como Facebook se dan cuenta de que si pueden encriptar algunos de estos datos, por lo que ya no tienen acceso a ellos, pueden hacer que sus clientes estén más felices y seguros al mismo tiempo.

Los gobiernos han intentado romper este punto muerto llamando a sistemas de "acceso excepcional". Estas son esencialmente "puertas traseras" en los sistemas criptográficos que permitirían a los proveedores acceder ocasionalmente a los datos del usuario con una orden judicial, pero solo cuando se haya producido un delito específico . Este es un problema excepcionalmente difícil de resolver, y muchos expertos tienen escritura Por qué. Pero por difícil que sea este problema, no es nada comparado con lo que EARN IT exige.

¿Qué es GANARLO y cómo constituye un ataque de cifrado?

Debido a que el Departamento de Justicia ha fracasado en gran medida en su misión de convencer al público de que las empresas tecnológicas deben dejar de usar el cifrado de extremo a extremo, decidió intentar un enfoque diferente. En lugar de exigir a las empresas tecnológicas que den acceso a los mensajes solo en circunstancias penales graves y con una orden judicial, Los patrocinadores del Departamento de Justicia y el Congreso han decidido aprovechar las preocupaciones sobre la distribución de pornografía infantil, también conocida como material de abuso sexual infantil, o CSAM.

Voy a ser un poco más directo sobre esto de lo habitual, pero solo porque creo que la siguiente afirmación es correcta. El objetivo real aquí es hacer que sea financieramente imposible para los proveedores implementar el cifrado.

Ahora seamos claros: la existencia de CSAM es despreciable y representa un problema real para muchos proveedores. Para remediar esto, muchos servicios de intercambio de archivos y mensajería buscan voluntariamente este tipo de medios. Esto implica verificar las imágenes y los videos con una base de datos de "hash de fotos" conocidos y enviar un informe a una organización llamada NCMEC cuando haya uno. El NCMEC luego envía estos informes a las autoridades locales.

Los sistemas de cifrado de extremo a extremo hacen que el escaneo CSAM sea más difícil: esto se debe a que los sistemas de escaneo de fotos son esencialmente una forma de vigilancia masiva, implementada por una buena causa, y el cifrado de extremo a extremo es diseñado explícitamente para prevenir la vigilancia masiva. Digitalizar fotos, al tiempo que permite el cifrado, es un problema fundamentalmente difícil, ya que los proveedores Todavía no sé cómo resolver.

Todo esto nos lleva a ganarlo. El nuevo proyecto de ley, del Comité Judicial de Lindsey Graham, está diseñado para obligar a los proveedores a solucionar el problema de cifrado durante el escaneo o dejar de usarlo por completo. Y dado que aún no sabemos cómo solucionar el problema, y ​​las técnicas para hacerlo están esencialmente en investigacion Etapa de I + D: es probable que "dejar de usar el cifrado" sea realmente el objetivo preferido.

GANAR TI funciona revocando un tipo de responsabilidad llamada Sección 230 Esto permite a los proveedores operar en Internet, evitando que el proveedor sea responsable de lo que hacen sus clientes en una plataforma como Facebook. El nuevo proyecto de ley haría financieramente imposible que proveedores como WhatsApp y Apple operen servicios a menos que realicen "mejores prácticas" para analizar sus sistemas para CSAM.

Como no existe una "mejor práctica" y las técnicas para hacerlo mientras se mantiene la confidencialidad son completamente desconocidas, el proyecto de ley crea un comité designado por el gobierno para informar a los proveedores de tecnología qué tecnología deben usar La naturaleza específica del comité es bizantina y se describe en el proyecto de ley. Huelga decir que la composición del comité, que puede incluir tan solo cero expertos en seguridad de datos, asegura que el cifrado de extremo a extremo ciertamente no se considerará la mejor práctica.

En resumen: este proyecto de ley es una forma indirecta de permitir que el gobierno prohíba el cifrado de servicios comerciales. Y aún más bonito: no sale y de hecho prohibir El uso del cifrado simplemente hace que el cifrado sea comercialmente imposible de implementar para los principales proveedores, asegurando que quiebren si intentan desobedecer las recomendaciones de este comité.

Este es el tipo de proyecto de ley que propondría si supiera que lo que desea hacer es inconstitucional y muy impopular, y que no le importa.

Entonces, ¿por qué GANARLO es una idea tan terrible?

Al final del día, somos escandalosamente malos para mantener la seguridad de los sistemas informáticos. Esto tiene costos caros, miles de millones de dólares para nuestra economía. Más que eso, nuestra incapacidad para administrar la seguridad de los datos tiene costos intangibles para nuestra capacidad de funcionar como una sociedad laboral.

Hay un puñado de tecnologías prometedoras que podrían resolver este problema. El cifrado de extremo a extremo es uno de ellos. Es, de hecho, el mas prometedor tecnología que necesitamos para evitar piratería, pérdida de datos y todo el daño que pueda golpear a personas vulnerables por eso.

En este momento, la tecnología para asegurar nuestra infraestructura no es lo suficientemente madura como para que podamos nombrar un comité designado por el gobierno para dictar los tipos de tecnología que las empresas pueden "entregar". Tal vez algún día estaremos allí, pero estamos a años de distancia del punto en que podemos proteger sus datos y también Washington DC decide qué tecnología podemos usar para hacerlo.

Esto significa que sí, algunas tecnologías, como el escaneo CSAM, deberán rediseñarse y, en algunos casos, se reducirá su eficiencia. Pero las compañías tecnológicas han sido agresivas en el desarrollo de esta tecnología por sí mismas (ver aqui para algunos de los trabajos avanzados realizados por Google con Machine Learning), y continuarán haciéndolo. La industria tecnológica tiene muchos problemas, en muchas áreas. Pero no necesita que los senadores le digan cómo hacer este trabajo específico, porque la gente en California también tiene hijos.

Incluso si apoya los objetivos de GANARLO, recuerde: si el Senado de los EE. UU. Acaso decida decirle a Silicon Valley cómo hacer su trabajo, hasta el punto de una pistola de responsabilidad, puede apostar que la industria volverá a hacer mínimo posible ¿Por qué las compañías tecnológicas continuarían invirtiendo en el desarrollo de tecnologías más sofisticadas y costosas en esta área, sabiendo que podrían tener el mandato de implementar cualquier tecnología nueva que inventen, lo que sea 39, a cualquier precio?

Y ese será el resultado real de este proyecto de ley.

Sobre el cinismo

En los últimos años, ha habido un acalorado debate sobre el valor del cifrado de extremo a extremo y la demanda de que las fuerzas del orden tengan acceso a más datos de usuarios. Yo tengo participó en este debate, y aunque no estoy de acuerdo con muchas cosas del otro lado, sigo fundamentalmente respetado su posición

GANARLO convierte todo esto en su cabeza. Es extremadamente difícil creer que este proyecto de ley se deriva de una consideración honesta de los derechos de las víctimas infantiles y que esta legislación no es más que un ataque directo al uso del cifrado de extremo a extremo.

Espero que la comunidad de Internet y la sociedad civil traten esta propuesta con la seriedad que se merece y que veamos a los senadores respaldar un proyecto de ley que realmente protege a los niños del abuso, en lugar de d & # 39; Use estas preguntas como un intento cínico de causar una "prohibición de puerta trasera" en el cifrado.



Source link