הביון הבריטי רוצה גישה למידע בענן והתקנים מוצפנים

"מחברי המאמר מייצגים הן את משימות המודיעין והביטחון ב- GCHQ. אחד הוא המנהל הטכני של המרכז הלאומי לביטחון סייבר והשני הוא המנהל הטכני של מרכז לפענוח הצפנות בGCHQ", כותבים איאן לוי וקריספין רובינסון באתר lawfareblog. כאמור, שניהם בכירים בשירות הביון הבריטי, הGCHQ.

"הGCHQ מרכז גם את התמיכה הטכנית הלאומית, חלק מממשלת בריטניה שמנהל גישה ממוקדת לתקשורת ולמשפט פלילי דיגיטלי מורכב - כולל מכשירים מוצפנים - עבור אכיפת החוק של בריטניה. לכן אנו מבינים רבים מהאתגרים הניצבים בפניהם."

ממשלת בריטניה תומכת בחריפות בהצפנה, כותבים הבכירים. "מנהל הGCHQ הצהיר בפומבי כי אין לנו שום כוונה לערער את ביטחונם של שירותים שמיליארדי בני אדם תלויים בהם, ובאוגוסט חתמה בריטניה על הצהרת חמש המדינות בדבר גישה לראיות והצפנה, המחייבת אותנו לתמוך בהצפנה חזקה תוך כדי גישה לנתונים."

כל דמוקרטיה מתפקדת תבטיח ששיטות אכיפת החוק והמודיעין שלה יפוקחו באופן עצמאי, ושהציבור יוכל להיות סמוך ובטוח שכל הפרעות לחיי אדם נחוצות ומידתיות, כותבים בפרסום. "בבריטניה, לפי חוק סמכויות החקירה משנת 2016, פירוש הדבר שמזכיר המדינה ושופט עצמאי חייבים לחתום על שימוש בכוחות הפולשניים ביותר. "אנו מאמינים כי זה מספק פיקוח ברמה עולמית על סוכנויות המודיעין שלנו."

בהקשר השימוש בכלים לפתיחת הצפנה, אומרים הבכירים כי הדיון אינו רק טכני. "לא רק הפרטים הטכניים חשובים. חשוב גם שאנחנו נהיה ברורים לגבי מה שבאמת שימושי לאכיפת החוק, וזה לא תמיד הוסבר באופן עקבי. ללא גישה פתוחה ועקבית, אנשים מדברים על מה שהם חושבים שאכיפת החוק רוצה, ולא מה שיועיל לאכיפת החוק", כותבים הבכירים.

ספקי שירות צריכים לשתף פעולה

"ספקי שירות צריכים לסייע לאכיפת החוק להבין את האבולוציה של המוצרים והשירותים שלהם כדי לסייע לאכיפת החוק להשאר עדכנית מבלי לבזבז משאבים על הנדסה לאחור של דברים", כותבים הבכירים בטענה כי ספקי השירותים צריכים לשתף פעולה עם שירותי אכיפת החוק. "כל פתרון גישה יוצא דופן אינו צריך לשנות באופן יסודי את יחסי האמון בין ספק השירות לבין המשתמשים שלו.

"משמעות הדבר היא לא לבקש מהספק לעשות משהו שונה במהותו מדברים שהוא כבר עושה כדי לנהל את העסק שלו. כל פתרון צריך להיות כפוף בצורה כלשהי לביקורת עמיתים ויישום מצטבר. הציבור היה משוכנע כי פתרון במקרה זה הוא בלתי אפשרי, ולכן אנחנו צריכים להסביר מדוע אנחנו לא מציעים קסם. זה שונה משיטות יירוט מסורתיות."

המאמר מתייחס גם לשאלת האמון הציבורי באבטחת מידע. "הנרטיב הציבורי בנושא זה מדבר על ביטחון כאל משהו בינארי; משהו מאובטח או לא. זה לא נכון - כל מערכת אמיתית היא סדרה של פשרות. אנחנו צריכים להיות כנים לגבי זה - המערכות שאנו משתמשים בהן כיום אינם בטוחות לחלוטין."

עוד טוענים הכותבים כי אין פתרון אחד המאפשר גישה חוקית לכלל המידע שרוצה הממשלה. "אנחנו בהחלט לא רוצים ממשלות שיש להן גישת מפתח גלובלית שיכולה לבטל את הנעילה של כל הנתונים של המשתמש. מפתח גלובלי נשלט על ידי הממשלה יהיה פתרון מטומטם קטסטרופלי במקרים אלה. יתר על כן, פתרונות צריכים להיות מתוכננים כך שספק השירות - בצורה של אדם אמיתי - יהיה מעורב בהפעלת כל בקשה מורשית, כדי להגביל את היקף השימוש."

גישה לגיבויים בענן

נכון להיום, לפי החוק בבריטניה, לממשלה יש סמכות לאשר פריצה לציוד. זה כולל כל דבר. החל מכניסה בחשאי לבית של חשוד או העתקת נתונים בדרכים טכניות כולל "פריצה חוקית". פריצה חוקית של התקני מטרה בתחילה נשמעת כהליך אטרקטיבי כמו תרופת פלא על פי הדרישות החוקיות של ממשלות - פשוט לפרוץ את המכשיר של היעד ולקבל את מה שאתה רוצה. "במציאות, הליך כזה דורש כי לממשלות יהיו חולשות על המדף כדי לפרוץ את המכשירים האלה. זה לגמרי בניגוד לדרישות הממשלות לחשוף את כל החולשות לטובת הגנת האוכלוסייה. זה נראה מטופש", כותבים במאמר.

אז מה מציעים בGCHQ? "אנחנו לא מדברים על החלשת הצפנה מקצה לקצה של השירות. בפתרון כזה, אנחנו בדרך כלל מדברים על יירוט הודעה במכשיר היעד, ורק על המכשיר של היעד, ואולי אלה שהוא מתקשר אתם. זו הצעה שונה מאוד לדיון, ולא צריך לגעת בהצפנה", כותבים הבכירים.

"[...] אנחנו ביחד צריכים להחליט אם שינויים בחומרה הם דבר סביר לבקש מהספק לעשות. כמו כן, הספק אינו מעורב בדרך כלל בהצפנת התקן אישי, בניגוד לשיחות או צ'אטים שבוצעו באופן מקוון. קבלת הנתונים מחוץ למכשיר עצמו עלולה בסופו של דבר להיות קשה, אבל אולי יש דרכים אחרות. למשל, במקרים מסוימים, על ידי קבלת גישה לגיבויים בענן. אם הגיבויים האלה מוצפנים, אולי אנחנו יכולים לעשות ניחוש סיסמאות על מכונות גדולות. שוב, הפרטים חשובים."

אולי יעניין אותך גם