ПРОСТЕ РІШЕННЯ ДЛЯ ЗАВЕРШЕННЯ ДЕБАТІВ ПРО ШИФРУВАННЯ - TECHCRUNCH - РИСИ - 2019

Anonim

Девід Гурле, співавтор

Девід Гурл є засновником та виконавчим директором Symphony Communication.

Білл Гаррінгтон, співавтор

Білл Харрінгтон - колишній федеральний прокурор і партнер юридичної компанії Goodwin.

Злочинці та терористи, як і мільйони інших, покладаються на шифрування смартфонів, щоб захистити інформацію на своїх мобільних пристроях. Але на відміну від більшості з нас, дані на їхніх телефонах можуть загрожувати життю та створюють велику загрозу національній безпеці.

Виклик правоохоронним органам і для нас, як суспільства, полягає в тому, як узгодити переваги доступу до планів небезпечних осіб з ціною відкриття дверей для життя всіх інших. Це сучасний випадок вікового конфлікту між конфіденційністю та безпекою, граючи в наших кишенях і пальмах.

Одного розміру підходить всі технологічні рішення, такі як універсальний бекдор, створений виробником для смартфонів, ймовірно, створюють більше небезпек, ніж вони заважають. Хоча жодне рішення не буде досконалим, найкращі способи квадратного доступу до даних з проблемами безпеки потребують більш нюансированного підходу, який покладається на нетехнологічні процедури.

ФБР все частіше нагадує про те, що злочинці та терористи використовують заходи безпеки для смартфонів, щоб запобігти виявленню та розслідуванню, стверджуючи про технологічне, криптографічне рішення, щоб зупинити цих поганих дійових осіб від "темного". Насправді існують недавні повідомлення про те, що виконавча гілка влади займається дискусією, змушуючи виробників створювати технологічні інструменти, щоб правоохоронні органи могли читати іншим чином зашифровані дані на смартфонах.

Але ФБР також поставив завдання захистити нашу країну від кібер-загроз. Шифрування має вирішальну роль у захисті наших цифрових систем від компромісів з боку хакерів і злодіїв. І, звичайно, централізований інструмент доступу до даних буде головною метою для хакерів і злочинців. Як свідчать останні події - з виборів до 2016 року до нещодавньої атаки на випадок викрадення грошей на урядові комп'ютери в Атланті - проблема, швидше за все, лише погіршиться. Все, що послаблює нашу захист від кіберзахисту, лише ускладнить владу для збалансування цих "подвійних мандатів" кібербезпеки та доступу до правоохоронних органів.

Існує також проблема внутрішніх загроз: коли вони мають доступ до даних про клієнтів, самі постачальники послуг можуть неправильно використовувати або продавати їх без дозволу. Коли хтось дані не контролюють, вони мають дуже обмежені засоби захисту від експлуатації. Подібний ризик ілюструє поточний зростаючий скандал щодо практики збору даних на платформах соціальних мереж. Справді, наша компанія Symphony Communications, сильно зашифрована платформа для обміну повідомленнями, була сформована в результаті скандалу зловживання інформацією постачальника послуг у секторі фінансових послуг.

(Фото Чіпа Somodevilla / Getty Images)

Отже, як ми допомагаємо правоохоронним органам, не створюючи конфіденційності даних, навіть більше, ніж це вже є? Потенційним рішенням є використання нетехнологічного методу, чутливого до потреб всіх зацікавлених сторін, які іноді можуть вирішити напругу між державним доступом та захистом даних, одночасно запобігаючи зловживання постачальниками послуг.

Угоди між деякими нашими клієнтами та Державним департаментом фінансових послуг штату Нью-Йорк (NYSDFS) виявилися досить популярними, що директор ФБР Wray останнім часом вказав на них як на модель "відповідального шифрування", яка вирішує проблему "ідуть темно" без компрометуючи надійне шифрування, критичне для інфраструктури бізнесу нашої країни.

Рішення вимагає зберігання ключів шифрування - кодів, необхідних для розшифрування даних - з сторонніми зберігачами. Ці зберігачі не зберігатимуть ключі шифрування цих клієнтів. Скоріше, вони надають інструмент доступу для клієнтів, а потім клієнти можуть вибрати, як його використовувати і кому вони хотіли б надати доступ. Основним компонентом сильної цифрової безпеки є те, що постачальник послуг не повинен мати доступу до незашифрованих даних клієнта, а також не контролювати ключі шифрування клієнта.

Різниця є вирішальною. Це рішення не технологічне, як бекдор доступ, побудований виробниками або постачальниками послуг, але людське рішення, побудоване на основі контролю клієнтів. Такі домовленості забезпечують надійний захист від злочинців, які зломують служби, але також запобігають збиранню споживачів даних постачальниками послуг.

Де клієнти обирають власних зберігачів, вони можуть підпорядковувати своїх зберігачів своїм вимогам безпеки. Клієнти навіть можуть розділити свої ключі шифрування на кілька частин, розподілених між різними третіми особами, так що ніхто з зберігачів не може отримати доступ до даних клієнта без співпраці з іншими.

Це рішення захищає від хакерства та шпигунства, захищаючи від неправильного використання контенту клієнтів постачальника послуг. Але це не модель, яка підтримує постачальників послуг або вироблених задніх дверей; наш підхід зберігає контроль ключа шифрування в руках клієнтів, а не у наших або урядових.

Механізм утримання під вартою, який використовує вибрані клієнтом сторонні особи, не є відповіддю на кожну частину проблеми кібербезпеки та конфіденційності. Справді, важко уявити, що ця дилема піде на єдине рішення, особливо суто технологічне. Наш досвід показує, що існують розумні, ефективні рішення. Технологічні особливості є основою таких рішень, але критичні - це і нетехнологічні міркування. Просування суто технічних відповідей - незалежно від того, наскільки винахідливим - без роботи через перевірки, балансування та ризики здійснення було б помилкою.