Fast 70 Wissenschaftler auf dem Gebiet der IT-Sicherheit und des Datenschutzes haben den Aufruhr darüber verstärkt, dass das britische Cyber-Sicherheitsgesetz die Online-Sicherheit beeinträchtigen könnte, wenn es nicht geändert wird, um sicherzustellen, dass es die starke Verschlüsselung nicht untergräbt.
In einem offenen Brief warnen 68 britische Sicherheits- und Datenschutzforscher, dass der Gesetzentwurf ein eklatantes Risiko für wesentliche Sicherheitstechnologien darstellt, die routinemäßig zur Gewährleistung der Sicherheit digitaler Kommunikation eingesetzt werden.
„Als unabhängige Informationssicherheits- und Kryptographieforscher entwickeln wir Technologien, die die Sicherheit der Menschen im Internet gewährleisten. In dieser Funktion sehen wir die Notwendigkeit, im Online Security Act zu unterstreichen, dass die Sicherheit dieser Kerntechnologien jetzt gefährdet ist“, warnen die Wissenschaftler. Diese Bedenken wurden bereits von Ende-zu-Ende-verschlüsselten Kommunikationsdiensten wie WhatsApp, Signal und Element geäußert, die erklärt haben, dass sie sich dafür entscheiden würden, Dienste vom Markt zu nehmen oder sie von den britischen Behörden verbieten zu lassen, anstatt das gebotene Sicherheitsniveau zu gefährden an ihre Benutzer.
Letzte Woche intervenierte Apple ebenfalls öffentlich und warnte, dass der Gesetzentwurf eine „ernsthafte Bedrohung“ für die Ende-zu-Ende-Verschlüsselung darstelle, die es als „kritischen Fähigkeitsschutz“ bezeichnete. Ohne Änderungen zum Schutz starker E2EE besteht laut Apple die Gefahr, dass der Gesetzentwurf die britischen Bürger einem größeren Risiko aussetzt – was im Widerspruch zum „Sicherheits“-Anspruch im Titel des Gesetzes steht.
Eine unabhängige rechtliche Analyse des Gesetzentwurfs im vergangenen Jahr warnte, dass die im Gesetzentwurf enthaltenen Überwachungsbefugnisse die Integrität von E2EE gefährden.
Der Gesetzesvorschlag wurde bereits im Unterhaus geprüft und befindet sich derzeit im Berichtsstadium im Oberhaus – wo Kollegen die Möglichkeit haben, Änderungen vorzuschlagen. Daher hoffen Sicherheitswissenschaftler, dass ihr Fachwissen die Gesetzgeber in der zweiten Kammer dazu bewegen wird, dort einzugreifen und die Verschlüsselung zu verteidigen, wo die Gesetzgeber versagt haben.
Sie schrieben: „Wir verstehen, dass dies ein kritischer Zeitpunkt für den Online Safety Act ist, da er im House of Lords debattiert wird, bevor er diesen Sommer an das House of Commons zurückverwiesen wird.“ „Kurz gesagt, unser Anliegen ist der Einsatz von Überwachungstechnologien im Sinne der Gewährleistung der Online-Sicherheit. Dieses Gesetz untergräbt den Schutz der Privatsphäre und untergräbt tatsächlich die Online-Sicherheit.“
Die Akademiker, die Professuren und andere Positionen an Universitäten im ganzen Land innehaben – darunter eine Reihe forschungsintensiver Institutionen der Russell Group wie das King’s College und das Imperial College in London, Oxford, Cambridge, Edinburgh, Sheffield und Manchester, um nur einige zu nennen – Sie sagen, ihr Ziel mit dem Brief sei es, Licht ins Dunkel zu bringen. Er hebt „die alarmierenden Missverständnisse und Missverständnisse über das Online-Sicherheitsrecht und seine Wechselwirkung mit den Datenschutz- und Sicherheitstechnologien hervor, von denen unsere alltäglichen Online-Interaktionen und -Kommunikationen abhängen.“
Ihr Hauptanliegen besteht darin, den Gesetzentwurf zur „routinemäßigen Überwachung“ von Personenreportern voranzutreiben, der angeblich die Verbreitung von CSEA-Inhalten bekämpfen soll. Wissenschaftler argumentieren jedoch, dass ein Hammer-zu-Sprung-Ansatz der Öffentlichkeit und der Gesellschaft insgesamt ernsthaften Schaden zufügen würde, da wichtige Protokolle untergraben würden Sicherheit, auf die wir alle angewiesen sind.
Die routinemäßige Überwachung privater Kommunikation sei „kategorisch unvereinbar mit der Aufrechterhaltung bestehender (und international anerkannter) Internet-Kommunikationsprotokolle, die ähnliche Datenschutzgarantien bieten wie persönliche Gespräche“, behaupten sie und warnen vor „Versuchen, diese Inkonsistenz zu vermeiden“, indem sie zusätzliche Protokolle anwenden. entweder Client-seitige Screening-Technologie oder sogenannte „Niemand-anders“-Verschlüsselungs-Hintertüren – als „sowohl auf technologischer Ebene als auch auf potenziell gesellschaftlicher Ebene zum Scheitern verurteilt“.
Sie betonen, dass „Technologie kein Zauberstab ist“, bevor sie kurz zusammenfassen, warum die beiden möglichen Wege zum Zugriff auf geschützte private Nachrichten nicht mit der Wahrung des Rechts der Menschen auf Privatsphäre und der Sicherheit ihrer Informationen vereinbar sind.
Experten warnen, dass „es keine technische Lösung für den inhärenten Widerspruch gibt, Informationen gegenüber Dritten vertraulich zu behandeln und dieselben Informationen mit Dritten zu teilen“, und fügen hinzu: „Die Geschichte der kryptografischen Hintertüren „Niemand außer uns“ ist eine Geschichte des Scheiterns. Vom Clipper-Chip bis zum DualEC Alle Technologielösungen, die eingeführt werden, haben die Gemeinsamkeit, dass sie einem Dritten Zugriff auf private Sprache, Nachrichten und Bilder unter bestimmten, von diesem Dritten definierten Kriterien gewähren.“
Im Hinblick auf das clientseitige Scannen stellen sie fest, dass die routinemäßige Anwendung dieser Technologie auf die Nachrichten von Mobiltelefonbenutzern in einer demokratischen Gesellschaft unverhältnismäßig ist – es kommt einer standardmäßigen Überwachung gleich – also „immer obligatorischer automatischer Abhörplatzierung in jedem Gerät, um nach verbotenen Inhalten zu suchen“. .” , in den Worten des Briefes.
Außerdem ist die clientseitige Scantechnologie nicht robust genug, um die Anforderungen von Invoice in der Expertenanalyse zu erfüllen.
„Die Idee eines ‚Polizisten in Ihrer Tasche‘ hat das unmittelbare technologische Problem, dass er in der Lage sein muss, gezielte Inhalte genau zu erkennen und zu erkennen und nicht gezielte Inhalte zu erkennen und zu erkennen, selbst wenn eine genaue Einigung darüber vorausgesetzt wird, worauf gezielt werden soll.“ für“, schreiben sie und warnen, dass selbst die clientseitige Scantechnologie zur Erkennung von CSEA bekanntermaßen Genauigkeitsprobleme aufweist.
Sie heben auch aktuelle Forschungsergebnisse hervor, die darauf hinweisen, dass diese Algorithmen umfunktioniert werden können, um versteckte Sekundärfunktionen (wie Gesichtserkennung) hinzuzufügen, und zur verdeckten Überwachung missbraucht werden können.
Wissenschaftler befürchten auch, dass der Gesetzentwurf dazu genutzt werden könnte, Plattformen dazu zu bringen, routinemäßig aufdringlichere KI-Modelle auszuführen, die die Nachrichten von Personen nach bisher ungesehenen, aber verbotenen Inhalten durchsuchen. Eine solche Technologie existiert nicht in einer „zuverlässigen“ Form, warnen sie. Das heißt, wenn der Gesetzentwurf eine solche Implementierung erzwingt, käme es wahrscheinlich zu Schwärmen falsch positiver Ergebnisse, die großen Schaden anrichten würden, da unschuldige Benutzer von Messaging-Apps riskieren, dass ihre privaten Nachrichten online eingesehen werden. Wide Don, und könnte sogar mit der falschen Anschuldigung konfrontiert werden, CSEA zu schauen.
„Dieser Mangel an Zuverlässigkeit kann schwerwiegende Folgen haben, da ein falsch positiver Treffer dazu führt, dass private, intime oder sensible Nachrichten oder Bilder an Dritte weitergegeben werden können, beispielsweise an private Kontrollunternehmen, Strafverfolgungsbehörden und jeden, der Zugriff auf die Überwachungsinfrastruktur hat.“ Das stellt an sich schon eine Ausbeutung und einen Missbrauch derjenigen dar, deren Botschaften offengelegt werden“, warnen die Experten.
Sie stellten außerdem fest, dass „weitreichende“ KI-Modelle für das clientseitige Scannen ein höheres Maß an Flexibilität erforderten, das es ihnen auch einfacher machen würde, sie wiederzuverwenden – „ihren Anwendungsbereich durch Nivellierung oder Änderung von Richtlinien zu erweitern“ – und fügte hinzu erschreckendes Spektrum an Umfang Integrierte CSEA-Scantechnologien, die erweitert werden, um andere Arten von Inhalten und britische Bürger zu entdecken, die standardmäßig einem immer höheren Maß an Überwachung unterliegen, das das Land auferlegt.
Wir haben das Ministerium für Wissenschaft, Innovation und Technologie kontaktiert und um eine Antwort der Regierung auf den offenen Brief gebeten.
Ähnliche Beiträge:
Daily Crunch: Twitter-CEO drückt Bedauern aus, nachdem er seine Plattform genutzt hat, um behinderte Mitarbeiter als „die Schlimmsten“ zu bezeichnen
SVB-Ansteckung: Der britische Zweig wird geschlossen, die Regierung kämpft und Startups machen sich auf das Schlimmste gefasst
In einem historischen Last-Minute-Deal übernimmt HSBC die britische Bank im Silicon Valley und sagt, dass das Geld aller Einleger sicher ist
Das britische Tech-Ökosystem reagiert auf die Nachricht von der Übernahme von SVB UK durch HSBC