Компанія Apple пригрозила покинути ринок Великої Британії. У заяві виробника iPhone ідеться, що її сервіси FaceTime та iMessage не будуть доступні жителям країни в разі, якщо там ухвалять низку змін до законодавства.
Занепокоєння Apple стосується закону про повноваження щодо проведення слідчих дій (Investigatory Powers Act — IPA). Його ухвалили ще 2016 року, але поправки, які зараз обговорюють, надають МВС право доступу до зашифрованого вмісту користувачів пристроїв і мобільних додатків.
Ці зміни також передбачають, що мобільні оператори (чи розробники пристроїв) будуть зобов’язані повідомляти міністрові внутрішніх справ про зміни в роботі сервісів, які можуть мати «негативний вплив на слідчі повноваження». Інакше кажучи, цей крок фактично надає міністру внутрішніх справ контроль над оновленнями безпеки й роботою функцій обміну повідомленнями, зокрема зашифрованими. Компанії повинні будуть забезпечити виконання роботи слідчих, гарантувавши їм доступ до зашифрованих повідомлень. Причому ці вимоги стосуватимуться не лише Великої Британії, а й усього світу. Особливо вони вплинуть на глобальних гравців ринку, таких, як Apple, адже компанія не може створювати спеціальних версій своїх інструментів лише для британського ринку. Тож слідування новим британським законам означає, що Apple буде вимушена поставити під загрозу всіх користувачів її додатків і сервісів в усьому світі.
Усі ці вимоги означають, що продукти, які використовують шифрування, наприклад FaceTime та iMessage, можуть остаточно опинитися під загрозою у Великій Британії. В Apple додали, що ніколи не вбудовуватимуть бекдор (це вбудований дефект роботи програми чи онлайн-сервісу, який дає доступ до додаткових можливостей, у цьому контексті — до читання зашифрованого вмісту) для використання урядом у свої продукти. Замість цього компанія готова позбавити жителів країни доступу до її продуктів, які використовують шифрування.
Читайте також: Die Welt: Тотальне стеження
Наскрізне шифрування є базовою технологією захисту вмісту користувачів. Це основа конфіденційності. Завдяки його підтримці тільки відправник та одержувач можуть бачити вміст листування. Ця технологія шифрує повідомлення чи файли на гаджеті відправника, роблячи їх недоступними для стороннього втручання, а після отримання вмісту на пристроях отримувача розшифровує його. Зашифровані повідомлення не зберігаються на серверах компанії, тож прочитати їх неможливо. Побачити такі повідомлення можна, лише маючи ключі шифрування або заклавши бекдор.
В Apple підкреслюють, що нові зміни до британського закону IPA «змусять таку компанію, як Apple, що ніколи не створить бекдор, публічно вилучити захищені інструменти з ринку Великої Британії, позбавивши користувачів Великої Британії цих засобів захисту», — сказано в заяві компанії.
Наскрізне шифрування використовують й інші месенджери, серед яких Signal і WhatsApp. Оскільки цими інструментами захищеної комунікації користуються зловмисники й терористи, у світі давно обговорюють регулювання цих технологій, а почасти навіть повну заборону.
Британський наступ на шифрування
Це не єдиний британський суперечливий законопроєкт, який ставить під загрозу захищену комунікацію в країні. Уже кілька місяців у Великій Британії обговорюють законопроєкт про безпеку в інтернеті — Online Safety Bill. Його мета — зробити британський сегмент інтернету «найбезпечнішим місцем у світі для роботи в інтернеті», особливо для дітей. Автори законопроєкту ставлять перед собою вельми амбітне завдання: мінімізувати саму можливість дітей зустрітися зі шкідливим вмістом чи іншими негативними проявами онлайну — булінгом, інформацією про самогубство, самоушкодження й розлади харчової поведінки.
У законопроєкті є багато вимог до платформ і сайтів, які працюють у країні. Вони мають забезпечити змогу фільтрувати вміст, перевіряти вік (ця вимога стосується сайтів із вмістом для дорослих), підтверджувати особу користувачів як шлях боротьби з анонімними тролями, криміналізувати надсилання небажаних повідомлень з оголеними світлинами.
Усі ці вимоги звучать благородно, і навряд чи хтось посперечається з тим, що вони корисні, а їхнє дотримання дасть змогу створити дійсно безпечне онлайн-середовище. Це було б так, якби не складність реалізування цих вимог — як загалом, так і для інструментів захищеної комунікації зокрема.
Читайте також: Телеграма з Луб’янки. Чому зв’язок Telegram з російською владою – не конспірологічний міф
Законопроєкт вимагає, щоб власники платформ не допускали самої можливості обмінюватися забороненим вмістом. Щоб заблокувати змогу надсилати такі повідомлення, компанія — власник платформи повинна спочатку їх переглянути, проаналізувати й тоді вже застосувати обмеження. Натомість інструменти захищеної комунікації (ті, які використовують наскрізне шифрування) не дозволяють переглядати вміст повідомлень нікому, зокрема власникам платформ. Інакше кажучи, ні Apple, яка висловила готовність піти з британського ринку, ні інші сервіси (Signal, WhatsApp) не можуть бачити, що саме надсилають люди в повідомленнях. Відповідно, якщо вони не можуть цього бачити, то й не можуть блокувати заборонений вміст. Натомість британські законопроєкти вимагають від платформ можливостей доступу до вмісту, щоб надалі блокувати його.
Проти не лише Apple
Свою готовність покинути британський ринок висловили не тільки в Apple. Керівник проєкту WhatsApp Вілл Каткарт написав відкритий лист, що підписали керівники шести інших програм для обміну повідомленнями, серед яких Signal. «Якщо [цей законопроєкт] буде реалізовано, то британська влада вимагатиме від нас реалізувати проактивне сканування приватних повідомлень, зокрема в сервісах із підтримкою наскрізного шифрування, зводячи нанівець саму мету цього захисту й ставлячи під загрозу конфіденційність усіх користувачів», — ідеться в листі. «Коротко кажучи, законопроєкт створює безпрецедентну загрозу конфіденційності, безпеці кожного громадянина Великої Британії та людей, з якими вони спілкуються».
Експерти з кібербезпеки сходяться на думці, що єдиний спосіб стежити за випадками сексуального насильства, залишаючи повідомлення зашифрованими під час передавання, — це використовувати сканування на стороні клієнта. Схожий підхід намагалася запровадити компанія Apple ще 2021 року під час завантаження зображень в iCloud. Але наступного року компанія відмовилася від цих планів через широку критику з боку захисників конфіденційності. Цей підхід передбачав, що інструменти Apple скануватимуть усі фотографії на гаджетах власників iOS-пристроїв, аналізуватимуть їх і визначатимуть заборонені, які, наприклад, містять дитячі світлини інтимного характеру (Child Sexual Abuse Material, CSAM).
Проти таких підходів виступають і правозахисні організації, зокрема експерти Internet Society. Організація Electronic Frontier Foundation, що захищає цифрові права, назвала законопроєкт «схемою репресій у всьому світі».
Дослідники безпеки теж засуджують британський підхід
Понад 60 експертів зі сфери цифрової безпеки висловили занепокоєння щодо нового британського законопроєкту про онлайн-безпеку — Online Safety Bill. Проблема в тому, що він завадить існуванню й розвитку систем наскрізного шифрування.
У відкритому листі 68 британських дослідників безпеки й конфіденційності попередили: «Ми хочемо підкреслити, що безпека, яку гарантують технології наскрізного шифрування, зараз перебуває під загрозою відповідно до нового законопроєкту. Британський законопроєкт підриває гарантії конфіденційності й безпеку в інтернеті».
Головна претензія експертів у тому, що законопроєкт передбачає «звичайний моніторинг» комунікацій людей, нібито для того, щоб боротися з поширенням вмісту про сексуальне насильство й експлуатацію дітей.
Моніторинг приватних комунікацій «несумісний із підтримкою сучасних протоколів онлайн-зв’язку, які пропонують гарантії конфіденційності, подібні до особистих розмов». Спроби обійти цю суперечність застосуванням додаткових технологій — або сканування на стороні клієнта, або так званих бекдорів — «приречені на провал на технологічному й, імовірно, соціальному рівні», пояснюють експерти й додають, що ці інструменти не можуть бути сумісними з дотриманням права людей на конфіденційність і безпеку їхньої інформації.
Читайте також: Небезпечний ChatGPT. Чому багато компаній забороняють використовувати популярний чатбот
Стосовно сканування на стороні клієнта вони зазначають, що регулярне застосування такої технології до повідомлень мобільних користувачів рівнозначне стеженню за замовчуванням, адже воно передбачає «розміщення обов’язкового постійного засобу автоматичного прослуховування на кожному пристрої для сканування забороненого вмісту». Не варто також забувати, що технологія сканування на стороні клієнта не є достатньо надійною: «Ця ідея “поліціянта у вашій кишені” має безпосередню технологічну проблему: він повинен мати можливість точно виявляти проблемний вміст і не виявляти або не розкривати нецільового вмісту».
Глобальні тенденції
Проблема в тому, що не лише у Великій Британії хочуть обмежити громадян у їхньому бажанні використовувати захищену комунікацію.
У ЄС політики обмірковують план, який вимагатиме від будь-якого постачальника зашифрованих послуг перевіряти повідомлення, відео й фотографії на своїх платформах на ознаки сексуального насильства над дітьми та повідомляти про підозрілі предмети поліції.
Законодавці США нещодавно розглянули декілька законопроєктів про безпеку дітей зі схожими положеннями, зокрема Закон EARN It і Закон про припинення сексуального насильства над дітьми.
Ця глобальна тенденція урядів різних країн світу намагатися знищити шифрування — технологію, яка забезпечує приватне спілкування користувачів, — нівелює саме існування приватної цифрової комунікації.
Читайте також: Приватності немає: ізраїльська компанія крала дані зі смартфонів журналістів по всьому світу
Постачальники послуг шифрування стверджують, що ідея урядів створити бекдор лише для правоохоронних органів технічно неможлива. Цим бекдором також можуть скористатися кіберзлочинці, терористи й авторитарні режими, щоб стежити за приватними розмовами користувачів.
Пропозиція забезпечити правоохоронців інструментами стеження знищує саму індустрію захищеного спілкування. Від того, яка сторона переможе в цій боротьбі — законодавці, які хочуть все контролювати, чи компанії-розробники засобів шифрування й захисники цифрових прав, — залежить, чи буде за кілька років можливість захищено спілкуватися.