Технологія спостереження: чи може криптографія допомогти відмовитися від антиутопії спостереження держави?

Ми дуже мало знаємо про те, скільки приватних даних було передано правоохоронним органам технологічними компаніями, такими як Google і Facebook, і це частково за допомогою дизайну. Врешті-решт, деякі кримінальні справи розпадуться, якби ми знали надто багато про те, як працює їхній обмін даними та могли б грати систему.

Але наскільки мало ми дійсно знаємо? Google отримав 27 850 запитів щодо даних, що стосуються 57 392 облікових записів їх користувачів у 2016 році. У тому ж році корпорація Майкрософт отримала 9 907 запитів, направлених на 24 288 облікових записів. Ці цифри є тривожними, але вони також становлять майже все, що громадськість знає про те, як уряд США в даний час розгортає свої повноваження запитувати дані відповідно до Закону про захист електронних комунікацій (ECPA). Насправді, це не навіть урядові цифри; вони надходять безпосередньо з Google і власних добровільних звітів про прозорість Microsoft.

"Це цілком доцільно, щоб урядові чиновники хотіли отримати певний рівень секретності, щоб вони могли виконувати свої обов'язки, не побоюючись втручання з боку тих, хто перебуває під слідством", - сказав Джонатан Франкл, дослідник лабораторії MIT's Computer Science and Artificial Intelligence (CSAIL). у заяві. "Але таємність не може бути постійною … Люди мають право знати, чи доступні їхні особисті дані, і на більш високому рівні, ми, як громадськість, маємо право знати, скільки спостереження відбувається".

Frankle та інші учасники CSAIL сподіваються знайти робоче рішення цієї проблеми, побудований навколо тих же криптографічних ключів і бухгалтерських книг, які використовуються для аутентифікації зашифрованих повідомлень електронної пошти та транзакцій Bitcoin. Система, яку вони розробили, називається AUDIT (для "Підзвітності невиданих даних для поліпшення прозорості"), буде представлена ​​на конференції USENIX Security в Балтіморі наступного тижня.

Ось як це працює: коли суддя видає таємне постанову суду, або деякі поліцейські слідчі запитують дані про технічну компанію, ця дія поєднується з низкою загальнодоступних криптографічних повідомлень, подібно до публічних ключів PGP, які дозволяють користувачам надсилати зашифровані повідомлення електронні листи один одному. Це «криптографічне зобов'язання» математично прив'язане до судових дій, а пізніше - до даних, наданих технологічними компаніями до державного органу. Результатом є те, що, зрештою, коли ці секретні записи суду будуть оприлюднені, їх можна перевірити за криптографічною книгою, щоб підтвердити, що ці таємні заходи Департаменту юстиції знаходяться на борту, а задіяні чиновники роблять те, що вони сказали.

AUDIT має ще одну велику користь. Постійне завантаження заходів у громадську книгу криптографічних зобов'язань дозволить групам-спостерігачам вивести політично важливу статистичну інформацію з судової системи про те, як судова система та правоохоронні органи використовують приватні дані користувача. Наприклад, які судді видають найбільшу кількість замовлень за програмою ECPA? Які види кримінальних розслідувань викликають більшість цих судових наказів і з яких компаній?

Надія, як пояснив Франклі Новини MIT має на меті створити достовірні звіти про прозорість судової системи США, які можна порівняти з власними технологіями, не порушуючи важливі кримінальні справи, що тривають.

Стівен Вільям Сміт, суддя федерального магістрату Південного округу Техасу, який написав про реєстр ECPA Гарвардське право та політика, поділяє очікування Франкла щодо того, що може зробити AUDIT.

"Я сподіваюся, що як тільки цей доказ концепції стане реальністю, адміністратори суду приймуть можливість посилення громадського контролю при збереженні необхідної секретності", - сказав Сміт у своїй заяві. "Уроки, отримані тут, безсумнівно, згладять шлях до більшої відповідальності за більш широкий клас процесів секретної інформації, які є відмінною рисою нашого цифрового віку".