RCMP vahvistaa: Lakiehdotus C-22 tähtää salattuihin viesteihin

RCMP vahvistaa: Lakiehdotus C-22 tähtää salattuihin viesteihin

Kanadan liittovaltio on toistuvasti vakuuttanut, ettei sen ehdottama laillisen pääsyn laki C-22 uhkaa salausta. RCMP on nyt suoraan kumonnut tämän väitteen. Parlamentaarisessa valiokuntakuulemisessa Kanadan kansallinen poliisivoima vahvisti, että salattuihin viesteihin pääsy on juuri se syy, miksi lainvalvonta haluaa lain hyväksyttävän. Tämä tunnustus on kärjistänyt jo ennestään kiivasta keskustelua siitä, pyrkiikö Ottawa hiljaisesti salauksen takaporttiin hyväksyttävämmän nimikkeen alla.

Mitä RCMP todella sanoi valiokunnassa ja miksi se on ristiriidassa Ottawan viestien kanssa

RCMP:n lausunto on merkittävä ei siksi, että se yllättäisi yksityisyyden puolestapuhujat, vaan siksi, että se on suora. Lainvalvontaviranomaiset yleensä karttavat valvontalakien kehystämistä salauksen murtamisen näkökulmasta ja suosivat ilmaisuja kuten ”laillinen pääsy” tai ”tekninen apu”. Tässä valiokuntakuulemisessa RCMP kuitenkin vahvisti, että salattuihin viesteihin pääsy on lakiehdotus C-22:n keskeinen tavoite, ei sivuvaikutus tai teoreettinen mahdollisuus.

Tämä kumoaa suoraan Kanadan hallituksen julkisen viestinnän. Viranomaiset olivat esittäneet lain nykyaikaistavan olemassa olevia tutkintatyökaluja, eikä sen olevan hyökkäys niitä salaussuojauksia vastaan, jotka turvaavat pankkisovellukset, viestintäalustat ja yksityiset tiedot miljoonille kanadalaisille. Kun poliisivoima, jota lain on tarkoitus vahvistaa, sanoo avoimesti tavoitteena olevan salatun sisällön saaminen, hallituksen kehystä on hyvin vaikea pitää yllä.

Electronic Frontier Foundation on huomauttanut, että lakiehdotus C-22 seuraa läheisesti viime vuoden lakiehdotusta C-2, toista valvontaan keskittynyttä esitystä, joka sai osakseen merkittävää kritiikkiä. Tämä kaava viittaa jatkuvaan lainsäädännölliseen painostukseen yksittäisen yrityksen sijaan.

Kuinka salauksen takaportit toimivat ja miksi ne heikentävät kaikkien turvallisuutta

Jotta ymmärtäisi, mistä on kyse, on hyvä olla tarkka sen suhteen, mitä takaportti teknisesti tarkoittaa. Päästä-päähän-salaus suojaa viestintää varmistamalla, että vain lähettäjä ja vastaanottaja voivat lukea viestin. Mikään kolmas osapuoli, mukaan lukien palveluntarjoaja tai viranomainen, ei pääse käsiksi sisältöön siirron aikana. Takaportti muuttaa tämän rakentamalla mekanismin, joka sallii tietyn osapuolen (tässä tapauksessa lainvalvonnan) kiertää tuon suojauksen.

Perusongelma on matemaattinen. Takaportti, joka toimii Kanadan poliisille, toimii myös kenelle tahansa muulle, joka löytää tai saa pääsyn tuohon mekanismiin. Ulkomaiset tiedustelupalvelut, rikollisjärjestöt ja haitalliset hakkerit kaikki hyötyvät samasta heikkoudesta. Ei ole olemassa sellaista salauksen takaporttia, joka olisi valikoivasti vain luotettavien toimijoiden käytettävissä. Tietoturvatutkijat ja kryptografit ovat esittäneet tämän näkökannan johdonmukaisesti vuosikymmeniä, eikä yksikään tekninen ehdotus ole onnistuneesti kumonnut sitä.

Apple, joka antoi virallisia kommentteja lakiehdotuksesta C-22, totesi suoraan, että lakiehdotus antaisi Kanadan hallitukselle valtuudet pakottaa yritykset lisäämään takaportteja tuotteisiinsa. Tämä ei ole edunvalvontakieltä; se on tekninen kuvaus siitä, mitä lainsäädäntö vaatisi.

Mitä lakiehdotus C-22 tarkoittaa VPN-käyttäjille ja salatulle viestinnälle Kanadassa

Kanadalaisille, jotka luottavat salattuihin viestisovelluksiin, suojattuun sähköpostiin tai virtuaalisiin yksityisverkkoihin (VPN) suojellakseen viestintäänsä, lakiehdotus C-22 luo todellista epävarmuutta. Jos lakiehdotus hyväksytään nykymuodossaan, Kanadassa toimivat palveluntarjoajat voitaisiin velvoittaa rakentamaan pääsymekanismeja, mikä heikentäisi niitä suojauksia, joita näiden työkalujen pitäisi tarjota.

VPN-käyttäjiin kohdistuu erityinen huoli: Kanadan lainsäädäntövallan ulkopuolella toimiva VPN, jota hallinnoidaan tiukan lokittamattomuuskäytännön mukaisesti, olisi huomattavasti vähemmän altis Kanadan lailliselle pääsyvaatimukselle kuin kotimainen palveluntarjoaja. Jos Kanadan laki kuitenkin lopulta vaatii VPN-palveluntarjoajia ylläpitämään tai tarjoamaan pääsyn käyttäjien viestintään, oikeudellinen maisema muuttuu huomattavasti. Lakiehdotuksen nykyinen ”teknisen avun” muotoilu on niin laaja, että sen käytännön soveltamisala on kiistanalainen.

Salatun viestinnän osalta seuraukset ovat yhtä vakavat. Alustat, jotka eivät teknisesti voi noudattaa takaporttimääräystä suunnittelematta arkkitehtuuriaan uudelleen, voivat joutua paineen alla joko heikentämään salaustaan tai poistumaan Kanadan markkinoilta kokonaan, kuten on tapahtunut muilla lainsäädäntöalueilla, jotka ovat ajaneet vastaavaa lainsäädäntöä.

Kanadan takaporttipyrkimys maailmanlaajuisessa kontekstissa: Five Eyes ja sen yli

Kanada ei harjoita valvontapolitiikkaansa eristyksissä. Five Eyes -tiedusteluyhteisön jäsenenä yhdessä Yhdysvaltojen, Yhdistyneen kuningaskunnan, Australian ja Uuden-Seelannin kanssa Kanada osallistuu yhteiseen signaalitiedustelun viitekehykseen ja yhä enenevässä määrin koordinoitujen kantojen ajamiseen salaukseen pääsystä. Australia hyväksyi oman Assistance and Access -lakinsa vuonna 2018, joka samalla tavalla velvoitti palveluntarjoajia avustamaan lainvalvontaa salattuun sisältöön pääsyssä. Yhdistyneen kuningaskunnan Online Safety Act sisältää vastaavia säännöksiä. Kanadan lakiehdotus C-22 sopii tunnistettavaan kaavaan koko yhteisössä.

Tämä asiayhteys on merkityksellinen kanadalaisille, koska se viittaa siihen, ettei lainsäädännöllinen paine todennäköisesti katoa, vaikka lakiehdotusta C-22 muutettaisiin tai lykättäisiin. Raporttien mukaan Kanada on luvannut muuttaa lakiehdotuksen salaus- ja metatietosäännöksiä saatuaan osakseen merkittävää vastustusta teknologiatoimialalta, mutta kielelliset muutokset eivät välttämättä muuta sitä perimmäistä tavoitetta, jonka RCMP on nyt virallisesti vahvistanut.

Mitä tämä tarkoittaa sinulle

Jos olet kanadalainen henkilö, joka luottaa salattuun viestintään henkilökohtaisen yksityisyyden, ammatillisen luottamuksellisuuden tai yleisen digitaalisen turvallisuuden vuoksi, RCMP:n valiokuntalausunto on merkki, joka kannattaa ottaa vakavasti. Hallituksen vakuuttelut siitä, ettei salausta uhata, ovat nyt avoimessa ristiriidassa sen kanssa, mitä lainsäädäntöä hakeva poliisivoima on ääneen sanonut.

Käytännössä on toimenpiteitä, joihin voit ryhtyä, kun lakiehdotus C-22 etenee parlamentissa. Käyttämäsi VPN-palvelun tietosuojakäytännön ja lokituskäytäntöjen tarkistaminen on järkevä lähtökohta. Palveluntarjoaja, jolla on todennettu lokittamattomuuskäytäntö ja jonka lainkäyttöalue on Kanadan ulkopuolella, tarjoaa merkityksellisen suojaustason kanadalaisia laillisen pääsyn määräyksiä vastaan. Vastaavasti sellaisten viestintäalustojen valitseminen, jotka käyttävät avoimen lähdekoodin ja auditoitua päästä-päähän-salausta ja jotka ovat osoittaneet valmiutta poistua markkinoilta mieluummin kuin vaarantaa arkkitehtuurinsa, antaa vahvempaa suojaa kuin pelkät hallituksen vakuuttelut.

VPN.socialin Canada VPN- ja yksityisyysoppaat tarjoavat hyödyllisen lähtökohdan vaihtoehtojen arviointiin. On yhtä tärkeää pysyä ajan tasalla lakiehdotuksen edetessä valiokunnassa: juuri tällainen ero sen välillä, mitä viranomaiset sanovat julkisesti ja mitä RCMP vahvisti valiokunnassa, ratkaisee, onko lopullinen lainsäädäntö niin vaarallinen kuin kriitikot pelkäävät vai rajoitetumpi laajuudeltaan.