Закон CLARITY та бекдори в шифруванні: що поставлено на карту

Закон CLARITY та бекдори в шифруванні: що поставлено на карту

Аналітики висловлюють занепокоєння щодо того, що може статися з політикою у сфері шифрування в Сполучених Штатах, якщо закон CLARITY не буде прийнято. За їхніми попередженнями, відсутність спеціального криптовалютного законодавства може залишити відкритими двері для регуляторів, які прагнутимуть посилити державний нагляд за зашифрованими комунікаціями, потенційно повертаючись до підходів, яким давно протистоять захисники конфіденційності та дослідники безпеки.

Закон CLARITY ще не провалився і не був прийнятий. Однак невизначеність щодо його долі спонукає до більш уважного вивчення історії спроб уряду отримати доступ до зашифрованих даних і того, що ця історія може підказати про майбутнє.

Що намагається зробити закон CLARITY

Закон CLARITY — це законодавча пропозиція США, спрямована на встановлення чіткіших правил щодо криптовалют і цифрових активів. Його актуальність для політики у сфері шифрування пов'язана з тим, що аналітики описують як прогалину: без законодавства, яке б чітко визначало межі державного нагляду в цій сфері, федеральні агентства можуть вдаватися до ширших правових інструментів — наприклад, законів про національну безпеку або нормативних актів про боротьбу з відмиванням грошей — для обґрунтування вимог щодо доступу до зашифрованих систем.

Така регуляторна неоднозначність історично створювала простір для мандатів, які зобов'язували б технологічні компанії навмисно вбудовувати слабкі місця у свої продукти шифрування. Ці слабкі місця зазвичай називають бекдорами.

Знайомий шаблон: від Clipper Chip до EARN IT

Це занепокоєння не є гіпотетичним. Уряд Сполучених Штатів вже робив подібні спроби раніше, і аналітики посилаються на ці прецеденти як на контекст для розуміння поточної ситуації.

На початку 1990-х років Агентство національної безпеки запропонувало Clipper Chip — апаратний пристрій шифрування, який надав би уряду копію криптографічного ключа, що використовується для захисту комунікацій. Пропозиція зустріла шалений опір з боку організацій із захисту громадянських свобод і технологічної спільноти та зрештою була відхилена.

Десятиліттями пізніше Закон EARN IT відновив подібні дискусії. Критики стверджували, що це законодавство, внесене у 2020 році та повторно внесене в наступні роки, створює умови відповідальності, які фактично змушують платформи відмовлятися від наскрізного шифрування або наражатися на юридичні ризики. Прихильники законопроєкту позиціонували його як захист дітей; опоненти попереджали, що він підірве шифрування для всіх.

У цих епізодах є спільна нитка: зацікавленість уряду в доступі до зашифрованих комунікацій не зникає — вона знову з'являється під різними обґрунтуваннями та через різні законодавчі інструменти.

Чому бекдори послаблюють безпеку для всіх

Технічний аргумент проти бекдорів у шифруванні є зрозумілим, і криптографи та експерти з безпеки висловлюють його послідовно вже десятиліттями. Бекдор — це вразливість. Він не залишається доступним лише для тієї сторони, яка його запросила. Щойно слабке місце вбудовується в систему шифрування, його потенційно може виявити та використати будь-хто, включно з іноземними урядами, злочинними організаціями або хакерами.

Це не теоретичний ризик. Дослідники безпеки задокументували випадки, коли вразливості, введені з однією метою, згодом використовувалися у спосіб, що завдавав шкоди саме тим людям, яких первісний захід мав захищати.

Для користувачів інструментів конфіденційності, зокрема VPN, наслідки є суттєвими. VPN-сервіси покладаються на надійні протоколи шифрування для захисту даних під час передачі. Якщо стандарти шифрування будуть послаблені на фундаментальному рівні через державні мандати, захисна цінність цих інструментів знизиться незалежно від того, що робитиме окремий провайдер.

Що це означає для вас

Якщо ви користуєтеся зашифрованими месенджерами, VPN або будь-яким сервісом, що покладається на наскрізне шифрування для захисту ваших даних, результат таких дискусій безпосередньо впливає на те, наскільки добре ці інструменти можуть вас захищати.

Наразі Закон CLARITY є одним із можливих шляхів до чіткіших правил, які могли б обмежити регуляторні зловживання в цій сфері. Чи буде він прийнятий, загальмований або суттєво змінений — покаже час. Однак аналітики, цитовані в матеріалах з цього питання, висувають конкретний аргумент: законодавча визначеність, як правило, знижує ризик того, що агентства заповнять вакуум більш агресивними регуляторними інтерпретаціями.

Ось кілька способів залишатися поінформованими та залученими до цього питання:

• Стежте за прогресом Закону CLARITY за допомогою офіційних інструментів відстеження законодавства, таких як Congress.gov, де ви можете моніторити його статус і ознайомитися з повним текстом.
• Розберіться, як працює шифрування, щоб краще оцінювати заяви як прихильників, так і опонентів пропозицій щодо бекдорів. Наш посібник із принципів роботи протоколів шифрування VPN стане корисною відправною точкою.
• Зверніться до своїх представників, якщо це питання для вас важливе. На законодавчі результати частково впливає зворотний зв'язок від виборців, а політика у сфері шифрування стосується широкого кола користувачів за межами технологічного сектору.
• Читайте першоджерела. Коли згадується таке законодавство, як Закон EARN IT, або такі пропозиції, як Clipper Chip, ознайомтеся з тим, що насправді говорили критики та прихильники, а не покладайтеся на стислі виклади.

Дискусія навколо бекдорів у шифруванні триває вже давно, і навряд чи вона буде вирішена якимось одним законодавчим актом. Розуміння того, як виникають ці зусилля, які аргументи використовуються для їх обґрунтування та якими були б технічні наслідки, — це найнадійніший спосіб оцінити, що буде далі. Незалежно від того, чи просуватиметься Закон CLARITY, глибинна напруга між державним доступом і конфіденційністю користувачів продовжуватиме формувати цифрову політику ще багато років.