白宫扩展加密政策

2017-09-08 09:05:26

作者:黎菀

希望随处可以访问加密的消息。

政府已经悄悄地起草了一项法案,该法案推动了加密密钥的国内存储,尽管过去经常断言它不会试图控制国内使用加密。

根据在线权利监督 “1997年电子数据安全法案”的3月12日草案,政府希望找到一个法案的赞助商,该法案将为执法机构提供拦截和加密通信和存储数据的能力。

拟议的法案目前正在国会山周围流传。

政府已经对所有出口的加密技术实施了这些规定。 但白宫曾表示,它不会愚弄国内软件 - 例如仅在美国销售的使用非常高级别加密的浏览器。 显然它改变了主意。

该法案将创建一个“密钥管理基础设施”,用于注册第三方机构以存储加密密钥。 政府希望鼓励 - 但不是强迫 - 所有软件公司通过自愿向这些机构注册密钥来与计划合作。 这样,任何执法机构都可以访问加密邮件。

该法案实际上赋予了执法部门在获得法院命令方面的捷径。 该文本写道,政府代理人可以采取“由司法部长指定的形式的书面授权”,而不是法院命令。 没有提到这种书面授权需要什么,评论家发现令人不安的细节。

“我认为这引发了对加密通信访问标准的质疑,”CDT政策分析师Jonah Seiger表示。 “电子邮件通信是一种更丰富的视角,可以更清楚地了解您的工作和身份,更类似于您的起居室而非您的手机。我们不允许秘密搜索人们的起居室。”

美国商务部和副总统办公室的官员今天强调,CDT发布的草案已有两周的历史,并且仍在不断修订中。 然而,商务部副部长比尔·雷因施(Bill Reinsch)上周在国会委员会面前对草案和评论的比较显示没有重大偏差。

该法案的案文写道:“通过该法案参与关键管理基础设施是自愿的。”

今天联系的官员表示,拟议的法案将创建一个可靠的加密系统,通过提高消费者和企业对加密技术的信心,促进电子商务的使用。 批评人士称,政府正在加强武装公司的合作。

“这是胡萝卜加大棒的做法。他们试图迫使所有人进入这个基础设施,”CDT的Seiger说道。

该法案确实有一些牙齿。 政府还授权所谓的“认证机构”,它可以向技术供应商分发数字证书或相当于电子驾驶执照。 这些证书验证发送加密通信的人的身份。

根据至少一个软件行业联系人的说法,如果没有证书的附加安全性,个人和企业就不太可能参与互联网上的电子商务和其他交易。

“在安全利益与行业发展方向之间,没有证书进行公钥交易是不切实际的,”电子商务软件开发商的安全主管Win Treese说。

但在提议的法案中,选择不注册密钥的加密软件制造商不会从政府批准的认证机构获得这些证书。

“没有任何迹象表明你必须拥有公钥证书,”商务部 Sue Hofer表示, 管理当前的加密出口规则。

Seiger不同意:“认证是必要的,以便参与并说出哪些密钥属于谁。需要一个密钥管理基础设施,但不需要私钥或密钥恢复信息存储在那里。这只是另一种方法来确保电子监视。“

与管理导出加密技术的法规不同,新法案的草案没有对用户可能使用的加密强度或类型设置限制。

商务部的Hofer表示,该法案还提供了一种可以让公司存储自己钥匙的替代方案。 但是,该文本仅提及“根据总检察长可接受的规定由[商务部长]批准的其他安排”,允许政府访问实时通信和存储数据。

该法案还详细说明了使用加密技术犯罪的人的民事和刑事处罚,以及对滥用其存储信息的认证机构的处罚。 政府批准的第三方不承担履行政府信息请求的责任。

分享你的声音

标签

精彩推荐