3/07/2020

EARN IT法は暗号化に対する攻撃である

Slashdotより

木曜日の超党派の米国上院議員は、EARN IT法として知られる長く噂されていた法律を提出した。この法案は、オンラインでの児童の性的搾取と戦うことを意図しているが、可決された場合、現在あるような暗号化を打撃を与える可能性がある。ジョンズ・ホプキンス大学の暗号作成者および教授であるマシュー・グリーンは次のように書いている

司法省は、テクノロジー企業がエンドツーエンドの暗号化の使用を停止する必要があることを一般の人々に納得させるという任務で大部分失敗しているため、別の方法を試みることにした。DoJと議会の支持者は、深刻な犯罪状況と令状でのみテクノロジー企業にメッセージへのアクセスを提供することを要求する代わりに、児童ポルノ(児童性的虐待資料、またはCSAM)の配布に関する懸念を活用することを決定した。[...]エンドツーエンドの暗号化システムにより、CSAMスキャンがより困難になる。これは、写真スキャンシステムが本質的に大量監視の一種であり——正当な理由のために展開されたもの——、エンドツーエンド暗号化が大量監視を防ぐように明示的に設計されているためだ。従って、暗号化を許可しながら写真をスキャンすることは根本的に難しい問題であり、プロバイダーが解決方法をまだ知らない問題である。

このすべてにより、私たちにEARN ITをもたらす。リンゼー・グラムの司法委員会の新しい法案は、プロバイダーにスキャン中の暗号化の問題を解決するか、暗号化の使用を完全に停止することを強制するよう策定されている。そして、問題を解決する方法がまだ分からないことを考えると、そのための技術は基本的にR&Dの研究段階にあるため、「暗号化の使用をやめる」ことが実際には望ましい目標である可能性がある。EARN ITは、プロバイダーがFacebookなどのプラットフォームで行っていることに対してプロバイダーが責任を負わないようにすることで、プロバイダーがインターネット上で操作できるようにするセクション230と呼ばれる種類の責任を取り消すことによって機能する。新しい法案は、WhatsAppやAppleなどのプロバイダーがCSAMのためのシステムをスキャンするための「ベストプラクティス」を実行しない限り、サービスを運営することを財政的に不可能にする。既存の「ベストプラクティス」は存在せず、プライバシーを保護しながらこれを行うための手法は完全に不明であるため、法案はテクノロジープロバイダーが使用する必要のあるテクノロジーをプロバイダーに通知する政府指定の委員会を作る。委員会の特性は入り組んでおり、法案自体に記載されている。言うまでもなく、データセキュリティエキスパートがほぼゼロの委員会の構成により、エンドツーエンドの暗号化はほぼ確実にベストプラクティスと見なされなくなる。

Schneier on Security