När FBI försökte tvinga Apple till att bygga in en bakdörr i iOS så var Apples inställning – ”det enda säkra sättet att se till att det inte finns bakdörrar i ett operativsystem är att aldrig bygga in en”. Nu vill Storbritannien gör ändringar i the Investigatory Powers Act 2016, IPA, vilka i praktiken kommer att tvinga Apple och andra att bygga in bakdörrar i sina operativsystem och sina krypterings-lösningar.
Det finns inget lagligt krav på bakdörrar specifikt men kravet att Apple ska kunna plocka fram okrypterad information, ifall myndigheterna begär det, kommer att få sådana konsekvenser. Ska Apple kunna lämna ut okrypterad information, som krypterats med ”end-to-end” kryptering (exempelvis) så tvingas Apple att bygga in en bakdörr – precis det som alla säkerhetsexperter och krypteringsexperter varnar för. Finns det en bakdörr så kommer den förr eller senare att missbrukas eller ännu värre, läcka ut.
De föreslagna ändringarna innebär också att Apple inte får berätta eller meddela att en sådan funktion finns. Apple och andra leverantörer tvingas till tystnad.
End-to-End
Den kryptering som berörs här är kryptering där informationen krypteras och skyddas på den sändande enheten, en iPhone för att ta ett exempel. Informationen kan inte dekrypteras, göras läslig igen förrän på den mottagande enheten – vilket är hela poängen med end-to-end. Informationen ska inte gå att läsa medan den skickas och inte ens tillverkaren och utvecklaren av lösningen ska kunna återställa informationen i klartext. Detsamma gäller information som skickas för att lagras, i Apple iCloud eller någon annan molntjänst. Informationen skyddas med kryptering, skickas iväg för lagring och kan då inte läsas av den som tillhandahållet lagringen. Informationen kan bara fås tillbaka i läsbart skick, i klartext, med den enhet som skickade informationen.
Det gör att lagändringarna i praktiken ställer krav på att en bakdörr måste läggas in i iOS, iPadOS och macOS.
Apples svar
Apple påtalar det faktum att lagändringen, som genomförs i tron att tillvaron ska bli säkrare, mycket väl kan få rakt motsatt effekt – landets egna medborgare kan utsättas för ökade risker:
”De nya befogenheter som Home Office söker – utökade befogenheter för att reglera utländska företag och möjligheten att förhandsgranska och blockera innovativ säkerhetsteknik – kan dramatiskt störa den globala marknaden för säkerhetsteknik, vilket gör att användare i Storbritannien och runt om i världen utsätts för större risker.”
Apple invänder även mot kravet att de företag som kan komma att omfattas av lagen inte ska tillåtas att berätta att funktionen finns:
”Genom att kräva att teknikföretag utanför Storbritannien upprätthåller förmågan att producera okrypterad data för alla sina användare över hela världen – utan att meddela sina användare om den förmågan – skulle IPA inkludera en världsomspännande gag-order.”
”Det är djupt problematiskt, särskilt med tanke på att rättssystemen i de flesta nationer behandlar yttrandefrihet som en grundläggande individuell rättighet.”
iMessage och FaceTime
I en intervju med brittiska BBC så meddelar Apple att om lagen blir verklighet och om ändringarna genomförs så kommer Apple att dra tillbaka iMessage och FaceTime från Storbritannien. I klartext betyder det att iPhone, iPad och Mac-datorer som säljs på den brittiska marknaden kommer att sakna dessa funktioner.
Räkna med att andra leverantörer av meddelandetjänster kommer att följa efter vilket kan resultera i att brittiska användare då måste ladda ned iMessage och FaceTime utanför Storbritannien – vilket i princip innebär att tjänster som inte förses med en bakdörr sannolikt är olagliga i Storbritannien. Det betyder att WhatsApp, Signal och en lång rad andra tjänster antingen måste bygga in en bakdörr i sina system, eller dra tillbaka appar, program och tjänster från Storbritannien. Signal har redan deklarerat att de lämnar Storbritannien om lagen blir verklighet.
Brittiska medborgare kommer alltså inte att kunna skicka meddelanden längre på ett säkert sätt.
Självklarheter
Apple har även påtalat invändningar som kan te sig som självklarheter:
- Apple kommer inte att göra ändringar i säkerhetsfunktioner specifikt för ett land, som skulle försvaga en produkt för alla användare.
- Vissa ändringar skulle kräva att det skickas ut en uppdatering av mjukvaran och det är omöjligt att göra det i hemlighet.
- Förslagen ”utgör ett allvarligt och direkt hot mot datasäkerhet och informationsintegritet” som skulle påverka människor utanför Storbritannien
Storbritanniens och EUs försök att övervaka sina egna medborgare kan visa sig bli lika verkningslösa som USAs försök att blockera användandet av långa och avancerade krypteringsnycklar på 1990-talet. De som ville kryptera sin information laddade ned längre och bättre nycklar oavsett vad de amerikanska myndigheterna tyckte om saken.
Ladda ned
Lagändringarna, de föreslagna, i IPA, kan resultera i att enheter i Storbritannien säljs utan en rad meddelande-tjänster – som sedan kan laddas ned från platser utanför landet. Frågan är då hur de brittiska myndigheterna ska agera?
Tänker brittiska myndigheter börja att kontrollera innehållet i miljoner medborgares telefoner och beslagta enheter som innehåller iMessage, FaceTime och Signal så lär brittisk polis ha att göra. Det lär också bli svårt, för att inte säga närmast omöjligt för brittiska operatörer att försöka att stoppa trafik till och från de webbplatser som tillhandahåller lösningar och funktioner utan bakdörrar.
Storbritannien har ju som bekant försökt filtrera trafiken på nätet med ett porrfilter som alla operatörer skulle tvingas att ansluta sig till. Miljoner med pund plöjdes ned i projektet som försenades flera gånger. Porrfiltret skulle enligt planerna ha varit på plats i april 2018 men då det visat sig vara ineffektivt, lätt att runda så sköts lanseringen framåt tills porrfiltret skrotades i oktober 2019.
Källor
0 kommentarer