もしオーストラリア政府が暗号化関連法案の成立が順調に進むことを期待していたとしたら、おそらく失望することだろう。公開草案は政治的な嵐を巻き起こしただけでなく、技術者たちの反応も慎重なものから鋭く批判的なものまで様々だ。
政治面では、オーストラリア緑の党が提案された法律に最も強く反対した。同党のデジタル権利担当スポークスマン、ジョーダン・スティール=ジョン氏は、法執行機関がユーザーのデバイスへのマルウェアのインストールを要求する可能性を危険視した。
「テイラー大臣の主張にかかわらず、受信側デバイスで暗号化されていないデータを取得するソフトウェアをインストールしたり、その他の手段を法制化することは、エンドツーエンド暗号化の原則そのものを損なうものだ」とスティール=ジョン氏は声明で述べた。
同氏はまた、この法律の「犯罪予防」の側面を批判し、「最終的には無罪推定とオーストラリア国民全員のオンライン上のプライバシーを損なうことになる」と述べた。
労働党のサイバーセキュリティ担当報道官、ガイ・ブロットマン氏はより慎重ながらも、広範な協議を求めました。しかしながら、オーストラリア労働党は政府の国家安全保障対策を概ね支持しています。
インタビューを受けた技術者たちは、概してこの法律について懸念を抱いている。
ニューサウスウェールズ大学キャンベラ・サイバープログラムのディレクター、ナイジェル・フェア氏は、この法律は「オンラインの問題を法律で解決することはできない…『今すぐ逮捕』ボタンを法律で定めることはできない」という昔からの原則を示していると述べた。
「全体的に見て、私は法整備の必要性に賛成です」とフェア氏は述べた(この意見はザ・レジスター紙が話を聞いた多くの人々に共通していた)が、今回の施行はあまりにも漠然としていて範囲が広すぎて役に立たないと感じた。
フェア氏は、政府が業界とより良く連携することを望んでいると述べた。「これは法律制定や1000万ドルの罰金ではなく、合法的な傍受ができるように企業と協力し、次の製品群を開発することです。」
オーストラリアは暗号解読の方法を世界に示す寸前
続きを読む
フェア氏は、法案の起草には問題があり、特に政府が「システムの脆弱性」という表現を使用している点が問題だと述べ、これを定量化するのは難しいと考えている。
メルボルン大学のヴァネッサ・ティーグ博士は、政府が説明覚書でこの法律を説明している内容と現実の間には乖離があると述べた。
「説明覚書に記載されている確固たる保証や安心感を与える保護のほとんどは、実際には法案には記載されていないか、弱められたり、曖昧になったり、限定された形でしか記載されていない」と彼女はVulture Southへのメールで述べた。
政府は、この法案では暗号化バックドアは必須ではないと繰り返し主張している。しかし、ティーグ氏は「しかしながら、この区別は法案には反映されていない」と述べた。
ティーグ氏はまた、この法案が技術的能力と呼ぶものに関して曖昧であると指摘した(おそらく英国の捜査権限法から借用したものと思われる)。「サービスプロバイダーが鍵を持っているが、現在、暗号を解読して法執行機関に提供するプログラムを持っていない場合、そのサービスプロバイダーには、暗号解読が可能であるという意味での『能力』があるが、暗号解読を行うためのプログラムをすでに持っているという意味での『能力』はない。」
彼女はまた、「バックドアなし」というレトリックと、プロバイダーが製品やサービスにシステム的な脆弱性を組み込むことを要求されないとしている草案との間のギャップにも注目した。
「システムの一部を個別に対象とした再設計によって他のユーザーのリスクが高まる場合、企業にはその再設計を行う義務があるのでしょうか? 例えば、サンバーナーディーノ事件において、AppleはiPhoneのPINベースのデバイスセキュリティを弱体化させる義務があったのでしょうか? それとも、この条項に基づいて、それが「認証や暗号化のシステム的な方法の有効性を低下させる」と主張できたのでしょうか?」
「これはずっと重要な疑問だったが、いまだに解明されていないように私には思える」と彼女は書いた。
彼女は、説明覚書では「いかなる支援も機密情報に基づいて提供される」こと、そして商業上の秘密が保護されることを保証するとされているこの法律の秘密保持条項も、この法律の影響についての公開討論の妨げになるだろうと付け加えた。
「秘密保持条項(317ZF)は、AppleとFBIの間で行われたような公開討論をオーストラリアで違法とするのでしょうか?」と彼女は問いかけた。「『についての』情報と、通知や要請に基づいて『得られた』情報は全く異なります。」
「要請に関する情報を開示することは、内部告発、政府の説明責任、あるいは要請の妥当性についての議論において重要な部分となり得る」と彼女は語った。
はい、バージニアさん、バックドアはあります。ただ、暗号化部分にはないんです。他の部分にも存在します
オーストラリアインターネット協会(ISOC-AU)の会長ポール・ブルックス氏もこの法案を厳しく批判した。
ブルックス氏はレジスター紙に対し、まず第一に、法案の要求に従っているかどうかを誰も知る方法がなく、法執行機関からの通知の合法性を評価する方法もほとんどないと語った。
「この法律は、サービスプロバイダーに何を要求できるか、あるいは要求する可能性があるかという点において非常に曖昧であり、サービスプロバイダーが準拠しているのか、あるいは何かをする必要があるのかを知るすべがない」と彼は述べた。
彼はまた、政府の都合よく限定された「バックドア」の定義が現実に反していることを強調した。確かに法案は暗号を弱める手段を明確に禁止しているが、侵害されたデバイスの実際の影響は、その効果においてバックドアと区別がつかない。
説明覚書には「多くの良い記述」があるものの、「この法律は、暗号化アルゴリズムではなく、デバイスにバックドアを仕込むことを完全に許可している」と彼は述べた。
「デバイスに備わったバックドアは、結局はバックドアのままだ」とブルックス氏は言う。
バックドアがバックドアでないのはいつ?オーストラリア政府がそうではないと宣言したとき
続きを読む
この法律は、合法的な傍受の理解を大きく前進させるものでもあります。かつては法執行機関と協力する通信業界の領域であった暗号化法は、家庭内のあらゆるデバイスにまで及ぶのです。
この法案はシリコンからウェブサイトにまで及んでおり、オーストラリアをオンラインの目的地として魅力のないものにしてしまう可能性が高いと同氏は述べた。
「この法律により、当局は携帯電話、ブロードバンドモデム、プリンター、スマートテレビ、音声アシスタントといったデバイスの製造業者やサプライヤーに対し、ソフトウェアの動作方法の変更を要求できるようになる」とブルックス氏は述べた。
「これは、通信途中で暗号化された可能性のあるメッセージの内容にアクセスする以上のものです。家庭内のデバイスを破壊し、マルウェアをインストールする能力です。」
彼は、法執行機関がウェブサイトに対し、一部のユーザーに対してHTTPSを「静かに」無効化するよう要請する可能性を指摘した。Facebookのような組織は、要請に従うよりもオーストラリア人をブロックする方がよいと判断するかもしれない。
こうした組織にとってのリスクは、従った場合、コードが漏洩し、「意図していたよりも多くのユーザーグループ」が危険にさらされる可能性があることだ。
また逆に、オーストラリアでホストされているサイトが信頼できるか安全であるかを保証できないため、海外の顧客がオーストラリアのサービスから離れてしまう可能性もあると彼は述べた。
ISOC-AU は、8 月 20 日にキャンベラで暗号化イベントを開催し、専門家の話を聴く機会を設けます。
インターネットインフラも危険にさらされている
インターネットアーキテクチャ委員会のメンバーであり、Fastly の CTO オフィスのメンバーでもあるマーク・ノッティンガム氏は、 The Registerに個人的に話し、説明覚書と法律で可能になることとの間のギャップについて同様に懸念している。
しかし、良い面もある。「彼らが行ってきた仕事の量は包括的であり、これまで見てきたような大ざっぱなものではない」と彼は語った。
しかし、この法律があらゆるものを網羅する範囲が懸念される。「この法律は、多数の人々、アプリ、ウェブサイト、プラットフォームに影響を与える大規模なアクセス権限を有しており、DNSやPKI(ドメインネームシステムと公開鍵基盤 - El Reg)のようなインフラにさえ影響を及ぼします。 」
法執行機関がソースコードの開示を要求できるという点も問題だ。確かに「ファーウェイやマイクロソフトに脆弱性の開示を求める」ことはできるが、一体誰が従うというのだろうか?
オーストラリアは監督体制に関して一定の評価を得ているが、この法案が成功するには非常に強力な監督体制が必要だとノッティンガム氏は述べた。
また、技術的能力の通知を正当化するものを誰が決定するのか、またその決定が技術の理解に基づいているのかどうかも不明です。
「実現可能性や技術的能力を判断する意思決定者は誰なのか、そしてその人がその決定を下すのに適任なのか」とノッティンガム氏は質問した。
同氏は、受信者が遵守できない技術能力通知を政府機関が発行し、企業と個人の両方を危険にさらす可能性は十分にあると述べた。
「技術的能力に関する通知に対して、どのように異議を申し立てるのですか?」と彼は尋ねた。「これが法律化されれば、当該者が[従う]能力があるかどうかに関わらず、その要求は合法となります。」
受信者は、それが合法か実行可能か分からないまま通知を受け取り、誰にも相談できず助けを求めることができない状況に陥る可能性があります。「オーストラリアがそのような国になりたいと思っているのかどうかは分かりません」とノッティンガム氏は述べました。
ノッティンガム氏も他の人たちと同様に、オーストラリアのテクノロジー企業に対するリスクを強調し、「ソフトウェアが海外に移転していくのを目にすることになるのでしょうか?」と問いかけた。
オーストラリアは20年以上にわたり暗号技術に貢献してきたが、ノッティンガム氏は、この法律は暗号ソフトウェアだけに影響を与えるのではなく、「すべてがソフトウェアだ」と述べた。
「オーストラリアで開発されたという理由で、X、Y、Zの顧客に販売できないとしたら、それは池に投げ込まれた大きな石と同じだ。」
テクノロジー企業は政治への関与を迅速に強化する必要がある
ロックステップのスティーブ・ウィルソン氏はレジスター紙に対し、合法的傍受をめぐる議論は重要だが、どちらの陣営も「口論」に逃げ込む人が多すぎると語った。
同氏は、法案の規模を考えれば「政府が技術者の意見に耳を傾けてきたことはおそらく認めざるを得ないだろう」と語った。
政府は「技術サービスを運営している場合、チェーンのどこかの時点で暗号化されていないメッセージにアクセスできるとしたら、適切な法的状況下では、情報を提供する義務がある」と言っているようだ。
「法執行機関による合理的なアクセスは技術に中立であるべきだ」と彼は付け加えた。
「テクノロジー業界にいる私たちが、それ自体について不満を言うことはできないと思いますが、それについて対話する必要があります。」
同氏は、この法律の欠陥は対話を実現するのがいかに困難であったかを示しており、「双方の清教徒」がその問題の一因となっていると語った。
一方で、「暗号化は小児性愛者に隠れ場所を与える」という主張は誇張されている。「暗号化によって法執行が不可能になるかどうかは、私にはよく分かりません。その点に関する学術研究はどこにあるのでしょうか?」
しかし、「『数学!』と叫んで」暗号化を擁護すると、政府にテクノロジーに関する分かりやすい説明をするのではなく、「鍵に関する馬鹿げた類推に固執することになる」ため、反対側との対話が妨げられることになる。
この法案が暗号をどう解読するかは一般人には分からないとウィルソン氏は述べ、人々の安全とプライバシーを守る唯一の方法は「交渉の席に着くこと」だと語った。
残念なことに、オーストラリアの技術者たちは、その取り組みを間違えてきた長い歴史を持っています。®
