オーストラリア政府の仮想通貨撲滅法案はセキュリティ研究を阻害する恐れがあると、インターネット政策の第一人者が警告した。
今朝の「支援とアクセス」法案に関する議会公聴会で、マサチューセッツ州インターネット政策研究イニシアチブのディレクター、ダニエル・ワイツナー氏は、この問題は法案の秘密保持条項から生じたと語った。
ワイツナー氏は本日、議会の情報安全保障合同委員会(PJCIS)に対し、アクセスを要求する技術能力通知がハードウェアやソフトウェアに追加された場合、その存在を明かすことが犯罪になるという問題があると語った。
しかし、サービスプロバイダーのような組織は通常、システムの導入前にセキュリティ評価を実施します。レッドチームは「弱点を見つけるためにあらゆる手段を講じます」と彼は述べました。
研究者がTCNでカバーされている脆弱性を発見した場合、TCNの存在を知ることができず、そのため脆弱性を秘密にしておく必要がある場合、何が起こるだろうかとワイツナーは仮定した。
「TCN によって義務付けられている特定の機能が秘密にされた場合、セキュリティ エンジニアがどこを調べればよいかを知ることは困難になります」とワイツナー氏は述べ、サービス プロバイダーがセキュリティ テストを実行するために人を雇うことは「危険」になるだろうと述べました。
ワイツナー氏は、いかなるTCN体制もセキュリティテストを可能にするために透明性が必要だとし、「こうしたシステムの一部の動作を秘密にしておくのは無責任というだけだ」と述べた。
もちろん、これは現実世界にそのような機能が存在することを前提としています。たとえば、システムの「黄金の鍵」を作成し、悪用から保護することができます。
オーストラリア情報委員会:暗号資産の摘発は共産主義者にとってのみ悪いことだが、我々はそうではない
続きを読む
「システムを解除するための鍵が、ある目的のために保管されている場合、それが完全に正当かつ合法的なものであったとしても、別の目的に悪用される可能性があるというのが私たちの見解です」とワイツナー氏は述べた。「そのようなリスクを軽減するシステム設計は見たことがありません。」
提案されたシステムが機能し安全かどうかを知る唯一の方法はそれをテストすることだが、これはまたしても、政府が「例外的なアクセスシステム」と呼ぶものに適用したいと考えている秘密主義と矛盾している。
「あらゆる設計の可能性を見たわけではないので、そのようなシステムを設計することが『不可能』だとは言いません」が、もし誰かがそのようなシステムを提供すると主張するなら、「そのシステムを非常に注意深く研究しなければなりません」
影の司法長官マーク・ドレイファス氏は、政府の立場は、この法案は「特別な例外的なアクセスシステムを必要としておらず、また、政府によるアクセスを容易にするためにプロバイダーがシステム全体を再設計することを要求するものでもない」と指摘した。
しかし、ワイツマン氏は、現在の法律では、技術能力通知に含める内容に関して政府に非常に広範な裁量権があり、「限定されたユーザーのみを対象としなければならないという制限はない」と答えた。®
