Technika nadzoru: czy kryptografia może pomóc w uniknięciu nadzoru stanu Dystopia?

Bardzo niewiele wiemy o tym, ile prywatnych danych przekazano organom ścigania przez firmy technologiczne, takie jak Google i Facebook, a to częściowo z założenia. W końcu niektóre sprawy kryminalne rozpadłyby się, gdybyśmy wiedzieli zbyt wiele o tym, jak działa ich udostępnianie danych i mogliby grać w system.

Ale jak naprawdę niewiele wiemy? Google otrzymało 27.850 wniosków o dane obejmujące 57 392 kont użytkowników w 2016 r. W tym samym roku Microsoft otrzymał 9 907 wniosków skierowanych na 24 288 kont. Liczby te są niepokojące, ale stanowią również niemal wszystko, co społeczeństwo wie o tym, jak rząd USA obecnie wykorzystuje swoje uprawnienia do żądania danych na mocy ustawy o ochronie prywatności w komunikacji elektronicznej (ECPA). W rzeczywistości nie są to nawet dane rządowe; pochodzą bezpośrednio z dobrowolnych raportów firmy Google i raportów firmy Microsoft dotyczących przejrzystości.

„Urzędnicy rządowi powinni mieć pewien poziom tajemnicy, aby mogli wykonywać swoje obowiązki bez obawy przed ingerencją osób, które są przedmiotem dochodzenia” - powiedział Jonathan Frankle, naukowiec z Laboratorium Informatyki i Sztucznej Inteligencji MIT (CSAIL) w oświadczeniu. „Ale ta tajemnica nie może być trwała… Ludzie mają prawo wiedzieć, czy dostęp do ich danych osobowych został uzyskany, a na wyższym poziomie, my, jako społeczeństwo, mamy prawo wiedzieć, ile trwa nadzór”.

Frankle i inni w CSAIL mają nadzieję znaleźć skuteczne rozwiązanie tego problemu, oparte na tych samych kluczach kryptograficznych i księgach używanych do uwierzytelniania zaszyfrowanych e-maili i transakcji bitcoin. Opracowany przez nich system o nazwie AUDIT („Odpowiedzialność za niewydane dane dla poprawy przejrzystości”) zostanie zaprezentowany na konferencji USENIX Security w Baltimore w przyszłym tygodniu.

Oto jak to działa: Gdy sędzia wyda tajny nakaz sądowy lub policja śledcza poprosi firmę technologiczną o dane, akcja ta jest połączona z serią publicznie dostępnych powiadomień kryptograficznych, podobnych do publicznych kluczy PGP, które umożliwiają osobom wysyłanie zaszyfrowanych e-maile do siebie. To „zobowiązanie kryptograficzne” jest matematycznie związane z podjętym działaniem sądu, a później z danymi podanymi przez firmy technologiczne agencji rządowej. W rezultacie, kiedy te tajne dokumenty sądowe zostaną upublicznione, można je sprawdzić w księdze kryptograficznej, aby potwierdzić, że te tajne działania Departamentu Sprawiedliwości są na górze, a zaangażowani urzędnicy robili to, co powiedzieli, że robią.

AUDIT ma jeszcze jedną dużą korzyść. Ciągłe przesyłanie działań do publicznej księgi zobowiązań kryptograficznych pozwoli grupom stróżującym wyciągnąć z systemu sądów ważne z politycznego punktu widzenia informacje statystyczne o tym, w jaki sposób system sądowniczy i organy ścigania wykorzystują prywatne dane użytkowników. Na przykład, którzy sędziowie wydają najwięcej zamówień w ramach ECPA? Jakie rodzaje dochodzeń kryminalnych skłaniają do większości tych nakazów sądowych i od jakich firm?

Nadzieja, jak wyjaśnił to Frankle Wiadomości MIT, ma generować wiarygodne raporty przejrzystości z amerykańskiego systemu sądowego, porównywalne z własnymi przemysłami technologicznymi, bez narażania ważnych spraw karnych w toku.

Stephen William Smith, sędzia federalny dla Południowego Okręgu Teksasu, który napisał o kwicie ECPA dla Harvard Law & Policy Review, podziela oczekiwania Frankle dotyczące tego, co AUDIT może osiągnąć.

„Mam nadzieję, że gdy ten dowód koncepcji stanie się rzeczywistością, administratorzy sądów przyjmą możliwość zwiększenia nadzoru publicznego przy zachowaniu niezbędnej tajemnicy” - powiedział Smith w oświadczeniu. „Wyciągnięte wnioski niewątpliwie usprawnią drogę do większej odpowiedzialności za szerszą klasę tajnych procesów informacyjnych, które są znakiem rozpoznawczym naszej ery cyfrowej”.