Etkili Yasa Uygulaması için Veri Erişimi konusunda AB Üst Düzey Uzman Grubu (HLEG) neredeyse bir yıldır, Kripto Savaşlarının bir parçası olarak şifrelemenin “kötü sorununa” çözümler bulmak için kapalı kapılar ardında çalışıyor (“Devam Ediyor”) Karanlık”) yerli politikacılar ve araştırmacılar tarafından tespit edildi. AB Milletvekili Patrick Breyer'in (Korsan Partisi) bilgi edinme özgürlüğü talebine yanıt olarak, AB Komisyonu tartışmaların karanlığına biraz ışık tutacak bazı sunumlar yayınladı; bunların bazıları düzeltildi. Bu nedenle uygulayıcıların ve standardizasyon kuruluşlarının odak noktası, mümkünse WhatsApp, Signal ve Threema gibi tamamen şifrelenmiş hizmetler için bile meta ve iletişim verilerine gerçek zamanlı erişim sağlamaktır.
Reklamcılık
Belçika Federal Polisinin Ulusal Teknik Destek Birimi (NTSU) bu yönde özellikle geniş kapsamlı taleplerde bulundu. Kullanıcılara doğrudan İnternet üzerinden mesajlaşma gibi hizmetler sunan “üst düzey” platformlara atıfta bulunarak, “Odak noktasının OTT tarafından yönetilen gerçek zamanlı veriler olduğunu” vurguluyor. Buraya ulaşabileceğimiz en ileri nokta, örneğin genellikle AB'de bulunan ve bu nedenle teslimat yapmak zorunda olan büyük teknoloji şirketleriyle doğrudan temas kurmaktır. Teknik destek birimi burada bir “Yahoo yaklaşımından” bahsediyor çünkü bu yöntem, örneğin ABD'deki e-posta ve arama sağlayıcılarında özellikle iyi çalışıyor.
NTSU, şifreli ürünlerde arka kapı gerektirmeyen bir “ön kapı” prosedürünü savunmaktadır. Muhtemelen bir hakimin onayıyla desteklenen bir kolluk kuvveti, standartlaştırılmış bir talebi doğrudan OTT hizmet sağlayıcısının veri işleme departmanına sunar. Sağlayıcı, talep edilen verileri içeren, eşit derecede standartlaştırılmış bir biçimde, güvenli bir şekilde ve “anlaşılabilir” bir formatta (neredeyse) gerçek zamanlı bir yanıt göndermelidir. Bu, soruşturmanın “hedefi için görünmez, gizli ve gizli” olup teknolojik açıdan tarafsızdır. NTSU “Şifrelemeyi seviyoruz” diye açıklıyor. “Uçtan uca şifreleme olsa bile” (E2E). Ancak bu tür koruyucu mekanizmalar, operatörün veya görevlendirdiği üçüncü taraf sağlayıcının verileri düz metin olarak vermekle yükümlü olduğu gerçeğini değiştirmez.
Güvenilmez güven merkezlerinin geri dönüşü mü?
Polis birimi, bunun geçmiş iletişimler için geçerli olmadığını, yalnızca emrin verildiği tarihten itibaren gelecek iletişimler için geçerli olduğunu açıkça belirtiyor. Müdahale teknolojileri yarışından kaçınmak istiyorlar. NTSU, kaynak telekomünikasyon gözetimi kullanılarak şifre çözme öncesinde veya sonrasında son kullanıcının cihazındaki verilere erişilebilen devlet Truva atlarının ve diğer “durum korsanlığı” biçimlerinin alternatif kullanımını belirsiz, pahalı ve bazen etkisiz olduğu gerekçesiyle reddeder. Ayrıca bu durum, güvenlik açıkları durumunda işbirliğini sekteye uğratacaktır. E2E hizmetlerinin operatörleri, kendilerinin şifrelenmemiş iletişimlere erişimlerinin olmadığını defalarca vurgulamaktadır. Ancak bu Belçikalıları ilgilendirmiyor.
AB telekomünikasyon standardizasyon otoritesi ETSI'nin Siber Teknik Komitesi bu duruma bir çözüm düşünüyor. Bir diyagramda, bir erişim anahtarını alması ve yönetmesi gereken “güvenilir, kimliği doğrulanmış bir tarafa” dayanmaktadır. Ancak bu tür üçüncü tarafların katılımı, yıllardır BT güvenlik uzmanları tarafından kabul edilemez bir kırılma noktası olarak görülüyor. ETSI ekibi aynı zamanda “tasarım gereği yasal erişim” için bir standardizasyon talimatıyla da ilgileniyor. AB Komisyonu aynı zamanda daha yoğun bir standardizasyonu da devreye sokuyor. Aynı zamanda “teknik ürün belgelerinin ve kaynak kodlarının gönüllü olarak aktarılması için ticari şirketler ile kolluk kuvvetleri arasındaki işbirliğinin güçlendirilmesi ve kodlanması” için de baskı yapıyor.
Brüksel hükümet kurumu aynı zamanda “yalnızca suçlular arasındaki iletişim için kullanıldığı kanıtlanmış şifreleme cihazlarının kullanımıyla mücadeleye yönelik yasalar” da öneriyor. Teknoloji sağlayıcıları, “adli makamların talebi üzerine kullanıcıların cihazlarında saklanan verilere erişimi mümkün kılmak”la yükümlü olmalıdır. Diğer sunumlar veri saklama ve Hollanda'daki Microsoft veri merkezleriyle olası işbirliği konularını ele alıyor.
(olb)
Haberin Sonu
Reklamcılık
Belçika Federal Polisinin Ulusal Teknik Destek Birimi (NTSU) bu yönde özellikle geniş kapsamlı taleplerde bulundu. Kullanıcılara doğrudan İnternet üzerinden mesajlaşma gibi hizmetler sunan “üst düzey” platformlara atıfta bulunarak, “Odak noktasının OTT tarafından yönetilen gerçek zamanlı veriler olduğunu” vurguluyor. Buraya ulaşabileceğimiz en ileri nokta, örneğin genellikle AB'de bulunan ve bu nedenle teslimat yapmak zorunda olan büyük teknoloji şirketleriyle doğrudan temas kurmaktır. Teknik destek birimi burada bir “Yahoo yaklaşımından” bahsediyor çünkü bu yöntem, örneğin ABD'deki e-posta ve arama sağlayıcılarında özellikle iyi çalışıyor.
NTSU, şifreli ürünlerde arka kapı gerektirmeyen bir “ön kapı” prosedürünü savunmaktadır. Muhtemelen bir hakimin onayıyla desteklenen bir kolluk kuvveti, standartlaştırılmış bir talebi doğrudan OTT hizmet sağlayıcısının veri işleme departmanına sunar. Sağlayıcı, talep edilen verileri içeren, eşit derecede standartlaştırılmış bir biçimde, güvenli bir şekilde ve “anlaşılabilir” bir formatta (neredeyse) gerçek zamanlı bir yanıt göndermelidir. Bu, soruşturmanın “hedefi için görünmez, gizli ve gizli” olup teknolojik açıdan tarafsızdır. NTSU “Şifrelemeyi seviyoruz” diye açıklıyor. “Uçtan uca şifreleme olsa bile” (E2E). Ancak bu tür koruyucu mekanizmalar, operatörün veya görevlendirdiği üçüncü taraf sağlayıcının verileri düz metin olarak vermekle yükümlü olduğu gerçeğini değiştirmez.
Güvenilmez güven merkezlerinin geri dönüşü mü?
Polis birimi, bunun geçmiş iletişimler için geçerli olmadığını, yalnızca emrin verildiği tarihten itibaren gelecek iletişimler için geçerli olduğunu açıkça belirtiyor. Müdahale teknolojileri yarışından kaçınmak istiyorlar. NTSU, kaynak telekomünikasyon gözetimi kullanılarak şifre çözme öncesinde veya sonrasında son kullanıcının cihazındaki verilere erişilebilen devlet Truva atlarının ve diğer “durum korsanlığı” biçimlerinin alternatif kullanımını belirsiz, pahalı ve bazen etkisiz olduğu gerekçesiyle reddeder. Ayrıca bu durum, güvenlik açıkları durumunda işbirliğini sekteye uğratacaktır. E2E hizmetlerinin operatörleri, kendilerinin şifrelenmemiş iletişimlere erişimlerinin olmadığını defalarca vurgulamaktadır. Ancak bu Belçikalıları ilgilendirmiyor.
AB telekomünikasyon standardizasyon otoritesi ETSI'nin Siber Teknik Komitesi bu duruma bir çözüm düşünüyor. Bir diyagramda, bir erişim anahtarını alması ve yönetmesi gereken “güvenilir, kimliği doğrulanmış bir tarafa” dayanmaktadır. Ancak bu tür üçüncü tarafların katılımı, yıllardır BT güvenlik uzmanları tarafından kabul edilemez bir kırılma noktası olarak görülüyor. ETSI ekibi aynı zamanda “tasarım gereği yasal erişim” için bir standardizasyon talimatıyla da ilgileniyor. AB Komisyonu aynı zamanda daha yoğun bir standardizasyonu da devreye sokuyor. Aynı zamanda “teknik ürün belgelerinin ve kaynak kodlarının gönüllü olarak aktarılması için ticari şirketler ile kolluk kuvvetleri arasındaki işbirliğinin güçlendirilmesi ve kodlanması” için de baskı yapıyor.
Brüksel hükümet kurumu aynı zamanda “yalnızca suçlular arasındaki iletişim için kullanıldığı kanıtlanmış şifreleme cihazlarının kullanımıyla mücadeleye yönelik yasalar” da öneriyor. Teknoloji sağlayıcıları, “adli makamların talebi üzerine kullanıcıların cihazlarında saklanan verilere erişimi mümkün kılmak”la yükümlü olmalıdır. Diğer sunumlar veri saklama ve Hollanda'daki Microsoft veri merkezleriyle olası işbirliği konularını ele alıyor.
(olb)
Haberin Sonu