به گزارش ریست ؛ زمانی که افبیآی از رمزنگاری end-to-end حمایت میکند، میفهمید که موضوع جدی است . پس از حملات سایبری Salt Typhoon، که قانونگذاران و فعالان حریم خصوصی آن را بدترین نفوذ به سیستمهای مخابراتی در تاریخ آمریکا نامیدهاند، نهادهای دولتی ایالات متحده موضع خود درباره رمزنگاری را تغییر دادهاند.
پس از سالها مخالفت با استفاده از این نوع پیامرسانی امن، جف گرین، معاون اجرایی مدیر سایبری CISA، ماه گذشته در یک نشست خبری با یک مقام ارشد افبیآی به خبرنگاران گفت: «رمزنگاری دوست شماست.» او همچنین توصیه کرد که از «رمزنگاری مدیریتشده مسئولانه» برای تماسهای تلفنی و پیامهای متنی استفاده کنیم.
همین هفته، CISA دستورالعمل رسمی [PDF] درباره چگونگی جلوگیری از دسترسی جاسوسان دولت چین به دستگاههای موبایل منتشر کرد و به سیاستمداران و مقامات ارشد دولتی — که اهداف «بسیار مورد توجه» هستند و «احتمالاً اطلاعات مورد علاقه این تهدیدکنندگان را در اختیار دارند» — توصیه کرد که از تماسهای تلفنی معمولی و برنامههای پیامرسانی معمولی دوری کنند و به جای آن تنها از ارتباطات end-to-end رمزنگاریشده استفاده کنند.
این یک تغییر جهت بزرگ از سوی مقامات فدرال است که به طور تاریخی خواستار دسترسی قانون enforcement به ارتباطات مردم از طریق درب پشتی بودند — اما تنها برای مقابله با جرم و پیشگیری از تروریسم.
جان اکرلی، مدیرعامل و بنیانگذار مشترک شرکت Virtru، به The Register گفت: «ما میدانیم که افراد بد میتوانند از همان درهایی عبور کنند که ظاهراً برای افراد خوب ساخته شدهاند. یک چیز این است که به خطوط تلفن ثابت یا ارتباطات صوتی دسترسی داشته باشید، اما چیز دیگری است که شیر تمام ارتباطات دیجیتال را باز کنید.»
این دقیقاً همان چیزی است که قانون کمک ارتباطی برای اجرای قانون (Communications Assistance for Law Enforcement Act) — که به اختصار CALEA نامیده میشود — ۳۰ سال پیش انجام داد. این قانون که در سال ۱۹۹۴ تصویب شد، از ارائهدهندگان مخابراتی میخواست که سیستمهای خود را به گونهای طراحی کنند که درخواستهای استراق سمع از سوی قانون enforcement را برآورده کنند. در سال ۲۰۰۶، FCC این دستورالعمل را به شرکتهای اینترنت پهنباند نیز گسترش داد.
CALEA همچنین از شرکتهای مخابراتی میخواست که شبکههای خود را ایمن کنند تا از دسترسی جاسوسان خارجی به ارتباطات آمریکاییها جلوگیری شود. اما FCC هرگز این بخش از قانون را به طور جدی اجرا نکرد.
و اوایل امسال، جاسوسان سایبری پکن مکالمات مقامات «بسیار ارشد» سیاسی آمریکا را به عنوان بخشی از کمپین جاسوسی Salt Typhoon ضبط کردند. این نفوذ، که یک سناتور ارشد آمریکایی آن را «بدترین نفوذ به مخابرات در تاریخ کشورمان — به وضوح» نامید، باعث شده است که درخواستها برای اصلاح CALEA و حذف این دربهای پشتی دولتی که میتوانند توسط دیگران پیدا و سوء استفاده شوند، دوباره مطرح شود.
اکرلی گفت: «بحث درباره رمزنگاری end-to-end تمام شده و به پایان رسیده است. این بحث از نظر محتوایی به پایان رسیده است، و به عنوان یک کشور، ما باید رمزنگاری بدون درب پشتی را بپذیریم.»
قبل از این که اکرلی و برادرش ویل — که قبلاً برای آژانس امنیت ملی آمریکا کار میکرد — استارتآپ رمزنگاری دادههای خود را تأسیس کنند، جان اکرلی در کاخ سفید جورج دبلیو بوش به عنوان مشاور فناوری کار میکرد و در توسعه زبان حریم خصوصی دادهها در پلتفرم حزب جمهوریخواه سال ۲۰۰۰ نقش داشت، که خواستار رمزنگاری بدون درب پشتی در شبکهها بود.
او همچنین در زمان وقوع حملات ۱۱ سپتامبر در کاخ سفید حضور داشت، و این رویدادهای تروریستی به سرعت هر گونه پیامرسانی طرفدار رمزنگاری از سوی دولت را خاموش کرد.
اکرلی گفت که تقریباً ۱۰ سال پس از آن هفتهای که در نیویورک با رسانهها درباره نفوذ به Sony Pictures در سال ۲۰۱۴ صحبت میکرد، از حملات Salt Typhoon مطلع شد.
او گفت: «پس این بود: دوباره شروع میکنیم. اما بعد مشخص شد که این حملات به مراتب ویرانکنندهتر از هر نفوذی به یک شرکت خاص هستند.»
–
نفوذ به این عمق در سیستمهای ارتباطی آمریکا اساساً به مهاجمان Salt Typhoon دسترسی به «همه شرکتها در سراسر کشور و هر شهروند آمریکایی» داد، اکرلی افزود. «این بدترین نفوذ در تاریخ کشور ما است. پس این واکنش دوم من بود. و سپس واکنش سوم این بود: خوب، شاید مردم هشیار شوند.»
او بیان کرد که عموم مردم و قانونگذاران باید به اهمیت رمزنگاری end-to-end (E2EE) پی ببرند و اضافه کرد که کنگره باید با یک راهحل قانونی وارد عمل شود. اکرلی گفت: «درها را محکم ببندید، همانطور که ران وایدن با پیشنهاد الزامات امنیتی برای شرکتهای مخابراتی که در خواب غفلت به سر میبرند، مطرح کرده است.»
او به طرح قانونی سناتور ایالت اورگان اشاره میکند که از اپراتورهای شبکه آمریکا میخواهد استانداردهای امنیت سایبری را اجرا کنند و اطمینان حاصل کنند که سیستمهای آنها در برابر حملات مهاجمان دولتی آسیبپذیر نیستند.
وایدن، در زمان اعلام قانون Secure American Communications Act، از «شکست» FCC در اجرای استانداردهای امنیتی که قبلاً توسط CALEA الزامی شده بود، انتقاد کرد.
اکرلی گفت: «چیزی که باید با آن مبارزه کنیم، رضایت از وضع موجود و سیاستهای بد است. به همین دلیل است که CALEA نیاز به اصلاح دارد. یک نور قوی روی این موضوع بیندازید تا زمانی که پاسخ بهتری به جز این وجود داشته باشد: چینیها هنوز آنجا هستند، نمیدانم چه کار کنم. دیگر خیلی دیر شده، فراموشش کنید.»
توضیحات اضافی درباره واژه های استفاده شده در متن بالا :
- E2EE (End-to-End Encryption): رمزنگاری end-to-end به معنای رمزنگاری دادهها به گونهای است که تنها فرستنده و گیرنده قادر به decrypt کردن آن باشند و حتی ارائهدهندگان خدمات نیز نتوانند به محتوای ارتباطات دسترسی داشته باشند.
- CALEA (Communications Assistance for Law Enforcement Act): قانونی که از شرکتهای مخابراتی میخواهد سیستمهای خود را به گونهای طراحی کنند که امکان استراق سمع قانونی برای مقامات اجرای قانون فراهم شود.
- FCC (Federal Communications Commission): کمیسیون فدرال ارتباطات، نهاد تنظیمکننده ارتباطات در ایالات متحده.