В сообщении, опубликованном сегодня утром, говорится, что Apple собирается объявить о начале сканирования изображений насилия над детьми на iPhone.
Предполагается, что Apple будет использовать метод, обеспечивающий максимальную конфиденциальность, но мы отмечали ранее, что все еще есть несколько способов, по которым это может пойти не так, как надо …
Проблемы с отпечатками CSAM
Криптограф Джона Хопкинса Мэтью Грин обрисовал в общих чертах некоторые из проблемных аспектов сканирования отпечатков пальцев материалов о сексуальном насилии над детьми (CSAM).
Ложные срабатывания
Отпечатки CSAM намеренно не идеальны. Если бы они обнаружили только точную копию изображения, то все, что кому-то нужно было бы сделать, — это обрезать один пиксель, чтобы убедиться, что файл больше не соответствует отпечатку пальца.
По этой причине отпечатки пальцев предназначены для того, чтобы они по-прежнему могли обнаруживать изображения и видео, которые были обрезаны, изменены в размере, повернуты и т. Д. По определению это означает, что отпечатки пальцев нечеткие и иногда помечают совершенно невинные файлы. Это создает две проблемы.
Во-первых, даже если все, что происходит, когда кто-то в Apple — или независимый контролирующий орган — просматривает фото или видео и объявляет их невиновными, нарушение конфиденциальности уже произошло. Третье лицо просмотрело потенциально очень личное фото или видео.
Во-вторых, что еще более тревожно, даже подозрение в таком серьезном правонарушении может серьезно нарушить чью-то жизнь. Телефоны, планшеты и компьютеры могут быть конфискованы и не могут быть возвращены в течение длительного времени. Если кто-то узнает, что полиция ведет расследование, это может поставить под угрозу чью-то работу, отношения и репутацию — даже если позже они будут признаны полностью невиновными.
Коллизионные атаки
Мы уже отметили, что невинные изображения могут иногда совпадать с отпечатками CSAM случайно, но Грин указывает на документ, в котором указывается, что вполне возможно намеренно создавать изображения, которые будут генерировать соответствующий хэш.
Кто-то, кто хочет создать проблемы для врага, может организовать отправку им невинно выглядящих материалов — которые могут совершенно не походить на проблемные фотографии — которые соответствуют известным отпечаткам пальцев CSAM. Это открывает цель для всех только что покрытых рисков.
Злоупотребление авторитарными правительствами
Цифровой отпечаток пальца может быть создан для любого типа материала, а не только для CSAM. Что может помешать авторитарному правительству добавлять в базу данных изображения плакатов политических кампаний или тому подобное?
Таким образом, инструмент, предназначенный для борьбы с серьезными преступниками, можно легко адаптировать для обнаружения тех, кто выступает против правительства или одного или нескольких его направлений.
Apple, которая получит базу данных отпечатков пальцев от правительств, обнаружит, что невольно способствует репрессиям или, что еще хуже, политическим активистам.
Возможное расширение в обмен сообщениями
Сейчас этот тип отпечатков пальцев в основном используется для изображений — фото и видео. Но тот же подход можно легко использовать для сопоставления определенного текста. Вот как проверяется большинство паролей: сервер хранит не ваш фактический пароль, а его хешированную версию. То есть цифровой отпечаток пальца.
В данном случае подход Apple к запуску проверки отпечатков пальцев на вашем устройстве может фактически превратить защиту конфиденциальности в уязвимость.
Если вы используете службу сквозного зашифрованного обмена сообщениями, такую как iMessage, Apple не сможет просмотреть содержимое этих сообщений. Если правительство приходит с постановлением суда, Apple может просто пожать плечами и сказать, что не знает, что было сказано.
Но если правительство добавит отпечатки пальцев для типов текста — скажем, даты, времени и места запланированного протеста — тогда оно может легко создать базу данных политических оппонентов.
Конфиденциальность — всегда баланс
Все общества решили, что и нулевая конфиденциальность, и стопроцентная конфиденциальность — плохие идеи. Разница между ними заключается в том, что они выбирают на шкале между ними.
Например, Четвертая поправка защищает частную жизнь граждан США от полицейских, проводящих случайные обыски их людей, автомобилей или дома. Однако он также устанавливает ограничения этого права на неприкосновенность частной жизни. Полицейский, у которого есть разумные основания подозревать, что вы совершили преступление, и эти доказательства могут быть найдены, например, в вашем доме, может попросить судью выдать ордер на обыск, и тогда этот обыск будет законным. Без этого исключения невозможно было бы войти в дом и найти украденную собственность или жертву похищения.
Поиск правильного баланса между индивидуальным правом на неприкосновенность частной жизни, с одной стороны, и способностью правоохранительных органов выявлять преступления и преследовать их в судебном порядке может оказаться чрезвычайно сложной задачей. Это особенно сложно, когда речь идет о двух острых проблемах: жестоком обращении с детьми и терроризме.
С цифровой конфиденциальностью мы сталкиваемся с теми же проблемами, что и с физической конфиденциальностью. Apple, занимая твердую позицию в отношении конфиденциальности и используя ее в качестве маркетингового инструмента, оказалась в особенно сложном положении, когда дело доходит до достижения этого баланса.
Apple должна пройти по канату конфиденциальности
Грин признает, что Apple может принять меры предосторожности. Например, компания может захотеть создать собственные отпечатки пальцев из исходных изображений и отклонить любое предложение о сканировании текстовых сообщений. Но это развитие, несомненно, создает риски для невиновных пользователей.
Это еще один пример того, что Apple должна пройти по канату конфиденциальности. Например, он упорно отказывается создавать какие-либо правительственные бэкдоры в iPhone и использует сквозное шифрование как для iMessage, так и для FaceTime. Но в резервных копиях iCloud не используется сквозное шифрование, поэтому, если правительство появится по решению суда, Apple может передать любые данные, зарезервированные с помощью iCloud, и это большая часть личных данных на телефоне.
Apple могла бы легко использовать сквозное шифрование для резервного копирования iCloud, но решила не делать этого, и я уверен, что это тщательно продуманное решение. Компания считает, что это защищает большинство пользователей, поскольку компания имеет надежные внутренние меры безопасности и публикует данные только по приказу суда, в то же время ограничивая давление, с которым она сталкивается со стороны правительств. Это прагматичная позиция, которая позволяет ему сотрудничать с правоохранительными органами, но при этом может сказать, что его устройства безопасны.
Может ли применяться сквозное шифрование для резервных копий iCloud?
Надежный обмен сообщениями о конфиденциальности Apple означает, что отказ от использования сквозного шифрования для резервного копирования iCloud выглядит все более аномальным, особенно в Китае, где государственная компания имеет доступ к серверам, на которых хранятся резервные копии.
Таким образом, одна из возможностей заключается в том, что это первый шаг к новому компромиссу со стороны Apple: он в будущем переключается на шифрование E2E для резервных копий iCloud, которое включает в себя фотографии и видео, но также встраивает механизм, с помощью которого правительства могут сканировать библиотеки фотографий пользователей. И, возможно, сообщения тоже.
Каково ваше мнение? Правы ли Apple, применяя такой подход к сканированию изображений насилия над детьми, или это опасный путь? Примите участие в нашем опросе и поделитесь своими мыслями в комментариях.
Фото: Пьетро Йенг / Unsplash
