🧠 Блог посвящен теме VPN и безопасности, конфиденциальности данных в Интернете. Рассказываем про актуальные тренды и новости связанные с защитой.

Законы о шифровании: какие правительства налагают самые строгие ограничения на шифрование?

850

От частных разговоров через WhatsApp до конфиденциальных историй просмотров через VPN — шифрование играет важную роль в нашей свободе выражения мнений и конфиденциальности.

Тем не менее, с продолжающимися попытками правительства создать «бэкдоры» в сервисах / продуктах шифрования, многие страны сталкиваются с серьезными ограничениями, когда дело доходит до использования приложений и инструментов, использующих криптографию.

Чтобы выяснить, где действуют самые серьезные ограничения, наша команда исследователей проанализировала законодательство более 200 стран, чтобы увидеть:

  • В каких странах производители / продавцы требуют получения лицензии перед производством или продажей криптографических продуктов / услуг
  • Какие страны имеют ограничения на импорт и / или экспорт криптографических продуктов / услуг
  • В каких странах нет исключения для личного использования в поездках с зашифрованными ноутбуками
  • Какие страны обязывают провайдеров передавать ключи шифрования в правоохранительных целях (с учетом того, требуется ли для этого ордер)
  • Какие страны возлагают на конечных пользователей обязательства по передаче ключей шифрования в правоохранительных целях (с учетом того, требуется ли для этого ордер)

Что мы нашли?

В подавляющем большинстве стран есть какие-то ограничения на технологии шифрования, будь то законы об импорте / экспорте или доступ правоохранительных органов к зашифрованным данным. Более строгие ограничения отмечаются там, где их можно было бы ожидать, например, в России и Китае, но жесткие ограничения действуют и во многих других странах. А с введением все большего числа законодательных и следственных полномочий ограничения будут только усиливаться в ближайшие месяцы и годы.

Например, несмотря на то, что Бразилия входит в число «более свободных» стран благодаря действующему законодательству, это несмотря на попытки ввести дополнительные ограничения. Недавние постановления суда пытались заблокировать WhatsApp, и Facebook также столкнулся с судебной тяжбой со страной из-за отсутствия сотрудничества в уголовном расследовании (что даже привело к аресту вице-президента Facebook).

Короче говоря, многие страны могут предоставлять гражданам право на свободу слова и неприкосновенность частной жизни, но препятствуют этому, когда дело доходит до шифрования, ссылаясь на национальную безопасность и серьезные преступления в качестве причины.

Какие страны требуют, чтобы поставщики шифрования расшифровывали данные в правоохранительных целях?

Когда дело доходит до шифрования, одна из самых больших проблем — это доступ, предоставляемый правоохранительным органам, будь то ключ дешифрования или требование к поставщикам расшифровать данные для них.

Как показано на приведенной ниже карте, большое количество стран имеет хотя бы некоторый потенциальный доступ к ключам шифрования провайдеров.

Горстка стран, в том числе Китай и Россия, имеют беспрецедентный доступ к расшифрованным данным. В России, например, Система оперативно-розыскных мероприятий (СОРМ — Система оперативно-розыскных мероприятий) предоставляет федеральной службе безопасности России, ФСБ, доступ к электронным сообщениям и ключи для их расшифровки без санкции суда.

Во многих странах Европы, Азии и Африки, а также в США действуют законы, позволяющие правоохранительным органам требовать от провайдеров передачи ключей шифрования и / или расшифровки данных.

В Соединенном Королевстве ряд законов предоставляет правоохранительным органам право требовать удаления технологий шифрования в различных сообщениях. Раздел 49 Закона 2000 года о регулировании следственных полномочий гласит, что когда защищенная информация находится в распоряжении правоохранительных органов, они могут, с письменного разрешения судьи, наложить требование о раскрытии данных, которые должны быть представлены в понятной форме. У правоохранительных органов должны быть разумные основания того, что кто-то обладает ключом к защищенной информации, что раскрытие информации необходимо для национальной безопасности, обнаружения / предотвращения преступлений или что это отвечает интересам экономического благосостояния Великобритании, что раскрытие информации соразмерно чего добиваются, и это раскрытие невозможно без наложения порядка.

В Соединенных Штатах, раздел 103 (a) Закона о предоставлении помощи в связи для правоохранительных органов от 1994 г. предполагает, что провайдеры связи должны обеспечивать возможность перехвата при выдаче постановлений суда или других подобных законных разрешений. Однако «оператор связи не несет ответственности за дешифрование или обеспечение способности правительства дешифровать любое сообщение, зашифрованное абонентом или клиентом, если только шифрование не было предоставлено оператором связи, и оператор не обладает информацией, необходимой для дешифрования сообщения. «

Большинство законов обладают той же властью, что и законы США, предъявляя к поставщикам требования дешифровать любые данные, которые они зашифровали сами, но не данные, зашифрованные другими поставщиками или самими пользователями.

В ряде других стран действуют двусмысленные законы, которые дают правоохранительным органам возможность требовать раскрытия зашифрованной информации — либо законы были истолкованы таким образом. Например, в Европейском Союзе Резолюция Совета от 17 января 1995 г. о законном перехвате телекоммуникационных услуг предлагает некоторые рекомендации по законам, которые должны были применяться в странах ЕС.

В резолюции говорится, что «Если сетевые операторы / поставщики услуг инициируют кодирование, сжатие или шифрование телекоммуникационного трафика, правоохранительные органы требуют, чтобы сетевые операторы / поставщики услуг обеспечивали перехваченную связь в прямом эфире». En clair означает «на простом языке» и, следовательно, может интерпретироваться как означающее «расшифровано».

В каких странах пользователи шифрования должны расшифровывать данные в правоохранительных целях?

Аналогичная картина наблюдается, когда мы смотрим на правоохранительные органы запрашивать ключи дешифрования или расшифрованные данные у пользователей зашифрованных услуг / продуктов.

Законы, как правило, охватывают связь или доступ к компьютерам, требуя, чтобы те, у кого есть ключ, передавали его правоохранительным органам по запросу или помогали им в процессе дешифрования.

Опять же, в некоторых странах нет конкретных законов, но есть неоднозначные законы. В других случаях страны могут больше полагаться на поставщиков услуг в передаче данных, например, в Соединенных Штатах, где ни один закон прямо не предоставляет правоохранительным органам право требовать от пользователей передачи расшифрованных данных / ключей.

В конечном счете, получение «черного хода» доступа к данным поставщиков шифрования — это самый простой способ получить доступ к зашифрованным данным, поэтому вызывающее беспокойство количество стран пытается внедрить такие меры. Это включает в себя:

В каких странах требуются лицензии на производство или производство услуг / продуктов для шифрования?

Во многих странах Африки, Ближнего Востока и Азии существуют серьезные лицензионные требования. Это означает, что большинство продавцов или производителей продуктов криптографии должны получить лицензию перед распространением. Франция также предъявляет такое требование к любому лицу, желающему предоставлять услуги криптографии, необходимо заявить об этом премьер-министру.

Некоторые страны, например Турция, Эфиопия, Тунис и Мали, имеют некоторые лицензионные требования, но не требуют, чтобы все поставщики криптографических услуг получали лицензию. Например, в Тунисе любой бизнес, импортирующий криптографические продукты для личного (или временного) использования, не требует лицензии.

Ряд стран также приняли законы, которые позволяют соответствующим министерствам устанавливать лицензионные требования для услуг криптографии, но, похоже, пока что ничего не внедрили. Это включает Багамы и Барбадос.

В каких странах действуют ограничения на импорт / экспорт криптографических услуг / продуктов?

Гораздо большее количество стран имеет какие-то ограничения, когда дело доходит до импорта и / или экспорта продуктов криптографии (или продуктов, содержащих криптографию, но не только для целей шифрования). В большинстве случаев для этого требуется, чтобы компания зарегистрировала свою компанию и продукт в назначенном агентстве в стране, в которую они импортируют или экспортируют. Это также может включать некоторые технические характеристики.

Довольно много стран с масштабными требованиями к лицензиям на криптографию также налагают серьезные ограничения на импорт и экспорт этих продуктов.

Например, для стран Евразийского экономического союза (ЕАЭС) — Армении, Беларуси, Казахстана, Кыргызстана и России — требуется лицензия на импорт / экспорт, разрешение и регистрация уведомления, а также анализируются различные вещи, включая список криптографические алгоритмы, максимальная длина ключа, список реализуемых протоколов, способ использования шифрования, тип данных и способ шифрования данных.

Подавляющее большинство стран с таможенным законодательством ограничивают экспорт криптографических продуктов и / или ограничивают импорт из указанных стран. Многие из них являются частью Вассенаарского соглашения (полный список см. В разделе о методологии) и / или регулируются законодательством ЕС. Те, кто подписал Вассенаарское соглашение :

  • Согласились поддерживать национальный экспортный контроль в отношении определенных товаров, например, криптографических услуг.
  • Согласились сообщать о передаче и отказе в доставке определенных контролируемых товаров в пункты назначения за пределами Соглашения
  • Обмен информацией о чувствительных товарах и технологиях двойного назначения

Опять же, в ряде стран действуют законы, которые позволят им устанавливать требования к импорту / экспорту криптографических продуктов, но, похоже, еще ничего не принято.

В каких странах нет «исключения для личного пользования» для тех, кто путешествует с зашифрованными ноутбуками?

Помимо введения ограничений на импорт / экспорт для предприятий, предлагающих услуги шифрования, в некоторых странах также есть четкие ограничения для тех, кто путешествует с зашифрованными ноутбуками. Напротив, некоторые страны, участвующие в Вассенаарском соглашении, предлагают путешественникам «исключение для личного пользования».

Обратите внимание: несмотря на то, что в вышеуказанных странах предлагаются четкие ограничения / исключения, поездки в другие страны могут быть ограничены или нет. Всегда лучше уточнять страну, в которую вы едете, заранее, независимо от того, являются ли они частью соглашения.

Методология

Чтобы определить действующие законы по каждой категории, мы проанализировали различные законодательные акты в каждой стране. Сюда входят уголовно-процессуальные кодексы, законы о киберпреступности, законы о связи / телекоммуникации, законы о перехвате / слежении и любые другие соответствующие указы, законы, законы или постановления.

Мы сосредоточились исключительно на законодательных полномочиях / распоряжениях и тех, которые в первую очередь затрагивают поставщиков услуг связи, интернет-провайдеров или данные, хранящиеся на компьютерах или доступные через них.

В стране может не быть такого законодательства или может казаться, что в стране действуют меры защиты, но на практике картина может быть иной. Однако, чтобы не быть субъективными в наших результатах, мы использовали только то, что «законно» разрешено в каждой стране. Как уже упоминалось, мы также рассмотрели законодательство, которое можно толковать как охватывающее шифрование, даже если оно конкретно не упоминается. В этих случаях мы искали двусмысленные формулировки, такие как требования сделать данные «понятными», или мы нашли примеры поставщиков телекоммуникационных услуг, например, Vodafone, которые интерпретировали закон, предполагая, что они полагают, что правоохранительные органы могут потребовать расшифровать данные внутри страны.

Если ничего не найдено, мы исключили страну из результатов. Отсутствие законодательства может свидетельствовать об отсутствии ограничений / правоохранительных полномочий, но для точности мы не включили эти страны.

Источники

Полный список источников см. В нашей таблице: https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. ПринимаюПодробнее