Это старая редакция страницы Библиотека / Статьи / Certified Lies / Compelled Assitance за 30/03/2010 11:15.
4. Сотрудничество по принуждению
Many governments routinely compel companies to
assist them with surveillance. Telecommunications
carriers and Internet service providers are frequently
required to violate their customers' privacy — providing the government with email communications,
telephone calls, search engine records, financial
transactions and geo-location information.
Многие правительства запросто принуждают компании для того чтобы те помогали им в слежке. От телекоммуникационных служб и провайдеров интернета часто требуют нарушать приватность пользователей — предоставляя властям сообщения электронной почты, телефонные звонки, записи обращений к поисковым сервисам, данные о финансовых транзакциях и геоположении.
the range of entities that can be compelled to assist in electronic surveillance by law enforcement 6
В США законными актами определён перечень субъектов, которые могут быть принуждены к сотрудничеству в электронной слежке для органов охраны правопорядка
electronic communication under this chapter shall [. . . ] direct
that a provider of wire or electronic communication service,
landlord, custodian or other person shall furnish the applicant
forthwith all information, facilities, and technical assistance
necessary to accomplish the interception unobtrusively and
with a minimum of interference with the services that such
service provider, landlord, custodian, or person is according
the person whose communications are to be intercepted." See:
18 U.S.C. §2518(4).
Ордер, дающий полномочия для перехвата коммуникаий по проводам, эдектронным системам или в устном виде в этой главе должен [...] указывать на провайдера проводного или электронного коммуникационного сервиса, владельца, контролирующего или другое лицо в экстренном порядке снабжающее заявителя всей информацией, возможностями и технической помощью, необходимой для выполнения перехвата незаметным образом и с минимумом помех для сервисов, поставляемых таким провайдером, владельцем, управляющим или лицом, чьи коммуникации подвергаются перехвату См.:
18 U.S.C. §2518(4).
and foreign intelligence investigators 7
или расследований по запросам резведслужб
section shall direct [. . . ] a specified communication or other
common carrier, landlord, custodian, or other specified per-
son [. . . ] furnish the applicant forthwith all information, fa-
cilities, or technical assistance necessary to accomplish the
electronic surveillance in such a manner as will protect its
secrecy and produce a minimum of interference with the ser-
vices that such carrier, landlord, custodian, or other person
is providing that target of electronic surveillance." See: 50
U.S.C. §1805©(2)(B).
См.: U.S.C. §1805©(2)(B).
are remarkably broad.8
и в значительно более широких случаях
can and have been compelled to violate their customers' pri-
vacy can be found in [17].
Обширный обзор способов, которыми технологичные фирмы могут быть принуждаемы к нарушению прав своих пользователей на приватность можно найти в [17].
Examples of compelled assistance using these statutes include a secure email provider
that was required to place a covert back door in
its product in order to steal users' encryption keys
[2], and a consumer electronics company that was
forced to remotely enable the microphones in a suspect's auto-mobile dashboard GPS navigation unit
in order to covertly record their conversations [18].
Примеры вынужденного сотрудничества по этим актам вклюают провайдера электронной, обещавшего защиту, которого вынудили поставить скрытый бэкдор в свой продукт в целях кражи пользовательских ключей шифрования [2], и компанию бытовой электроники, которую силовым путём заставили сделать доступными для удалённого включения микрофоны в устройствах навигационных GPS-панелей подозреваемых для того чтобы скрытно записывать их разговоры [18].
even less important. The Chinese government, for
example, has repeatedly compelled the assistance
of telecommunications and technology companies in
assisting it with its surveillance efforts [19, 20].
За пределами США и других демократических стран специфические законодательные постановления могут играть даже менее важное значение. Правительство Китая, например регулярно принуждает к сотрудничеству телекоммуникационные и технологические компании для помощи в мерах по организации слежки [19, 20].
be forced to assist governments in their surveillance
efforts, so too can SSL certificate authorities. The
compel led certificate creation attack is thus one in
which a government agency requires a domestic certificate authority to provide it with false SSL certificates for use in surveillance.
simple, and do not require extensive explanation.
9
Поскольку телефонные компании и провайдеры электронной почты могут быть принуждены к сотрудничеству с властями в их мерах по слежке, это также верно и для удостоверяющих центров SSL-сертификатов. Атака с помощью создания сертификатов по принуждению — это когда правительственные агентства требуют местные удостоверяющие центры предоставить им фальшивый SSL сертификат для использования в слежке. Технические детали этой атаки шикирующе просты и не требуют обширних пояснений.
compelling such CA assistance would almost certainly rely on
the assistance provisions highlighted earlier. However, it is
unclear if such compelled assistance would be lawful, due to
the fact that it would interfere with the CA's ability to provide identity verification services. Such compelled assistance
would also raise serious First Amendment concerns, due to
to the fact that the government would be ordering the CA to
affirmatively lie about the identity of a certificate recepient.
Легальные основания, связанные с таким типом помощи по принуждению значительно более сложны. Любое правительственное агентство США, принуждающее таким образом УЦ к сотрудничеству, должно конечно полагаться большей частью на условия, отмеченные нами ранее. Однако, неясно, насколько будет такое вынужденное сотрудничество законным для самих УЦ, поскольку оно противоречит обязанностям по предоставлению сервиса проверки идентичнсоти. Такое сотрудничество по принуждению также вызывает серьёзные опасения по поводу Первой Поправки, по фактц того, что американские власти будут приказывать УЦ фабриковать заведомо лживые данные по поводу идентичнсоти получателя сертификата.
Each CA already has an infrastructure in place with
which it is able to issue SSL certificates. In this compelled assistance scenario, the CA is merely required
to skip the identity verification step in its own SSL
certificate issuance process.
Каждый УЦ уже имеет развёрнутую инфраструктуру при помощи которой он способен выпускать SSL сертификаты. В сценарии с принуждением к сотрудничеству, от УЦ требуется всего лишь пропустить шаг проверки идентичности в своём процессе выпуска сертификатов.
a specific certificate for each website to be spoofed,
or, more likely, the CA can be forced to issue a intermediate CA certificate that can then be re-used an
infinite number of times by that government agency,
without the knowledge or further assistance of the
CA.
В случаях принуждения УЦ к сотрудничеству, правительственное агентство может каждый раз требовать от УЦ выпустить сертификат специфичный для подмены каждого из определённых вэбсайтов, или более вероятно, УЦ может быть принуждён к выпуску промежуточного сертификата, который затем может быть многократно использован правительственным агентством без знания и дальнейшей помоши со стороны УЦ.
US National Security Agency (NSA) can compel
VeriSign to produce a valid certificate for the Commercial Bank of Dubai (whose actual certificate is
issued by Etisalat, UAE), that can be used to perform an effective man-in-the-middle attack against
users of all modern browsers.
В гипотетичнском примере тако атаки американское агентство национальной безопасности (АНБ) может вынудить VeriSign выпустить достоверный сертификат для коммерческого банка Дубая (текущий сертификат которого выпущен Etisalat, ОАЕ), что может быть использовано для эффективной атаки человека-посредине против всех современных браузеров.
Назад | Оглавление | Дальше