| 5 августа 2021 г. — 6:22 утра по тихоокеанскому времени
Сегодня утром поступил отчет о том, что Apple собирается объявить о начале сканирования iPhone на предмет изображений с использованием материалов о жестоком обращении с детьми. Обновление: Apple позже подтвердила эту информацию.
Метод, который, как ожидается, будет использовать Apple, призван максимизировать конфиденциальность, но ранее мы отмечали, что есть ряд способов, которыми это может пойти очень плохо…
Обновление: В объявлении Apple говорится, что для выявления проблемы потребуется несколько совпадений изображений, что смягчает первые два риска, описанные ниже.
Проблемы с отпечатками CSAM
Криптограф Университета Джонса Хопкинса Мэтью Грин описал некоторые проблемные аспекты сканирования отпечатков материалов, связанных с сексуальным насилием над детьми (CSAM).
Ложные срабатывания
Отпечатки CSAM намеренно не являются абсолютно точными. Если бы они обнаруживали только точную копию изображения, то все, что нужно было бы сделать, — это обрезать изображение на один пиксель, чтобы файл больше не соответствовал отпечатку.
По этой причине отпечатки спроектированы таким образом, чтобы они могли обнаруживать изображения и видео, которые были обрезаны, изменены в размере, повернуты и так далее. По определению, это означает, что отпечатки являются «нечеткими» и иногда могут маркировать совершенно невинные файлы. Это создает две проблемы.
Во-первых, даже если все, что произойдет, это то, что кто-то в Apple — или независимый контролирующий орган — просмотрит фотографию или видео и объявит его невиновным, нарушение конфиденциальности уже произошло. Потенциально очень личная фотография или видео были просмотрены третьей стороной.
Во-вторых, и это более тревожно, даже подозрение в таком серьезном правонарушении может вызвать серьезные сбои в жизни человека. Телефоны, планшеты и компьютеры могут быть изъяты и не возвращены в течение значительного времени. Если кто-нибудь узнает, что полиция ведет расследование, это может поставить под угрозу работу, отношения и репутацию человека — даже если позже он будет признан полностью невиновным.
Коллизионные атаки
Мы уже отмечали, что невинные изображения иногда могут случайно совпадать с отпечатками CSAM, но Грин ссылается на статью, в которой указывается, что вполне возможно намеренно создавать изображения, которые будут генерировать совпадающий хэш.
Человек, желающий создать проблемы своему врагу, может договориться о том, чтобы ему отправили безобидные на вид материалы — которые могут совсем не походить на проблемную фотографию — которые совпадают с известными отпечатками CSAM. Это затем подвергает цель всем только что описанным рискам.
Злоупотребление авторитарными правительствами
Цифровой отпечаток может быть создан для любого типа материала, а не только для CSAM. Что помешает авторитарному правительству добавлять в базу данных изображения плакатов политических кампаний или тому подобное?
Таким образом, инструмент, разработанный для борьбы с серьезными преступниками, может быть легко адаптирован для обнаружения тех, кто выступает против правительства или одной или нескольких его политик.
Apple, которая будет получать базу данных отпечатков от правительств, окажется невольно соучастницей репрессий или чего-то худшего в отношении политических активистов.
Потенциальное расширение на обмен сообщениями
В настоящее время этот тип отпечатков используется в основном для изображений — фотографий и видео. Но тот же подход может быть легко использован для сопоставления конкретного текста. Именно так проверяется большинство паролей: сервер не хранит ваш фактический пароль, а скорее его хэшированную версию. То есть цифровой отпечаток.
Здесь подход Apple к проверке отпечатков на вашем устройстве на самом деле может превратить силу конфиденциальности в уязвимость конфиденциальности.
Если вы используете службу обмена сообщениями со сквозным шифрованием, такую как iMessage, Apple не может видеть содержимое этих сообщений. Если правительство приходит с судебным ордером, Apple может просто пожать плечами и сказать, что не знает, что было сказано.
Но если правительство добавит отпечатки для типов текста — скажем, дата, время и место проведения запланированного протеста — оно сможет легко создать базу данных политических противников.
Конфиденциальность — это всегда баланс
Все общества решили, что 0% конфиденциальности и 100% конфиденциальности — это плохие идеи. Разница между ними заключается в точке, которую они выбирают на шкале между этими двумя.
Например, Четвертая поправка защищает конфиденциальность граждан США от произвольных обысков со стороны полицейских их личности, транспортного средства или дома. Однако она также устанавливает ограничения на это право на конфиденциальность. Полицейский, имеющий разумные основания подозревать, что вы совершили преступление, и что доказательства могут быть найдены в вашем доме, например, может попросить судью выдать ордер на обыск — и тогда обыск будет законным. Без этого исключения никогда не было бы возможно войти в дом, чтобы найти украденное имущество или жертву похищения.
Найти правильный баланс между индивидуальным правом на конфиденциальность, с одной стороны, и способностью правоохранительных органов выявлять и преследовать преступления, с другой, может быть чрезвычайно сложно. Это особенно трудно, когда речь идет о двух «горячих» темах — жестоком обращении с детьми и терроризме.
Мы сталкиваемся с теми же проблемами в отношении цифровой конфиденциальности, что и в отношении физической конфиденциальности. Apple, заняв твердую позицию в отношении конфиденциальности и используя это как маркетинговый инструмент, поставила себя в особенно щекотливое положение, когда дело доходит до поиска этого баланса.
Apple должна ходить по канату конфиденциальности
Грин признает, что Apple может принять меры предосторожности. Например, компания может захотеть создавать свои собственные отпечатки из исходных изображений и может отклонить любое предложение сканировать текстовые сообщения. Но это развитие событий, несомненно, создает риски для невинных пользователей.
Это еще один пример каната конфиденциальности, по которому приходится идти Apple. Например, компания упорно отказывалась создавать какие-либо правительственные бэкдоры в iPhone и использует сквозное шифрование как для iMessage, так и для FaceTime. Но резервные копии iCloud не используют сквозное шифрование — поэтому, если правительство приходит с судебным ордером, Apple может передать любые данные, сохраненные в iCloud, а это большая часть личных данных на телефоне.
Apple могла бы легко использовать сквозное шифрование для резервных копий iCloud, но предпочитает этого не делать, что, я уверен, является тщательно рассчитанным решением. Компания считает, что это защищает большинство пользователей — поскольку у компании есть надежные внутренние меры безопасности, и она передает данные только по решению суда — и в то же время ограничивает давление со стороны правительств. Это прагматичная позиция, которая позволяет ей сотрудничать с правоохранительными органами, сохраняя при этом возможность говорить, что ее устройства безопасны.
Возможно ли сквозное шифрование для резервных копий iCloud?
Сильный акцент Apple на конфиденциальности означает, что отсутствие сквозного шифрования для резервных копий iCloud выглядит все более аномальным — особенно в Китае, где государственная компания имеет доступ к серверам, на которых хранятся резервные копии.
Таким образом, одна из возможностей заключается в том, что это первый шаг к новому компромиссу со стороны Apple: она осуществляет будущий переход к сквозному шифрованию для резервных копий iCloud — включая фотографии и видео — но также создает механизм, с помощью которого правительства могут сканировать библиотеки фотографий пользователей. И, потенциально, сообщения тоже.
Каково ваше мнение? Правильно ли Apple выбрала такой подход к сканированию изображений с использованием материалов о жестоком обращении с детьми, или это опасный путь? Пожалуйста, примите участие в нашем опросе и поделитесь своими мыслями в комментариях.
Фото: Pietro Jeng/Unsplash