¿El nuevo proyecto de ley australiano de telecomunicaciones permitirá a las empresas forzar la funcionalidad de espía en su software?

1

De acuerdo con enlace se podría requerir que las empresas mejoren Su software para permitir el espionaje. Ellos harían cumplir esto a través de un "técnico aviso de capacidad ".

Sin embargo, en la Sección 317ZG (p.84) no deben ser obligados a construir "debilidades sistémicas". ¿Cuál es la diferencia aquí?

El cambio de software para permitir el espionaje conduce a un sistema débil, ¿o no?

Nota: esto no es específicamente sobre el cifrado. Esto se trata por separado en la factura.

    
pregunta Marcel 14.12.2018 - 11:02
fuente

1 respuesta

2

Nadie sabe.

Las partes relevantes de la factura:

317ZG:

  

(1) Una solicitud de asistencia técnica, aviso de asistencia técnica o técnica   El aviso de capacidad no debe tener el efecto de:

     

(a) solicitar o requerir que un proveedor de comunicaciones designado   implementar o construir una debilidad sistémica, o una vulnerabilidad sistémica, en una forma de protección electrónica; o

     

(b) evitar que un proveedor de comunicaciones designado rectifique una debilidad sistémica, o una vulnerabilidad sistémica, en una forma de protección electrónica.

     

(2) La referencia en el párrafo (1) (a) para implementar o construir una debilidad sistémica, o una vulnerabilidad sistémica, en una forma de protección electrónica incluye una referencia a   implementar o construir una nueva capacidad de descifrado en relación con una forma de protección electrónica.

     

(3) La referencia en el párrafo (1) (a) para implementar o crear una debilidad sistémica, o una vulnerabilidad sistémica, en una forma de protección electrónica incluye una referencia a una o más acciones que harían que los métodos sistémicos de autenticación o cifrado menos efectivo.

     

...

     

Para los fines de los incisos (4A) y (4B), un acto o cosa puede, o es probable que, ponga en peligro la seguridad de la información si el acto o la cosa crea un riesgo importante de que de otra manera la información segura puede ser accesada por un tercero no autorizado.

Por lo tanto, no se puede forzar a una empresa a romper un algoritmo de cifrado, o introducir una vulnerabilidad que afecte a todos por igual. Pero ...

317B:

  

vulnerabilidad sistémica significa una vulnerabilidad que afecta a toda una clase de tecnología, pero no incluye una vulnerabilidad que se introduce selectivamente en una o más tecnologías objetivo que están conectadas con una persona en particular. Para este propósito, es irrelevante si la persona puede ser identificada.

     

debilidad sistémica significa una debilidad que afecta a toda una clase de tecnología, pero no incluye una debilidad que se introduce selectivamente en una o más tecnologías objetivo que están conectadas con una persona en particular. Para este propósito, es irrelevante si la persona puede ser identificada.

Pueden ser obligados a romper el cifrado utilizado por una persona específica, o introducir una vulnerabilidad en el cifrado como lo utiliza una persona específica.

Depósito de claves podría considerarse una tecnología que cumple ambos criterios, aunque conlleva el riesgo de que las claves almacenadas puedan Robado por un tercero no autorizado. Depende de los tribunales decidir si esto constituye un "riesgo material". Existen otras técnicas que involucran la instalación de puertas traseras para todos y luego solo la activación de una puerta trasera en particular, pero conllevan el mismo riesgo que el depósito de claves, más el riesgo adicional de un descubrimiento independiente de la puerta trasera. Una vez más, esto es algo que los tribunales tendrán que resolver.

    
respondido por el Mark 15.12.2018 - 02:37
fuente

Lea otras preguntas en las etiquetas