La nuova bolletta di telecomunicazione australiana consentirà alle aziende di costringere le aziende a sviluppare funzionalità di spionaggio nei loro software?

1

In base al link potrebbero essere necessarie società per migliorare il loro software per consentire lo spionaggio. Avrebbero fatto rispettare questo tramite un "tecnico" avviso di capacità ".

Tuttavia, nella Sezione 317ZG (p.84) non dovrebbero essere costretti a costruire "debolezze sistemiche". Qual è la differenza qui?

La modifica del software per consentire lo spionaggio porta a un sistema debole o no?

Nota: non si tratta in particolare della crittografia. Questo è coperto separatamente nel conto.

    
posta Marcel 14.12.2018 - 11:02
fonte

1 risposta

2

Nessuno lo sa.

Le parti rilevanti della fattura:

317ZG:

(1) A technical assistance request, technical assistance notice or technical capability notice must not have the effect of:

(a) requesting or requiring a designated communications provider to implement or build a systemic weakness, or a systemic vulnerability, into a form of electronic protection; or

(b) preventing a designated communications provider from rectifying a systemic weakness, or a systemic vulnerability, in a form of electronic protection.

(2) The reference in paragraph (1)(a) to implement or build a systemic weakness, or a systemic vulnerability, into a form of electronic protection includes a reference to implement or build a new decryption capability in relation to a form of electronic protection.

(3) The reference in paragraph (1)(a) to implement or build a systemic weakness, or a systemic vulnerability, into a form of electronic protection includes a reference to one or more actions that would render systemic methods of authentication or encryption less effective.

...

For the purposes of subsections (4A) and (4B), an act or thing will, or is likely to, jeopardise the security of information if the act or thing creates a material risk that otherwise secure information can be accessed by an unauthorised third party.

Quindi, un'azienda non può essere costretta a violare un algoritmo di crittografia o introdurre una vulnerabilità che colpisce tutti allo stesso modo. Ma ...

317B:

systemic vulnerability means a vulnerability that affects a whole class of technology, but does not include a vulnerability that is selectively introduced to one or more target technologies that are connected with a particular person. For this purpose, it is immaterial whether the person can be identified.

systemic weakness means a weakness that affects a whole class of technology, but does not include a weakness that is selectively introduced to one or more target technologies that are connected with a particular person. For this purpose, it is immaterial whether the person can be identified.

Possono essere costretti a violare la crittografia utilizzata da una persona specifica o introdurre una vulnerabilità nella crittografia utilizzata da una persona specifica.

Key escrow potrebbe essere considerato una tecnologia che soddisfa entrambi i criteri, sebbene possa comportare il rischio che le chiavi memorizzate possano essere rubato da una terza parte non autorizzata. Spetta ai tribunali decidere se questo costituisce un "rischio materiale". Esistono altre tecniche che implicano l'installazione di backdoor per tutti e quindi l'attivazione di una particolare backdoor, ma comportano lo stesso rischio del key escrow, oltre al rischio aggiuntivo di scoperta indipendente della backdoor. Ancora una volta, questo è qualcosa su cui i tribunali dovranno decidere.

    
risposta data 15.12.2018 - 02:37
fonte

Leggi altre domande sui tag