Brookings-Stipendiaten beantworten Fragen zu Apple, dem FBI und Going Dark

Am 23. Februar beantworteten die Brookings-Stipendiaten Susan Hennessey und Benjamin Wittes Fragen zum iPhone-Verschlüsselungsgehäuse von Apple in einem Frag mich was (AMA) Sitzung auf der Forumswebsite Reddit. Anfang dieses Monats weigerte sich Apple, einem Gerichtsbeschluss des FBI nachzukommen, in dem technische Hilfe bei der Umgehung der Sicherheitsmaßnahmen auf einem iPhone eines der San Bernardino-Schützen gefordert wurde. Hennessey und Wittes hatten zuvor über den Fall im Lawfare-Blog geschrieben . Das Folgende ist ein Auszug aus dem AMA: Dem Format von Reddit folgend, werden Antworten eingerückt und der Originaltext bleibt unbearbeitet.





Susan Hennessey



Wir sind Wissenschaftler der Brookings Institution und Herausgeber des nationalen Sicherheitsblogs Lawfare. Wir wissen einiges über die Gesetze, die für die aktuelle Debatte um Verschlüsselung und Going Dark am relevantesten sind. Letzte Woche haben wir einen Artikel über unsere Einschätzung von Apples Widerstand gegen einen kalifornischen Gerichtsbeschluss geschrieben. Es hat viele von euch Gefühle geweckt und einige starke Meinungen hervorgerufen (einige Leute im Internet nannten uns sogar gemeine Namen!). Aber ein Teil unserer Aufgabe ist es, Ideen vorzubringen, damit sie heftig diskutiert und energisch hinterfragt werden können und wir alle klüger werden der Prozess. So hier sind wir. Stellen Sie uns alle Fragen dazu, wie sich das Gesetz auf die Verschlüsselungsrichtlinie und Going Dark oder unseren Artikel bezieht.



Quinnett



Glaubst du, Apple wäre gut gedient gewesen, der Regierung freiwillig zu helfen, dieses spezielle Gerät zu entschlüsseln, anstatt einen Rechtsstreit zu führen und möglicherweise einen schlechten Präzedenzfall zu schaffen? Welche Bedeutung hätte die freiwillige Zusammenarbeit gegenüber einer gerichtlichen Verfügung?



Susan Hennessey



die Entfernung zum Mond

Die freiwillige Einhaltung wäre hier die freiwillige Einhaltung eines von einem Gericht ausgestellten Durchsuchungsbefehls. Ich denke, Apple riskiert, einen schlechten Präzedenzfall zu schaffen, aber ich denke auch, dass es die Sache als Win-Win-Situation betrachtet. Wenn sie vor Gericht verlieren, können sie die Anordnung befolgen, während sie ihren Ruf in der Öffentlichkeit wahren (weil sie sie bekämpft haben), und wenn sie gewinnen, sind sie Verfechter der bürgerlichen Freiheiten. Aber generell verwirkt die freiwillige Befolgung einer Anordnung unter einem Umstand nicht das Recht, die Anordnung zu einem späteren Zeitpunkt anzufechten (genau das, was in EDNY passiert ist).

Benjamin Wittes



Ich bedauere es nicht, dass Apple dagegen ankämpft. Irgendwann muss jemand klären, was die Verpflichtungen des Unternehmens sind. Und die Art und Weise, wie wir dies in unserem System tun, besteht darin, Rechtsstreitigkeiten zu führen. Der Rechtsstreit erfordert, dass sich jemand dem Antrag der Regierung widersetzt. Daher finde ich es sehr gesund, dass wir diese Diskussion sowohl vor Gericht als auch im Kongress führen.



crwcomposer

Sie haben eine Pro-FBI-Haltung eingenommen. Ich kann diese Haltung im Zusammenhang mit einigen Missverständnissen über die involvierte Technologie tatsächlich verstehen.



Es überrascht mich nicht, dass die Technologieunternehmen, die mit der Technologie bestens vertraut sind, Apple weitgehend unterstützen (Führungskräfte von Facebook, Google, Yahoo, Twitter usw.).



Verdammt, sogar Ex-NSA-Chef Hayden steht auf der Seite von Apple.

Ich denke, das Missverständnis liegt darin, dass Apple keine Informationen zurückhält, die sie derzeit besitzen (zumindest im Fall San Bernardino). Um der Anordnung nachzukommen, müsste Apple eine Software entwickeln, die es jedem mit ausreichenden Computerressourcen ermöglicht, das Passwort per Brute Force zu erzwingen. Die Geschichte lehrt uns, dass die Wahrscheinlichkeit groß ist, dass diese Software durchgesickert (Bearbeitung: oder von Angreifern gestohlen) oder sogar heimlich von der Regierung verwendet wird.+



Sie argumentieren, Apple habe sich in diese Lage versetzt, indem es seine Verschlüsselung sicherer gemacht habe. Nun ja. Aber meine Frage ist, was nützt eine unsichere Verschlüsselung? Wenn ein Unternehmen mein Passwort oder meinen Verschlüsselungsschlüssel besitzt, bin ich viel anfälliger. Große Unternehmen werden routinemäßig kompromittiert, entweder durch ausgeklügelte Angriffe oder schlichtes, altes Social Engineering.



Benjamin Wittes

Unternehmen müssen ständig Neues entwickeln, um Meldepflichten und Überwachungsaufträgen nachzukommen. CALEA verlangte von den Telefongesellschaften, ihre Systeme umfassend zu entwickeln, um Garantien zu erleichtern. Der FISA-Änderungsgesetz verlangte die Entwicklung vieler Systeme, um 702 zu erfüllen. Und Banken sind verpflichtet, dem Finanzministerium eine Vielzahl verdächtiger Aktivitäten zu melden – Verpflichtungen, die eine umfassende Entwicklung analytischer Fähigkeiten erforderten. Es ist einfach nichts Neues, von Apple zu verlangen, im Interesse der Compliance etwas Neues zu entwickeln oder rechtmäßige Überwachungsanordnungen zu ermöglichen. Die Frage ist, ob eine unzureichend sichere Verschlüsselung etwas Gutes hat. Ich denke, dort ist.

Quinnett

wo sind die wikinger gereist

CALEA und FAA legen viel genauer fest, welche Art von Unterstützung von einem Unternehmen geleistet werden muss als der Sammelbegriff von AWA. Was ist das einschränkende Prinzip, wenn es eine vernünftige Anfrage ist, ein Unternehmen zu bitten, neue Software zu schreiben?

Benjamin Wittes

Ja, aber wessen Schuld ist DAS? Das FBI würde hier gerne einen gesetzlichen Rahmen haben. Apple ist dagegen. Einer der Vorteile eines Kompromisses könnte darin bestehen, die Grenzen der erforderlichen technischen Hilfe einzuschränken.

Quinnett

Wie immer ist der Kongress schuld. Aber der Grund dafür, dass es keinen gesetzlichen Rahmen gibt, ist, dass es keinen Konsens oder gar keinen Gesetzesvorschlag darüber gibt, wie das aussehen würde. Die Entscheidung des Kongresses, in diesem Bereich nicht tätig zu werden, ist selbst eine legitime politische Option, und ich denke, es ist nicht vernünftig, darin eine Befürwortung der Ausweitung der AWA auf bisher unbekannte Teile zu lesen.

Benjamin Wittes

Richtig, aber in diesem Fall gibt es einen gesetzlichen Rahmen. Der All Writs Act existiert, um in Ermangelung eines anderen Rechtsrahmens zu regeln. Das meinen wir, wenn wir sagen, dass es sich um ein lückenfüllendes Gesetz handelt.

Bokbreath

Der Kongress hat sich entschieden, keine obligatorischen Hintertüren zur Umgehung der Verschlüsselung zu erlassen. Warum ist die Anwendung des All-Writs-Acts zur Umgehung des Kongresses kein Rechtsmissbrauch?

Susan Hennessey

Alle Writs gelten nicht, wenn der Kongress ein Gesetz bejahend verabschiedet hat. Dieses Gesetz kann entweder sagen, was ein Unternehmen tun muss oder was nicht von einem Unternehmen verlangt werden kann, aber das Schweigen des Kongresses hinterlässt die Lücke, die All Writs füllt.

Bokbreath

Ich weiß so viel – was ich wirklich frage, ist, warum die Anwendung eines Gesetzes aus dem 18. Oder anders gefragt, wenn Sie dies vor dem Obersten Gerichtshof argumentieren würden, wie würden Sie darauf antworten?

Benjamin Wittes

Zunächst einmal ist die Tatsache, dass das Gesetz alt ist, nicht wichtig. Die Verfassung ist älter und wir scheinen sie immer noch anzuwenden. Die Frage ist, ob die AWA für eine bestimmte Situation gilt oder nicht, nicht ob sie alt ist. Und wenn es zu alt ist, sollte der Kongress es ändern oder aufheben. Wenn ich vor dem Obersten Gerichtshof stünde, würde ich bestreiten, dass es sich um eine Angelexpedition handelt, und darauf hinweisen, dass es schockierend wäre, dass das FBI nicht das Telefon eines der Schützen verfolgt. Und ich möchte die Dutzende von Fällen erwähnen, in denen der All Writs Act auf Situationen angewendet wurde, die sich nicht ganz von dieser unterscheiden. Es steht dem Kongress frei, dies jederzeit zu ändern. Ich würde dies unterstützen und die Pflichten aller hier klären, aber solange es in den Büchern steht und Ermittlungsnotwendigkeiten bestehen, ist es kaum verwunderlich, dass sich die Regierung darauf beruft.

Lemonlyman87

Politik- und Forensikexperten haben gewarnt, dass Apple, wenn es das neue Betriebssystem, nach dem das FBI verlangt, entwirft und dieses Betriebssystem digital signiert, damit es zum Durchbrechen von Telefonen (in Kombination mit Brute-Force-Angriffen) verwendet werden kann, wahrscheinlich in die Wildnis gerät und von anderen missbraucht werden: http://www.zdziarski.com/blog/?p=5706 https://www.justsecurity.org/29453/apple-vs-fbi-just-once/

Sind Sie mit ihrer Einschätzung der Risiken nicht einverstanden oder glauben Sie, dass das Interesse der Regierung am Zugriff auf dieses und andere Geräte den daraus resultierenden Cybersicherheitsschaden wert ist?

Benjamin Wittes

Es besteht kein Zweifel, dass die optimale Cybersicherheitsregelung darin besteht, keine Cybersicherheitsschwachstellen zu haben. Die Frage ist, ob das im weiteren Sinne das optimale Sicherheitsarrangement ist.

Es gibt keine Königin von England

dein Autor

Gegenwärtig haben wir durch Cyberangriffe so viel mehr zu verlieren als jede andere Nation. Es scheint, als ob es für die wirtschaftliche Sicherheit der USA enorm wäre, wenn es keine Cybersicherheitsschwachstellen gäbe.

Susan Hennessey

Ich gebe also zu, dass diese Risiken theoretisch bestehen und nicht gleich abgetan werden sollten. Aber es ist eine Frage der Abwägung (was ist der Nutzen, wenn Apple Software hat vs. Wahrscheinlichkeit und Konsequenz, dass sie gestohlen und missbraucht wird). Ich denke, Apples Erfolgsbilanz bei der erfolgreichen Aufbewahrung früherer Software, die für den sicheren Zugriff auf Daten entwickelt wurde, spricht viel für die Wahrscheinlichkeit eines Risikos. Ich denke auch, dass wir auf Apples aktenkundige Behauptungen vor Bundesgerichten bezüglich der Möglichkeit warten sollten, diese spezielle Software auf einem anderen Telefon zu verwenden – ich denke, sie sind möglicherweise vorsichtiger in Bezug auf ihre Darstellungen vor einem Richter.

Wie spät ist die Sonnenfinsternis, wo ich lebe?

ElectronTwistor

1) Wissen Sie, was der RSA-Algorithmus ist und/oder wie er funktioniert?

2) Wie viel Wissen haben die Verfasser des Gesetzesentwurfs in Bezug auf Verschlüsselung, Cybersicherheit und Mathematik?

3) Welche Kenntnisse sollten Ihrer Meinung nach die Verfasser eines Gesetzes, einer Schrift oder anderer solcher Vorschläge haben, bevor sie ein technisches Thema erlassen?

4) Ich finde, dass der Ausdruck „going dark“ die Unfähigkeit der Regierung beschreibt, mit dem begrenzten Zugang zu personenbezogenen Daten der Öffentlichkeit umzugehen, insbesondere angesichts des Einflusses von Edward Snowden auf die technologische Gemeinschaft. Stimmen Sie dieser Meinung zu oder nicht und warum?

Benjamin Wittes

1) Ja und nicht über das Verständnis eines allgemeinen Laien für Kryptografie mit öffentlichen Schlüsseln hinaus. 2) Zum jetzigen Zeitpunkt gibt es keinen Gesetzesvorschlag. Diejenigen, die Gesetze schreiben werden, sind Anwälte, keine Technikfreaks, aber sie haben Zugang zu sehr umfangreichen technischen Ressourcen der Bundesregierung. 3) Leute, die Gesetze schreiben, brauchen technische Kenntnisse. Punkt. Ob diese technischen Erkenntnisse von ihnen stammen oder von Personen, mit denen sie eng zusammenarbeiten, ist weniger wichtig. 4) Ich bin anderer Meinung. Aus Sicht der Strafverfolgungsbehörden oder des Geheimdienstes ist es erschreckend, große Plattformen zu haben, auf denen schwere kriminelle Aktivitäten und wichtige außenpolitische Angelegenheiten stattfinden und auf denen die Sichtbarkeit stark beeinträchtigt ist. Und es kann Kernfunktionen, die wir von der Regierung erwarten, verletzen oder deaktivieren.

EvelleSnoats

zu: 4)

Wir haben lange Zeit mit eingeschränkter Sichtbarkeit operiert. Nur aufgrund von Technologieunternehmen wie Apple haben das FBI und andere LEAs Panoptikums aufgestellt, die unsere Sicht auf Sichtbarkeit neu definiert haben. Als das Pendel zu weit in eine Richtung ausschlug, sah Apple die moralische und finanzielle Notwendigkeit, es in die andere Richtung zurückzuschwingen.

Es ist ein Fehler zu glauben, dass jede Kernfunktionalität vom Zugriff auf das Innere dieser Geräte abhängt. Sie sind erst acht Jahre alt.