Australische wet tegen encryptie zit volgens VN vol met fouten

In Australië wilde de overheid een nieuwe wet, genaamd ‘Assistance and Access Bill’, invoeren. Met die wet moesten uitdagingen die de politie tegenkomt bij het gebruik van encryptie adresseren. Maar een speciale rapporteur van de Verenigde Naties (VN) heeft nu opgeroepen om die wet aan de kant te zetten, meldt ZDNet.

Volgens de nieuwe wet konden Australische overheidsinstanties drie soorten mededelingen doen. Het gaat om een Technical Assistance Notice (TAN), wat verplichte mededelingen zijn voor een communicatieprovider, waarmee de provider gebruik moet maken van de aftapmogelijkheid die ze al hebben.

Daarnaast is er de Technical Capability Notice (TCN), waarmee een communicatieprovider een nieuwe onderscheppingsmogelijkheid moet maken, zodat het aan latere TAN’s kan voldoen.

Tot slot is er het Technical Assistance Request (TAR), die niet verplicht is. Maar deze mededeling heeft geen restricties, die de eerste twee wel hebben. Zo hoeft er geen openbare controle plaats te vinden, en mogen er systematische kwetsbaarheden in een systeem geïmplementeerd worden wat met de andere twee niet mag.

Kritiek

“De Assistance and Access Bill is waarschijnlijk niet werkbaar in sommige aspecten, en is bij andere aspecten een onnodige inbraak op basisvrijheden”, aldus Joseph Cannataci in een brief aan het committee voor beveiliging van de VN. “De doelstellingen ervan rechtvaardigen geen gebrek aan rechterlijk toezicht, onafhankelijke monitoring of het uiterst verontrustende gebrek aan transparantie.”

Volgens Cannataci is de wet een voorbeeld van een “slecht bedachte maatregel voor nationale veiligheid, die net zo waarschijnlijk is om beveiliging het gevaar te brengen als dat het dat niet is”. Ook is het niet waarschijnlijk dat het de doelstellingen kan behalen zonder kwetsbaarheden te introduceren.

Zo vraagt stelt hij dat het “extreem twijfelachtig” is of toegang tot versleutelde content te beperken is tot slechts één apparaat. “Er zijn technische zorgen om de aanname dat het mogelijk is om een kwetsbaarheid tot één apparaat of apparaten die geassocieerd zijn met één persoon te beperken.”

“De overtuiging is dat het uiteindelijk impact heeft op alle gebruikers van dat product en resulteert in een zwakkere beveiliging voor iedereen.”