Övervakningsteknik: Kan kryptografi hjälpa till att undanröja statlig övervakningsdystopi?

Vi vet väldigt lite om hur mycket privat data har överlämnats till brottsbekämpning av tekniska företag som Google och Facebook, och det är delvis av design. När allt kommer omkring skulle vissa brott falla ifrån varandra om vi visste för mycket om hur deras datadeling fungerar och kan spela systemet.

Men hur lite vet vi verkligen? Google mottog 27.850 förfrågningar om data som involverade 57.392 av användarens konton 2016. Samma år underkastades Microsoft 9 907 förfrågningar riktat till 24 288 konton. Dessa siffror är alarmerande, men de motsvarar också nästan allt som allmänheten vet om hur den amerikanska regeringen för närvarande utnyttjar sin befogenhet att begära data enligt lagen om elektronisk kommunikation (ECPA). Faktum är att dessa inte ens är regeringstal; De kommer direkt från Google och Microsofts egna frivilliga insynsrapporter.

"Det är helt rimligt att regeringstjänstemän vill ha en viss grad av sekretess, så att de kan utföra sina uppgifter utan rädsla för störningar från dem som är under utredning", säger Jonathan Frankle, en forskare vid MIT: s datavetenskap och artificiella intelligenslaboratorium (CSAIL) i ett påstående. "Men denna sekretess kan inte vara permanent … Människor har rätt att veta om deras personuppgifter har nåts, och på högre nivå har vi som allmänhet rätt att veta hur mycket övervakning som pågår."

Frankle och andra hos CSAIL hoppas kunna hitta en arbetslösning för detta problem, en byggd kring samma kryptografiska nycklar och ledgers som används för att verifiera krypterade e-post och bitcoin-transaktioner. Systemet som de har utvecklat, kallat AUDIT (för "Ansvar för oleveranserade data för förbättrad öppenhet") kommer att presenteras vid USENIX Security Conference i Baltimore nästa vecka.

Så här fungerar det: När en domare utfärdar en hemlig domstolsordning eller några polisutredare frågar ett tekniskt företag för data, kombineras den här åtgärden med en serie allmänt tillgängliga kryptografiska meddelanden, som liknar de offentliga PGP-nycklarna som tillåter individer att skicka krypterade e-post till varandra. Detta "kryptografiska åtagande" är matematiskt knutet till den rätta handling som vidtagits, och senare till de data som de tekniska företagen ger till myndigheten. Resultatet är att så småningom när dessa hemliga domstolsrekord publiceras kan de kontrolleras mot den kryptografiska huvudboken för att bekräfta att dessa hemliga rättsliga avdelningsaktiviteter är överbord och de berörda tjänstemänna gjorde vad de sa att de gjorde.

AUDIT har också en annan stor fördel. Den ständiga uppladdningen av åtgärder till den offentliga ledaren av kryptografiska åtaganden gör att vaktgrupper kan dra politiskt viktig statistisk information ur domstolssystemet om hur rättssystemet och brottsbekämpningen använder privata användardata. Till exempel, vilka domare utfärdar de flesta beställningarna enligt ECPA? Vilka typer av brottsutredningar gör det mesta av dessa domstolsbeställningar och från vilka företag?

Förhoppet, som Frankle förklarade det för MIT News, är att skapa trovärdiga insynsrapporter från det amerikanska domstolssystemet, jämförbart med teknikindustrins egna, utan att äventyra viktiga straffrättsliga ärenden som pågår.

Stephen William Smith, en federal domare för Southern District of Texas som har skrivit om ECPA-docket för Harvard Law & Policy Review, delar Frankles förväntningar på vad AUDIT skulle kunna uppnå.

"Jag hoppas att, när detta bevis på konceptet blir verklighet, kommer domareadministratörer att omfamna möjligheten att förbättra allmänhetens tillsyn medan de behåller nödvändig sekretess," sade Smith i ett uttalande. "Lärdomar här kommer utan tvekan att städa vägen mot ökad ansvarsskyldighet för en bredare klass av hemliga informationsprocesser, som är ett kännetecken för vår digitala tidsålder."