Surveillance-technologie: kan cryptografie helpen bij het voorkomen van staatsbewaking Dystopia?

We weten heel weinig over hoeveel privégegevens door technische bedrijven zoals Google en Facebook aan rechtshandhavingsinstanties zijn overgedragen, en dat is gedeeltelijk door het ontwerp. Sommige strafzaken zouden immers uiteenvallen als we te veel zouden weten over hoe hun gegevensuitwisseling werkt en het systeem zou kunnen spelen.

Maar hoe weinig weten we echt? Google ontving 27.850 aanvragen voor gegevens met in totaal 57.392 gebruikersaccounts. In datzelfde jaar werd Microsoft onderworpen aan 9.907 verzoeken gericht aan 24.288 accounts. Deze cijfers zijn alarmerend, maar ze bedragen ook bijna alles wat het publiek weet over hoe de Amerikaanse overheid momenteel haar macht gebruikt om gegevens aan te vragen krachtens de Electronic Communications Privacy Act (ECPA). In feite zijn dit zelfs geen overheidscijfers; ze komen rechtstreeks uit Google en Microsofts eigen vrijwillige transparantierapporten.

"Het is volkomen redelijk voor overheidsfunctionarissen om een ​​bepaald niveau van geheimhouding te willen, zodat ze hun taken kunnen uitvoeren zonder angst voor inmenging van degenen die onder onderzoek staan", zei Jonathan Frankle, een onderzoeker bij MIT's Computer Science and Artificial Intelligence Laboratory (CSAIL), in een verklaring. "Maar die geheimhouding kan niet permanent zijn … Mensen hebben het recht om te weten of hun persoonlijke gegevens zijn gebruikt, en op een hoger niveau hebben wij als publiek het recht om te weten hoeveel toezicht er gaande is."

Frankle en anderen bij CSAIL hopen een werkende oplossing voor dit probleem te vinden, één opgebouwd rond dezelfde cryptografische sleutels en grootboeken die worden gebruikt voor het authenticeren van gecodeerde e-mails en bitcoin-transacties. Het systeem dat ze hebben ontwikkeld, genaamd AUDIT (voor de "Verantwoording van niet-vrijgegeven gegevens voor verbeterde transparantie"), zal volgende week worden gepresenteerd op de USENIX Security-conferentie in Baltimore.

Zo werkt het: wanneer een rechter een geheime rechterlijk bevel uitvaardigt of een politie-onderzoeker een technologiebedrijf om gegevens vraagt, wordt die actie gecombineerd met een reeks openbaar beschikbare cryptografische meldingen, vergelijkbaar met de openbare PGP-sleutels waarmee individuen versleuteld kunnen verzenden e-mails met elkaar. Deze "cryptografische verplichting" is wiskundig verbonden met de genomen gerechtelijke stappen en later met de gegevens die door de technische bedrijven aan de overheidsinstantie zijn verstrekt. Het resultaat is dat, uiteindelijk, wanneer deze geheime rechtbankverslagen openbaar worden gemaakt, ze kunnen worden vergeleken met het cryptografische grootboek om te bevestigen dat deze geheime activiteiten van het ministerie van Justitie zich aan de buitenzijde bevinden en de betrokken ambtenaren deden wat ze zeiden dat ze aan het doen waren.

AUDIT heeft ook nog een ander groot voordeel. De voortdurende upload van acties in het openbaar register van cryptografische verplichtingen stelt waakhondgroepen in staat om politiek belangrijke statistische informatie uit het rechtssysteem te halen over hoe het gerechtelijk apparaat en de wetshandhaving persoonlijke gebruikersgegevens gebruiken. Bijvoorbeeld, welke rechters geven de meeste orders uit onder ECPA? Welke soorten strafrechtelijke onderzoeken veroorzaken de meeste van deze gerechtelijke bevelen en van welke bedrijven?

De hoop, zoals Frankle het uitlegde MIT Nieuws, is het genereren van geloofwaardige transparantieverslagen van het Amerikaanse rechtssysteem, vergelijkbaar met de eigen technologie van de Amerikaanse industrie, zonder afbreuk te doen aan belangrijke lopende strafzaken.

Stephen William Smith, een federale magistraat rechter voor het zuidelijk district van Texas die heeft geschreven over de ECPA-rol voor de Harvard Law & Policy Review, deelt de verwachtingen van Frankle voor wat AUDIT zou kunnen bereiken.

"Mijn hoop is dat, zodra deze proof of concept werkelijkheid wordt, de rechtbankbeheerders de mogelijkheid zullen omarmen om het publiek toezicht te vergroten, terwijl de noodzakelijke geheimhouding wordt bewaard," zei Smith in een verklaring. "De lessen die hier worden geleerd, zullen ongetwijfeld de weg effenen voor meer verantwoording voor een bredere klasse van geheime informatieprocessen, die een kenmerk zijn van ons digitale tijdperk."