Surveillance Tech: Kann Kryptographie helfen, staatliche Überwachungsdystopie abzuwenden?

Wir wissen sehr wenig darüber, wie viel private Daten von Technologieunternehmen wie Google und Facebook an die Strafverfolgungsbehörden übergeben wurden, und dies ist zum Teil beabsichtigt. Schließlich würden einige kriminelle Fälle auseinanderfallen, wenn wir zu viel über die Funktionsweise ihrer Daten wissen würden und das System spielen könnten.

Aber wie wenig wissen wir wirklich? Bei Google gingen im Jahr 2016 27.850 Anfragen nach Daten ein, die 57.392 der Konten ihrer Nutzer betreffen. Im selben Jahr wurde Microsoft 9.907 Anfragen an 24.288 Konten übermittelt. Diese Zahlen sind alarmierend, aber sie stellen auch fast alles dar, was die Öffentlichkeit darüber weiß, wie die US-Regierung derzeit ihre Befugnis einsetzt, um Daten nach dem Electronic Communications Privacy Act (ECPA) anzufordern. Tatsächlich handelt es sich dabei nicht um Regierungsfiguren. Sie stammen direkt von Google und Microsofts freiwilligen Transparenzberichten.

"Es ist völlig vernünftig, wenn Regierungsbeamte ein gewisses Maß an Geheimhaltung wünschen, damit sie ihren Pflichten nachkommen können, ohne dass die Betroffenen befürchtet werden", sagte Jonathan Frankle, Forscher am Labor für Informatik und künstliche Intelligenz (CSAIL) des MIT in einer Stellungnahme. "Diese Geheimhaltung kann jedoch nicht von Dauer sein … Die Menschen haben ein Recht darauf zu erfahren, ob auf ihre personenbezogenen Daten zugegriffen wurde, und auf einer höheren Ebene haben wir als Öffentlichkeit das Recht zu wissen, wie viel Überwachung derzeit stattfindet."

Frankle und andere bei CSAIL hoffen, eine funktionierende Lösung für dieses Problem zu finden, die auf den gleichen kryptographischen Schlüsseln und Ledgern aufbaut, die zur Authentifizierung verschlüsselter E-Mails und Bitcoin-Transaktionen verwendet werden. Das von ihnen entwickelte System namens AUDIT (für die "Verantwortlichkeit nicht veröffentlichter Daten für mehr Transparenz") wird nächste Woche auf der USENIX-Sicherheitskonferenz in Baltimore vorgestellt.

Und so funktioniert es: Wenn ein Richter einen geheimen Gerichtsbeschluss ergeht oder einige Polizeiermittler ein Tech-Unternehmen nach Daten fragen, wird diese Aktion mit einer Reihe öffentlich verfügbarer kryptografischer Benachrichtigungen kombiniert, ähnlich wie bei den öffentlichen PGP-Schlüsseln, mit denen Einzelpersonen verschlüsselt senden können E-Mails aneinander. Diese "kryptografische Verpflichtung" ist mathematisch an die gerichtlichen Maßnahmen und später an die von den Tech-Unternehmen an die Regierungsbehörde übermittelten Daten gebunden. Das Ergebnis ist, dass schließlich, wenn diese geheimen Gerichtsakten veröffentlicht werden, sie mit dem kryptografischen Ledger abgeglichen werden können, um zu bestätigen, dass diese geheimen Aktivitäten des Justizministeriums uneingeschränkt funktionieren und die beteiligten Beamten das tun, was sie sagten.

AUDIT hat auch einen weiteren großen Vorteil. Das ständige Hochladen von Aktionen in das öffentliche Hauptbuch kryptographischer Verpflichtungen wird es Watchdog-Gruppen ermöglichen, politisch wichtige statistische Informationen aus dem Gerichtssystem abzurufen, wie das Justizsystem und die Strafverfolgung private Benutzerdaten verwenden. Welche Richter geben beispielsweise die meisten Aufträge im Rahmen von ECPA aus? Welche strafrechtlichen Ermittlungen führen zu den meisten Gerichtsbeschlüssen und von welchen Unternehmen?

Die Hoffnung, wie Frankle es erklärte MIT-Nachrichten, ist es, glaubwürdige Transparenzberichte aus dem US-amerikanischen Gerichtssystem zu erstellen, die mit denen der Tech-Industrie vergleichbar sind, ohne dabei wichtige Strafverfahren zu gefährden.

Stephen William Smith, ein Bundesrichtungsrichter für den südlichen Distrikt von Texas, der über die ECPA-Akte für die USA geschrieben hat Harvard Law & Policy Review teilt die Erwartungen von Frankle, was AUDIT erreichen könnte.

"Ich hoffe, dass, sobald dieser Proof of Concept Wirklichkeit wird, die Gerichtsadministratoren die Möglichkeit nutzen werden, die öffentliche Aufsicht zu verstärken und gleichzeitig die notwendige Geheimhaltung zu wahren", sagte Smith in einer Erklärung. "Die hier gelernten Lektionen werden zweifellos den Weg zu mehr Verantwortlichkeit für eine breitere Klasse geheimer Informationsprozesse ebnen, die ein Kennzeichen unseres digitalen Zeitalters sind."