Gli autori senior di AUDIT, Il professore del MIT Shafi Goldwasser e il principale ricercatore Daniel J. Weitzner. Credito:MIT CSAIL
Quando l'FBI ha presentato un'ingiunzione del tribunale nel 2016 ordinando ad Apple di sbloccare l'iPhone dell'assassino del San Bernandino, la notizia ha fatto notizia in tutto il mondo. Eppure ogni giorno ci sono decine di migliaia di altri ordini del tribunale che chiedono alle aziende tecnologiche di consegnare i dati privati degli americani. Molti di questi ordini non vedono mai la luce del giorno, lasciando un intero aspetto sensibile alla privacy del potere governativo immune dal controllo giudiziario e privo di responsabilità pubblica.
Per proteggere l'integrità delle indagini in corso, queste richieste di dati richiedono una certa segretezza:le aziende di solito non sono autorizzate a informare i singoli utenti che sono oggetto di indagine, e anche gli stessi ordini del tribunale sono temporaneamente nascosti al pubblico.
In molti casi, anche se, le accuse non si concretizzano mai, e gli ordini sigillati di solito finiscono per essere dimenticati dai tribunali che li emettono, con conseguente grave deficit di responsabilità.
Per affrontare questo problema, i ricercatori del Computer Science and Artificial Intelligence Laboratory (CSAIL) del MIT e dell'Internet Policy Research Initiative (IPRI) hanno proposto un nuovo sistema crittografico per migliorare la responsabilità della sorveglianza del governo pur mantenendo sufficiente riservatezza per consentire alla polizia di svolgere il proprio lavoro.
"Anche se alcune informazioni potrebbero dover rimanere segrete affinché un'indagine possa essere svolta correttamente, alcuni dettagli devono essere rivelati affinché la responsabilità sia possibile, " dice lo studente laureato CSAIL Jonathan Frankle, uno dei principali autori di un nuovo articolo sul sistema, che hanno soprannominato "AUDIT" ("Responsabilità dei dati non rilasciati per una migliore trasparenza"). "Questo lavoro riguarda l'utilizzo della crittografia moderna per sviluppare modi creativi per bilanciare questi problemi conflittuali".
Molti dei metodi tecnici di AUDIT sono stati sviluppati da uno dei suoi coautori, Il professore del MIT Shafi Goldwasser. AUDIT è progettato attorno a un registro pubblico su cui i funzionari governativi condividono le informazioni sulle richieste di dati. Quando un giudice emette un'ingiunzione segreta di un tribunale o un'agenzia delle forze dell'ordine richiede segretamente dati a un'azienda, devono fare una promessa ferrea per rendere pubblica la richiesta di dati in un secondo momento sotto forma di quello che è noto come "impegno crittografico". Se alla fine i tribunali decidessero di rilasciare i dati, il pubblico può stare certo che i documenti corretti sono stati rilasciati integralmente. Se i tribunali decidono di no, allora quel rifiuto stesso sarà reso noto.
L'AUDIT può essere utilizzato anche per dimostrare che le azioni delle forze dell'ordine sono coerenti con ciò che un'ordinanza del tribunale consente effettivamente. Per esempio, se un ordine del tribunale porta l'FBI a rivolgersi ad Amazon per ottenere documenti su un cliente specifico, L'AUDIT può dimostrare che la richiesta dell'FBI è corretta utilizzando un metodo crittografico chiamato "prove a conoscenza zero". Sviluppato per la prima volta negli anni '80 da Goldwasser e altri ricercatori, queste prove controintuitivamente consentono di dimostrare che la sorveglianza è condotta correttamente senza rivelare alcuna informazione specifica sulla sorveglianza.
L'approccio di AUDIT si basa sulla ricerca sulla privacy in sistemi responsabili guidati dal coautore dell'articolo Daniel J. Weitzner, direttore dell'IPRI.
"Man mano che il volume delle informazioni personali si espande, una migliore responsabilità su come tali informazioni vengono utilizzate è essenziale per mantenere la fiducia del pubblico, " dice Weitzner. "Sappiamo che il pubblico è preoccupato di perdere il controllo sui propri dati personali, quindi la creazione di tecnologie in grado di migliorare l'effettiva responsabilità contribuirà ad aumentare la fiducia nell'ambiente Internet in generale".
Come ulteriore sforzo per migliorare la responsabilità, le informazioni statistiche dai dati possono anche essere aggregate in modo che l'estensione della sorveglianza possa essere studiata su una scala più ampia. Ciò consente al pubblico di porre ogni sorta di domande difficili su come vengono condivisi i propri dati. Quali tipi di casi hanno maggiori probabilità di richiedere ordini del tribunale? Quanti giudici hanno emesso più di 100 ordini nell'ultimo anno, o più di 10 richieste a Facebook questo mese? Frankle afferma che l'obiettivo del team è stabilire una serie di rapporti di trasparenza emessi dai tribunali, per integrare le relazioni volontarie che le aziende emettono.
"Sappiamo che il sistema legale fatica a stare al passo con la complessità degli usi sempre più sofisticati dei dati personali, " afferma Weitzner. "Sistemi come AUDIT possono aiutare i tribunali a tenere traccia di come la polizia conduce la sorveglianza e ad assicurare che agisca nell'ambito della legge, without impeding legitimate investigative activity."
È importante sottolineare che the team developed its aggregation system using an approach called multi-party computation (MPC), which allows courts to disclose relevant information without actually revealing their internal workings or data to one another. The current state-of-the-art MPC would normally be too slow to run on the data of hundreds of federal judges across the entire court system, so the team took advantage of the court system's natural hierarchy of lower and higher courts to design a particular variant of MPC that would scale efficiently for the federal judiciary.
"[AUDIT] represents a plausible way, both legally and technologically, for increasing public accountability through modern cryptographic proofs of integrity, " says Eli Ben-Sasson, a professor in the computer science department at the Technion Israel Institute of Technology.
According to Frankle, AUDIT could be applied to any process in which data must be both kept secret but also subject to public scrutiny. Per esempio, clinical trials of new drugs often involve private information, but also require enough transparency to assure regulators and the public that proper testing protocols are being observed.
"It's completely reasonable for government officials to want some level of secrecy, so that they can perform their duties without fear of interference from those who are under investigation, " Frankle says. "But that secrecy can't be permanent. People have a right to know if their personal data has been accessed, and at a higher level, we as a public have the right to know how much surveillance is going on."
Next the team plans to explore what could be done to AUDIT so that it can handle even more complex data requests—specifically, by looking at tweaking the design via software engineering. They also are exploring the possibility of partnering with specific federal judges to develop a prototype for real-world use.
"My hope is that, once this proof of concept becomes reality, court administrators will embrace the possibility of enhancing public oversight while preserving necessary secrecy, " says Stephen William Smith, a federal magistrate judge who has written extensively about government accountability. "Lessons learned here will undoubtedly smooth the way towards greater accountability for a broader class of secret information processes, which are a hallmark of our digital age."
Frankle co-wrote the paper with Goldwasser, Weitzner, CSAIL Ph.D. graduate Sunoo Park and undergraduate Daniel Shaar, The paper will be presented at the USENIX Security conference in Baltimore August 15 to 17.
IPRI team members will also discuss related surveillance issues in more detail at upcoming workshops for both USENIX and this month's International Cryptography Conference (Crypto 2018) in Santa Barbara.