Quando o FBI entrou com um mandado em 2016 ordenando que a Apple desbloqueie o iPhone do atirador de San Bernandino, as notícias chegaram às manchetes em todo o mundo. No entanto, todos os dias surgem dezenas de milhares de outras ordens judiciais pedindo às empresas de tecnologia que entreguem os dados privados dos americanos. Muitas dessas ordens nunca vêem a luz do dia, deixando todo um aspecto sensível à privacidade do poder governamental imune à supervisão judicial e sem responsabilidade pública.

Para proteger a integridade das investigações em andamento, essas solicitações de dados exigem algum sigilo:as empresas geralmente não têm permissão para informar aos usuários individuais que estão sendo investigadas, e as próprias ordens judiciais também são temporariamente ocultadas do público.

Em muitos casos, no entanto, cargas nunca realmente se materializam, e as ordens lacradas geralmente acabam esquecidas pelos tribunais que as emitem, resultando em um grave déficit de responsabilidade.

Abordar esta questão, pesquisadores do Laboratório de Ciência da Computação e Inteligência Artificial do MIT (CSAIL) e da Iniciativa de Pesquisa de Políticas da Internet (IPRI) propuseram um novo sistema criptográfico para melhorar a responsabilidade da vigilância governamental, mantendo a confidencialidade suficiente para que a polícia faça seu trabalho.

"Embora certas informações possam ser mantidas em segredo para que uma investigação seja feita de maneira adequada, alguns detalhes precisam ser revelados para que a responsabilidade seja possível, "diz o estudante de pós-graduação do CSAIL Jonathan Frankle, um dos principais autores de um novo artigo sobre o sistema, que eles apelidaram de "AUDITORIA" ("Responsabilidade de Dados Não Liberados para Transparência Melhorada"). "Este trabalho trata do uso de criptografia moderna para desenvolver maneiras criativas de equilibrar essas questões conflitantes."

Muitos dos métodos técnicos do AUDIT foram desenvolvidos por um de seus co-autores, Professor do MIT Shafi Goldwasser. O AUDIT é projetado em torno de um livro-razão público no qual funcionários do governo compartilham informações sobre solicitações de dados. Quando um juiz emite uma ordem judicial secreta ou uma agência de aplicação da lei solicita secretamente dados de uma empresa, eles têm que fazer uma promessa rígida de tornar a solicitação de dados pública mais tarde na forma do que é conhecido como "compromisso criptográfico". Se os tribunais decidirem divulgar os dados, o público pode ter certeza de que os documentos corretos foram divulgados na íntegra. Se os tribunais decidirem não, então a própria recusa será divulgada.

A AUDITORIA também pode ser usada para demonstrar que as ações das agências de aplicação da lei são consistentes com o que uma ordem judicial realmente permite. Por exemplo, se um mandado levar o FBI à Amazon para obter registros sobre um cliente específico, O AUDIT pode provar que a solicitação do FBI é honesta, usando um método criptográfico chamado "provas de conhecimento zero". Desenvolvido pela primeira vez na década de 1980 por Goldwasser e outros pesquisadores, essas provas, de forma contra-intuitiva, permitem provar que a vigilância está sendo conduzida de maneira adequada, sem revelar qualquer informação específica sobre a vigilância.

A abordagem do AUDIT baseia-se na pesquisa de privacidade em sistemas responsáveis, liderada pelo co-autor do artigo Daniel J. Weitzner, diretor do IPRI.

"À medida que o volume de informações pessoais se expande, uma melhor prestação de contas sobre como essas informações são usadas é essencial para manter a confiança do público, "diz Weitzner." Sabemos que o público está preocupado em perder o controle sobre seus dados pessoais, portanto, construir uma tecnologia que possa melhorar a responsabilidade real ajudará a aumentar a confiança no ambiente da Internet em geral. "

Como um esforço adicional para melhorar a responsabilidade, as informações estatísticas dos dados também podem ser agregadas para que a extensão da vigilância possa ser estudada em uma escala maior. Isso permite que o público faça todos os tipos de perguntas difíceis sobre como seus dados estão sendo compartilhados. Que tipos de casos têm maior probabilidade de gerar ordens judiciais? Quantos juízes emitiram mais de 100 ordens no ano passado, ou mais de 10 solicitações ao Facebook este mês? Frankle diz que o objetivo da equipe é estabelecer um conjunto confiável, relatórios de transparência emitidos pelo tribunal, para complementar os relatórios voluntários que as empresas divulgam.

"Sabemos que o sistema jurídico se esforça para acompanhar a complexidade do uso cada vez mais sofisticado de dados pessoais, " says Weitzner. "Systems like AUDIT can help courts keep track of how the police conduct surveillance and assure that they are acting within the scope of the law, without impeding legitimate investigative activity."

Mais importante, the team developed its aggregation system using an approach called multi-party computation (MPC), which allows courts to disclose relevant information without actually revealing their internal workings or data to one another. The current state-of-the-art MPC would normally be too slow to run on the data of hundreds of federal judges across the entire court system, so the team took advantage of the court system's natural hierarchy of lower and higher courts to design a particular variant of MPC that would scale efficiently for the federal judiciary.

"[AUDIT] represents a plausible way, both legally and technologically, for increasing public accountability through modern cryptographic proofs of integrity, " says Eli Ben-Sasson, a professor in the computer science department at the Technion Israel Institute of Technology.

According to Frankle, AUDIT could be applied to any process in which data must be both kept secret but also subject to public scrutiny. Por exemplo, clinical trials of new drugs often involve private information, but also require enough transparency to assure regulators and the public that proper testing protocols are being observed.

"It's completely reasonable for government officials to want some level of secrecy, so that they can perform their duties without fear of interference from those who are under investigation, " Frankle says. "But that secrecy can't be permanent. People have a right to know if their personal data has been accessed, and at a higher level, we as a public have the right to know how much surveillance is going on."

Next the team plans to explore what could be done to AUDIT so that it can handle even more complex data requests—specifically, by looking at tweaking the design via software engineering. They also are exploring the possibility of partnering with specific federal judges to develop a prototype for real-world use.

"My hope is that, once this proof of concept becomes reality, court administrators will embrace the possibility of enhancing public oversight while preserving necessary secrecy, " says Stephen William Smith, a federal magistrate judge who has written extensively about government accountability. "Lessons learned here will undoubtedly smooth the way towards greater accountability for a broader class of secret information processes, which are a hallmark of our digital age."

Frankle co-wrote the paper with Goldwasser, Weitzner, CSAIL Ph.D. graduate Sunoo Park and undergraduate Daniel Shaar, The paper will be presented at the USENIX Security conference in Baltimore August 15 to 17.

IPRI team members will also discuss related surveillance issues in more detail at upcoming workshops for both USENIX and this month's International Cryptography Conference (Crypto 2018) in Santa Barbara.