När FBI lämnade in ett domstolsbeslut 2016 som beordrade Apple att låsa upp San Bernandino-skyttens iPhone, nyheterna skapade rubriker över hela världen. Men varje dag finns det tiotusentals andra domstolsbeslut som ber teknikföretag att lämna över amerikanernas privata data. Många av dessa order ser aldrig dagens ljus, lämnar en hel integritetskänslig aspekt av regeringsmakten immun mot rättslig tillsyn och bristande offentligt ansvar.

För att skydda integriteten hos pågående utredningar, dessa dataförfrågningar kräver viss sekretess:företag får vanligtvis inte informera enskilda användare om att de utreds, och själva domstolsbesluten är också tillfälligt dolda för allmänheten.

I många fall, fastän, anklagelser inträffar aldrig, och de förseglade orderna glöms vanligtvis bort av domstolarna som utfärdar dem, resulterar i ett allvarligt ansvarsunderskott.

För att lösa detta problem, forskare från MIT:s datavetenskap och artificiell intelligens Laboratory (CSAIL) och Internet Policy Research Initiative (IPRI) har föreslagit ett nytt kryptografiskt system för att förbättra ansvarsskyldigheten för statlig övervakning och samtidigt behålla tillräckligt med sekretess för att polisen ska kunna utföra sitt jobb.

"Medan viss information kan behöva förbli hemlig för att en utredning ska kunna göras korrekt, vissa detaljer måste avslöjas för att ansvarsskyldighet ens ska vara möjlig, " säger CSAIL doktorand Jonathan Frankle, en av huvudförfattarna till en ny artikel om systemet, som de har kallat "AUDIT" ("Accountability of Unreleased Data for Improved Transparency"). "Det här arbetet handlar om att använda modern kryptografi för att utveckla kreativa sätt att balansera dessa motstridiga frågor."

Många av AUDITs tekniska metoder utvecklades av en av dess medförfattare, MIT-professor Shafi Goldwasser. AUDIT är utformat kring en offentlig reskontra där regeringstjänstemän delar information om dataförfrågningar. När en domare utfärdar ett hemligt domstolsbeslut eller en brottsbekämpande myndighet i hemlighet begär uppgifter från ett företag, de måste avge ett järnklätt löfte om att göra databegäran offentlig senare i form av vad som är känt som ett "kryptografiskt åtagande". Om domstolarna i slutändan beslutar att lämna ut uppgifterna, allmänheten kan vara säker på att de korrekta dokumenten har lämnats ut i sin helhet. Om domstolarna beslutar att inte, då kommer själva avslaget att meddelas.

REVISION kan också användas för att visa att åtgärder från brottsbekämpande myndigheter är förenliga med vad ett domstolsbeslut faktiskt tillåter. Till exempel, om ett domstolsbeslut leder till att FBI åker till Amazon för att få uppgifter om en specifik kund, REVISION kan bevisa att FBI:s begäran är ovanlig med hjälp av en kryptografisk metod som kallas "noll-kunskapsbevis." Utvecklades först på 1980-talet av Goldwasser och andra forskare, Dessa bevis gör det kontraintuitivt möjligt att bevisa att övervakningen bedrivs korrekt utan att avslöja någon specifik information om övervakningen.

AUDIT:s tillvägagångssätt bygger på integritetsforskning i ansvarsfulla system som leds av pappersmedförfattaren Daniel J. Weitzner, direktör för IPRI.

"När mängden personlig information ökar, bättre ansvarsskyldighet för hur denna information används är avgörande för att upprätthålla allmänhetens förtroende, " säger Weitzner. "Vi vet att allmänheten är orolig för att förlora kontrollen över sina personuppgifter, så att bygga teknik som kan förbättra faktisk ansvarsskyldighet kommer att bidra till att öka förtroendet för internetmiljön överlag."

Som ett ytterligare försök att förbättra ansvarsskyldigheten, statistisk information från uppgifterna kan också aggregeras så att omfattningen av övervakningen kan studeras i större skala. Detta gör det möjligt för allmänheten att ställa alla möjliga svåra frågor om hur deras data delas. Vilka typer av fall leder mest sannolikt till domstolsbeslut? Hur många domare utfärdade mer än 100 order under det senaste året, eller fler än 10 förfrågningar till Facebook den här månaden? Frankle säger att lagets mål är att skapa en uppsättning pålitliga, domstol utfärdade transparensrapporter, att komplettera de frivilliga rapporter som företagen lägger ut.

"Vi vet att rättssystemet kämpar för att hålla jämna steg med komplexiteten i ökande sofistikerad användning av personuppgifter, " säger Weitzner. "System som AUDIT kan hjälpa domstolar att hålla reda på hur polisen bedriver övervakning och försäkra sig om att de agerar inom lagens räckvidd, without impeding legitimate investigative activity."

Viktigt, the team developed its aggregation system using an approach called multi-party computation (MPC), which allows courts to disclose relevant information without actually revealing their internal workings or data to one another. The current state-of-the-art MPC would normally be too slow to run on the data of hundreds of federal judges across the entire court system, so the team took advantage of the court system's natural hierarchy of lower and higher courts to design a particular variant of MPC that would scale efficiently for the federal judiciary.

"[AUDIT] represents a plausible way, both legally and technologically, for increasing public accountability through modern cryptographic proofs of integrity, " says Eli Ben-Sasson, a professor in the computer science department at the Technion Israel Institute of Technology.

According to Frankle, AUDIT could be applied to any process in which data must be both kept secret but also subject to public scrutiny. Till exempel, clinical trials of new drugs often involve private information, but also require enough transparency to assure regulators and the public that proper testing protocols are being observed.

"It's completely reasonable for government officials to want some level of secrecy, so that they can perform their duties without fear of interference from those who are under investigation, " Frankle says. "But that secrecy can't be permanent. People have a right to know if their personal data has been accessed, and at a higher level, we as a public have the right to know how much surveillance is going on."

Next the team plans to explore what could be done to AUDIT so that it can handle even more complex data requests—specifically, by looking at tweaking the design via software engineering. They also are exploring the possibility of partnering with specific federal judges to develop a prototype for real-world use.

"My hope is that, once this proof of concept becomes reality, court administrators will embrace the possibility of enhancing public oversight while preserving necessary secrecy, " says Stephen William Smith, a federal magistrate judge who has written extensively about government accountability. "Lessons learned here will undoubtedly smooth the way towards greater accountability for a broader class of secret information processes, which are a hallmark of our digital age."

Frankle co-wrote the paper with Goldwasser, Weitzner, CSAIL Ph.D. graduate Sunoo Park and undergraduate Daniel Shaar, The paper will be presented at the USENIX Security conference in Baltimore August 15 to 17.

IPRI team members will also discuss related surveillance issues in more detail at upcoming workshops for both USENIX and this month's International Cryptography Conference (Crypto 2018) in Santa Barbara.