<div dir="ltr"><div dir="ltr">Chris,<br>I think we can envisage that the proposed regime could be made to work by issuing content providers with Technical Capability Notices that would require the content provider to create a secure channel for access to the clear text, similar to how secure OOB can be enabled for remote users. Traditional AAA mechanisms could be used to ensure that access is secure, logged and audited to ensure all accesses have been duly authorised.<br><br>That's if the regime is to be well managed, but there aren't provisions within the bill as currently drafted to guarantee the process is well managed or that there is adequate oversite. For instance, there's nothing to prevent LEA turning up at data centers unannounced and demanding immediate access under verbally issued Technical Assistance Notices. Subsequent search may never be subject to scrutiny if the TAN requires suppression of the fact of said search.<br><br>Kind regards<br><br>Paul Wilkins<br><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, 3 Sep 2018 at 11:47, Chris Ford <<a href="mailto:chris.ford@inaboxgroup.com.au">chris.ford@inaboxgroup.com.au</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">






<div dir="ltr">

<div id="m_2284901119370793787divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif" dir="ltr">
<p style="margin-top:0;margin-bottom:0">Paul,</p>
<p style="margin-top:0;margin-bottom:0"><br>
</p>
<p style="margin-top:0;margin-bottom:0">I agree with you in general as to the point that if we are happy with the premise of the current TIA Act that LEAs should be able to intercept communications with a duly authorised warrant, then extending that to encrypted
 services seems a reasonable extension to keep up with technology.</p>
<p style="margin-top:0;margin-bottom:0"><br>
</p>
<p style="margin-top:0;margin-bottom:0">However, the current intercept regime is very difficult if not impossible for a bad actor to exploit. The intercept points are within the Carrier and CSP networks, out of reach of most people. When we move to intercept
 end-to-end encrypted services you either need to break the encryption (which thankfully does not seem to be the path anybody is proposing), OR, you need to access the clear text at the end point itself. The problem I have with this is that the end point is
 out in user land, often accessible to anyone on the internet, and now exposed to exploit by bad actors.</p>
<p style="margin-top:0;margin-bottom:0"><br>
</p>
<p style="margin-top:0;margin-bottom:0"><span style="font-family:Calibri,Arial,Helvetica,sans-serif,EmojiFont,"Apple Color Emoji","Segoe UI Emoji",NotoColorEmoji,"Segoe UI Symbol","Android Emoji",EmojiSymbols;font-size:12pt">--</span><br>
</p>
<div id="m_2284901119370793787Signature">
<div id="m_2284901119370793787divtagdefaultwrapper" style="font-size:12pt;color:rgb(0,0,0);background-color:rgb(255,255,255);font-family:Calibri,Arial,Helvetica,sans-serif,EmojiFont,"Apple Color Emoji","Segoe UI Emoji",NotoColorEmoji,"Segoe UI Symbol","Android Emoji",EmojiSymbols">
<p>Chris Ford | CTO</p>
<p>Inabox Group Limited</p>
<p><br>
</p>
<p>Ph: + 61 2 8275 6871</p>
<p>Mb: +61 401 988 844</p>
<p>Em: <a href="mailto:chris.ford@inaboxgroup.com.au" target="_blank">chris.ford@inaboxgroup.com.au</a></p>
</div>
</div>
</div>
<hr style="display:inline-block;width:98%">
<div id="m_2284901119370793787divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> AusNOG <<a href="mailto:ausnog-bounces@lists.ausnog.net" target="_blank">ausnog-bounces@lists.ausnog.net</a>> on behalf of Paul Wilkins <<a href="mailto:paulwilkins369@gmail.com" target="_blank">paulwilkins369@gmail.com</a>><br>
<b>Sent:</b> Monday, 3 September 2018 11:31:14 AM<br>
<b>To:</b> <a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>
<b>Subject:</b> Re: [AusNOG] Dutton decryption bill</font>
<div> </div>
</div>

<div>
<div dir="ltr">
<div>Bradley,</div>
<div>The Common Law has always allowed judicial scrutiny of our privacy. There's always been the right for judicial search warrants to override what's considered one's private domain. I'm supportive of this bill where it extends judicial oversite to the cyber
 domain, which is a gap that exists only because legislation/common law has lagged behind technology. While at the same time realising that conversations conducted over the internet, even if encrypted, are more properly regarded as public conversations, than
 say one you might have in your living room. Whether government is going to regulate the internet, the boat has sailed on this long ago. The hard line privacy advocates are simply going to be left out of a conversation democracy needs to have over not whether
 the internet should be regulated, but how.<br>
</div>
<div><br>
</div>
<div>What's interesting in this bill is that it goes beyond extending judicial writ, allowing law enforcement emergency powers the right to surveil suspects. This will be authorised by law enforcement, without judicial or governmental oversite. I think this
 probably goes too far. The best outcome for everyone, to protect privacy, and to empower law enforcement to enforce laws and to protect citizens rights, would be to limit the scope of these new powers to judicial writ.</div>
<div><br>
</div>
<div>Kind regards</div>
<div><br>
</div>
<div>Paul Wilkins<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
</div>
</div>
</div>


</blockquote></div>