Hiç bitmeyen (ve her zaman kafa karıştırıcı) oyunun en son versiyonunda kripto savaşlarıİngiltere Ulusal Suç Ajansı’nın (NCA) genel müdürü Graeme Biggar, Instagram’ın ana şirketi Meta’yı uçtan uca şifrelemenin (E2EE) sürekli kullanıma sunulmasını yeniden düşünmeye çağırdı.
Çağrı aşağıdaki gibidir: ortak deklarasyon Pazar günü, İngiltere’ninki de dahil olmak üzere Avrupalı polis şefleri, E2EE’nin teknoloji endüstrisi tarafından nasıl uygulamaya konulduğuna ilişkin “endişelerini” dile getirerek, güvenlik sistemlerini yasa dışı faaliyetleri tespit edebilecek ve rapor gönderebilecek şekilde tasarlamak için platformlar çağrısında bulundu. kolluk kuvvetlerine mesaj içeriği.
Pazartesi günü BBC’ye verdiği demeçte NCA şefi, Meta’nın Instagram kullanıcılarının özel sohbetleri etrafındaki güvenliği, yalnızca mesajı gönderenin ve alıcının içeriğe erişebildiği “sıfır erişim” şifrelemesini kullanıma sunarak güçlendirmeye yönelik mevcut planını önerdi. çocuğun güvenliği için tehdit oluşturmaktadır. Sosyal ağ devi ayrıca Aralık ayında Facebook Messenger’da uzun süredir planlanan varsayılan E2EE’nin kullanıma sunulmasını başlattı.
‘Bize bilgi verin’
BBC Radyo 4’ün Today programına konuşan Biggar, röportajcı Nick Robinson’a şunları söyledi: “Kolluk kuvvetleri olarak bizim sorumluluğumuz… halkı organize suçlardan, ciddi suçlardan korumaktır ve bunu yapabilmek için bilgiye ihtiyacımız var.
“Teknoloji şirketleri bilgilerin çoğunu uçtan uca şifrelemeye koyuyor. Şifrelemeyle ilgili hiçbir sorunumuz yok; Halkı siber suçlardan korumaya çalışma ve koruma sorumluluğum da var – çok güçlü şifreleme iyi bir şeydir – ancak şirketlerin halkı güvende tutmak için ihtiyaç duyduğumuz bilgileri bize iletebilmesine ihtiyacımız var. ”
Biggar, şu anda, şifrelenmemiş mesajları tarayabilmenin bir sonucu olarak, platformların dünya genelindeki polis güçlerine yılda on milyonlarca çocuk güvenliğiyle ilgili rapor gönderdiğini belirterek, “arka tarafta” iddiasını daha ekledi. Bu bilgilerden genellikle ayda 1.200 çocuğu koruyoruz ve 800 kişiyi tutukluyoruz.” Buradaki sonuç, Meta’nın E2EE kullanımını Instagram’a genişletmeye devam etmesi halinde bu raporların kuruyacağıdır.
Meta’nın sahibi olduğu WhatsApp’ın yıllardır varsayılan olarak altın standart şifrelemeye sahip olduğuna dikkat çeken Robinson, bunun suç teşkilatının ahırı kapatmaya çalışmasıyla ilgili bir durum olup olmadığını merak etti (E2EE, Nisan 2016 itibariyle mesajlaşma platformunda tamamen uygulandı). At kaçtıktan sonra kapı. Buna net bir cevap alamadı; sadece daha fazla kafa karıştırıcı kaçamak sözler.
Biggar, “Bu bir trend. Şifrelemeyi durdurmaya çalışmıyoruz. Söylediğim gibi, şifrelemeyi ve gizliliği tamamen destekliyoruz ve uçtan uca şifreleme bile kesinlikle iyi olabilir. Sektörün bize hâlâ ihtiyaç duyduğumuz bilgiyi sağlamanın yollarını bulmasını istiyoruz.”
Biggar’ın müdahalesi şuna uygundur: ortak deklarasyon Yukarıda bahsedilen, Avrupalı polis şeflerinin, platformları, kullanıcılara sağlam güvenlik ve mahremiyet sunarken aynı zamanda yasa dışı faaliyetleri tespit etme ve şifresi çözülmüş içeriği polis güçlerine bildirme yeteneklerini koruyan, belirtilmemiş “teknik çözümler” benimsemeye çağırdığı bir yaklaşımdır.
Bildiride, “Şirketler yasal bir otoriteye etkili bir şekilde yanıt veremeyecek” deniyor. “Sonuç olarak halkın güvenliğini sağlayamayacağız […] Bu nedenle teknoloji endüstrisini, çocukların cinsel istismarı gibi zararlı ve yasa dışı faaliyetleri hem tespit etme hem de bildirme yeteneğini sürdürmelerini ve yasal ve istisnai olarak yasal bir otoriteye göre hareket etme yeteneklerini sürdürmelerini sağlamak için tasarım yoluyla güvenlik oluşturmaya çağırıyoruz.”
Benzer bir “yasal erişim” yetkisi, şifreli mesajlaşma konusunda Avrupa Konseyi tarafından Aralık 2020’de alınan bir kararla kabul edilmişti.
İstemci tarafı tarama mı?
Beyannamede, platformların sorunlu içeriği tarayıp şifresi çözülmüş içeriği kolluk kuvvetlerine gönderebilmeleri için hangi teknolojileri kullanmasını istedikleri açıklanmıyor. Büyük olasılıkla, Apple’ın kullanıcıların cihazlarındaki çocuklara yönelik cinsel istismar materyallerini (CSAM) tespit etmek için 2021’de kullanıma sunmaya hazırlandığı sistem gibi, bir tür müşteri tarafı tarama için lobi faaliyeti yürütüyorlar.
Bu arada AB milletvekillerinin masada hâlâ tartışmalı bir mesaj tarama CSAM yasama planı var. Bloğun kendi veri koruma sorumlusu da dahil olmak üzere gizlilik ve hukuk uzmanları, yasa taslağının demokratik özgürlüklere varoluşsal bir tehdit oluşturduğu ve siber güvenliğe de zarar verebileceği konusunda uyardı. Eleştirmenler ayrıca bunun çocukları korumaya yönelik kusurlu bir yaklaşım olduğunu ve çok sayıda yanlış pozitif sonuç üreterek yarardan çok zarara yol açabileceğini öne sürüyor.
Geçen Ekim ayında parlamenterler Komisyonun önerisine karşı çıktılar ve bunun yerine CSAM “tespit emirlerinin” kapsamını sınırlamayı amaçlayan büyük ölçüde revize edilmiş bir yaklaşımı desteklediler. Ancak Avrupa Konseyi henüz tutumu üzerinde anlaşmaya varmadı. Bu ay çok sayıda sivil toplum grubu ve gizlilik uzmanı uyardı Önerilen “kitlesel gözetleme” yasası E2EE için bir tehdit olmaya devam ediyor. Bu arada, AB milletvekilleri, bloğun platformların CSAM için gönüllü tarama yapmasına olanak tanıyan e-Gizlilik kurallarındaki istisnayı geçici olarak genişletmeyi kabul etti; planlanan yasanın bunun yerini alması amaçlanıyor.
Pazar günkü ortak deklarasyonun zamanlaması, bunun AB milletvekilleri üzerindeki CSAM tarama planına bağlı kalmaları yönündeki baskıyı artırmayı amaçladığını gösteriyor.
AB’nin teklifi, platformların mesaj içeriğini taramak için kullanması gereken herhangi bir teknolojiyi de öngörmüyor, ancak eleştirmenler, yeni ortaya çıkan teknolojinin olgunlaşmamış, kanıtlanmamış ve genel kullanıma hazır olmamasına rağmen, istemci tarafı taramanın benimsenmesini zorlayabileceği konusunda uyarıyor.
Robinson, Biggar’a polis şeflerinin istemci tarafı tarama için lobi yapıp yapmadıklarını sormadı ancak Meta’nın “arka kapı” şifrelemesini isteyip istemediklerini sordu. Biggar’ın cevabı yine belirsizdi: “Biz buna arka kapı diyemeyiz; bunun tam olarak nasıl olacağını endüstri belirleyecek. Onlar bu işin uzmanı.”
Robinson, bilgilerin ya sağlam bir şekilde şifrelenmiş (ve çok özel) olduğunu ya da öyle olmadığını belirterek, konunun açıklığa kavuşturulması için İngiltere polis şefine baskı yaptı. Ancak Biggar, “her platformun bilgi güvenliği ve bilgi görünürlüğü yelpazesinde yer aldığını” öne sürerek konunun biraz daha dışına çıktı. “Neredeyse hiçbir şey kesinlikle tamamen güvenli bir uçta değil” diye önerdi. “Müşteriler bunu kullanılabilirlik nedenleriyle istemiyor [such as] bir telefonlarını kaybettiklerinde verilerini geri alabilmek.
“Her iki tarafta da mutlak olmanın işe yaramadığını söylüyoruz. Elbette her şeyin tamamen açık olmasını istemiyoruz. Ama aynı zamanda her şeyin tamamen kapalı olmasını da istemiyoruz. Bu nedenle şirketlerin, kamuya güvenlik ve şifreleme sağlarken aynı zamanda halkı korumak için ihtiyaç duyduğumuz bilgileri de bize sağlamalarını sağlamanın bir yolunu bulmalarını istiyoruz.”
Mevcut olmayan güvenlik teknolojisi
Son yıllarda Birleşik Krallık İçişleri Bakanlığı, kullanıcı gizliliğini etkilemeden CSAM’yi tespit etmek için E2EE içeriğinin taranmasına olanak tanıyan sözde “güvenlik teknolojisi” kavramını öne sürüyor. Ancak, böyle bir teknolojiye yönelik kavramların kanıtını sunmak amacıyla 2021’de gerçekleştirilen “Güvenlik Teknolojisi” yarışması o kadar kötü sonuçlar verdi ki, projeleri değerlendirmek üzere atanan uzman Bristol Üniversitesi’nin siber güvenlik profesörü Awais Rashid, şunları söyledi: geçen yıl uyarılmıştı Bu zorluk için geliştirilen teknolojilerin hiçbirinin amaca uygun olmadığı. “Değerlendirmemiz, söz konusu çözümlerin genel olarak gizliliği tehlikeye atacağını ve bu tür teknolojilerin herhangi bir kişisel iletişimi izlemek için yeniden kullanılmasını durduracak yerleşik korumalara sahip olmadığını gösteriyor” diye yazdı.
Biggar’ın iddia ettiği gibi kolluk kuvvetlerinin kullanıcıların mahremiyetine zarar vermeden E2EE verilerine erişmesine olanak tanıyan teknoloji mevcutsa, polis güçleri platformların ne uygulamasını istediklerini neden açıklayamıyor? (Geçen yıl, hükümet bakanlarının gizlilik açısından güvenli böyle bir E2EE tarama teknolojisinin şu anda mevcut olmadığını özel olarak kabul ettiklerini öne süren raporların burada belirtilmelidir.)
TechCrunch, Biggar’ın sözlerine ve daha geniş kapsamlı ortak deklarasyona yanıt vermek için Meta ile temasa geçti. E-postayla gönderilen bir açıklamada, bir şirket sözcüsü tekrarladı E2EE’ye erişimin genişletilmesi savunması, yazı: “İngilizlerin ezici çoğunluğu zaten bu uygulamaları kullanan uygulamalara güveniyor şifreleme onları bilgisayar korsanlarından, dolandırıcılardan ve suçlulardan korumak için. İnsanların özel mesajlarını okumamızı istediklerini düşünmüyoruz, bu nedenle son beş yılımızı çevrimiçi güvenliği korurken kötüye kullanımı önlemek, tespit etmek ve mücadele etmek için sağlam güvenlik önlemleri geliştirmekle geçirdik. Yakın zamanda bir yayınladık güncellenmiş rapor ayar dışarı Bu önlemler, 19 yaşın üzerindeki kişilerin kendilerini takip etmeyen gençlere mesaj göndermesinin kısıtlanması ve kötü niyetli davranışları tespit etmek ve bunlara karşı önlem almak için teknolojiyi kullanmak gibi önlemlerdir. biz olarak rulo dışarı uçtan uca şifrelemek
Meta, Muhafazakar hükümetin on yıldan fazla süren dönemi boyunca Birleşik Krallık İçişleri Bakanlarından gelen bir dizi benzer çağrıyı atlattı. Geçtiğimiz Eylül ayında dönemin İçişleri Bakanı Suella Braverman, Meta’ya E2EE’nin yanı sıra “güvenlik önlemlerini” de uygulamaya koyması gerektiğini söyledi ve hükümetin, eğer bunu başaramazsa şirkete yaptırım uygulamak için Çevrimiçi Güvenlik Yasa Tasarısı’ndaki (şimdiki Kanun) yetkilerini kullanabileceği uyarısında bulundu. top oyna.
Robinson, Biggar’a, Meta’nın E2EE konusundaki rotasını değiştirmemesi durumunda hükümetin harekete geçip geçemeyeceğini sorduğunda, polis şefi hem Çevrimiçi Güvenlik Yasası’na başvurdu hem de gözetimi mümkün kılan Soruşturma Yetkileri Yasası (IPA) adlı başka bir mevzuata işaret ederek şunları söyledi: “Hükümet harekete geçebilir ve hükümet de harekete geçmelidir. Soruşturma Yetkileri Yasası ve ayrıca Çevrimiçi Güvenlik Yasası kapsamında bunu yapmak için güçlü yetkilere sahiptir.”
Çevrimiçi Güvenlik Yasasının ihlaline ilişkin cezalar önemli olabilir ve Ofcom, dünya çapındaki yıllık cironun %10’una kadar para cezası verme yetkisine sahiptir.
Birleşik Krallık hükümeti aynı zamanda IPA’yı mesajlaşma platformlarını hedef alan daha fazla yetkiyle güçlendirme sürecinde; mesajlaşma hizmetlerinin yayınlanmadan önce İçişleri Bakanlığı’ndaki güvenlik özelliklerini temizlemesi zorunluluğu da dahil.
IPA’nın kapsamını daha da genişletme planı Birleşik Krallık teknoloji endüstrisinde endişeleri tetikledi vatandaşların güvenliği ve mahremiyetinin riske atılacağı. Geçtiğimiz yaz Apple, hükümetin gözetim yetkilerini genişletme planını yeniden düşünmemesi halinde İngiltere’de iMessage ve FaceTime gibi hizmetleri kapatmak zorunda kalabileceği konusunda uyarmıştı.
Bu son lobi kampanyasında bazı ironiler var. Kolluk kuvvetleri ve güvenlik hizmetleri, E2EE’nin yükselişini de hesaba katsak bile, neredeyse hiçbir zaman bugün olduğundan daha fazla sinyal istihbaratına erişime sahip olmadı. Dolayısıyla, gelişmiş web güvenliğinin birdenbire çocuk koruma çabalarının sonu anlamına geleceği fikri açıkça ikili bir iddiadır.
Ancak onlarca yıldır süren kripto savaşlarına aşina olan hiç kimse, İnternet güvenliğini zayıflatmak amacıyla bu tür çağrıların yapıldığını görmek şaşırtıcı olmayacaktır. Bu propaganda savaşı her zaman böyle yürütüldü.