Cadangan undang-undang kontroversial Kesatuan Eropah untuk mengimbas mesej peribadi warganegara untuk mengesan bahan penyalahgunaan seksual kanak-kanak (CSAM) adalah risiko kepada masa depan keselamatan web, meredai Meredith Whittaker dalam catatan blog awam pada Isnin. Beliau adalah presiden yayasan bukan untuk keuntungan bertaraf end-to-end encrypted (E2EE) aplikasi pesanan Signal.
“Tiada cara untuk melaksanakan cadangan sedemikian dalam konteks komunikasi yang dienskripsi sepenuhnya tanpa menggugurkan enkripsi dan mencipta kelemahan yang berbahaya dalam infrastruktur asas yang akan mempunyai implikasi global jauh di luar Eropah,” katanya.
Komisyen Eropah mengemukakan cadangan asal untuk imbasan besar aplikasi pesanan peribadi untuk menentang penyebaran CSAM dalam talian pada bulan Mei 2022. Sejak itu, Ahli Parlimen Eropah bersatu dalam menolak pendekatan itu. Mereka juga mencadangkan laluan alternatif pada musim gugur lalu, yang akan mengkecualikan aplikasi E2EE dari imbasan. Walau bagaimanapun, Majlis Eropah, badan perundangan yang terdiri daripada wakil kerajaan negara-negara ahli, terus mendesak agar platform-platform berkriptografi kuat kekal dalam skop undang-undang pengimbasan.
Cadangan Majlis yang paling baru, yang dikemukakan pada bulan Mei di bawah presidensi Belgium, termasuk keperluan “pembekal perkhidmatan komunikasi antara individu” (juga dikenali sebagai aplikasi pesanan) memasang dan mengendalikan apa yang teks draf itu gambarkan sebagai “teknologi untuk pemodenan muat naik”, mengikut teks yang diterbitkan oleh Netzpolitik.
Perkara 10a, yang mengandungi pelan pemodenan muat naik, menyatakan bahawa teknologi ini dijangkakan “untuk mengesan, sebelum penghantaran, penyebaran bahan penyalahgunaan seksual kanak-kanak yang diketahui atau daripada bahan penyalahgunaan seksual kanak-kanak yang baru.”
Bulan lalu, Euractiv melaporkan bahawa cadangan semula akan menuntut pengguna aplikasi pesanan E2EE memberikan keizinan untuk pengimbasan untuk mengesan CSAM. Pengguna yang tidak memberikan keizinan akan dihalang daripada menggunakan ciri-ciri yang melibatkan penghantaran kandungan visual atau URL seperti yang dilaporkan — pada dasarnya merendahkan pengalaman pesanan mereka kepada teks dan audio asas.
Pernyataan Whittaker menyelaskan rancangan Majlis itu sebagai percubaan menggunakan “permainan retorik” untuk cuba membaiki imej imbasan di sisi pelanggan, teknologi kontroversi yang pakar keselamatan dan privasi berhujah tidak selari dengan enkripsi yang kuat yang menyokong komunikasi sulit.
“[M]ewajibkan imbasan besar komunikasi peribadi secara asasnya menggugat enkripsi. Titik,” katanya. “Sama ada ini berlaku melalui mengacau, sebagai contoh, penjanaan nombor rawak algoritma enkripsi, atau dengan melaksanakan sistem sembunyi kunci, atau dengan memaksa komunikasi untuk lalu melalui sistem pengawasan sebelum dienkripsi.”
"Kita boleh menyebutnya pintu belakang, pintu hadapan, atau 'moderasi muat naik'. Tetapi apa jua pendekatan ini dicipta satu kelemahan yang boleh dimanfaatkan oleh penggodam dan negara-negara musuh, menghapuskan perlindungan matematik yang tidak dapat ditembus dan menggantikannya dengan kelemahan bernilai tinggi.”
Juga menyerang cadangan Majlis semula pada bulan lalu, Ahli Parlimen Pirate Party Patrick Breyer — yang telah menentang rancangan imbasan mesej kontroversial Komisyen sejak awal — memperingatkan: “Cadangan Belgium menyebabkan hakikat cadangan kawalan sembang ekstrem dan belum sempat dilaksanakan akan dilaksanakan tanpa perubahan. Menggunakan perkhidmatan pesanan hanya untuk berkata-kata bukan satu pilihan pada abad ke-21.”
Penyelia perlindungan data EU juga memberikan kebimbangan. Tahun lalu, ia memperingatkan bahawa rancangan itu menimbulkan ancaman langsung kepada nilai demokrasi dalam masyarakat terbuka dan bebas.
Tekanan ke atas kerajaan untuk memaksa aplikasi E2EE mengimbas mesej peribadi, sementara itu, mungkin datang dari pihak penguatkuasa undang-undang.
Pada bulan April ketua polis Eropah mengeluarkan kenyataan bersama yang menyeru platform untuk merancang sistem keselamatan sedemikian rupa sehingga mereka masih boleh mengenal pasti aktiviti haram dan menghantar laporan tentang kandungan mesej kepada penguatkuasa undang-undang. Panggilan mereka untuk “penyelesaian teknikal” untuk memastikan "akses yang sah" ke data terenkripsi tidak menentukan bagaimana platform-platform harus mencapai keajaiban ini. Tetapi, seperti yang kami laporkan pada masa itu, rundingan ini adalah untuk beberapa bentuk imbasan di sisi pelanggan. Tampaknya tidak kebetulan, oleh itu, bahawa hanya beberapa minggu kemudian Majlis mengeluarkan cadangan "moderasi muat naik”.
Tekst draf itu mengandungi beberapa kenyataan yang mencuba meletakkan sehelai tudung daun labu di atas lubang hitam keselamatan dan privasi yang besar yang disiratkan oleh “moderasi muat naik” — termasuk barisan yang menyatakan “tanpa menjejaskan Perkara 10a, Peraturan ini tidak akan melarang atau menjadikan mustahil enkripsi end-to-end”; serta pengakuan bahawa pembekal perkhidmatan tidak akan diwajibkan mendekripsi atau memberi akses kepada data E2EE; klausa yang menyatakan mereka tidak boleh memperkenalkan risiko keselamatan siber “yang tidak mungkin diambil tindakan berkesan untuk mengurangkan risiko sedemikian”; dan baris lain yang menyatakan pembekal perkhidmatan tidak boleh “mengetahui isi kandungan komunikasi”.
“Ini semua adalah perasaan yang bagus, dan ia menjadikan cadangan itu sebagai paradoks sendiri,” Whittaker memberitahu TechCrunch ketika kami meminta responsnya terhadap proviso ini. “Kerana apa yang dicadangkan — membelenggu pengimbasan wajib ke dalam komunikasi yang dienskripsi sepenuhnya — akan menggugurkan enkripsi dan mencipta kelemahan yang signifikan.”
Komisen dan presidensi Belgium Majlis telah dihubungi untuk memberikan respons terhadap kebimbangan beliau tetapi pada waktu akhbar ini, kedua-dua belum memberikan respons.
Pembuatan undang-undang EU biasanya merupakan urusan tiga hala — oleh itu, masih belum jelas di mana blok itu akan berakhir pada imbasan CSAM. Setelah Majlis bersetuju dengan pendiriannya, rundingan trilog bermula dengan parlimen dan Komisen untuk mencari penyelesaian akhir. Tetapi juga perlu diingat bahawa susunan parlimen telah berubah sejak Ahli Parlimen bersetuju dengan mandat rundingan mereka pada tahun lalu selepas pilihan raya EU yang baru-baru ini.
Rancangan EU untuk memaksa aplikasi pesanan mengimbas CSAM mengancam jutaan positif palsu, pakar memperingatkan
Rancangan pemeriksaan CSAM di Eropah adalah titik tengah bagi hak demokratik, pakar memperingatkan
