2 पॉइंट द्वारा GN⁺ 2023-07-29 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यूके संसद का Online Safety Bill House of Lords से पारित होने से पहले अंतिम चरण में है, और यह messaging services पर backdoor लागू करने की अनुमति दे सकता है, जिससे दुनिया भर के users की privacy प्रभावित हो सकती है
  • बिल का मुख्य टकराव यह है कि child abuse और terror-related content का पता लगाने के लिए message scanning की मांग, end-to-end encryption के साथ व्यावहारिक रूप से संगत नहीं है
  • WhatsApp, Signal, Element आदि ने अप्रैल 2023 की एक open letter में चेतावनी दी थी कि इससे private messages पर रोज़मर्रा की, व्यापक और अंधाधुंध निगरानी हो सकती है, और Apple भी जून में इसके विरोध में शामिल हुआ
  • यूके सरकार का कहना है कि client-side scanning के जरिए safety और privacy दोनों की रक्षा की जा सकती है, लेकिन EFF का तर्क है कि encryption backdoor केवल अच्छे उद्देश्यों तक सीमित नहीं रखे जा सकते
  • अगर end-to-end encryption की रक्षा करने वाला संशोधन नहीं जोड़ा गया, तो hostile environments में काम करने वाले human rights activists, journalists और LGBTQ+ users जैसे लोग, जो private messaging पर निर्भर हैं, सीधे जोखिम झेलेंगे

Online Safety Bill का encryption पर दबाव

  • यूके संसद व्यापक internet regulation law Online Safety Bill को आगे बढ़ा रही है, और यह अभी House of Lords से पारित होने से पहले अंतिम चरण में है
  • यह बिल यूके सरकार को messaging services पर backdoor लागू कराने की शक्ति दे सकता है, जिससे end-to-end encryption कमजोर हो सकता है
  • बिल के सबसे खतरनाक हिस्सों को कमज़ोर करने वाले संशोधन अभी तक स्वीकार नहीं किए गए हैं
  • EFF ने चेतावनी दी है कि यह बिल सिर्फ यूके तक सीमित नहीं रहेगा, बल्कि दुनिया भर में privacy और democracy के लिए पीछे हटने जैसा असर डाल सकता है

internet regulation का दायरा और मुख्य विवाद

  • Online Safety Bill की शुरुआत चार साल से अधिक पुराने “online harms” white paper से हुई थी, और इसे बहुत व्यापक internet regulation के रूप में देखा जा रहा है
  • इसकी आवश्यकताओं में content filtering, adult content access के लिए age verification, और सरकार को online activity की विस्तृत रिपोर्टिंग शामिल है
  • इनमें से end-to-end encryption को तोड़ सकने वाली message scanning powers को सबसे गंभीर मुद्दा माना जा रहा है

message scanning, end-to-end encryption से टकराता है

  • private conversation एक बुनियादी human right है, और digital environment में इसे लागू करने का सबसे मजबूत तकनीकी साधन end-to-end encryption है
  • अगर सरकार-स्वीकृत message scanning technology को अनिवार्य किया जाता है, तो यह उस encryption model से टकराता है जिसमें संदेश केवल sender और recipient ही पढ़ सकते हैं
  • EFF का मुख्य तर्क यह है कि encryption backdoor को सिर्फ “अच्छे लोगों” के लिए इस्तेमाल करने का कोई तरीका नहीं है
    • encryption पर रोक लगाने वाला तरीका
    • कंपनियों पर encryption से पीछे हटने का दबाव डालने वाला तरीका
    • client-side scanning की मांग करने वाला तरीका, ये सभी malicious actors और authoritarian states के लिए फायदेमंद हो सकते हैं

कंपनियों और civil society की चेतावनी

  • यूके सरकार का कहना है कि child abuse या terror-related content खोजने के लिए सभी online messages को scan करने का अधिकार मिलने पर भी users की privacy की रक्षा की जा सकती है
  • EFF का जवाब है कि इन दोनों लक्ष्यों को एक साथ हासिल करना संभव नहीं है
  • यूके की civil society groups, technical experts और दुनिया भर के human rights organizations ने भी इस बिल की आलोचना की है
  • WhatsApp, Signal और यूके-आधारित Element जैसे encrypted messaging providers ने अप्रैल 2023 की open letter में OSB के खतरों को लेकर चेतावनी दी
    • यह बिल end-to-end encryption को तोड़ सकता है
    • friends, family, employees, executives, journalists, human rights activists और politicians के private messages तक रोज़मर्रा की, व्यापक और अंधाधुंध निगरानी के दायरे में आ सकते हैं
  • Apple ने जून 2023 में सार्वजनिक रूप से विरोध जताते हुए कहा कि यह बिल encryption को खतरे में डालता है और यूके नागरिकों को और बड़े जोखिम में डाल सकता है

यूके सरकार का तकनीकी तर्क

  • यूके के culture, media and sport secretary ने House of Lords को भेजे गए जवाब में फिर दोहराया कि end-to-end encrypted platforms पर भी messages scan करते हुए privacy बनाए रखी जा सकती है
  • जवाब में कहा गया कि कंपनियां पहले भी end-to-end encrypted platforms के लिए solutions विकसित कर चुकी हैं, और Ofcom को ऐसी तकनीक के इस्तेमाल की मांग कर सकने में सक्षम होना चाहिए
  • इसमें यह भी कहा गया कि अगर तुरंत इस्तेमाल योग्य solution मौजूद नहीं है, तो सरकार का technology exploration को आगे बढ़ाना सही है
  • Safety Tech Challenge Fund

    • यह यूके सरकार का एक program है, जिसमें ऐसे software development के लिए छोटे grants दिए गए जिनके बारे में दावा किया गया कि वे users की privacy बचाते हुए files scan कर सकते हैं
    • award-winning prototypes के विवरण में file को encrypted channel से भेजे जाने से पहले AI से जांचने वाले कई प्रकार के client-side scanning शामिल थे
    • EFF का मानना है कि यह उसी गलत सोच की पुनरावृत्ति है जिसमें कहा जाता है कि अगर tech companies users की सुरक्षा करने वाला “जादुई backdoor” नहीं बना पा रहीं, तो उन्हें बस और मेहनत से technology विकसित करनी चाहिए

अभी भी संभव संशोधन और प्रभावित लोग

  • यूके के lawmakers के पास अब भी ऐसे फैसले को रोकने का मौका है जो mass surveillance की ओर ले जा सकता है
  • House of Lords के committee stage या report stage में end-to-end encryption पर पर्याप्त विचार और मतदान नहीं हुआ है
  • Lords एक सरल संशोधन जोड़ सकते हैं जो private messaging की रक्षा करे और साफ़ तौर पर कहे कि end-to-end encryption को कमजोर या हटाया नहीं जाएगा
  • EFF ने यूके की civil society groups के साथ मिलकर जुलाई 2023 में House of Lords को एक briefing भेजी
    • इसमें मौजूदा बिल की encryption-संबंधी समस्याओं की व्याख्या की गई
    • और end-to-end encryption की रक्षा करने वाले संशोधन को अपनाने का प्रस्ताव रखा गया
  • अगर यह संशोधन स्वीकार नहीं किया गया, तो hostile environments में काम करने के लिए private messaging पर निर्भर human rights activists और journalists, तथा अभिव्यक्ति की स्वतंत्रता के लिए privacy पर निर्भर LGBTQ+ users जैसे लोगों को इसकी कीमत चुकानी पड़ेगी

जनमत और संदर्भ दस्तावेज़

1 टिप्पणियां

 
GN⁺ 2023-07-29
Hacker News की राय
  • UK सरकार बार-बार यह समझ नहीं पाती कि इंटरनेट की कोई सीमा नहीं होती, और सर्वसत्तावादी शासन जैसे चरम प्रतिबंधों के बिना सीमाएं बनाई नहीं जा सकतीं
    व्यापक अंतरराष्ट्रीय सहयोग के बिना कदम जबरन लागू करने से भारी संख्या में लोग इंटरनेट के और अंधेरे कोनों में चले जाएंगे; इससे लक्ष्य पूरी तरह विफल होगा और समस्या और बिगड़ेगी
    अकेले Meta के पास भी इस कानून को बुरी तरह नाकाम करने की ताकत है। लोग WhatsApp इस्तेमाल करना चाहते हैं, और सरकारें खुद भी इसका व्यापक रूप से इस्तेमाल करती हैं। अगर Meta मना कर दे, तो सरकार बहुत कम कर सकती है। Facebook UK में एक भी कर्मचारी रखे बिना संचालन जारी रख सकता है; कारोबार पर कुछ असर पड़ेगा, लेकिन यह पूरी तरह संभव है
    सरकार Apple और Google पर दबाव डालकर UK app stores से WhatsApp हटवा सकती है, लेकिन ऐसी क्षेत्रीय पाबंदियां आसानी से bypass हो जाती हैं और WhatsApp इतना लोकप्रिय है कि लोग कोशिश करेंगे। फिर sideloading, jailbreaking, और region restrictions bypass जैसी चीजें सामान्य हो जाएंगी, cyber criminals मौके पर हाथ मलेंगे, और जिन pedophiles और terrorists को रोकना था वे भी उसी धारा में शामिल हो जाएंगे

    • Apple ने तो यहां तक धमकी दी थी कि इस कानून का पालन करने के बजाय वह UK से अपने systems वापस ले लेगा
      https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
    • क्या आप कभी China गए हैं? इंटरनेट पर निश्चित रूप से सीमाएं और बॉर्डर हैं। कभी-कभी आप चुपके से पार जा सकते हैं या वीजा ले सकते हैं, लेकिन अलग-अलग देश अपने नियम बनाते हैं और ज्यादातर लोग उनका पालन करते हैं या उन्हें पता भी नहीं होता। बड़ी multinational कंपनियां भी अच्छा निशाना बनती हैं, इसलिए वे आम तौर पर स्थानीय कानूनों का पालन करती हैं
      UK में इस कानून का विरोध कर रही कंपनियां बाजार से बाहर निकलने की धमकी दे रही हैं। इसका मतलब UK users को कानून तोड़ने का तरीका खोजने में मदद करना नहीं, बल्कि अपनी services से UK users को block करना है
    • सर्वसत्तावादी शासन भी बाकी दुनिया को encryption इस्तेमाल करने से नहीं रोक सकता। कंपनियां UK से निकल सकती हैं, और UK का अपनी सीमाओं के बाहर कोई अधिकार क्षेत्र नहीं है
      अगर मैं end-to-end encrypted messenger app बनाऊं, तो मुझे UK की बात सुनने की बिल्कुल जरूरत नहीं। जैसे China मुझे निर्देश नहीं दे सकता, वैसे ही UK भी नहीं। China चाहे तो मेरे app को block कर सकता है, लेकिन block करना उनका काम है, मेरा नहीं। UK भी चाहे तो firewall खड़ा कर दे। लेकिन अगर मैं UK में कदम ही नहीं रखता, तो मुझे app बदलने की जरूरत नहीं
    • चरम प्रतिबंध उन्हें क्यों रोकेंगे? लगता है उन्हें ऐसे प्रतिबंध लगाने में कोई समस्या महसूस नहीं होती
      व्यापक अंतरराष्ट्रीय सहयोग न होने की चिंता भी छोड़ दें। दूसरी सरकारें भी उतनी ही खराब हैं और वही बकवास चाहती हैं
    • UK सरकार को पहले भी ऐसी चीजें थोपने की ज्यादा परवाह नहीं रही जिन्हें लागू करना संभव नहीं। एक Brit के तौर पर कभी-कभी ISP द्वारा pirate sites block करने का नतीजा दिखता है; “यह site blocked है” जैसा संदेश आता है, तो एक-दो button दबाकर दूसरे connection पर चला जाता हूं या VPN on कर लेता हूं
      encryption ban से बचना भी कुछ ऐसा ही “मुश्किल” होगा। यह असल में कुछ हासिल करने से ज्यादा voters के सामने नैतिक दिखने की कोशिश लगती है
  • अगर आप UK में रहते हैं, तो UK सरकार और Parliament की website पर इस petition पर sign कर दें: https://petition.parliament.uk/petitions/634725
    अभी 6,327 signatures हैं; सरकार का जवाब पाने के लिए 3,673 और चाहिए, और debate consideration तक पहुंचने के लिए उसके बाद 90,000 और चाहिए

    • अपने MP को सीधे पत्र लिखना ज्यादा प्रभावी है। template इस्तेमाल न करना बेहतर है। मैंने अभी तक ऐसी petitions का कोई नतीजा नहीं देखा जो ignore किए जाने से आगे गया हो, और कहीं ज्यादा लोकप्रिय petitions के साथ भी यही हुआ
      MP को भेजे पत्र भी लगभग हमेशा formal reply पर खत्म होते हैं, लेकिन फिर भी कम से कम वे ध्यान तो देते हैं। बहुत कभी-कभार template वाला नहीं, असली जवाब भी मिल जाता है
    • 6 हजार signatures दिलचस्प रूप से कम हैं, और अगर search करने पर duplicate के बिना सिर्फ एक petition दिखती है तो यह और भी कम लगता है। लगता है इस मुद्दे की Facebook mass-sharing sphere तक अभी ज्यादा पहुंच नहीं हुई है, जो ऐसी petitions को बड़े numbers तक ले जाती है
  • मुझे अभी की UK सरकार सचमुच नापसंद है
    उम्मीद है कि जब courts यह पुष्टि कर दें कि आखिर में reality ही डंडा चलाती है, तो ये लचर bills अदालत में गिर जाएं
    शायद इनमें यह clause भी होगा कि आगे से pi को 4 माना जाएगा

    • courts इसे कैसे गिरा सकते हैं? मेरी समझ थी कि UK courts Parliament के laws को invalid नहीं कर सकते, और US के उलट वहां courts Parliament के नीचे वाली संरचना में हैं
    • यह सिर्फ मौजूदा सरकार की समस्या नहीं है। पूरा Parliament और कई committees इस मूड में हैं कि अगर intelligence और security agencies कहें कि encryption बुरा है, तो वे उसी के पीछे चल पड़ें
    • क्या Labour भी इसके पक्ष में नहीं है? अगर ऐसा है तो वैसे भी सब खत्म है
    • “मौजूदा” सरकार कहते हैं, लेकिन वे 10 साल से ज्यादा समय से सत्ता में हैं
  • मुझे हमारी सरकार भी नापसंद है, लेकिन उन्हें टिकाए रखने में media की भी बहुत बड़ी भूमिका है
    सभी tech companies को साथ खड़े होकर services की access block करने तक के लिए तैयार होना चाहिए। UK में iMessage तो छोड़िए, सिर्फ WhatsApp न चलने पर क्या होगा, इसकी कल्पना कर लें। यह गैर-जिम्मेदाराना या unsafe भी नहीं है। SMS हमेशा रहेगा, जिस पर सरकार का पूरा control हो सकता है
    मुझे नहीं लगता कि इन companies को competitors से डरने की जरूरत है। ये services इतनी गहराई से जमी हुई हैं कि कुछ हफ्तों, ज्यादा से ज्यादा कुछ महीनों के protest से कुछ नहीं बदलेगा। सरकार आखिरकार झुकेगी तो restore करना आसान होगा, और metrics भी जल्दी normal हो जाएंगे

    • हाल में मैंने Sun के पूर्व editor-in-chief David Yelland का interview देखा, जिसमें उन्होंने कहा कि UK news media आम तौर पर उसी छोटी elite class द्वारा चलाया जाता है जो spads[1] के रूप में काम करती है। तो media सरकार को सहारा देता है—यह बात इससे अच्छी तरह मेल खाती है। क्योंकि अब media और politics एक जैसे और घनिष्ठ समुदाय बन चुके हैं
      [1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
    • सही। WhatsApp के बिना UK विद्रोह की स्थिति में होगा। जिन लोगों को मैं जानता हूं—teenagers से लेकर बुजुर्गों तक—सब WhatsApp पर अपनी जिंदगी चलाते हैं। सिर्फ WhatsApp की गैर-मौजूदगी ही हम जैसे निष्क्रिय, आलसी और protest न करने वाले लोगों को भी सड़क पर उतारने के लिए काफी है
  • यह वाकई बेतुकी हद तक मूर्खतापूर्ण है। इससे कहीं ज़्यादा बंटा हुआ इंटरनेट बनेगा, हर देश और अलग होना शुरू करेगा, और पश्चिमी/UK/US products पर भरोसा भी खत्म होगा
    फिर बाकी दुनिया iPhone, MacBook, Google, Amazon वगैरह का इस्तेमाल क्यों करती रहेगी। बड़ी companies को खोए हुए revenue के लिहाज़ से इसकी भारी कीमत चुकानी पड़ेगी
    दूसरी ओर, ज़रूरी काम करते हुए भी privacy का सम्मान करने और companies को अनावश्यक आर्थिक नुकसान न पहुँचाने के ज़्यादा समझदार तरीके मौजूद हैं। बस इसके लिए सरकार में समझदार लोग चाहिए, जबकि सरकार ऐसे लोगों से भरी है जो वैसे नहीं हैं
    एक और पहलू यह है कि ज़्यादातर individuals पर इसे enforce करना असंभव है। bypass करने के तरीके भरे पड़े हैं, और कई companies ऐसे क्षेत्रों में या offshore companies बनाकर Viber, Skype, Google आदि के alternatives देना शुरू कर देंगी जिन पर असर नहीं होगा। कुछ तो पहले से मौजूद भी हैं

    • मुझे लगता है इंटरनेट का और बंटना ही आगे का भविष्य है
  • यह सब होते हुए UK हर घर में fiber optic बिछा रहा है। बेहद दूर-दराज़ countryside roads पर रहने वाले कई लोग पेड़ों के बीच 36x fibre COF215 drop cable लटकते या कीचड़ भरे रास्ते के किनारे दबते देख रहे हैं
    EE ने पिछले दशक के अंत में tier-1 और tier-2 cities में LTE Cat16 में बढ़त ली थी, और यह उस समय से मेल खाता था जब iPhone X gigabit traffic support के साथ लॉन्च हुआ था। जल्द ही यह आपके पास के खेतों में भी संभव होगा। सभी के लिए low-latency bandwidth प्रचुर होने वाली है
    ऐसी connectivity के साथ, transmission कौन provide करता है और IP connectivity कौन provide करता है, इसे कहीं ज़्यादा creative तरीके से अलग किया जा सकता है। VPN पहले ही mainstream बन रहे हैं। यह सकारात्मक दिशा जैसी लगती है। इंटरनेट damage को bypass करके route करता है, और क्या किया जा सकता है और क्या नहीं—इसे सीमित करने वाले कानूनों को भी traffic को Dublin या Amsterdam में terminate करके “bypass route” किया जा सकता है
    समस्या यह है कि जैसे-जैसे UK citizens के लिए अपना traffic विदेश भेजना सामान्य होता जाएगा, UK government policy का रास्ता अंततः फिर encryption के साथ पूर्ण युद्ध के अलावा कुछ नहीं दिखेगा

  • मैं लगभग 12 लोगों द्वारा इस्तेमाल किया जाने वाला encrypted XMPP server चला रहा हूँ। यह पूरी तरह ephemeral है, इस अर्थ में कि server messages store नहीं करता। अगर आप offline हैं तो messages miss कर देते हैं, कुछ-कुछ IRC जैसा
    क्या यह कानून मुझ पर भी लागू होता है? क्या मुझे यह सुनिश्चित करना होगा कि मेरे server पर UK users न हों?
    जब मैंने server बनाया था, तब मैंने ऐसी किसी चीज़ की बिल्कुल कल्पना नहीं की थी। मुझे लगा था कि मजबूत security और privacy measures implement करना एक जिम्मेदारी है जिसे गंभीरता से लेना चाहिए
    अगर मुझे लोगों की privacy को नुकसान पहुँचाना पड़े, तो मैं server चलाने को तैयार नहीं हूँ। privacy न हो तो यह किसी बड़ी corporate service पर होने से अलग नहीं है

    • अगर आप UK में नहीं हैं, तो आप UK jurisdiction के तहत नहीं आते
  • कुछ comments में दिख रहा है कि सरकार बदलने से मदद मिलेगी, लेकिन पिछली Labour government (1997~2010) ने Regulation of Investigatory Powers Act 2000 पेश किया था: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
    उसमें key disclosure rules भी शामिल थे: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... key disclosure में burden of proof उलट जाता है, यानी defendant को साबित करना होता है कि उसके पास key नहीं है या वह decrypt नहीं कर सकता, और उस समय इस विषय में रुचि रखने वालों के बीच यह काफी विवादित था। RIPA III provisions का वास्तविक उपयोग 2007 में शुरू हुआ
    उसी Labour government ने Interception Modernisation Programme को भी आगे बढ़ाया था: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... आप इसे Snowden leaks में आए “mastering the internet” के रूप में याद कर सकते हैं, लेकिन IMP खुद secret नहीं था। इसके कुछ हिस्सों को कानून बनाने के लिए bill भी लाया गया था: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... यह law नहीं बन पाया था
    मुझे लगता है Labour भी इसी दिशा से सहमत है। और ministers के साथ सीधे काम करने वाला या उनके निकट रहने वाला senior civil service वर्ग US administration की तरह बदलता नहीं। हो सकता है यह bill current Parliament में समय की कमी के कारण गिर जाए और अगली government इसे आगे न बढ़ाए, लेकिन ऐसा तो वही party सत्ता में बनी रहे तब भी हो सकता है। फिर भी यह विचार किसी न किसी रूप में लौटेगा, और अंततः law बन जाएगा, ऐसा लगता है

    • Labour ने भी Suella Braverman द्वारा लाए गए protest restrictions bill को पलटने का वादा नहीं किया, और जब deputy leader of the opposition से यह सवाल सीधे पूछा गया तो उन्होंने इस आशय का जवाब दिया कि “अभी review करने का समय नहीं है”, इसलिए इस मुद्दे पर progressive action की उम्मीद बहुत ज़्यादा नहीं है
  • इसे पूरी तरह implement करने के लिए VPN, SSL/TLS, SSH, WebRTC समेत बहुत बड़ी मात्रा में software और protocols को dismantle करना पड़ेगा
    दूसरे देश केवल UK के लिए इन protocols को कमजोर होते नहीं देखना चाहेंगे। अंततः UK के पास “massive firewall” होगा और वह प्रभावी रूप से अपना छोटा-सा अलग internet बना लेगा, और tech-savvy लोग China की तरह उसमें छेद ढूँढते रहेंगे

    • मेरी इच्छा है UK की भूमिका यह हो: “गलती: आपके जीवन का उद्देश्य शायद सिर्फ दूसरों के लिए चेतावनी बनना हो सकता है”
      https://despair.com/products/mistakes
  • मुझे जानना है कि कितनी companies कानून का पालन करने के बजाय UK को block करेंगी। संख्या निश्चित रूप से 0 नहीं होगी

    • WhatsApp(Meta), Signal, Apple हैं
      https://www.politico.eu/article/uk-ministers-lock-horns-with...
    • क्या UK users को जरूर block करना पड़ेगा?
      संभावित legal issues से बचने के लिए क्या UK में business presence हटाना ही काफी नहीं होगा?
    • जैसे ही उन्हें एहसास होगा कि इसे implement करना कितना असंभव है, पूरा मामला fail हो जाएगा