- यूके संसद का Online Safety Bill House of Lords से पारित होने से पहले अंतिम चरण में है, और यह messaging services पर backdoor लागू करने की अनुमति दे सकता है, जिससे दुनिया भर के users की privacy प्रभावित हो सकती है
- बिल का मुख्य टकराव यह है कि child abuse और terror-related content का पता लगाने के लिए message scanning की मांग, end-to-end encryption के साथ व्यावहारिक रूप से संगत नहीं है
- WhatsApp, Signal, Element आदि ने अप्रैल 2023 की एक open letter में चेतावनी दी थी कि इससे private messages पर रोज़मर्रा की, व्यापक और अंधाधुंध निगरानी हो सकती है, और Apple भी जून में इसके विरोध में शामिल हुआ
- यूके सरकार का कहना है कि client-side scanning के जरिए safety और privacy दोनों की रक्षा की जा सकती है, लेकिन EFF का तर्क है कि encryption backdoor केवल अच्छे उद्देश्यों तक सीमित नहीं रखे जा सकते
- अगर end-to-end encryption की रक्षा करने वाला संशोधन नहीं जोड़ा गया, तो hostile environments में काम करने वाले human rights activists, journalists और LGBTQ+ users जैसे लोग, जो private messaging पर निर्भर हैं, सीधे जोखिम झेलेंगे
Online Safety Bill का encryption पर दबाव
- यूके संसद व्यापक internet regulation law Online Safety Bill को आगे बढ़ा रही है, और यह अभी House of Lords से पारित होने से पहले अंतिम चरण में है
- यह बिल यूके सरकार को messaging services पर backdoor लागू कराने की शक्ति दे सकता है, जिससे end-to-end encryption कमजोर हो सकता है
- बिल के सबसे खतरनाक हिस्सों को कमज़ोर करने वाले संशोधन अभी तक स्वीकार नहीं किए गए हैं
- EFF ने चेतावनी दी है कि यह बिल सिर्फ यूके तक सीमित नहीं रहेगा, बल्कि दुनिया भर में privacy और democracy के लिए पीछे हटने जैसा असर डाल सकता है
internet regulation का दायरा और मुख्य विवाद
- Online Safety Bill की शुरुआत चार साल से अधिक पुराने “online harms” white paper से हुई थी, और इसे बहुत व्यापक internet regulation के रूप में देखा जा रहा है
- इसकी आवश्यकताओं में content filtering, adult content access के लिए age verification, और सरकार को online activity की विस्तृत रिपोर्टिंग शामिल है
- इनमें से end-to-end encryption को तोड़ सकने वाली message scanning powers को सबसे गंभीर मुद्दा माना जा रहा है
message scanning, end-to-end encryption से टकराता है
- private conversation एक बुनियादी human right है, और digital environment में इसे लागू करने का सबसे मजबूत तकनीकी साधन end-to-end encryption है
- अगर सरकार-स्वीकृत message scanning technology को अनिवार्य किया जाता है, तो यह उस encryption model से टकराता है जिसमें संदेश केवल sender और recipient ही पढ़ सकते हैं
- EFF का मुख्य तर्क यह है कि encryption backdoor को सिर्फ “अच्छे लोगों” के लिए इस्तेमाल करने का कोई तरीका नहीं है
- encryption पर रोक लगाने वाला तरीका
- कंपनियों पर encryption से पीछे हटने का दबाव डालने वाला तरीका
- client-side scanning की मांग करने वाला तरीका, ये सभी malicious actors और authoritarian states के लिए फायदेमंद हो सकते हैं
कंपनियों और civil society की चेतावनी
- यूके सरकार का कहना है कि child abuse या terror-related content खोजने के लिए सभी online messages को scan करने का अधिकार मिलने पर भी users की privacy की रक्षा की जा सकती है
- EFF का जवाब है कि इन दोनों लक्ष्यों को एक साथ हासिल करना संभव नहीं है
- यूके की civil society groups, technical experts और दुनिया भर के human rights organizations ने भी इस बिल की आलोचना की है
- WhatsApp, Signal और यूके-आधारित Element जैसे encrypted messaging providers ने अप्रैल 2023 की open letter में OSB के खतरों को लेकर चेतावनी दी
- यह बिल end-to-end encryption को तोड़ सकता है
- friends, family, employees, executives, journalists, human rights activists और politicians के private messages तक रोज़मर्रा की, व्यापक और अंधाधुंध निगरानी के दायरे में आ सकते हैं
- Apple ने जून 2023 में सार्वजनिक रूप से विरोध जताते हुए कहा कि यह बिल encryption को खतरे में डालता है और यूके नागरिकों को और बड़े जोखिम में डाल सकता है
यूके सरकार का तकनीकी तर्क
- यूके के culture, media and sport secretary ने House of Lords को भेजे गए जवाब में फिर दोहराया कि end-to-end encrypted platforms पर भी messages scan करते हुए privacy बनाए रखी जा सकती है
- जवाब में कहा गया कि कंपनियां पहले भी end-to-end encrypted platforms के लिए solutions विकसित कर चुकी हैं, और Ofcom को ऐसी तकनीक के इस्तेमाल की मांग कर सकने में सक्षम होना चाहिए
- इसमें यह भी कहा गया कि अगर तुरंत इस्तेमाल योग्य solution मौजूद नहीं है, तो सरकार का technology exploration को आगे बढ़ाना सही है
-
Safety Tech Challenge Fund
- यह यूके सरकार का एक program है, जिसमें ऐसे software development के लिए छोटे grants दिए गए जिनके बारे में दावा किया गया कि वे users की privacy बचाते हुए files scan कर सकते हैं
- award-winning prototypes के विवरण में file को encrypted channel से भेजे जाने से पहले AI से जांचने वाले कई प्रकार के client-side scanning शामिल थे
- EFF का मानना है कि यह उसी गलत सोच की पुनरावृत्ति है जिसमें कहा जाता है कि अगर tech companies users की सुरक्षा करने वाला “जादुई backdoor” नहीं बना पा रहीं, तो उन्हें बस और मेहनत से technology विकसित करनी चाहिए
अभी भी संभव संशोधन और प्रभावित लोग
- यूके के lawmakers के पास अब भी ऐसे फैसले को रोकने का मौका है जो mass surveillance की ओर ले जा सकता है
- House of Lords के committee stage या report stage में end-to-end encryption पर पर्याप्त विचार और मतदान नहीं हुआ है
- Lords एक सरल संशोधन जोड़ सकते हैं जो private messaging की रक्षा करे और साफ़ तौर पर कहे कि end-to-end encryption को कमजोर या हटाया नहीं जाएगा
- EFF ने यूके की civil society groups के साथ मिलकर जुलाई 2023 में House of Lords को एक briefing भेजी
- इसमें मौजूदा बिल की encryption-संबंधी समस्याओं की व्याख्या की गई
- और end-to-end encryption की रक्षा करने वाले संशोधन को अपनाने का प्रस्ताव रखा गया
- अगर यह संशोधन स्वीकार नहीं किया गया, तो hostile environments में काम करने के लिए private messaging पर निर्भर human rights activists और journalists, तथा अभिव्यक्ति की स्वतंत्रता के लिए privacy पर निर्भर LGBTQ+ users जैसे लोगों को इसकी कीमत चुकानी पड़ेगी
जनमत और संदर्भ दस्तावेज़
- EFF का मानना है कि universal scanning और surveillance वह दिशा नहीं है जिसे यूके नागरिक चाहते हैं, इसलिए संसद को यह बिल खारिज कर देना चाहिए
- हाल के एक survey में 83% यूके नागरिकों ने कहा कि वे Signal, WhatsApp और Element जैसे messaging apps में उपलब्ध सबसे उच्च स्तर की security और privacy चाहते हैं
- संबंधित दस्तावेज़:
- U.K. Online Safety Bill पर EFF information page
- OSB अभिव्यक्ति की स्वतंत्रता और encryption पर कैसे हमला करता है — अगस्त 2022 EFF Deeplinks
- यूके Online Safety Bill draft में अभिव्यक्ति की स्वतंत्रता को लेकर गंभीर चिंताएँ — जुलाई 2021 EFF Deeplinks
- Online Safety Bill पर civil society की open letter — नवंबर 2022
- encrypted messaging providers की open letter — अप्रैल 2023
- EFF और सहयोगी NGOs की House of Lords briefing — जुलाई 2023
1 टिप्पणियां
Hacker News की राय
UK सरकार बार-बार यह समझ नहीं पाती कि इंटरनेट की कोई सीमा नहीं होती, और सर्वसत्तावादी शासन जैसे चरम प्रतिबंधों के बिना सीमाएं बनाई नहीं जा सकतीं
व्यापक अंतरराष्ट्रीय सहयोग के बिना कदम जबरन लागू करने से भारी संख्या में लोग इंटरनेट के और अंधेरे कोनों में चले जाएंगे; इससे लक्ष्य पूरी तरह विफल होगा और समस्या और बिगड़ेगी
अकेले Meta के पास भी इस कानून को बुरी तरह नाकाम करने की ताकत है। लोग WhatsApp इस्तेमाल करना चाहते हैं, और सरकारें खुद भी इसका व्यापक रूप से इस्तेमाल करती हैं। अगर Meta मना कर दे, तो सरकार बहुत कम कर सकती है। Facebook UK में एक भी कर्मचारी रखे बिना संचालन जारी रख सकता है; कारोबार पर कुछ असर पड़ेगा, लेकिन यह पूरी तरह संभव है
सरकार Apple और Google पर दबाव डालकर UK app stores से WhatsApp हटवा सकती है, लेकिन ऐसी क्षेत्रीय पाबंदियां आसानी से bypass हो जाती हैं और WhatsApp इतना लोकप्रिय है कि लोग कोशिश करेंगे। फिर sideloading, jailbreaking, और region restrictions bypass जैसी चीजें सामान्य हो जाएंगी, cyber criminals मौके पर हाथ मलेंगे, और जिन pedophiles और terrorists को रोकना था वे भी उसी धारा में शामिल हो जाएंगे
https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
UK में इस कानून का विरोध कर रही कंपनियां बाजार से बाहर निकलने की धमकी दे रही हैं। इसका मतलब UK users को कानून तोड़ने का तरीका खोजने में मदद करना नहीं, बल्कि अपनी services से UK users को block करना है
अगर मैं end-to-end encrypted messenger app बनाऊं, तो मुझे UK की बात सुनने की बिल्कुल जरूरत नहीं। जैसे China मुझे निर्देश नहीं दे सकता, वैसे ही UK भी नहीं। China चाहे तो मेरे app को block कर सकता है, लेकिन block करना उनका काम है, मेरा नहीं। UK भी चाहे तो firewall खड़ा कर दे। लेकिन अगर मैं UK में कदम ही नहीं रखता, तो मुझे app बदलने की जरूरत नहीं
व्यापक अंतरराष्ट्रीय सहयोग न होने की चिंता भी छोड़ दें। दूसरी सरकारें भी उतनी ही खराब हैं और वही बकवास चाहती हैं
encryption ban से बचना भी कुछ ऐसा ही “मुश्किल” होगा। यह असल में कुछ हासिल करने से ज्यादा voters के सामने नैतिक दिखने की कोशिश लगती है
अगर आप UK में रहते हैं, तो UK सरकार और Parliament की website पर इस petition पर sign कर दें: https://petition.parliament.uk/petitions/634725
अभी 6,327 signatures हैं; सरकार का जवाब पाने के लिए 3,673 और चाहिए, और debate consideration तक पहुंचने के लिए उसके बाद 90,000 और चाहिए
MP को भेजे पत्र भी लगभग हमेशा formal reply पर खत्म होते हैं, लेकिन फिर भी कम से कम वे ध्यान तो देते हैं। बहुत कभी-कभार template वाला नहीं, असली जवाब भी मिल जाता है
मुझे अभी की UK सरकार सचमुच नापसंद है
उम्मीद है कि जब courts यह पुष्टि कर दें कि आखिर में reality ही डंडा चलाती है, तो ये लचर bills अदालत में गिर जाएं
शायद इनमें यह clause भी होगा कि आगे से pi को 4 माना जाएगा
मुझे हमारी सरकार भी नापसंद है, लेकिन उन्हें टिकाए रखने में media की भी बहुत बड़ी भूमिका है
सभी tech companies को साथ खड़े होकर services की access block करने तक के लिए तैयार होना चाहिए। UK में iMessage तो छोड़िए, सिर्फ WhatsApp न चलने पर क्या होगा, इसकी कल्पना कर लें। यह गैर-जिम्मेदाराना या unsafe भी नहीं है। SMS हमेशा रहेगा, जिस पर सरकार का पूरा control हो सकता है
मुझे नहीं लगता कि इन companies को competitors से डरने की जरूरत है। ये services इतनी गहराई से जमी हुई हैं कि कुछ हफ्तों, ज्यादा से ज्यादा कुछ महीनों के protest से कुछ नहीं बदलेगा। सरकार आखिरकार झुकेगी तो restore करना आसान होगा, और metrics भी जल्दी normal हो जाएंगे
[1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
यह वाकई बेतुकी हद तक मूर्खतापूर्ण है। इससे कहीं ज़्यादा बंटा हुआ इंटरनेट बनेगा, हर देश और अलग होना शुरू करेगा, और पश्चिमी/UK/US products पर भरोसा भी खत्म होगा
फिर बाकी दुनिया iPhone, MacBook, Google, Amazon वगैरह का इस्तेमाल क्यों करती रहेगी। बड़ी companies को खोए हुए revenue के लिहाज़ से इसकी भारी कीमत चुकानी पड़ेगी
दूसरी ओर, ज़रूरी काम करते हुए भी privacy का सम्मान करने और companies को अनावश्यक आर्थिक नुकसान न पहुँचाने के ज़्यादा समझदार तरीके मौजूद हैं। बस इसके लिए सरकार में समझदार लोग चाहिए, जबकि सरकार ऐसे लोगों से भरी है जो वैसे नहीं हैं
एक और पहलू यह है कि ज़्यादातर individuals पर इसे enforce करना असंभव है। bypass करने के तरीके भरे पड़े हैं, और कई companies ऐसे क्षेत्रों में या offshore companies बनाकर Viber, Skype, Google आदि के alternatives देना शुरू कर देंगी जिन पर असर नहीं होगा। कुछ तो पहले से मौजूद भी हैं
यह सब होते हुए UK हर घर में fiber optic बिछा रहा है। बेहद दूर-दराज़ countryside roads पर रहने वाले कई लोग पेड़ों के बीच 36x fibre COF215 drop cable लटकते या कीचड़ भरे रास्ते के किनारे दबते देख रहे हैं
EE ने पिछले दशक के अंत में tier-1 और tier-2 cities में LTE Cat16 में बढ़त ली थी, और यह उस समय से मेल खाता था जब iPhone X gigabit traffic support के साथ लॉन्च हुआ था। जल्द ही यह आपके पास के खेतों में भी संभव होगा। सभी के लिए low-latency bandwidth प्रचुर होने वाली है
ऐसी connectivity के साथ, transmission कौन provide करता है और IP connectivity कौन provide करता है, इसे कहीं ज़्यादा creative तरीके से अलग किया जा सकता है। VPN पहले ही mainstream बन रहे हैं। यह सकारात्मक दिशा जैसी लगती है। इंटरनेट damage को bypass करके route करता है, और क्या किया जा सकता है और क्या नहीं—इसे सीमित करने वाले कानूनों को भी traffic को Dublin या Amsterdam में terminate करके “bypass route” किया जा सकता है
समस्या यह है कि जैसे-जैसे UK citizens के लिए अपना traffic विदेश भेजना सामान्य होता जाएगा, UK government policy का रास्ता अंततः फिर encryption के साथ पूर्ण युद्ध के अलावा कुछ नहीं दिखेगा
मैं लगभग 12 लोगों द्वारा इस्तेमाल किया जाने वाला encrypted XMPP server चला रहा हूँ। यह पूरी तरह ephemeral है, इस अर्थ में कि server messages store नहीं करता। अगर आप offline हैं तो messages miss कर देते हैं, कुछ-कुछ IRC जैसा
क्या यह कानून मुझ पर भी लागू होता है? क्या मुझे यह सुनिश्चित करना होगा कि मेरे server पर UK users न हों?
जब मैंने server बनाया था, तब मैंने ऐसी किसी चीज़ की बिल्कुल कल्पना नहीं की थी। मुझे लगा था कि मजबूत security और privacy measures implement करना एक जिम्मेदारी है जिसे गंभीरता से लेना चाहिए
अगर मुझे लोगों की privacy को नुकसान पहुँचाना पड़े, तो मैं server चलाने को तैयार नहीं हूँ। privacy न हो तो यह किसी बड़ी corporate service पर होने से अलग नहीं है
कुछ comments में दिख रहा है कि सरकार बदलने से मदद मिलेगी, लेकिन पिछली Labour government (1997~2010) ने Regulation of Investigatory Powers Act 2000 पेश किया था: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
उसमें key disclosure rules भी शामिल थे: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... key disclosure में burden of proof उलट जाता है, यानी defendant को साबित करना होता है कि उसके पास key नहीं है या वह decrypt नहीं कर सकता, और उस समय इस विषय में रुचि रखने वालों के बीच यह काफी विवादित था। RIPA III provisions का वास्तविक उपयोग 2007 में शुरू हुआ
उसी Labour government ने Interception Modernisation Programme को भी आगे बढ़ाया था: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... आप इसे Snowden leaks में आए “mastering the internet” के रूप में याद कर सकते हैं, लेकिन IMP खुद secret नहीं था। इसके कुछ हिस्सों को कानून बनाने के लिए bill भी लाया गया था: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... यह law नहीं बन पाया था
मुझे लगता है Labour भी इसी दिशा से सहमत है। और ministers के साथ सीधे काम करने वाला या उनके निकट रहने वाला senior civil service वर्ग US administration की तरह बदलता नहीं। हो सकता है यह bill current Parliament में समय की कमी के कारण गिर जाए और अगली government इसे आगे न बढ़ाए, लेकिन ऐसा तो वही party सत्ता में बनी रहे तब भी हो सकता है। फिर भी यह विचार किसी न किसी रूप में लौटेगा, और अंततः law बन जाएगा, ऐसा लगता है
इसे पूरी तरह implement करने के लिए VPN, SSL/TLS, SSH, WebRTC समेत बहुत बड़ी मात्रा में software और protocols को dismantle करना पड़ेगा
दूसरे देश केवल UK के लिए इन protocols को कमजोर होते नहीं देखना चाहेंगे। अंततः UK के पास “massive firewall” होगा और वह प्रभावी रूप से अपना छोटा-सा अलग internet बना लेगा, और tech-savvy लोग China की तरह उसमें छेद ढूँढते रहेंगे
https://despair.com/products/mistakes
मुझे जानना है कि कितनी companies कानून का पालन करने के बजाय UK को block करेंगी। संख्या निश्चित रूप से 0 नहीं होगी
https://www.politico.eu/article/uk-ministers-lock-horns-with...
संभावित legal issues से बचने के लिए क्या UK में business presence हटाना ही काफी नहीं होगा?