यूरोपीय मानवाधिकार न्यायालय ने सुरक्षित end-to-end encryption को कमजोर करने पर रोक लगाई
(eureporter.co)- यूरोपीय मानवाधिकार न्यायालय ने end-to-end encryption को सामान्य रूप से कमजोर करने पर रोक लगाई है, जिससे EU की chat control CSAR mass surveillance योजना पर भी रोक लग सकती है
- फैसले में माना गया कि encryption नागरिकों और कंपनियों को hacking, identity और personal data theft, fraud, confidential information leak से बचाता है, और backdoor का दुरुपयोग criminal networks कर सकते हैं
- न्यायालय ने कहा कि सभी users की सुरक्षा कम किए बिना भी encrypted communications की निगरानी करने के तरीके हैं; उदाहरण के तौर पर target software की vulnerabilities का उपयोग या devices में implants भेजना बताया गया
- European Parliament के सदस्य Patrick Breyer ने आकलन किया कि EU Commission की client-side scanning सभी smartphones की निगरानी करती है और encryption protection को नष्ट करती है, इसलिए इस फैसले के तहत यह स्पष्ट रूप से अवैध है
- EU Parliament ने सुरक्षित encryption को तोड़ने और indiscriminate chat control को खारिज किया है, लेकिन EU Council की स्थिति तय होने पर बातचीत शुरू हो सकती है और EU के home affairs ministers मार्च की शुरुआत में bill पर फिर चर्चा करेंगे
फैसले ने encryption कमजोर करने पर क्या रोक लगाई
- यूरोपीय मानवाधिकार न्यायालय ने सुरक्षित end-to-end encryption को सामान्य रूप से कमजोर करने वाले कदमों पर रोक लगाई
- encryption को नागरिकों और कंपनियों को कई खतरों से बचाने वाला साधन माना गया
- hacking
- identity theft और personal data theft
- fraud
- confidential information का unauthorized disclosure
- backdoor का criminal networks द्वारा दुरुपयोग हो सकता है, जिससे सभी users के electronic communications की security गंभीर रूप से खतरे में पड़ सकती है
- न्यायालय ने माना कि सभी users की protection घटाए बिना surveillance के तरीके भी संभव हैं
- target software की vulnerabilities का उपयोग
- target device में implant भेजना
- फैसले के आधार के रूप में ECHR judgment document का para. 76 ff. प्रस्तुत किया गया
EU chat control bill पर Breyer का आकलन
- European Parliament के सदस्य और Pirate Party से जुड़े Patrick Breyer ने इस फैसले को landmark judgement बताया
- Breyer का मानना है कि EU Commission के chat control bill में शामिल सभी smartphones के लिए client-side scanning surveillance स्पष्ट रूप से अवैध है
- उनके आकलन के अनुसार यह तरीका suspects को target करने के बजाय सभी लोगों की encryption protection को तोड़ देता है
- Breyer ने EU governments से मांग की कि वे bill से सुरक्षित encryption को नष्ट करने और पूरी आबादी के private communications की indiscriminate surveillance को हटाएं
encryption और service continuity को लेकर चिंताएं
- Breyer ने जोर देकर कहा कि सुरक्षित encryption जान बचाता है
- encryption के बिना यह भरोसा नहीं किया जा सकता कि messages या photos अविश्वसनीय लोगों के सामने उजागर होंगे या नहीं
- तथाकथित client-side scanning के बारे में आकलन है कि यह दो में से एक नतीजा देगा
- communications को मूल रूप से असुरक्षित बना देगा
- European citizens Whatsapp या Signal का उपयोग आगे नहीं कर पाएंगे
- Breyer ने कहा कि संबंधित providers यूरोप में services बंद करने के विकल्प पर पहले ही विचार कर चुके हैं
- EU Council के latest position draft की आलोचना है कि उसमें अब भी सुरक्षित encryption को तोड़ने की योजना है
EU Commission proposal की संरचना
- EU Commission और surveillance authorities का industry network private communications को सामान्य रूप से search करने की मांग करता है
- search के दायरे में end-to-end encrypted messengers भी शामिल हैं
- उद्देश्य illegal content के संकेत ढूंढना है
- यह तरीका error-prone technology पर निर्भर करता है
- इसे केवल सुरक्षित end-to-end encryption को कमजोर करके ही लागू किया जा सकता है
EU संस्थाओं की मौजूदा स्थिति
- EU governments के बहुमत इस initiative का समर्थन करते हैं
- हालांकि एक blocking minority निर्णय को रोक रही है
- EU के home affairs ministers मार्च की शुरुआत में bill पर फिर चर्चा करेंगे
- EU Parliament ने Pirates और civil society के दबाव के बीच निम्न बातों को खारिज किया
- सुरक्षित encryption को तोड़ना
- indiscriminate chat control
- Parliament की स्थिति, EU Council द्वारा अपना रुख तय करने के बाद संभावित negotiations का starting point बनेगी
Meta और voluntary chat control
- Meta ने घोषणा की कि वह 2024 के दौरान Facebook और Instagram के direct messages को encrypt करना शुरू करेगी
- उसने कहा कि इन messages पर मौजूदा voluntary chat control surveillance बंद कर दी जाएगी
- EU voluntary chat control की अनुमति को extend करने की प्रक्रिया चला रहा है
- Breyer का chat control information page chatcontrol.eu है
1 टिप्पणियां
Hacker News की राय
इस मामले में अदालत ने माना कि end-to-end encrypted communication को decrypt करने की अनिवार्यता privacy के अधिकार में अनुपातहीन दखल है
जिस कानून पर सवाल था, उसने Telegram जैसे messengers से communication content के साथ-साथ, अगर वह encrypted हो, तो “electronic messages को decrypt करने के लिए जरूरी जानकारी” सौंपने की मांग की थी
अदालत ने माना कि backdoor के जरिए end-to-end encryption को कमजोर करने के व्यापक प्रभाव होंगे, और कानून-निर्माण व लगातार तकनीकी विकास के जरिए “ऐसे decryption alternatives” खोजने की जरूरत का भी हवाला दिया जो “protective mechanisms को कमजोर न करें।” इसमें पारंपरिक जांच, undercover investigation, metadata analysis, अंतरराष्ट्रीय police coordination, जब्त devices की live forensics, communication parties के पास मौजूद private keys का अनुमान लगाना/हासिल करना, targeted software vulnerabilities का इस्तेमाल या implants भेजना आदि शामिल हैं
यह फैसला एक खास मामले और कानून पर है, लेकिन अदालत service providers से सभी users के encryption mechanisms को कमजोर करने की मांग करने वाले तरीकों के प्रति कुल मिलाकर काफी संदेहपूर्ण दिखती है। UK सरकार के लिए यह फैसला इस बात की चिंता का आधार हो सकता है कि Online Safety Bill domestic courts या European courts में पलट सकता है
हालांकि भले ही end-to-end encryption backdoor को privacy अधिकार की वैध सीमाओं से बाहर माना गया हो, privacy अधिकार derogable right है, इसलिए अगर सरकार “राष्ट्र के जीवन को खतरे में डालने वाली” emergency घोषित करे, तो जरूरत की सीमा में ECHR Article 15 के तहत इससे छूट ली जा सकती है
संबंधित paragraphs 76–80 हैं: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
वे ज्यादा से ज्यादा declaration of incompatibility जारी कर सकते हैं, जिसके बाद ministers नया कानून फिर से पास कराए बिना secondary legislation के जरिए खामी दूर कर सकते हैं। बेशक, यह तभी होगा जब ऐसा करने की राजनीतिक इच्छा हो
हालांकि Online Safety Act काफी हिस्से को secondary legislation, statutory codes और guidance के जरिए संभालने की कोशिश करता है, इसलिए अदालतें इन्हें रद्द कर सकती हैं। जब तक कानून खुद ऐसी intrusive measures बनाना अनिवार्य नहीं करता, आगे चीजें कैसे विकसित होंगी यह दिलचस्प होगा
अफसोस, इसे सरलता से पूरी तरह incompatible नहीं कहा जा सकता। इस फैसले के अनुसार समस्या सिर्फ तब है जब अच्छे safeguards न हों, और judgment एक जगह “adequate” और दूसरी जगह “suitable” कहता है, लेकिन इससे ठोस तौर पर क्या मतलब है यह स्पष्ट नहीं है
https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
decryption information की मांग के जवाब में Lavabit ने private key सौंप दी थी, लेकिन उसे कागज पर type करके जमा किया था। शायद 6वें या 12वें page के आसपास कहीं कोई typo भी रहा होगा
https://thenextweb.com/news/you-wont-believe-what-email-prov...
थोड़ा उलझन हो रही है। article खुद काफी political लगता है, और Pirate Party के promotional wording को quote करता है, लेकिन यह नहीं बताता कि कौन-सा मामला court में गया और फैसले ने ठीक-ठीक किस चीज पर रोक लगाई, इसलिए मैंने नीचे linked actual judgment खोला
यह मामला Pirate Party या Chat Control से सीधे जुड़ा हुआ नहीं लगता। facts वाले हिस्से को मोटे तौर पर देखें तो यह एक individual द्वारा Russian government के खिलाफ लाया गया मामला है, जिसमें Telegram को plaintext chat messages न सौंपने पर fine लगाया गया था। पूरे article में “Russia” शब्द तक नहीं है। समझ नहीं आता कि यह article क्या report कर रहा है, और इसे हालिया Chat Control legislation से संबंधित जैसा क्यों दिखा रहा है
judgment के paragraphs 80–81 देखें तो कहा गया है कि “सभी users की internet communications का storage, abuse-prevention safeguards के बिना security agencies की direct access, और end-to-end encrypted communications पर लागू encrypted communications decryption requirement” को democratic society में जरूरी नहीं माना जा सकता, इसलिए यह ECHR Article 8 privacy right का उल्लंघन है
इस logic को Chat Control जैसे दूसरे encryption-bypass laws तक बढ़ाया जा सकता है, लेकिन Russian law की specific circumstances को ध्यान में रखे बिना यह सटीक न भी हो। उदाहरण के लिए paragraph 80 में “दुरुपयोग रोकने के लिए पर्याप्त safeguards के बिना” वाली wording महत्वपूर्ण है, और अगर Chat Control उसी bench के सामने जाता तो संभव है कि वे मानते कि ऐसे safeguards मौजूद हैं
Brexit के बाद भी यह UK पर लागू है, यह अच्छी बात है। UK अब भी ECHR member state है
आजकल Europe यह दिखाने में काफी अच्छा example बन रहा है कि समझदारी भरा tech regulation कैसे किया जा सकता है
“2 साल बाद फिर वापस आकर दोबारा कोशिश करेंगे ही” पर खत्म होने वाली चीजें बहुत ज्यादा रही हैं, इसलिए ऐसे anti-end-to-end-encryption proposals के सामने लंबी अवधि की बाधा आना थोड़ा राहत देने वाला है
यूरोप ने सच में एक काम किया जो पसंद आया
डर था कि “बच्चों के बारे में सोचो” वाला narrative हावी हो जाएगा, लेकिन कम-से-कम यूरोप में encryption की value का भविष्य दिखता है
encryption को लेकर सरकार और industry के बीच कुछ हद तक खींचतान रहती है। सरकार को algorithms में vulnerabilities नहीं डालनी चाहिए, लेकिन अपराधियों और आतंकवादियों के messages पढ़ने का कोई तरीका भी चाहिए। industry चाहती है कि ग्राहकों को लगे कि वे वैध उद्देश्यों के लिए messaging products को सुरक्षित तरीके से इस्तेमाल कर रहे हैं
क्षेत्रीय स्तर के दबाव के बिना encryption commercialization अमेरिका के हवाले हो जाएगा। academia नए algorithms को पसंद करती रहेगी, लेकिन जब तक कोई उनसे पैसा नहीं कमा सकता, वे papers में ही रहेंगे, और आखिर में बस कोई आगे की सोच वाला अमेरिकी developer उन्हें Signal से भी ज्यादा सुरक्षित अगले बड़े encrypted chat app में बदलने के लिए तैयार होगा
अच्छा है। नाम नहीं लूंगा, लेकिन कुछ ISP अभी शायद बहुत खुश नहीं होंगे। यह फैसला कुछ proxy models पर ठीक-ठाक ब्रेक लगा देता है
दिल को तसल्ली मिली
लेख आधा कचरा है। राजनीतिक रुख से अलग, लेख खराब लिखा गया है और biased है
फैसला पढ़ना बेहतर है
https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
CASE OF PODCHASOV v. RUSSIA
Application no. 33696/19
असली फैसला भी काफी पढ़ने लायक है, और जल्दी से देखने पर article की बातों से broadly मेल खाता लगा
वे Telegram user थे, जिसे Russia ने “internet communications organiser” के रूप में designated किया था, और कानून के तहत Telegram को सभी communications data 1 साल तक, communications content 6 महीने तक store करना होता था, और कानून में तय परिस्थितियों में वह data तथा encrypted electronic messages decrypt करने के लिए जरूरी जानकारी law-enforcement या security agencies को देनी होती थी
Podchasov ने ECHR के Article 8 और Article 13 के आधार पर data storage, transfer, decryption requirements और effective remedy की कमी पर आपत्ति उठाई, और कोर्ट ने Article 8 का उल्लंघन माना। non-pecuniary damage के लिए कोर्ट ने माना कि उल्लंघन की मान्यता अपने आप में पर्याप्त just satisfaction है
source link टूटा हुआ है: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
यह website permanent links बनाना लगभग असंभव कर देती है, इसलिए बहुत खराब है। जो संस्था महत्वपूर्ण फैसले देती है जिन्हें लोगों को cite करना होता है, उसके लिए यह सचमुच खराब design है
Article 13 वाली शिकायत पर अलग से सुनवाई की जरूरत नहीं है, यह 5-2 से तय किया गया; उल्लंघन की मान्यता ही non-pecuniary damage के लिए पर्याप्त satisfaction है, यह 6-1 से माना गया; और आवेदक की just satisfaction claim 6-1 से खारिज की गई
फैसला अंग्रेजी में लिखा गया और 13 फरवरी 2024 को लिखित रूप में notified किया गया
कोर्ट ने यह भी कहा कि encryption citizens और businesses को hacking, identity और personal data theft, fraud, confidential information के अनुचित disclosure जैसी information-technology misuse से बचाता है, इसलिए encryption को कमजोर कर सकने वाले measures का मूल्यांकन करते समय इस पर पूरा ध्यान दिया जाना चाहिए
Telegram “secret chats” जैसी end-to-end encrypted communications को decrypt करने के लिए सभी users की encryption कमजोर करनी पड़ेगी, ऐसा लगता है; और ऐसा measure सिर्फ किसी specific individual तक सीमित नहीं रह सकता, इसलिए जो लोग किसी legitimate government interest के लिए खतरा नहीं हैं वे भी indiscriminately प्रभावित होंगे
backdoor बनाने से private electronic communications की routine, general और indiscriminate surveillance तकनीकी रूप से संभव हो जाएगी, और criminal organisations भी इसका दुरुपयोग कर सकते हैं, इसलिए इससे सभी users की electronic communications security को गंभीर नुकसान होगा, कोर्ट ने ऐसा माना
कोर्ट ने माना कि अपराधी भी encryption इस्तेमाल कर सकते हैं जिससे investigations कठिन हो सकती हैं, फिर भी उसने यह मांग स्वीकार की कि protective mechanisms को कमजोर न करने वाले decryption alternatives और अन्य investigative methods खोजे जाने चाहिए
निष्कर्ष में, इस मामले में end-to-end encrypted communications decrypt करने की बाध्यता service provider को सभी users के encryption mechanisms कमजोर करने पर मजबूर कर सकती है, इसलिए यह legitimate aim के अनुपात में नहीं है; और संबंधित कानून democratic society में necessary नहीं माना जा सकता, इसलिए यह Article 8 का उल्लंघन है
शानदार खबर है
European Court of Human Rights वही कोर्ट है जिस पर UK की बेवकूफ सरकार EU के साथ एक ही तरह से हमला करने की कोशिश करती है