1 पॉइंट द्वारा GN⁺ 2024-02-15 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यूरोपीय मानवाधिकार न्यायालय ने end-to-end encryption को सामान्य रूप से कमजोर करने पर रोक लगाई है, जिससे EU की chat control CSAR mass surveillance योजना पर भी रोक लग सकती है
  • फैसले में माना गया कि encryption नागरिकों और कंपनियों को hacking, identity और personal data theft, fraud, confidential information leak से बचाता है, और backdoor का दुरुपयोग criminal networks कर सकते हैं
  • न्यायालय ने कहा कि सभी users की सुरक्षा कम किए बिना भी encrypted communications की निगरानी करने के तरीके हैं; उदाहरण के तौर पर target software की vulnerabilities का उपयोग या devices में implants भेजना बताया गया
  • European Parliament के सदस्य Patrick Breyer ने आकलन किया कि EU Commission की client-side scanning सभी smartphones की निगरानी करती है और encryption protection को नष्ट करती है, इसलिए इस फैसले के तहत यह स्पष्ट रूप से अवैध है
  • EU Parliament ने सुरक्षित encryption को तोड़ने और indiscriminate chat control को खारिज किया है, लेकिन EU Council की स्थिति तय होने पर बातचीत शुरू हो सकती है और EU के home affairs ministers मार्च की शुरुआत में bill पर फिर चर्चा करेंगे

फैसले ने encryption कमजोर करने पर क्या रोक लगाई

  • यूरोपीय मानवाधिकार न्यायालय ने सुरक्षित end-to-end encryption को सामान्य रूप से कमजोर करने वाले कदमों पर रोक लगाई
  • encryption को नागरिकों और कंपनियों को कई खतरों से बचाने वाला साधन माना गया
    • hacking
    • identity theft और personal data theft
    • fraud
    • confidential information का unauthorized disclosure
  • backdoor का criminal networks द्वारा दुरुपयोग हो सकता है, जिससे सभी users के electronic communications की security गंभीर रूप से खतरे में पड़ सकती है
  • न्यायालय ने माना कि सभी users की protection घटाए बिना surveillance के तरीके भी संभव हैं
    • target software की vulnerabilities का उपयोग
    • target device में implant भेजना
  • फैसले के आधार के रूप में ECHR judgment document का para. 76 ff. प्रस्तुत किया गया

EU chat control bill पर Breyer का आकलन

  • European Parliament के सदस्य और Pirate Party से जुड़े Patrick Breyer ने इस फैसले को landmark judgement बताया
  • Breyer का मानना है कि EU Commission के chat control bill में शामिल सभी smartphones के लिए client-side scanning surveillance स्पष्ट रूप से अवैध है
  • उनके आकलन के अनुसार यह तरीका suspects को target करने के बजाय सभी लोगों की encryption protection को तोड़ देता है
  • Breyer ने EU governments से मांग की कि वे bill से सुरक्षित encryption को नष्ट करने और पूरी आबादी के private communications की indiscriminate surveillance को हटाएं

encryption और service continuity को लेकर चिंताएं

  • Breyer ने जोर देकर कहा कि सुरक्षित encryption जान बचाता है
  • encryption के बिना यह भरोसा नहीं किया जा सकता कि messages या photos अविश्वसनीय लोगों के सामने उजागर होंगे या नहीं
  • तथाकथित client-side scanning के बारे में आकलन है कि यह दो में से एक नतीजा देगा
    • communications को मूल रूप से असुरक्षित बना देगा
    • European citizens Whatsapp या Signal का उपयोग आगे नहीं कर पाएंगे
  • Breyer ने कहा कि संबंधित providers यूरोप में services बंद करने के विकल्प पर पहले ही विचार कर चुके हैं
  • EU Council के latest position draft की आलोचना है कि उसमें अब भी सुरक्षित encryption को तोड़ने की योजना है

EU Commission proposal की संरचना

  • EU Commission और surveillance authorities का industry network private communications को सामान्य रूप से search करने की मांग करता है
  • search के दायरे में end-to-end encrypted messengers भी शामिल हैं
  • उद्देश्य illegal content के संकेत ढूंढना है
  • यह तरीका error-prone technology पर निर्भर करता है
  • इसे केवल सुरक्षित end-to-end encryption को कमजोर करके ही लागू किया जा सकता है

EU संस्थाओं की मौजूदा स्थिति

  • EU governments के बहुमत इस initiative का समर्थन करते हैं
  • हालांकि एक blocking minority निर्णय को रोक रही है
  • EU के home affairs ministers मार्च की शुरुआत में bill पर फिर चर्चा करेंगे
  • EU Parliament ने Pirates और civil society के दबाव के बीच निम्न बातों को खारिज किया
    • सुरक्षित encryption को तोड़ना
    • indiscriminate chat control
  • Parliament की स्थिति, EU Council द्वारा अपना रुख तय करने के बाद संभावित negotiations का starting point बनेगी

Meta और voluntary chat control

  • Meta ने घोषणा की कि वह 2024 के दौरान Facebook और Instagram के direct messages को encrypt करना शुरू करेगी
  • उसने कहा कि इन messages पर मौजूदा voluntary chat control surveillance बंद कर दी जाएगी
  • EU voluntary chat control की अनुमति को extend करने की प्रक्रिया चला रहा है
  • Breyer का chat control information page chatcontrol.eu है

1 टिप्पणियां

 
GN⁺ 2024-02-15
Hacker News की राय
  • इस मामले में अदालत ने माना कि end-to-end encrypted communication को decrypt करने की अनिवार्यता privacy के अधिकार में अनुपातहीन दखल है
    जिस कानून पर सवाल था, उसने Telegram जैसे messengers से communication content के साथ-साथ, अगर वह encrypted हो, तो “electronic messages को decrypt करने के लिए जरूरी जानकारी” सौंपने की मांग की थी
    अदालत ने माना कि backdoor के जरिए end-to-end encryption को कमजोर करने के व्यापक प्रभाव होंगे, और कानून-निर्माण व लगातार तकनीकी विकास के जरिए “ऐसे decryption alternatives” खोजने की जरूरत का भी हवाला दिया जो “protective mechanisms को कमजोर न करें।” इसमें पारंपरिक जांच, undercover investigation, metadata analysis, अंतरराष्ट्रीय police coordination, जब्त devices की live forensics, communication parties के पास मौजूद private keys का अनुमान लगाना/हासिल करना, targeted software vulnerabilities का इस्तेमाल या implants भेजना आदि शामिल हैं
    यह फैसला एक खास मामले और कानून पर है, लेकिन अदालत service providers से सभी users के encryption mechanisms को कमजोर करने की मांग करने वाले तरीकों के प्रति कुल मिलाकर काफी संदेहपूर्ण दिखती है। UK सरकार के लिए यह फैसला इस बात की चिंता का आधार हो सकता है कि Online Safety Bill domestic courts या European courts में पलट सकता है
    हालांकि भले ही end-to-end encryption backdoor को privacy अधिकार की वैध सीमाओं से बाहर माना गया हो, privacy अधिकार derogable right है, इसलिए अगर सरकार “राष्ट्र के जीवन को खतरे में डालने वाली” emergency घोषित करे, तो जरूरत की सीमा में ECHR Article 15 के तहत इससे छूट ली जा सकती है
    संबंधित paragraphs 76–80 हैं: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • यह भी महत्वपूर्ण है कि UK courts संसद द्वारा बनाए गए कानून को पलट नहीं सकते
      वे ज्यादा से ज्यादा declaration of incompatibility जारी कर सकते हैं, जिसके बाद ministers नया कानून फिर से पास कराए बिना secondary legislation के जरिए खामी दूर कर सकते हैं। बेशक, यह तभी होगा जब ऐसा करने की राजनीतिक इच्छा हो
      हालांकि Online Safety Act काफी हिस्से को secondary legislation, statutory codes और guidance के जरिए संभालने की कोशिश करता है, इसलिए अदालतें इन्हें रद्द कर सकती हैं। जब तक कानून खुद ऐसी intrusive measures बनाना अनिवार्य नहीं करता, आगे चीजें कैसे विकसित होंगी यह दिलचस्प होगा
    • “end-to-end encrypted communication को decrypt करने की अनिवार्यता privacy अधिकार का उल्लंघन है” वाले निष्कर्ष के साथ यह शर्त जुड़ी है कि जब दुरुपयोग रोकने वाले safeguards न हों
      अफसोस, इसे सरलता से पूरी तरह incompatible नहीं कहा जा सकता। इस फैसले के अनुसार समस्या सिर्फ तब है जब अच्छे safeguards न हों, और judgment एक जगह “adequate” और दूसरी जगह “suitable” कहता है, लेकिन इससे ठोस तौर पर क्या मतलब है यह स्पष्ट नहीं है
    • UK ECHR से बाहर निकलना चाहता है, इसलिए दुर्भाग्य से वह इस फैसले को bypass भी कर सकता है
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • “encrypted होने पर electronic messages को decrypt करने के लिए जरूरी जानकारी” वाला हिस्सा मुझे पुराने primary email के तौर पर इस्तेमाल किए गए Lavabit की याद दिलाता है
      decryption information की मांग के जवाब में Lavabit ने private key सौंप दी थी, लेकिन उसे कागज पर type करके जमा किया था। शायद 6वें या 12वें page के आसपास कहीं कोई typo भी रहा होगा
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • यह बेवकूफी भरा सवाल हो सकता है, लेकिन UK अब EU member state नहीं है, तो EU court UK law को कैसे पलट सकता है, यह जानना चाहूंगा
  • थोड़ा उलझन हो रही है। article खुद काफी political लगता है, और Pirate Party के promotional wording को quote करता है, लेकिन यह नहीं बताता कि कौन-सा मामला court में गया और फैसले ने ठीक-ठीक किस चीज पर रोक लगाई, इसलिए मैंने नीचे linked actual judgment खोला
    यह मामला Pirate Party या Chat Control से सीधे जुड़ा हुआ नहीं लगता। facts वाले हिस्से को मोटे तौर पर देखें तो यह एक individual द्वारा Russian government के खिलाफ लाया गया मामला है, जिसमें Telegram को plaintext chat messages न सौंपने पर fine लगाया गया था। पूरे article में “Russia” शब्द तक नहीं है। समझ नहीं आता कि यह article क्या report कर रहा है, और इसे हालिया Chat Control legislation से संबंधित जैसा क्यों दिखा रहा है
    judgment के paragraphs 80–81 देखें तो कहा गया है कि “सभी users की internet communications का storage, abuse-prevention safeguards के बिना security agencies की direct access, और end-to-end encrypted communications पर लागू encrypted communications decryption requirement” को democratic society में जरूरी नहीं माना जा सकता, इसलिए यह ECHR Article 8 privacy right का उल्लंघन है
    इस logic को Chat Control जैसे दूसरे encryption-bypass laws तक बढ़ाया जा सकता है, लेकिन Russian law की specific circumstances को ध्यान में रखे बिना यह सटीक न भी हो। उदाहरण के लिए paragraph 80 में “दुरुपयोग रोकने के लिए पर्याप्त safeguards के बिना” वाली wording महत्वपूर्ण है, और अगर Chat Control उसी bench के सामने जाता तो संभव है कि वे मानते कि ऐसे safeguards मौजूद हैं

    • यह फैसला precedent बनेगा। European Parliament के Pirate Party member ने इस पर comment इसलिए किया क्योंकि यह मुद्दा उस party के core agenda में है। judgment में Pirate Party आने की कोई वजह नहीं है
    • यह article original source नहीं है। original यहां है: https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • Brexit के बाद भी यह UK पर लागू है, यह अच्छी बात है। UK अब भी ECHR member state है

    • Conservatives कई साल से ECHR से बाहर निकलने की बात कर रहे हैं
    • Azerbaijan भी ECHR member state है, लेकिन इससे political opponents को जेल में डालना, slave labour का इस्तेमाल, war crimes करना, दूसरे ECHR member state पर हमला करना और ethnic cleansing करना रुकता नहीं
  • आजकल Europe यह दिखाने में काफी अच्छा example बन रहा है कि समझदारी भरा tech regulation कैसे किया जा सकता है

    • इस decision की जरूरत इसलिए पड़ी क्योंकि EU end-to-end encryption ban की ओर जा रहा था। फैसला EU Commission ने नहीं बल्कि court ने दिया है, और जहां तक मुझे पता है Commission अब भी इसे ignore कर सकता है
    • अब अच्छा होगा अगर वे technology खुद भी अच्छे से develop करें
  • “2 साल बाद फिर वापस आकर दोबारा कोशिश करेंगे ही” पर खत्म होने वाली चीजें बहुत ज्यादा रही हैं, इसलिए ऐसे anti-end-to-end-encryption proposals के सामने लंबी अवधि की बाधा आना थोड़ा राहत देने वाला है

    • हो सके तो इसे कृषि/मत्स्यपालन समितियों जैसी किसी जगह के जरिए निपटा दिया जाए
  • यूरोप ने सच में एक काम किया जो पसंद आया
    डर था कि “बच्चों के बारे में सोचो” वाला narrative हावी हो जाएगा, लेकिन कम-से-कम यूरोप में encryption की value का भविष्य दिखता है

    • नाम के बावजूद, यह EU नहीं है
  • encryption को लेकर सरकार और industry के बीच कुछ हद तक खींचतान रहती है। सरकार को algorithms में vulnerabilities नहीं डालनी चाहिए, लेकिन अपराधियों और आतंकवादियों के messages पढ़ने का कोई तरीका भी चाहिए। industry चाहती है कि ग्राहकों को लगे कि वे वैध उद्देश्यों के लिए messaging products को सुरक्षित तरीके से इस्तेमाल कर रहे हैं
    क्षेत्रीय स्तर के दबाव के बिना encryption commercialization अमेरिका के हवाले हो जाएगा। academia नए algorithms को पसंद करती रहेगी, लेकिन जब तक कोई उनसे पैसा नहीं कमा सकता, वे papers में ही रहेंगे, और आखिर में बस कोई आगे की सोच वाला अमेरिकी developer उन्हें Signal से भी ज्यादा सुरक्षित अगले बड़े encrypted chat app में बदलने के लिए तैयार होगा

  • अच्छा है। नाम नहीं लूंगा, लेकिन कुछ ISP अभी शायद बहुत खुश नहीं होंगे। यह फैसला कुछ proxy models पर ठीक-ठाक ब्रेक लगा देता है
    दिल को तसल्ली मिली

    • नाम लेकर शर्मिंदा करना चाहिए। इससे सबकी मदद होगी
  • लेख आधा कचरा है। राजनीतिक रुख से अलग, लेख खराब लिखा गया है और biased है
    फैसला पढ़ना बेहतर है
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • फिर भी लेख के बचाव में कहें तो उसने फैसले का link दिया है। सिर्फ इस बात से ही वह राजनीतिक विषयों वाले articles में लगभग top 20% में आ जाता है
      असली फैसला भी काफी पढ़ने लायक है, और जल्दी से देखने पर article की बातों से broadly मेल खाता लगा
    • कोर्ट की press release के अंग्रेजी मूल पाठ के अनुसार, आवेदक Anton Valeryevich Podchasov 1981 में जन्मे रूसी नागरिक हैं और Barnaul में रहते हैं
      वे Telegram user थे, जिसे Russia ने “internet communications organiser” के रूप में designated किया था, और कानून के तहत Telegram को सभी communications data 1 साल तक, communications content 6 महीने तक store करना होता था, और कानून में तय परिस्थितियों में वह data तथा encrypted electronic messages decrypt करने के लिए जरूरी जानकारी law-enforcement या security agencies को देनी होती थी
      Podchasov ने ECHR के Article 8 और Article 13 के आधार पर data storage, transfer, decryption requirements और effective remedy की कमी पर आपत्ति उठाई, और कोर्ट ने Article 8 का उल्लंघन माना। non-pecuniary damage के लिए कोर्ट ने माना कि उल्लंघन की मान्यता अपने आप में पर्याप्त just satisfaction है
      source link टूटा हुआ है: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      यह website permanent links बनाना लगभग असंभव कर देती है, इसलिए बहुत खराब है। जो संस्था महत्वपूर्ण फैसले देती है जिन्हें लोगों को cite करना होता है, उसके लिए यह सचमुच खराब design है
    • लगता है HN markup link तोड़ रहा है, इसलिए alternate link रख रहा हूं: https://hudoc.echr.coe.int/eng/?i=001-230854
    • फैसले का सार यह है कि कोर्ट ने सर्वसम्मति से माना कि 16 सितंबर 2022 से पहले के तथ्यों से जुड़ी आवेदक की शिकायतों पर उसका jurisdiction है, privacy और correspondence के सम्मान के अधिकार के उल्लंघन वाली शिकायत को admissible घोषित किया, और सर्वसम्मति से ECHR Article 8 का उल्लंघन माना
      Article 13 वाली शिकायत पर अलग से सुनवाई की जरूरत नहीं है, यह 5-2 से तय किया गया; उल्लंघन की मान्यता ही non-pecuniary damage के लिए पर्याप्त satisfaction है, यह 6-1 से माना गया; और आवेदक की just satisfaction claim 6-1 से खारिज की गई
      फैसला अंग्रेजी में लिखा गया और 13 फरवरी 2024 को लिखित रूप में notified किया गया
    • संबंधित paragraphs 76–81 हैं। कोर्ट ने माना कि encryption communications content तक अवैध access रोकने वाला मजबूत technical safeguard है, और online privacy तथा confidentiality of communications के साथ-साथ freedom of expression जैसे fundamental rights की गारंटी में भी योगदान देता है
      कोर्ट ने यह भी कहा कि encryption citizens और businesses को hacking, identity और personal data theft, fraud, confidential information के अनुचित disclosure जैसी information-technology misuse से बचाता है, इसलिए encryption को कमजोर कर सकने वाले measures का मूल्यांकन करते समय इस पर पूरा ध्यान दिया जाना चाहिए
      Telegram “secret chats” जैसी end-to-end encrypted communications को decrypt करने के लिए सभी users की encryption कमजोर करनी पड़ेगी, ऐसा लगता है; और ऐसा measure सिर्फ किसी specific individual तक सीमित नहीं रह सकता, इसलिए जो लोग किसी legitimate government interest के लिए खतरा नहीं हैं वे भी indiscriminately प्रभावित होंगे
      backdoor बनाने से private electronic communications की routine, general और indiscriminate surveillance तकनीकी रूप से संभव हो जाएगी, और criminal organisations भी इसका दुरुपयोग कर सकते हैं, इसलिए इससे सभी users की electronic communications security को गंभीर नुकसान होगा, कोर्ट ने ऐसा माना
      कोर्ट ने माना कि अपराधी भी encryption इस्तेमाल कर सकते हैं जिससे investigations कठिन हो सकती हैं, फिर भी उसने यह मांग स्वीकार की कि protective mechanisms को कमजोर न करने वाले decryption alternatives और अन्य investigative methods खोजे जाने चाहिए
      निष्कर्ष में, इस मामले में end-to-end encrypted communications decrypt करने की बाध्यता service provider को सभी users के encryption mechanisms कमजोर करने पर मजबूर कर सकती है, इसलिए यह legitimate aim के अनुपात में नहीं है; और संबंधित कानून democratic society में necessary नहीं माना जा सकता, इसलिए यह Article 8 का उल्लंघन है
  • शानदार खबर है
    European Court of Human Rights वही कोर्ट है जिस पर UK की बेवकूफ सरकार EU के साथ एक ही तरह से हमला करने की कोशिश करती है