2 पॉइंट द्वारा GN⁺ 2025-02-22 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • ब्रिटेन सरकार द्वारा यूज़र डेटा तक पहुंच की मांग किए जाने के बाद, Apple ने ब्रिटेन के ग्राहकों के लिए iCloud पर लागू अपनी सबसे उच्च सुरक्षा सुविधा Advanced Data Protection को नया सक्रिय करना बंद कर दिया
  • ADP एक वैकल्पिक फीचर है जो फोटो और दस्तावेज़ जैसे ऑनलाइन स्टोरेज डेटा को end-to-end encryption से सुरक्षित करता है ताकि उसे केवल अकाउंट धारक ही देख सके, और एक बार सक्रिय होने पर उस डेटा तक Apple भी पहुंच नहीं सकता
  • 21 फ़रवरी 2025 को 15:00 GMT से ब्रिटेन के यूज़र ADP चालू करने की कोशिश करेंगे तो उन्हें एरर दिखाई देगी, और मौजूदा यूज़र्स के ADP भी बाद में निष्क्रिय किए जाने वाले हैं
  • ADP हटने पर कुछ iCloud डेटा पर केवल standard encryption लागू होगी, जिसे Apple एक्सेस कर सकेगा और वारंट होने पर law enforcement एजेंसियों के साथ साझा किया जा सकेगा
  • यह स्पष्ट नहीं है कि यह कदम Investigatory Powers Act के तहत ब्रिटेन की मांग और global backdoor को लेकर चिंता को शांत करेगा या नहीं, और अमेरिका की राजनीति तथा privacy समर्थक समूहों की प्रतिक्रिया भी जारी है

ADP वापसी और ब्रिटेन के iCloud यूज़र्स पर असर

  • Apple ने ब्रिटेन के ग्राहकों के लिए Advanced Data Protection(ADP) देना बंद करने जैसा अभूतपूर्व कदम उठाया
    • ADP iCloud में स्टोर फोटो और दस्तावेज़ जैसे डेटा को end-to-end encryption से सुरक्षित करता है ताकि केवल अकाउंट धारक ही उसे एक्सेस कर सके
    • यह फीचर सक्रिय होने पर उस डेटा को फिलहाल Apple भी नहीं देख सकता
  • ब्रिटेन में अब ADP को नया सक्रिय नहीं किया जा सकता
    • 21 फ़रवरी 2025 को 15:00 GMT से ब्रिटेन के यूज़र ADP चालू करने की कोशिश करेंगे तो एरर मैसेज दिखाई देगा
    • मौजूदा ADP यूज़र्स की पहुंच भी बाद में निष्क्रिय की जाएगी
    • दिसंबर 2022 में ब्रिटेन के Apple ग्राहकों के लिए ADP उपलब्ध होने के बाद से कितने लोगों ने इसे अपनाया, यह ज्ञात नहीं है
  • ADP हटने पर ब्रिटेन के ग्राहकों का पूरा iCloud डेटा पूर्ण end-to-end encryption से सुरक्षित नहीं रहेगा
    • standard encryption वाले डेटा तक Apple पहुंच सकता है
    • law enforcement एजेंसियों के पास वारंट होने पर Apple वह डेटा साझा कर सकता है
  • Apple ने कहा कि उसे इस बात का “gravely disappointed” है कि ब्रिटेन के ग्राहक अब यह सुरक्षा फीचर इस्तेमाल नहीं कर सकेंगे
    • कंपनी ने कहा कि उसने अपने किसी भी प्रोडक्ट में कभी “backdoor” या “master key” नहीं बनाई है और आगे भी नहीं बनाएगी
    • उसका मानना है कि cloud storage की सुरक्षा को end-to-end encryption से मजबूत करना पहले से कहीं अधिक ज़रूरी है
    • कंपनी ने उम्मीद जताई कि भविष्य में वह ब्रिटेन में भी व्यक्तिगत डेटा के लिए सबसे उच्च स्तर की सुरक्षा दे सकेगी

सरकारी मांग और अंतरराष्ट्रीय प्रतिक्रिया

  • माना जा रहा है कि ब्रिटेन सरकार की मांग Investigatory Powers Act(IPA) के तहत Home Office द्वारा भेजी गई थी
    • IPA कंपनियों को law enforcement एजेंसियों को जानकारी देने के लिए बाध्य कर सकता है
    • Apple ने इस नोटिस पर टिप्पणी नहीं की, और Home Office ने कहा कि वह ऐसे किसी नोटिस के अस्तित्व की पुष्टि या खंडन नहीं करेगा
    • BBC और Washington Post ने इस मामले से परिचित कई स्रोतों से बात की
  • privacy समर्थक समूहों और कुछ टेक व नीति से जुड़े लोगों ने तीखी प्रतिक्रिया दी
    • privacy कार्यकर्ताओं ने इसे लोगों के निजी डेटा पर “unprecedented attack” कहा
    • WhatsApp प्रमुख Will Cathcart ने X पर लिखा कि यदि ब्रिटेन Apple की सुरक्षा में global backdoor थोपता है, तो हर देश के सभी लोग कम सुरक्षित हो जाएंगे
    • अमेरिका के दो वरिष्ठ राजनेताओं ने कहा कि यदि यह मांग वापस नहीं ली गई, तो यह अमेरिकी national security के लिए इतना गंभीर खतरा है कि अमेरिका सरकार को ब्रिटेन के साथ अपनी intelligence-sharing agreement की फिर से समीक्षा करनी चाहिए
  • यह स्पष्ट नहीं है कि सिर्फ ब्रिटेन में ADP वापस लेने से विवाद खत्म हो जाएगा या नहीं
    • IPA के आदेश वैश्विक स्तर पर लागू होते हैं, और ADP दूसरे देशों में अब भी जारी है
    • Senator Ron Wyden ने कहा कि ब्रिटेन में end-to-end encrypted backup वापस लेने का यह कदम एक खतरनाक मिसाल बनाता है, जिसे authoritarian देश भी अपना सकते हैं
    • Wyden का मानना है कि केवल इस कदम से ब्रिटेन अपनी मांग वापस नहीं लेगा, और यह अमेरिकी यूज़र्स की privacy के लिए गंभीर खतरा बन सकता है

encryption और child safety पर बहस

  • child safety और encryption के बीच संतुलन की मांग करने वाली प्रतिक्रियाएं भी सामने आईं
    • NSPCC की Rani Govender ने कहा कि Apple जैसी टेक कंपनियों को बच्चों और यूज़र्स की सुरक्षा तथा privacy के बीच संतुलन बनाना चाहिए
    • NSPCC का मानना है कि end-to-end encryption सेवाएं child sexual abuse material(CSAM) की पहचान जैसे child protection प्रयासों में बाधा बन सकती हैं
  • इसके उलट यह तर्क भी दिया गया कि encryption रोज़मर्रा की privacy सुरक्षा का माध्यम है
    • Global Signal Exchange की सह-संस्थापक Emily Taylor ने कहा कि encryption उपभोक्ता privacy की रक्षा के बारे में है, और यह उस dark web जैसा नहीं है जहां CSAM मुख्य रूप से फैलता है
    • Taylor ने कहा कि banking communication और end-to-end encrypted messaging apps की तरह encryption हर दिन इस्तेमाल होने वाला privacy सुरक्षा साधन है
  • यह विवाद ऐसे समय में सामने आया है जब अमेरिकी टेक कंपनियों पर विदेशी नियामकीय दबाव को लेकर अमेरिका के भीतर प्रतिक्रिया बढ़ रही है
    • अमेरिका के उपराष्ट्रपति JD Vance ने फरवरी की शुरुआत में Paris AI Action Summit में अपने भाषण में कहा कि Trump प्रशासन उन रिपोर्टों को लेकर चिंतित है जिनमें कहा गया है कि कुछ विदेशी सरकारें अंतरराष्ट्रीय स्तर पर काम करने वाली अमेरिकी टेक कंपनियों पर दबाव बढ़ाना चाहती हैं

2 टिप्पणियां

 
unsure4000 2025-02-22

अब तो सब लोग इसे सही मानकर ऐसी ही मांग करेंगे। यह बेहद अफ़सोसजनक है।

 
GN⁺ 2025-02-22
Hacker News की राय
  • सही है, असल में यह मामला सरकार के बताए हुए से कहीं ज़्यादा गंभीर था
    UK सरकार की मांग Investigatory Powers Act के “technical capability notice” के तहत आई थी, और इसमें Apple से दुनिया भर के encrypted user data तक पहुंचने योग्य backdoor बनाने को कहा गया था
    अगर सोचें कि हवाई अड्डे पर Counter Terrorism Act के तहत किसी डिवाइस की तलाशी ली जाती है, तो वहां कानूनी सलाह का अधिकार या चुप रहने का अधिकार भी नहीं होता, और सिर्फ़ ब्रिटिश लोग ही नहीं बल्कि UK क्षेत्र से होकर गुज़रे विदेशी भी निशाना बन सकते हैं
    अब तक सुनी बातों में यह सबसे बड़े backdoor के करीब है, और इससे भी ज़्यादा चिंता की बात यह है कि ऐसा लगता है जैसे सार्वजनिक रूप से केवल Apple ही इसका विरोध कर रहा है
    Android डिवाइस भी लगातार cloud backup की सलाह देते हैं और उसे बंद करना मुश्किल बनाते हैं, इसलिए यह भरोसे से कहना मुश्किल है कि Google या Microsoft ने पहले ही ऐसी ही मांगें नहीं मानी हैं
    ऊपर से, ज़्यादातर 2-factor authentication बड़ी tech कंपनियों या फोन के ज़रिए होती है, इसलिए अंततः यह सभी accounts की चाबियां सौंपने जैसा है, और लगता है कि privacy और security की लड़ाई हम हार रहे हैं

    • Android के Google Drive backup में बहुत पहले से end-to-end encryption का विकल्प रहा है, और Google ने भी https://security.googleblog.com/2018/10/google-and-android-h... में इसे समझाया था; मेरी समझ के मुताबिक keys सिर्फ़ Titan Security Module में local तौर पर stored रहती हैं
      अगर IPA का पालन करना हो, तो Android के अंदर key निकालने का कोई mechanism डालना पड़ेगा, और iOS की तुलना में security research के लिए आसान Android में ऐसी breach पकड़े जाने की संभावना ज़्यादा नहीं होगी क्या
    • Apple भले ही सार्वजनिक रूप से विरोध करता दिखे, लेकिन यह अजीब है कि वह अब भी चीन में कारोबार कर रहा है और Google नहीं कर रहा
      जब चीनी सरकार ने नागरिकों के data की सभी keys मांगीं, तो Google चीन छोड़कर चला गया
      Apple तभी विरोध करता है जब बात दिखती हो और उसके business के लिए बड़ा खतरा न हो; मुझे लगता है कि वह सच में user data बचाने वाली कंपनी से ज़्यादा marketing और image management में माहिर कंपनी है
    • अगर वह Android backup encrypted नहीं है, तो सरकार सीधे data access कर सकती है
      यह मामला Apple के उन encrypted backups तक पहुंचने का है जिनकी keys Apple के पास नहीं मानी जातीं
      और मुझे लगता है कि US भी अमेरिका में stored non-US citizens के data तक बिना खास निगरानी के पहुंच सकता है
    • UK law मानते हुए कहीं दूसरे देशों के कानून न टूट जाएं, ऐसा भी हो सकता है
      उदाहरण के लिए, अगर Apple किसी US senator के data के लिए backdoor देता है, तो वह जानकारी सौंपना अमेरिका में देशद्रोह माना जा सकता है
      यह पूरी तरह काल्पनिक उदाहरण है, लेकिन आखिरकार यह data sovereignty का मुद्दा बन सकता है
    • अमेरिका में law enforcement के झूठ बोलने की बातें बहुत होती हैं, लेकिन कानूनी सलाह का अधिकार और चुप रहने का अधिकार भी न होना उससे भी बुरा लगता है
  • बुनियादी तौर पर मुझे यह राजनीति में technical literacy की समस्या लगती है
    वे “अगर छिपाने को कुछ नहीं है, तो डरने की भी ज़रूरत नहीं” वाली गलती पर लगातार निर्भर हैं, और खासकर UK में paternalistic state governance और सभी पार्टियों में authoritarian समर्थन मौजूद है
    ऐसे कानून हमेशा इस तरह लिखे जाते हैं कि उन्हें अस्पष्ट ढंग से लागू और target किया जा सके, ताकि दूसरे कानूनों को bypass करने में इस्तेमाल हो सकें; और कानून लागू होने के बाद “बच्चों के बारे में सोचिए” वाला बहाना जल्द ही गायब हो जाने की संभावना है
    सरकार इस भ्रम में है कि उसका backdoor अच्छे और बुरे पक्ष में फर्क कर सकता है, लेकिन असल सुरक्षा उपाय सिर्फ़ security by obscurity है—यानी उस backdoor के अस्तित्व या अनुरोध की बात सार्वजनिक करना ही गैरकानूनी है
    किसी malicious attacker के लिए, जो पहले से मानता है कि multinational cloud कंपनियां compromise हो चुकी हैं, यह सिर्फ़ targets बढ़ाने जैसा है, और ऐसे backdoor उन black-hat/grey-hat लोगों के लिए सपना होंगे जो सरकार में सेंध लगाना चाहते हैं

    • यह literacy की समस्या नहीं, बल्कि परवाह न करने के ज़्यादा करीब है
      राजनेताओं को control चाहिए, और उस control को खड़ा करने की प्रक्रिया में users का risk बढ़े तो भी वे इसे अपनी समस्या नहीं मानते
    • “paternalistic state” से ठीक-ठीक क्या मतलब है, यह जानना चाहूंगा
      Latin पढ़ा है, इसलिए पता है कि pater का मतलब पिता होता है, लेकिन पिता जैसी state क्या होती है यह समझ नहीं आता
      “सभी पार्टियों में authoritarian समर्थन” भी थोड़ा अस्पष्ट expression है
      हालांकि रोज़मर्रा की encryption को तोड़ना वाकई बेवकूफी भरा विचार है, इस बात से सहमत हूं, और Apple ने इसे जैसे extra feature की तरह बेचा वह भी खलता है
      openssl चलाने में कोई बहुत लागत नहीं आती, और यह ढंग का open source है
    • अमेरिका को free world के leader से रूस के tool जैसा बनते देखते हुए उम्मीद है कि लोग समझेंगे: आज की सरकार पर भरोसा है तो इसका मतलब यह नहीं कि अगली या उसके बाद वाली सरकार पर भी भरोसा किया जा सकता है
    • राजनेता partial security चाहते हैं
      वे ऐसी व्यवस्था चाहते हैं जिसे वे तो तोड़ सकें लेकिन criminals न तोड़ पाएं; physical security में यह शायद संभव हो, लेकिन cyber security में नहीं
      लगता है कि राजनेता पहले से जानते हैं कि partial cyber security असंभव है, फिर भी उन्हें परवाह नहीं; और उन्हें सलाह देने वाली intelligence agencies तो निश्चित रूप से यह जानती होंगी
      जिस दुनिया में secrets रखना गैरकानूनी हो, वह hackers का काम असल में उन्हें रोकने वाली दुनिया से ज़्यादा आसान बना देती है
    • यह भ्रम कि government backdoor अच्छे और बुरे पक्ष में फर्क कर सकता है, अहम बिंदु है
      हाल के कुछ महीनों को ही देखें तो दिख गया है कि सरकार में मौजूद या सरकार बनने की कोशिश कर रहे लोग ज़रूरी नहीं कि अच्छे पक्ष में हों, और अगर access सिर्फ़ सरकार तक सीमित भी हो, तब भी अब “हम अच्छे हैं” कहना मुश्किल है
  • Apple देश-वार मिली सरकारी डेटा requests की संख्या सार्वजनिक करता है
    UK में requests की संख्या हाल के वर्षों में काफी बढ़ी है: https://www.apple.com/legal/transparency/gb.html#:~:text=77%...
    इसका बड़ा हिस्सा संभवतः CLOUD Act के तहत US-UK डेटा एक्सेस समझौते के लागू होने और automation की वजह से है, और इस समझौते ने UK की law enforcement agencies और national security agencies की request प्रक्रिया को सरल बनाया होगा

    • Germany के आंकड़े देखें तो UK अभी भी beginner स्तर जैसा दिखता है
      https://www.apple.com/legal/transparency/de.html#:~:text=77%...
    • समस्या यह है कि यह कानून बहुत अलग है, और Apple या जिसे आदेश मिला है, वह इस तथ्य को पूरी तरह बता नहीं सकता
      इसलिए ऐसी requests transparency reports में दिखने की संभावना बहुत कम है
      Apple ने Advanced Data Protection को disable करने का फैसला किया है, इसलिए UK को backdoor देने की संभावना को खारिज करना मुश्किल है, और जनता के पास यह जानने का कोई तरीका भी नहीं है कि उसका इस्तेमाल कितना और क्यों हो रहा है, जो बेहद बेचैन करने वाला है
    • उस analysis से सहमत होना मुश्किल है
      जनवरी 2014 से जून 2017 तक की हर 6 महीने की अवधि में requests की संख्या पिछले 5 साल की किसी भी 6 महीने की अवधि से ज्यादा है
    • Magna Carta की जन्मभूमि को धीरे-धीरे fascism और 1984 की ओर उतरते देखना दुखद है
      सरकार को निजी डेटा तक पहुंचने के लिए खास warrant अनिवार्य रूप से मांगना चाहिए
  • “किसी कंपनी का सरकार के साथ सहयोग न करके product वापस लेना अभूतपूर्व है” कहना बहुत ही self-serving बयान है
    अगर Apple UK को backdoor देता है, तो दुनिया भर के users कमजोर हो जाएंगे
    यह फैसला local law का पालन करना है, और उस देश को अपने चुने हुए शासकों की चाही हुई परिणति भुगतनी होगी
    अगले paragraph में “अगर दूसरे telecom operators product वापस लेकर सरकार के प्रति जवाबदेह न रहने जैसा महसूस करें, तो यह बहुत चिंताजनक precedent होगा” वाली बात भी अशुभ लगती है

    • वह बात सच भी नहीं है
      Google बहुत पहले China से बाहर निकल गया था ताकि Chinese government की मांगों के आगे न झुके, और उसने सिर्फ एक product नहीं बल्कि पूरा business वापस ले लिया था
    • Caro Robson जैसे fake privacy experts को जवाबदेह ठहराया जाना चाहिए
    • यह चिंता सच में बढ़ रही है कि multinational mega-corporations इतनी ताकतवर हो गई हैं कि अब वे सरकारों का पालन नहीं करतीं और product withdrawal से सरकारों पर दबाव डाल सकती हैं
      Pornhub ने US के कुछ states में ऐसा किया, और Meta ने भी कई देशों में ऐसी ही धमकियां दी हैं
      ताकतवर companies का regulation के खिलाफ विरोध हमेशा रहा है, लेकिन product withdrawal से किसी देश को सजा देने की tactic हाल में ज्यादा बार इस्तेमाल होती दिख रही है
      jobs और facilities कहां बनानी हैं, यह तय करना भी corporate power का tool है, और Musk का California से Texas जाना या defence और oil companies भी ऐसी tactics इस्तेमाल करती हैं
    • Caro Robson को “privacy expert” कहना ironic है
      असल में वह privacy-विरोधी लगती हैं
    • किसी दूसरे देश की सरकार का foreign companies को अपने देश में business करने के लिए मजबूर करना ज्यादा चिंताजनक precedent जैसा लगता है
  • यह कदम सरकार की मूल मांग, यानी दुनिया भर के end-to-end encrypted cloud accounts तक backdoor access, को पूरा नहीं करता
    ज्यादा अहम सवाल यह है कि data loss के बिना end-to-end encryption को कैसे “withdraw” किया जा सकता है
    जिन्होंने इसे पहले ही enable कर लिया है, उनका क्या होगा?
    Apple का backdoor से इनकार करने का तर्क US के “forced labor नहीं कराया जा सकता” सिद्धांत पर टिका है, लेकिन अगर Apple “इस account की end-to-end encryption बंद करने” वाला feature बना देता है, तो यह दावा करना मुश्किल हो जाएगा कि ऐसा implementation forced labor या compelled speech है

    • ADP बंद करने पर local encryption key Apple servers पर upload हो जाती है, ताकि Apple उसे पढ़ सके
      Apple user के यह काम करने तक iCloud access रोक भी सकता है
    • data loss के बिना end-to-end encryption बंद नहीं की जा सकती
      article के मुताबिक, अगर user खुद disable नहीं करता, तो Apple उसकी जगह ऐसा नहीं कर सकता, इसलिए iCloud account cancel हो जाएगा
    • मैंने सुना था कि encryption keys केवल device पर होती हैं, लेकिन Apple “user” devices को control करता है
      वह update deploy करके device से data decrypt और upload करवा सकता है
    • article में Prof Woodward की बात UK government की मूल request पर Apple के जवाब पर हूबहू लागू होती लगती है
      “UK government ने सोचा कि वह एक US tech company को दुनिया भर में क्या करना है, यह निर्देश दे सकती है—यह naive था”
    • Apple सच में बहुत मुश्किल स्थिति में है
      मूल request पूरी करते हुए उसे practically backdoor न बनने देने का कोई तरीका है या नहीं, पता नहीं, और UK market में end-to-end encryption बंद करना सिर्फ समस्या को आगे टालना है
      explicit consent के बिना users को end-to-end encryption से हटाने वाला tool बनाना भर ही बाद में दूसरे देशों में warrant के जरिए end-to-end encrypted messages पाने के लिए दुरुपयोग किया जा सकता है
  • यह समस्या सिर्फ Apple users की नहीं है
    अगर कोई Apple cloud पर आपके साथ हुई बातचीत का backup लेता है, तो आपकी बातचीत भी access के दायरे में आ जाती है और आपके पास कोई विकल्प नहीं होता
    आखिरकार इसमें सभी हारते हैं

    • इसलिए Signal जैसे apps का इस्तेमाल करना महत्वपूर्ण है, जिनमें message retention period set किया जा सकता है
      मैंने अपने आसपास के सभी लोगों से इसे use करवाया है
    • यह LinkedIn जैसी sites से बहुत मिलता-जुलता है, जो personal information और contact list share करने को कहती हैं
      भले ही मैं अपने contacts share न करना चाहूं, जैसे ही कोई जान-पहचान वाला consent देता है, वह मेरी ओर से share कर देता है और मैं अपने data rights खो देता हूं
      अगर birthday, home address, दूसरे emails, phone number जैसी जानकारी भी साथ में stored है, तो सब target बन सकता है
    • security trust पर निर्भर करती है
      असली privacy tool सिर्फ PGP है, जो web of trust model इस्तेमाल करता है, लेकिन यह तभी काम करता है जब लोग अपने computers और storage devices के मालिक हों
      अब सभी को computers और storage किराये पर इस्तेमाल करने के लिए बना दिया गया है, और यहां users के लिए security model बनना मुश्किल है
    • यह डरावनी बात है, इसलिए अब जहां तक संभव हो Signal इस्तेमाल करने की कोशिश करूंगा
  • “online privacy expert” Caro Robson के बयान को, यह background दिए बिना quote करना कि वे UN, EU और international military bodies को सलाह देती हैं, BBC का typical pro-government bias लगता है
    telecom operator का product वापस न लेना, और design से ही deceptive और flawed product बनाने को मजबूर होना ही “बहुत, बहुत चिंताजनक” बात है

  • अभिव्यक्ति की आज़ादी पहले ही खतरे में है, और अब क्या हम निजी संचार के अधिकार तक को छोड़ने जा रहे हैं?
    जो लोग इसका समर्थन कर रहे हैं, क्या वे सच में मानते हैं कि इसका असर सिर्फ़ “बुरे लोगों” पर पड़ेगा, और वे खुद कभी सरकार के पैरों तले नहीं आएंगे?
    भले ही आप आज की सरकार पर भरोसा करते हों, अगर आपके पड़ोसी आपकी विचारधारा के उलट सरकार चुन लें तो आप क्या करेंगे?

    • मुझे नहीं लगता कि कोई इसका समर्थन कर रहा है
  • मासूम सवाल है, लेकिन सच में जानना चाहता हूं
    ADP तो कुछ ही साल पहले आया फीचर है; अब जब यह हट गया है तो लोग गुस्सा हैं, लेकिन उससे पहले 10 साल तक गुस्सा क्यों नहीं थे?
    क्या पहले उन्हें लगता था कि iCloud पूरी तरह encrypted है?
    क्या end-to-end encryption में पहले दिलचस्पी नहीं थी और अब अचानक हो गई?
    अगर यह इतनी बड़ी समस्या है, तो लोग iCloud जैसी चीज़ इस्तेमाल करते क्यों रहे, और अब ही धोखा खाया जैसा क्यों महसूस कर रहे हैं, समझ नहीं आता

    • पहले भी इसके न होने पर गुस्सा था, इसलिए iCloud Backup चालू नहीं किया था
      iCloud Photos भी इस्तेमाल नहीं किया, सब कुछ ठीक से encrypted NAS पर रखा, और समय-समय पर डेटा शिफ्ट करने वाला जटिल सेटअप इस्तेमाल किया
      iMazing और local encrypted backup भी शेड्यूल के हिसाब से इस्तेमाल किए
      बहुत से लोग ऐसे डेटा के लिए end-to-end encryption की मांग करते आए हैं, लेकिन यह भी सच है कि encryption फीचर ज़्यादा accessible होगा तो ज़्यादा लोग सुरक्षित होंगे
      हर किसी के पास NAS पर backup लेने, और NAS failure या बिजली कटने पर भी डेटा न खोए, यह संभालने का समय, skill और energy नहीं होती
      मेरा डर सरकार से ज़्यादा cloud service provider के hack हो जाने या log4j जैसी software vulnerability से long-term compromise होने का है
      ADP cloud-based attacks से बहुत लोगों को बचाता है, और government requests से बचाव लगभग bonus जैसा है
      Salt Typhoon जैसे मामलों में हमने देखा है कि backdoor खोजे और exploit किए जा सकते हैं, और log4j जैसी embedded software vulnerabilities बड़े providers को भी तोड़ सकती हैं
      UK में फीचर हटने से यह बस फिर से ध्यान में आया है; पहले से independent blogs और कई media outlets में चिंताएं लगातार उठती रही हैं
      UK के बाहर ADP user के तौर पर मुझे अच्छा लगता है कि Apple इसे बचाने की कोशिश कर रहा है, और यह फीचर मौजूद है, इसके लिए भी आभारी हूं
    • बहुत से लोग Apple के इस फीचर को धीरे-धीरे roll out करने से बहुत नाराज़ थे
      कई दावे थे कि government pressure की वजह से launch delay हुआ [1], और संदर्भ के लिए, वह रिपोर्ट उसी reporter ने लिखी थी जिसने आज की खबर को कुछ हफ्ते पहले सबसे पहले report किया था
      encryption deployment में समय लगता है, इसलिए बस “आख़िरकार आ गया” कहना पड़ा, लेकिन तुरंत ही UK government ने इस पर हमला किया और UK में इसे disable कर दिया गया
      मुझे लगता है Apple अब US में भी इस फीचर को actively promote करने से डरेगा, और technical लोगों को अपने non-technical दोस्तों को इस फीचर की अहमियत कहीं ज़्यादा जोर से बतानी चाहिए
      [1] https://www.reuters.com/article/world/exclusive-apple-droppe...
    • एक समय पूरी web communication बिल्कुल भी encrypted नहीं थी
      अगर आप पूछें कि तब लोग गुस्सा क्यों नहीं थे, तो क्या आपको नहीं लगता कि अगर अब अचानक HTTPS ban हो जाए तो लोग ज़्यादा गुस्सा होंगे?
      अधिकार और privileges जब शुरू से मौजूद न हों, उसकी तुलना में जब मौजूद हों और फिर छीन लिए जाएं, तो आम तौर पर ज़्यादा गुस्सा पैदा करते हैं
    • पहले से ही basic feature के तौर पर अपने PC या Mac पर encrypted local backup लेने का विकल्प था, इसलिए privacy की परवाह करने वालों के पास हमेशा एक विकल्प था
      ज़्यादा चिंता की बात यह है कि Apple कुछ साल पहले ही encrypted cloud backup launch करने के लिए तैयार था, लेकिन US government के विरोध की वजह से delay कर दिया
      ऐसी reports भी थीं कि “सालों के government pressure से हुई देरी के बाद Apple ने कहा है कि वह photos, chat histories और दूसरे संवेदनशील user data के ज़्यादातर cloud backups को दुनिया भर में पूरी तरह encrypt करेगा”
      https://www.washingtonpost.com/technology/2022/12/07/icloud-...
      असली privacy protection का विरोध करने वाली सरकार सिर्फ़ UK नहीं है
    • पहले भी गुस्सा था, इसलिए iCloud backup इस्तेमाल नहीं किया
      end-to-end encryption और ADP आने के बाद इसे चालू किया, और अगर US में भी यह हट गया तो फिर से सिर्फ़ encrypted local backup ही इस्तेमाल करूंगा
  • दुःस्वप्न जारी है
    अभी मैं एक third-party backup service इस्तेमाल कर रहा हूं, जो वादा करती है कि backups ऐसे keys से encrypted होते हैं जिन तक provider की पहुंच या control नहीं होता
    लेकिन ऐसे गुप्त notices अनगिनत कंपनियों को भेजे जाने के दौर में, पता नहीं उस वादे पर भरोसा किया जा सकता है या नहीं
    अगला कदम यह सुनिश्चित करना होगा कि files cloud तक पहुंचने से पहले ही encrypted हों, लेकिन मैंने अभी तक ऐसी service नहीं देखी जिसमें मेरी phone, परिवार के phones और laptops को उतनी smoothly backup करने की सुविधा हो जितनी मौजूदा backup solutions में है
    offsite backup ज़रूरी है, और उसमें अनिवार्य रूप से customer data भी शामिल होता है, जिसे मुझे external access से secret रखना होता है
    अगर हर चीज़ में backdoor हो जाए तो यह कैसे संभव होगा?

    • UK में अगर आप encryption keys नहीं सौंपते तो आपको jail भेजा जा सकता है, इसलिए वह चर्चा ही बेमानी हो जाती है
      पिछले 20 वर्षों में इस अधिकार को धीरे-धीरे बढ़ाया गया है
    • सुविधा की आम तौर पर कीमत चुकानी पड़ती है
      ऐसा होना चाहिए कि आपको किसी पर भरोसा करने की ज़रूरत न पड़े, और बस सामान्य storage service पर encrypted files ही upload करनी पड़ें
      Syncthing + Rclone से शायद ऐसा ही setup बनाया जा सकता है, जिस पर आपका अपना control रहे
    • security और convenience हमेशा एक-दूसरे से लड़ते रहते हैं
    • मेरे हिसाब से उच्च स्तर पर भरोसा करने लायक सिर्फ़ अपना *nix server ही है
      devices का backup वहां लें, फिर cloud पर भेजने से पहले उसी server पर encrypt कर दें