ब्रिटेन दुनिया भर की सुरक्षा को कमजोर कर रहा है

• इस हफ्ते, ब्रिटेन ने पूरी दुनिया को अधिक जोखिम में डाल दिया
• 2016 में ‘Investigatory Powers Act’ पारित हुआ, जिससे ब्रिटेन की electronic surveillance शक्तियाँ काफी बढ़ गईं
• हाल ही में, ब्रिटेन ने Apple को iCloud में encryption backdoor जोड़ने का आदेश दिया और इसे सार्वजनिक रूप से बताने से भी रोका
• Apple अब तक सरकारों की backdoor मांगों को ठुकराता रहा था, लेकिन इस बार उसने ब्रिटेन के users के लिए iCloud encryption को पूरी तरह हटाने का फैसला किया

उन्नत डेटा सुरक्षा

• encryption वह तकनीक है जो data को अनधिकृत लोगों के लिए अपठनीय बनाती है
• अधिकांश आधुनिक devices और internet traffic encrypted होते हैं, लेकिन service providers के पास फिर भी access रह सकता है
• कुछ providers ‘end-to-end encryption (E2EE)’ लागू करते हैं, जिससे data तक पहुंच केवल user के device पर ही संभव होती है
• Apple का ‘Advanced Data Protection (ADP)’ प्रोग्राम 2022 में लॉन्च हुआ था, जो email, contacts और calendar को छोड़कर लगभग पूरे iCloud data को E2EE से encrypt करता है
• लेकिन ब्रिटेन की मांग के कारण Apple ने ब्रिटेन में ADP हटा दिया

Backdoor और Salt Typhoon

• Backdoor क्या है?
  • backdoor encryption या software के भीतर बनाया गया एक छिपा हुआ रास्ता होता है, जिससे developer सीधे access कर सके
  • यह आमतौर पर user की सहमति के बिना चुपचाप काम करता है, इसलिए यह स्वेच्छा से दिए जाने वाले technical support access से अलग है
• क्या backdoor का इस्तेमाल सिर्फ 'अच्छे लोग' कर सकते हैं?
  • राजनेता और सरकारी अधिकारी अक्सर कहते हैं कि backdoor “अच्छे उद्देश्य” के लिए ज़रूरी हैं, लेकिन व्यवहार में यह असंभव धारणा है
  • जैसे physical backdoor केवल सही लोगों को नहीं रोक पाता, वैसे ही software backdoor भी malicious intruders को नहीं रोक सकता
  • malicious actors software vulnerabilities ढूंढकर या phishing हमलों से user accounts पर कब्ज़ा करके इसे bypass कर सकते हैं
• Backdoor का दुरुपयोग कोई भी कर सकता है
  • insider threat एक वास्तविक समस्या है, और अविश्वसनीय कर्मचारी backdoor का दुरुपयोग कर सकते हैं
  • उदाहरण के लिए, Yahoo के एक engineer ने user accounts hack करके निजी photos चुरा ली थीं
• Salt Typhoon घटना (2024 में अमेरिकी telecom networks hack)
  • 2024 में यह सामने आया कि चीनी सरकार ने अमेरिका और कई अन्य देशों के telecom networks को hack किया
  • अमेरिका की कम-से-कम 9 बड़ी telecom कंपनियां, जैसे Verizon, T-Mobile और AT&T, इस हमले का शिकार हुईं, और इसमें law enforcement के लिए बनाए गए backdoor का दुरुपयोग हुआ
  • यह backdoor मूल रूप से court-approved wiretaps के लिए बनाया गया था, लेकिन अंततः चीनी सरकारी hackers ने भी उसी तरह इसका इस्तेमाल किया
  • इस दौरान राष्ट्रपति Donald Trump, उपराष्ट्रपति Kamala Harris सहित कई वरिष्ठ अधिकारियों के call records और messages लीक हो गए
• 'सिर्फ अच्छे लोगों द्वारा इस्तेमाल होने वाले backdoor' की धारणा काल्पनिक है
  • Salt Typhoon घटना इस बात का निर्णायक सबूत है कि backdoor का दुरुपयोग होना तय है
  • जब राजनेता कहते हैं कि 'backdoor सुरक्षित हैं', तो यह लगभग ऐसा है जैसे कहना कि unicorns और orcs सचमुच मौजूद हैं

व्यापक संदर्भ में backdoor की समस्या

• भले ही यह मान लिया जाए कि Apple पर backdoor थोपने का ब्रिटेन का कदम गलत था, इसका असर सिर्फ ब्रिटेन के users तक सीमित नहीं है
• इस घटना को किसी एक अलग-थलग मामले की तरह नहीं, बल्कि एक बड़े pattern के हिस्से के रूप में समझना चाहिए
• PGP और Crypto Wars
  • PGP (Pretty Good Privacy) 1991 में लॉन्च होने के बाद अमेरिकी सरकार द्वारा हथियार की तरह नियंत्रित किया गया और regulation के दायरे में लाया गया
  • अदालत में “code is speech” का फैसला आने के बाद encryption technology व्यापक रूप से फैल सकी
  • इसी फैसले की बदौलत आज TLS, AES जैसी तकनीकें आम हैं, और secure online shopping तथा data storage संभव हुआ है
  • इसी मामले ने EFF (Electronic Frontier Foundation) को व्यापक पहचान दिलाई, और उस समय कानूनी प्रतिनिधि मौजूदा EFF प्रमुख Cindy Cohn थीं
• Crypto Wars अभी भी जारी हैं
  • अमेरिका में भी backdoor को लेकर विवाद जारी है
    • Trump administration के दौरान Attorney General William Barr ने backdoor का जोरदार समर्थन किया
    • Biden administration ने भी 2022 के “Kids Online Safety Act” के जरिए encryption कमजोर करने को परोक्ष समर्थन दिया
    • EARN IT Act, STOP CSAM Act जैसे और कड़े regulatory bills पर Biden का रुख स्पष्ट नहीं है
• यूरोप में भी digital safety के खतरे बढ़ रहे हैं
  • Chat Control: यूरोप में messenger apps, जैसे WhatsApp, पर child sexual abuse material (CSAM) detection अनिवार्य करने वाला कानून प्रस्तावित किया गया
  • Apple ने भी पहले ऐसा ही सिस्टम लाने की कोशिश की थी, लेकिन तकनीकी खामियों और दुरुपयोग की आशंका के कारण उसे वापस लेना पड़ा
  • फिर भी ऐसे प्रयास बार-बार लौटते और फिर से जीवित हो जाते हैं
• ब्रिटिश सरकार ने #NoPlaceToHide अभियान के जरिए encryption users को अपराधियों की तरह दिखाने की कोशिश तक की
  • online anonymity खत्म करने की कोशिशें और बड़े पैमाने पर social media surveillance programs जैसी privacy-भेदी नीतियां दुनिया भर में फैल रही हैं
  • Apple से ब्रिटेन की मांग सिर्फ अपने नागरिकों के लिए नहीं थी, बल्कि global digital privacy पर एक और हमला थी, जो एक सफल मिसाल भी बन सकती है

क्या किया जा सकता है

• Salt Typhoon और data breach मामलों को देखते हुए, backdoor को आगे बढ़ाने वाले लोग या तो तकनीकी समझ नहीं रखते, या फिर जानबूझकर इसे थोपना चाहते हैं
  • ब्रिटिश सरकार encryption को खतरे की तरह देखकर उसे कमजोर करना चाहती है, लेकिन इससे अंततः user data ज्यादा असुरक्षित होगा और दूसरे देशों को भी ऐसा करने का बहाना मिलेगा
• यह अटकल है कि Apple का ब्रिटिश market से पीछे हटना कानूनी रणनीति हो सकता है, लेकिन इसके समर्थन में भरोसेमंद सबूत नहीं हैं
  • अगर Apple कानूनी लड़ाई लड़कर जीतता है, तो यह privacy protection के लिए एक महत्वपूर्ण turning point होगा
  • जैसे पहले PGP encryption और Phil Zimmermann के मामले में हुआ था, वैसे ही कानूनी जीत digital privacy की रक्षा के लिए मिसाल बन सकती है
  • एक देश, खासकर कोई powerful country, जो कदम उठाती है उसका असर दूसरे देशों पर भी पड़ता है, और अक्सर वह असर नकारात्मक दिशा में जाता है
• users क्या कर सकते हैं
  • iCloud का इस्तेमाल बंद करें :
    • Apple का Advanced Data Protection (ADP) अभी भी कुछ देशों में उपलब्ध है, लेकिन अपना सारा data cloud पर छोड़ देना भरोसेमंद विकल्प नहीं है
    • photos, calendars, notes, drive storage जैसी चीज़ें अधिक भरोसेमंद alternative services में स्थानांतरित की जा सकती हैं
    • privacy और security को प्राथमिकता देने वाली alternative services list
  • ऐसा data जिसे आसानी से replicate नहीं किया जा सकता, उसे device पर ही रखें या इस्तेमाल ही न करें
    • health data, alerts और digital wallet जैसी सेवाओं को device पर रखना या उन्हें बिल्कुल न इस्तेमाल करना भी विचार करने योग्य है
    • Apple Wallet की सुविधा अपनी जगह है, लेकिन कुछ शोध बताते हैं कि budget management के लिए cash का उपयोग अधिक प्रभावी हो सकता है
    • sleep data analysis के बिना भी, अक्सर basic sleep hygiene बनाए रखना काफी होता है
  • राजनीतिक भागीदारी
    • privacy protection laws data protection के लिए एक महत्वपूर्ण defense हो सकते हैं, जैसे GDPR लागू होने वाले EU में personal-information search sites लगभग नहीं के बराबर हैं
    • अगर आप ब्रिटेन के नागरिक हैं, तो अपने सांसद से संपर्क करके Apple के Advanced Data Protection से जुड़ी “technical capability notice” का विरोध दर्ज कराना चाहिए
    • ब्रिटेन-आधारित संगठनों, जैसे Big Brother Watch और Privacy International, से भी सहायता ली जा सकती है

निष्कर्ष

• privacy को महत्व देने वाले लोग अपराध का समर्थन नहीं करते
• लेकिन कुछ अपराधियों को रोकने के लिए नागरिक स्वतंत्रताओं की बलि देना असंतुलित तरीका है
• privacy का उल्लंघन करने वाली कई नीतियां “बच्चों की सुरक्षा” के नाम पर आगे बढ़ाई जाती हैं, लेकिन यह वास्तविक सुरक्षा नहीं है
  • बच्चों और किशोरों को ऐसे माहौल की ज़रूरत है जहाँ वे स्वतंत्र रूप से विकसित हो सकें और अपनी गलतियों से सीख सकें
  • दुनिया ऐसी नहीं होनी चाहिए जहाँ digital environment में हुई गलतियां हमेशा के लिए दर्ज रहकर व्यक्ति की स्वतंत्रता को दबा दें
  • असली समाधान नीति नहीं, बल्कि तकनीकी सुरक्षा उपाय होने चाहिए
• encryption पर रोक सुरक्षा नहीं देती, बल्कि खतरा बढ़ाती है
• ब्रिटिश सरकार के privacy उल्लंघन का जवाब देने के तरीके:
  • ऐसे सुरक्षित services पर जाएं जो ब्रिटिश कानून के दायरे से बाहर हों
  • एक voter के रूप में सरकार तक अपना विरोध पहुंचाएं