EU से कहें: "Chat Control" के ज़रिए encryption को मत तोड़िए

 (mozillafoundation.org)
2 पॉइंट द्वारा GN⁺ 2025-09-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • क्लाइंट-साइड स्कैनिंग वह तरीका है जिसमें encryption से पहले डिवाइस पर संदेशों या फ़ाइलों की जाँच की जाती है
  • इस तरीके का बच्चों की सुरक्षा के उद्देश्य से प्रचार किया जाता है, लेकिन वास्तव में यह encryption के मूल वादे को नुकसान पहुँचाता है
  • ऐसे detection tools इस्तेमाल होते हैं जिनमें false positives और security vulnerabilities पैदा होने की संभावना अधिक होती है
  • एक बार scanning की अनुमति मिल जाए, तो लक्षित दायरा बढ़ने से privacy के उल्लंघन का जोखिम बढ़ जाता है
  • नतीजतन, यह तकनीक सभी की सुरक्षा को कमजोर करने की समस्या पैदा करती है

क्लाइंट-साइड स्कैनिंग (CSS) क्या है

  • क्लाइंट-साइड स्कैनिंग उपयोगकर्ता के संदेशों, फ़ोटो, फ़ाइलों को encryption से पहले डिवाइस के भीतर जाँचने की विधि है
  • इस तरीके का आमतौर पर बच्चों की सुरक्षा के उपाय के रूप में प्रचार किया जाता है

encryption के वादे को नुकसान

  • वास्तव में, क्लाइंट-साइड स्कैनिंग encryption द्वारा दी जाने वाली सुरक्षा और privacy के वादे को कमजोर करती है
  • "असत्यापित" कंटेंट का पता लगाने वाले tools में false positives की संभावना अधिक होती है, और वे नई security vulnerabilities पैदा कर सकते हैं

दायरा बढ़ने का जोखिम

  • शुरुआत में भले इसका उपयोग बच्चों की सुरक्षा (जैसे CSAM) जैसे सीमित उद्देश्यों के लिए हो, बाद में स्कैन किए जाने वाले कंटेंट के दायरे के आसानी से बढ़ने का जोखिम रहता है
  • यदि encryption कमजोर होता है, तो hackers द्वारा sensitive information की चोरी, हमलावरों द्वारा कमजोर लोगों की ट्रैकिंग, और authoritarian राज्यों की निगरानी जैसे कई जोखिम बढ़ जाते हैं

वास्तविक सुरक्षा में कमजोरी

  • क्लाइंट-साइड स्कैनिंग से वास्तविक security को मज़बूत करने का पर्याप्त प्रभाव नहीं दिखाई देता
  • अंततः यह सभी की सुरक्षा को कमजोर करने वाले नतीजे तक ले जाता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-09-23
Hacker News टिप्पणियाँ

  • मुझे इसकी तुलना हर घर में निगरानी कैमरे लगाने से करना पसंद है। इससे वास्तव में अपराध का पता लगाना या जाँच करना आसान हो जाएगा, और सरकार यह छोटी उंगली पकड़कर वादा भी कर सकती है कि वह वारंट के बिना कभी नहीं देखेगी। हो सकता है कि वह सच में यह वादा निभाए भी। लेकिन इस तरह की खतरनाक फिसलन भरी ढलान समस्या का सिर्फ एक हिस्सा है। इससे भी बड़ा खतरा यह है कि जब तक ऐसी प्रणाली मौजूद है, चाहे इसका वास्तविक उपयोग हो या न हो, यह आपराधिक संगठनों या शत्रुतापूर्ण राज्यों के हैकरों के लिए सबसे आकर्षक निशाना बनेगी। जासूसी, ब्लैकमेल और कई तरह के दुरुपयोग के रास्ते खुलेंगे। प्राइवेसी और सुरक्षा गंभीर रूप से कमजोर हो जाएँगी।

    • उन्होंने अपने लिए दायित्व-छूट की धाराएँ किसी कारण से डाली हैं। हो सकता है उन्हें खुद यह सुरक्षित न लगता हो, या वे सोचते हों कि यूरोपीय संसद के सदस्य बाल-शोषण से जुड़ी बातें छिपाना चाहते हैं। अब हम उस बिंदु पर पहुँच चुके हैं जहाँ इस तरह की चीज़ों का विरोध क्यों करना है, यह हर बार समझाने की ज़रूरत नहीं होनी चाहिए। यूरोपीय संसद के सदस्यों को जवाबदेह ठहराना चाहिए, और अगर वह न हो सके तो पूरे EU को जिम्मेदार ठहराना चाहिए। अगर वह भी न हो, तो ऐसे कानूनों पर EU की वैधता ही नहीं बचती। अंत में फिर राष्ट्रीय स्तर की जवाबदेही पर लौटना पड़ेगा।

    • मुझे नहीं लगता कि घर के अंदर कैमरा निगरानी से इसकी तुलना ठीक है। घर लगभग पूरी तरह मेरा होता है, इसलिए अगर कोई कैमरा लगाए तो मैं उसे ढक सकता हूँ या हटा सकता हूँ। अगर ऐसा करने पर मुझे जेल हो जाए, तो दुनिया पहले ही डिस्टोपिया बन चुकी है। फ़ोन अलग हैं। मूल रूप से उपयोगकर्ता उनका पूरा मालिक नहीं होता। bootloader लॉक होता है, अपनी पसंद का code स्वतंत्र रूप से नहीं चला सकते, app store तय करता है कि क्या install कर सकते हैं। अंततः Apple/Google app store से उस app को चलने ही नहीं देने का फैसला कर सकते हैं।

    • अधिक यथार्थवादी तुलना ECHELON सिस्टम से की जा सकती है। 1971 से 5 eyes देश बड़े पैमाने पर निगरानी और संचार scanning करते रहे हैं। मुझे लगता है कि तुम्हें यह तुलना इसलिए पसंद नहीं क्योंकि तुम इसे एक नई घटना की तरह पेश कर तात्कालिक संकट का माहौल बनाना चाहते हो। जिन बातों की तुम्हें चिंता है, वे सब पहले ही अतीत में प्रमाणित वास्तविकताएँ हैं।

  • अगर खुद को मानवाधिकारों का गढ़ कहने वाला EU भी ऐसे कानून को आगे बढ़ाए, तो जब अधिक सत्तावादी देश Apple, Google, Meta से यही चीज़ माँगेंगे, तब हम किस तर्क से उनका विरोध कर पाएँगे, यह समझ नहीं आता।

    • मुझे नहीं लगता कि सिर्फ इसलिए कि EU दूसरे इलाकों से कम बुरा है, वह मानवाधिकारों का गढ़ बन जाता है। पश्चिम में हर जगह की तरह यहाँ भी सत्ता संघर्ष हमेशा मौजूद रहता है।

    • क्या यह सवाल नहीं उठता कि वे खुद को मानवाधिकारों के ऐसे प्रतीक के रूप में क्यों पेश करते हैं? मुझे लगता है कि क्योंकि इसे इतना बार दोहराया गया है कि अब सबने मान लिया है।

  • मैं पूछना चाहता हूँ कि पहले इसे पायलट के रूप में क्यों नहीं लागू किया जाता। क्यों न EU सांसदों के बीच की सारी communication पहले पूरी तरह सार्वजनिक कर दी जाए? मतलब, चलो हम सब मिलकर वही encryption तोड़ते हैं।

    • Pirate Party MEP Patrick Breyer का यह कथन उद्धृत किया गया: “EU के गृह मंत्री पुलिस, सैनिकों, खुफिया एजेंटों और यहाँ तक कि खुद को भी 'Chat Control' के दायरे से बाहर रखना चाहते हैं, क्योंकि वे अच्छी तरह जानते हैं कि यह snooping algorithm कितना खतरनाक और अविश्वसनीय है।” वे वास्तव में इस बात से डरते हैं कि सैन्य गोपनीयताएँ आदि कभी भी अमेरिका के हाथ लग सकती हैं। सरकारी संचार की गोपनीयता महत्वपूर्ण है, लेकिन यही बात आम व्यवसायों और नागरिकों पर भी समान रूप से लागू होनी चाहिए, और उन जगहों की भी रक्षा होनी चाहिए जहाँ पीड़ित लोग सुरक्षित रूप से बात कर सकें और अपने घाव बाँटकर संभल सकें। आज स्वेच्छा से chat की निगरानी करने वाले algorithms से लीक हुई अधिकांश chats का जाँच से कोई संबंध नहीं होता, जैसे पारिवारिक तस्वीरें या आपसी सहमति से की गई sexting। EU मंत्रियों का डिजिटल प्राइवेसी और संरक्षित encryption के विनाश को सिर्फ नागरिकों पर थोपना और खुद को बाहर रखना बेहद अन्यायपूर्ण है।

  • मुझे लगता है कि EU के बाहर के बहुत से लोग इस मुद्दे को केवल EU की समस्या मानकर खारिज कर देते हैं

    1. अगर तुमने कभी किसी EU निवासी के साथ संदेशों का आदान-प्रदान किया है, तो तुम भी 'Chat Control' के दायरे में आते हो
    2. EU अपने मूल्यों के प्रसार के नाम पर दूसरे देशों को भारी धनराशि देता है, और मुझे नहीं लगता कि उस "मदद" को 'Chat Control' की शर्त से जोड़ने में अब बहुत समय लगेगा
    • अगर EU इसे आसानी से पारित कर देता है, तो दूसरी सरकारों को भी इसे हूबहू अपनाने के लिए एक सफल ब्लूप्रिंट मिल जाएगा।

  • Ylva Johansson (इस विधेयक की जनक) स्वीडन में लोकप्रिय होने के कारण EU नहीं गई थीं, बल्कि 2019 में सोशल डेमोक्रेटिक सरकार ने उन्हें नामित किया था, और commissioners वैसे भी मतदान से चुने नहीं जाते। ब्रसेल्स में जो चीज़ें मायने रखती हैं, वे हैं पार्टी के प्रति निष्ठा, दशकों का मंत्री अनुभव, gender balance वगैरह। व्यवहार में अलग-अलग राष्ट्रीय सरकारें EU का इस्तेमाल 'देश में अलोकप्रिय हो चुके राजनेताओं' की 'parking lot' की तरह करती हैं। अब वह मुख्यतः 'Chat Control' विधेयक के कारण ही जानी जाती हैं। इससे बस यह विडंबना और उजागर होती है कि घरेलू स्तर पर अलोकप्रिय राजनेता EU की विवादास्पद नीतियों को आगे बढ़ाते हैं।

    • कई देशों में 'समाप्त हो चुके' राजनेताओं का EU में जाकर टिक जाना इतना आम है कि एक यूरोपीय होने के नाते EU का सम्मान करना सचमुच कठिन हो जाता है। निश्चित ही वहाँ अच्छे और ईमानदार लोग भी होंगे, लेकिन जहाँ मैं रहता हूँ, वहाँ काम बिगाड़ने वाले राजनेता EU में निकल जाते हैं और फिर घरेलू जवाबदेही भी खत्म हो जाती है। इससे EU की प्रतिष्ठा भी गिरती है और मूल देश को भी नुकसान होता है — दोहरा घाटा। फिर भी आशा है कि मेरा अनुभव पूरे यूरोप पर लागू न होता हो।

  • जब भी मैं ऐसे कानून देखता हूँ, तो सोचता हूँ कि क्या कानून बनाने वाले यह नहीं जानते कि एक व्यक्ति की निगरानी करने के लिए अंततः सबकी निगरानी आसानी से संभव बनानी पड़ती है, या उन्हें इसकी परवाह नहीं, या यही उनका लक्ष्य था।
    पहले ऐसा प्रस्ताव था जिसमें सरकार हर chat room में अनिवार्य रूप से शामिल होना चाहती थी, तो उसकी तुलना में यह थोड़ा अधिक तर्कसंगत लगता है।

    • मुझे यह विडंबना लगती है कि लोग 'जिस चीज़ को दुर्भावना के बजाय अक्षमता से समझाया जा सकता है, उसे अक्षमता मानो' वाला सिद्धांत राजनेताओं पर भी लागू करते हैं। राजनेताओं के पास लगभग जितना चाहें उतना बजट और प्रतिभा जुटाने की क्षमता होती है, और उन्हें हर क्षेत्र के विशेषज्ञों के विश्लेषण का भी सहारा मिलता है। ऐसे माहौल में कोई व्यक्ति सचमुच अक्षम हो, यह मुझे व्यावहारिक रूप से बहुत दुर्लभ लगता है। इसलिए जो हम देख रहे हैं वह अक्षमता नहीं, बल्कि हितों का टकराव है, और यह कि वे क्या चाहते हैं तथा नागरिकों की सहमति पाने के लिए कितनी रस्साकशी करनी पड़ती है।

    • राजनेता खुद तकनीकी समस्याएँ हल करने की भूमिका में नहीं होते, बल्कि वे यह तय करते हैं कि पूरे समाज के लिए क्या सबसे अच्छा है। यह सोचना कि 'अगर सिर्फ अपराधियों के लिए encryption तोड़ दी जाए तो सब अधिक सुरक्षित हो जाएँगे', मूल रूप से पूरी तरह अतार्किक नहीं है। समस्या यह है कि यह संभव ही नहीं है। लेकिन राजनेताओं के लिए cryptography लगभग 'जादू' जैसी है। उन्हें पता नहीं होता कि क्या वास्तविक रूप से असंभव है। जलवायु परिवर्तन के मामले में भी वे यही सोचते हैं कि 'वैज्ञानिक बस वातावरण से CO2 हटा दें'। वे समाधान की प्रक्रिया को नहीं समझते, पर मान लेते हैं कि यह हो सकता है — जैसे कोई जादुई मंत्र हो।

    • text analysis वाले तरीके पर चर्चा अभी भी जारी है और उसे पूरी तरह खारिज नहीं किया गया है।

    • वास्तव में बहुत से विधेयक political action committee जैसी संस्थाओं द्वारा सुझाए गए 'model bills' को लगभग ज्यों का त्यों उठाकर अलग-अलग संसदों में पेश कर देते हैं। यही कारण है कि अमेरिका के कई राज्य एक साथ लगभग एक जैसे बिल लाते हैं।
      पार्टी के भीतर तय होता है कि किस विधेयक पर कैसे वोट डालना है। कभी-कभी खतरनाक विधेयक समिति में ही रुक भी जाते हैं, जैसे सभी mRNA vaccines पर प्रतिबंध लगाने वाला बिल, या केवल non-vaccine blood उपलब्ध कराने वाला कानून।
      अलग-अलग राज्यों की विधायी स्थिति यहाँ और संघीय कांग्रेस की स्थिति यहाँ देखी जा सकती है।
      उदाहरण के तौर पर HR 22 केवल 2 पन्नों का है, लेकिन साफ दिखाता है कि कौन संघीय मतदान को रोकना चाहता है। वास्तव में विदेशी नागरिकों का संघीय चुनाव में मतदान पहले से ही अवैध है। Enhanced Driving License केवल 5 राज्यों में जारी होता है। नतीजतन कई समूहों का मताधिकार छीना जा सकता है, जैसे transgender लोग, गैर-नागरिक, शादी के बाद पति का उपनाम अपनाने वाली महिलाएँ, जिन लोगों ने अपना नाम बदला है, या जो पासपोर्ट जारी कराने की लागत नहीं उठा सकते।

  • अपराध और CSAM के प्रसार को रोकने के नाम पर encryption तोड़ने का तर्क प्रभावी नहीं होगा, और इसका नुकसान केवल कानून का पालन करने वाले नागरिकों को होगा। अपराधी, चाहे यह अवैध ही क्यों न हो, प्रभावी encryption के तरीके आसानी से इस्तेमाल कर सकते हैं। EU यह बात भली-भाँति जानता है। हमेशा 'बच्चों की सुरक्षा' को बहाना बनाया जाता है, लेकिन असली उद्देश्य निगरानी है।

  • EU की "Chat Control" बहस में जिस बात का कम ज़िक्र होता है, वह यह है कि यह कानून केवल कुछ खास "platforms" पर लागू होता है।
    यानी Meta जैसे third-party platform के बिना होने वाली encrypted chat वास्तव में इस कानून के दायरे से बाहर है।
    अगर किसी को लगता है कि third-party के बिना internet chat संभव ही नहीं है, तो उसके सामने EU के chat control से भी बड़ी प्राइवेसी बाधा पहले से मौजूद है।
    मुझे लगता है कि EU की नीति की सीधी आलोचना करने वाली forum comments से बड़ा संदर्भ यह है कि 'EU आखिरकार Big Tech को regulate कर रहा है'।
    यह विधेयक Meta को चोट पहुँचा सकता है, और तब जनता को निशाना बनाकर एक विकृत सूचना अभियान चलाया जाएगा।
    व्यावहारिक रूप से बात यह है कि (a) Meta जैसे third party का उपयोग करना खुद ही सरकार के लिए निगरानी का बड़ा छेद बनाता है, और (b) वास्तविक निगरानीकर्ता सरकार नहीं बल्कि Meta है।
    EU लगातार Meta पर जुर्माना लगाता रहा है क्योंकि वह प्राइवेसी की अनदेखी कर Surveillance business से मुनाफा कमाता है। निजी बातचीत के लिए Meta से बुरा विकल्प शायद ही कोई हो।

  • Chat Control विधेयक वास्तव में प्राइवेसी की परवाह करने वाले लोगों को निशाना नहीं बनाता। ऐसे लोग encryption का उपयोग जारी रखने का कोई न कोई तरीका हमेशा ढूँढ़ लेंगे। गणितीय आधार कानून से गायब नहीं किए जा सकते, और open source projects भी समाप्त नहीं होंगे।
    यह कानून अंततः इस वास्तविकता को संस्थागत रूप देता है कि "मुख्यधारा" के आम लोग इस चेतना के साथ जिएँ कि कोई उन्हें सुन सकता है, और उसी कारण वे self-censorship करें। साधारण लोग ही अपने साधन खोएँगे, जबकि परिचित workaround चलते रहेंगे।

  • उम्मीद है कि इस बार ऐसे विधेयक को सच में दफना दिया जाएगा। इसका ज़ॉम्बी की तरह बार-बार वापस आ जाना बहुत थका देने वाला है।