1 पॉइंट द्वारा GN⁺ 2023-07-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • UK के Online Safety Bill से messaging services से end-to-end encryption backdoor मांगने की संभावना बनी है, इसलिए Apple ने कहा है कि वह UK market से iMessage और FaceTime हटा सकता है
  • UK सरकार बाल यौन शोषण सामग्री और अन्य अवैध content का पता लगाने के लिए encrypted messages scan करने का अधिकार चाहती है, और मानती है कि मौजूदा कानून आधुनिक security technology के साथ तालमेल नहीं रखता
  • Apple, WhatsApp, Signal आदि backdoor, security features की पहले से reporting, और appeal से पहले features disable करने की मजबूरी जैसी मांगों का विरोध कर रहे हैं, क्योंकि इससे user security कमजोर होती है
  • Apple का रुख है कि किसी एक देश की मांग के कारण सभी users की security कम नहीं की जाएगी, और जरूरत पड़ने पर वह UK customers के लिए iMessage और FaceTime disable करने का विकल्प चुन सकता है
  • Bill अभी 8 सप्ताह की consultation प्रक्रिया से गुजर रहा है, और Apple पहले भी customers और human rights groups के विरोध के बाद iCloud Photos के लिए CSAM scanning feature वापस ले चुका है

UK Online Safety Bill और encryption के बीच टकराव

  • UK का Online Safety Bill ऐसा प्रस्तावित कानून है, जिसके तहत messaging services से end-to-end encryption backdoor देने की मांग की जा सकती है
  • सरकार end-to-end encrypted messages scan करने का अधिकार चाहती है
    • उद्देश्य बाल यौन शोषण सामग्री और अन्य अवैध content का पता लगाना है
    • मौजूदा कानून इसे समाहित करता है, लेकिन आधुनिक technology के security safeguards की वजह से इसे तकनीकी रूप से पुराना माना जा रहा है
  • Apple, WhatsApp, Signal समेत कई services इस प्रस्ताव का विरोध कर रही हैं

Apple ने किन मांगों को खारिज किया

  • Apple ने प्रस्तावित कानून पर 9 पन्नों की आपत्ति-पत्र जमा किया है
  • जिन बातों का विरोध किया गया है, उनमें ये मांगें शामिल हैं
    • end-to-end encryption के लिए backdoor
    • product security features में बदलावों को release से पहले report करने की मांग
    • appeal प्रक्रिया चलने से पहले security features disable करने के लिए मजबूर करने की मांग

UK market में विकल्प और पिछला उदाहरण

  • Apple का रुख है कि अगर किसी एक देश के लिए बदलाव करने से सभी users की security कमजोर होती है, तो वह इसका पालन नहीं करेगा
    • इसके बजाय उसने कहा है कि UK customers के लिए iMessage और FaceTime disable किए जा सकते हैं
  • प्रस्तावित कानून अभी 8 सप्ताह की consultation अवधि से गुजर रहा है, और Apple व अन्य विरोधी पक्ष उम्मीद करते हैं कि सरकार आलोचनाओं को ध्यान में रखकर Bill में संशोधन करेगी
  • Apple ने पहले iCloud Photos के लिए CSAM scanning feature की योजना customers और human rights groups के विरोध के बाद वापस ले ली थी
    • उस समय Apple का समाधान UK सरकार के मौजूदा प्रस्ताव की तुलना में privacy को ज्यादा सुरक्षित रखने वाला था

1 टिप्पणियां

 
GN⁺ 2023-07-21
Hacker News राय
  • ऐसा लग रहा है कि बातचीत की निजता बचाने की लड़ाई हम सामूहिक रूप से हार रहे हैं
    encryption-विरोधी कानूनों के खिलाफ आवाज़ उठाने वाले लोग कम हैं, और लगता है कि ज़्यादातर लोग मानते हैं कि शुरुआत से ही privacy जैसी कोई चीज़ नहीं है और सरकार चाहे तो messages पढ़ सकती है। जब लोग इसे पहले से हारी हुई लड़ाई मान लें, बल्कि यह भी स्वीकार कर लें कि हमेशा से स्थिति ऐसी ही थी, तो लड़ाई शुरू होने से पहले ही खत्म हो जाती है
    लोग निजता को स्वतंत्रता से जोड़कर नहीं सोच पाते, और स्वतंत्रता इतनी स्वाभाविक मान ली गई है कि जब तक कोई तेज़ और तुरंत खतरा सामने न आए, उसे खोने का जोखिम दिखता ही नहीं। स्वतंत्रता की रक्षा के लिए बनाए गए सिस्टम उलटे खराब होकर पिछली पीढ़ियों को मिले अधिकारों को धीरे-धीरे खोखला कर रहे हैं
    विधायकों की अदूरदर्शिता भी हैरान करने वाली है। अगर सरकार के पास सारी चिट्ठी-पत्री हो और वही सरकार गलत हाथों में चली जाए, तो सत्ता वालों के पक्ष में न खड़े लोगों का काम तमाम है। कोई गर्व से कहेगा कि “हमने बुरे लोगों को रोकने वाला कानून बनाया”, लेकिन उसकी कीमत सामूहिक स्वतंत्रता हो सकती है

    • ऐसी चीज़ की अनुमति देना ही अजीब है। सिर्फ इसलिए कि सरकार आमने-सामने चुपचाप होने वाली बातचीत की निगरानी नहीं कर सकती, वह हमें सरकारी recording device साथ रखने के लिए मजबूर तो नहीं कर सकती, है न
      encryption पर बोझ डालने की मांग पर लोग वैसे ही विरोध क्यों नहीं करते, यह समझ नहीं आता
    • समस्या का बड़ा हिस्सा यह है कि बातचीत का स्वरूप बदल गया है। डाक और फोन किसी भी समय पूरी तरह निजी नहीं थे, और ऐसी बातचीत में पूर्ण निजता की उम्मीद का विचार खुद अपेक्षाकृत नया है
      फर्क यह है कि अब ऐसे communication माध्यम पूरी बातचीत का छोटा हिस्सा नहीं, लगभग सब कुछ बन गए हैं, और 1950 के दशक में लाखों लोगों की निगरानी के लिए जितना खर्च और मेहनत चाहिए होती, उसकी तुलना में privacy तोड़ने की लागत बहुत कम हो गई है। अब East Germany जैसे security state की भी जरूरत नहीं
    • privacy बचाने की सबसे बड़ी वजह यह है कि अगले कुछ वर्षों में सरकार किस चीज़ में बदल जाएगी, यह पता नहीं। encryption का यह बुनियादी तर्क अक्सर उन जगहों के संदर्भ में किया जाता है जिन्हें पहले से ही गैर-स्वतंत्र देश माना जाता है, लेकिन COVID के दौरान ही इसका मतलब सच में महसूस हुआ
      उम्मीद नहीं थी कि समाज डर और नफरत, और media द्वारा भड़काए गए witch hunt से इस तरह बिगड़ जाएगा। उसके बाद से मैं मानने लगा हूं कि सरकार कुछ भी कर सकती है, और communications को encrypt कर पाने का तर्क और मजबूत हो गया है
    • अमेरिका अभी भी काफी ठीक है, लेकिन UK और EU privacy protection के सख्त खिलाफ हैं। consumer privacy में वे काफी अच्छे हैं, लेकिन लगता है कि वे यह नहीं मानते कि सरकार से privacy भी मौजूद होनी चाहिए
    • इस बहस में चालाकी वाली बात यह दावा है कि ऐसे कानून encryption में दखल नहीं देते। निजी तौर पर मुझे यह बेईमान रवैया लगता है, लेकिन बिल के समर्थक हमेशा कहते हैं कि “हम encryption नहीं तोड़ते” या “privacy और security साथ-साथ संभव हैं, और यह amendment दोनों देता है”
      इस योजना में messages analysis के लिए किसी third party को भेजे जाते हैं। third party को भेजे गए messages encrypted हो सकते हैं, लेकिन privacy पूरी तरह भंग हो जाती है
      https://techcrunch.com/2022/07/06/uk-osb-csam-scanning/
  • समझ नहीं आता कि UK के विधायक सभी दरवाजों और तिजोरियों की चाबियों में सरकारी अधिकारियों के लिए bypass device अनिवार्य करने वाला नया regulation क्यों नहीं बना रहे
    हर दरवाजे के पीछे और हर बंद जगह में child sexual abuse material और अवैध सामग्री छिपी हो सकती है। हर घर और hotel safe संदिग्ध है
    अगर online chats और बातचीत में backdoor डालने का तर्क ऐसा है, तो वही बात हर घर और इमारत के entrance door, और हर बंद जगह पर भी लागू होनी चाहिए। यह संबंधित लोगों की मदद या जानकारी के बिना सामग्री तक आसानी से पहुंचने की कोशिश जैसा है

    • devil’s advocate बनकर कहें तो, कोई भी अपनी तिजोरी में रखे child sexual abuse material को दुनिया भर के हजारों voyeur लोगों के साथ mass share नहीं करता
      internet की universal accessibility और digital image file formats ने ऐसे जघन्य अपराधों से लड़ने वालों के लिए खेल बदल दिया है। बंद तिजोरी से अलग यह नया और विशेष मामला तो है
    • मैंने यह तर्क सुना है कि पुलिस raid के लिए दरवाजा तोड़ सकती है, इसलिए technology के मामले में भी उसे वही अधिकार होने चाहिए
    • search warrant नाम की चीज़ होती है
    • निजी बातचीत को अदृश्य तरीके से लगभग मुफ्त में जांच सकने की संभावना को देखें, तो तुलना “हर घर में ऐसा camera लगाओ जिस तक सिर्फ सरकार की पहुंच हो” से ज्यादा मिलती है। बेशक वे वादा करेंगे कि वह ज्यादातर समय बंद रहेगा
    • हर दरवाजे की चाबी में government bypass device अनिवार्य न करने की वजह यह है कि ताकत से लगभग हर दरवाजा तोड़ा जा सकता है। पुलिस warrant के साथ, और special forces गुपचुप तरीके से ऐसा कर सकती हैं
      लेकिन अधिकांश encryption को ताकत से नहीं तोड़ा जा सकता
  • UK बार-बार अपना प्रभाव दिखाने की कोशिश करता है, लेकिन आखिर में उसे पता चलता है कि वह इतना बड़ा नहीं है। Xbox से जुड़े CMA मामले में भी यही था और इस बार भी ऐसा ही है
    Apple और Microsoft जैसे बड़े बदलाव सिर्फ एक अपेक्षाकृत छोटे market के हिसाब से करने के लिए UK इतना बड़ा नहीं है

    • UK कम से कम Suez Crisis के बाद से, शायद उससे पहले से भी, यह सबक बार-बार समझता और फिर भूलता रहा है
    • UK का पुराना empire उसकी cultural identity का हिस्सा है। अतीत की उम्मीदों को छोड़ने में अभी कई पीढ़ियां और लगेंगी
      वह दौर अब खत्म हो चुका है जब ताज के दो सेवक Kafiristan पर अकेले कब्जा कर लेते थे
    • उलटकर देखें तो, UK market में कुछ games न होने से क्या UK को इतना बड़ा नुकसान होगा? कोई भी पक्ष दूसरे के बिना टिकने जितना बड़ा नहीं है। यह सिर्फ UK की समस्या नहीं है
  • क्या यह वही Apple नहीं है जो चीन में CCP को पूरा App Store चलाने देता है?
    जब पता हो कि कोई प्रतिशोध नहीं होगा, तब सरकार की आलोचना करना आसान है। ऐसे मुद्दों पर कंपनी का असली रुख देखना हो तो यह देखना चाहिए कि वास्तविक वित्तीय नुकसान की संभावना होने पर वह कैसे व्यवहार करती है

    • UK और चीन की तुलना नहीं की जा सकती। चीन इस समय दुनिया का सबसे अधिक आबादी वाला देश है, जबकि UK की आबादी 7 करोड़ से भी कम है
      चीन एक totalitarian शासन है, इसलिए अधूरी आज़ादी भी बिल्कुल आज़ादी न होने से बेहतर है, लेकिन UK एक लोकतांत्रिक देश है जिसे privacy का अधिकार बचाना चाहिए
      अगर Apple UK के लिए encryption कमजोर करता है, तो इसका असर दूसरे देशों के लोगों पर भी पड़ेगा। UK में iMessage इतना लोकप्रिय नहीं है, इसलिए WhatsApp की तुलना में इसका इस्तेमाल transatlantic बातचीत में असंतुलित रूप से ज्यादा होता है। अगर Apple कानून मानेगा, तो अमेरिकी यूज़र्स की privacy भी भंग होगी
    • ऐसी काली-सफेद सोच defeatist है
      चीन iPhone और messaging आने से पहले ही लगभग खोया हुआ मामला था। इसके उलट UK पश्चिम का एक प्रमुख देश है
      बात यह है कि पश्चिमी देशों को चीन जैसा बनने से रोकने की कोशिश की जाए। UK एक domino बन सकता है, और अगर वह गिरा तो दूसरे पश्चिमी देशों के authoritarian लोग भी वैसा ही करने की कोशिश कर सकते हैं
    • आखिरकार चुनाव सरल है। स्थानीय कानून मानो या features/devices वापस ले लो
      गणना हर देश में अलग होगी, लेकिन इसमें पाखंड नहीं है
      चीनी सरकार का चीनी servers में दखल देना चीनी बाजार को प्रभावित करता है, और वह बाजार बहुत पैसा देता है, इसलिए वहां बने रहने की प्रेरणा बड़ी है। इसके उलट, अगर UK FaceTime में backdoor डालता है, तो दुनिया भर का FaceTime कमजोर होगा, और privacy व data protection laws अधिक मजबूत रखने वाले दूसरे jurisdictions में Apple को जोखिम में डाल सकता है। अपेक्षाकृत छोटे बाजार के लिए यह जोखिम लेने लायक नहीं है
      अगर EU या अमेरिका में यही समस्या आती है तो वह कहीं अधिक गंभीर बात होगी, और दुर्भाग्य से अगले कुछ वर्षों में यह वास्तविक रूप से संभव है। Apple बस यह कह रहा है कि regulation आएगा तो वह उसका पालन करेगा। UK सरकार अक्सर ऐसे शोर मचाती है और जब पता चलता है कि मामला सच में आसान नहीं है, तो चुपचाप पीछे हट जाती है
      कंपनी कोई चेतन अस्तित्व नहीं है, इसलिए “असली रुख” जैसी कोई चीज नहीं होती। नीतियां तभी मायने रखती हैं जब लोग उन्हें तय और लागू करते हैं। कंपनियों को ideology की तरह बताना खतरनाक है; ऐसी चीजें बदल सकती हैं और पैसा अक्सर सद्भावना पर भारी पड़ता है। आखिरकार अहम यह है कि कंपनी और हमारे हित कितने मेल खाते हैं। लंबे समय में कंपनी को प्रभावित करने का सबसे अच्छा तरीका यह है कि उसके व्यवहार को business-wise sensible बनाया जाए
    • कंपनी के असली रुख जैसी कोई चीज नहीं होती। यह बस आलोचना आसान बनाने वाली कल्पना है
    • आपको लगता है कि वित्तीय नुकसान की कोई संभावना नहीं है? Apple ने सचमुच अपने products वापस लेने की बात कही है
      iMessage और FaceTime जैसे ecosystem features platform retention में बड़ा योगदान देते हैं। अगर cynically भरोसा करना मुश्किल लगे, तो सोचिए कि Apple पैसा खर्च करके iMessage और FaceTime की development और maintenance teams क्यों चलाए रखता है। यह वह भलाई के लिए तो नहीं कर रहा होगा
  • Signal CEO और UK Conservative Party के एक राजनेता का interview था[1]। interview काफी frustrating था, क्योंकि दोनों पक्ष दो बिल्कुल अलग समस्याओं पर बहस कर रहे थे
    Signal की Meredith Whittaker encryption तोड़ने और उसके ripple effects पर ठीक से बात करना चाहती थीं, लेकिन राजनेता पक्ष का रवैया था कि वह बात तो पहले ही हल हो चुकी है। ऐसा लगा कि वे encryption तोड़ना नहीं चाहते, बल्कि चाहते हैं कि app messages को encrypt करने से पहले उठा ले और अलग रास्ते से government agency को भेज दे
    वे device के अंदर messages तक पहुंच चाहते हैं, और क्योंकि app के पास मूल रूप से वह access होता ही है, तो उसी जानकारी को search/index/filter करके police को भेजने को कह रहे हैं। दुख की बात है कि राजनेताओं को समस्या दिखती नहीं। शायद सच में नहीं दिखती या समझ नहीं आती, या फिर वे पूरी तरह समझते हैं और यही उद्देश्य है, लेकिन उसका कारण समझा नहीं पाते
    [1] https://www.youtube.com/watch?v=E--bVV_eQR0

    • सच कहूं तो Meredith Whittaker काफी कमजोर दिखीं। उन्होंने यह एक argument अच्छी तरह रखा कि safe backdoor नहीं बनाया जा सकता, लेकिन Conservative राजनेता के यह कहने के बाद कि वे encrypted messaging services में backdoor की मांग नहीं करेंगे, उन्होंने असल में दूसरे विषय पर जवाब देने से इनकार कर दिया
      Signal, WhatsApp, iMessage का इस bill की वजह से UK छोड़ने की धमकी देना इस बात का संकेत लगता है कि bill अव्यावहारिक है। लेकिन उस चर्चा में Meredith Whittaker इसे convincingly दिखा नहीं पाईं
    • जो लोग computer networks को control करना चाहते हैं, उन्हें pipes और boxes में से एक चुनना होगा। या तो opaque boxes के बीच traffic intercept करने के लिए pipes तोड़ो, या pipes को opaque रहने दो और boxes के अंदर घुसो
      अगर मान लें कि boxes opaque हैं, तो Meredith Whittaker का opaque pipes के पक्ष में argument देना network control को पूरी तरह छोड़ने की बात बन जाता है। राजनेताओं को यह पसंद नहीं है। कुछ लोग नेकनीयती से खुद को protector और threat detector मानते हैं, और कुछ दुर्भावना से जानते हैं कि यह काफी power छोड़ना है। वास्तविक राजनीतिक नेता इन दोनों के बीच कहीं होते हैं
      व्यवहार में शायद boxes पर control खोने और फिर उसे वापस पाने के बीच झूलना होगा। क्योंकि यह बात धीरे-धीरे और साफ होगी कि ऐसा कोई backdoor नहीं होता जो सिर्फ कुछ लोगों के लिए खुला हो और दूसरों के लिए नहीं
      मेरे हिसाब से एकमात्र संभव समाधान pipes तोड़ना है, यानी network पर encrypted messages भेजने को ही illegal करना। तब boxes को compromise न होने वाला, opaque और सुरक्षित रखा जा सकता है, लेकिन आप अब दूसरों से गुप्त रूप से communicate नहीं कर पाएंगे। असल में illegal/secret data का “sneakernet” movement बढ़ेगा और steganography में बड़ा विकास होगा। जैसा internet हम जानते हैं, खासकर पूरा e-commerce भी खत्म हो जाएगा, लेकिन CSAM खत्म करने के लिए यह छोटी सी कीमत ही तो है
  • सरकार आज भी conversations तक access कर सकती है। judge का order लेकर phone search कर सकती है। अगर messages delete नहीं किए गए हैं, तो end-to-end encryption भी मदद नहीं करता
    यह judge का order लेकर दरवाजा खटखटाने जैसा है। लेकिन सरकार judge से dealing नहीं करना चाहती। वह 24 घंटे unlimited access चाहती है। यही मुख्य फर्क है, और इसलिए यह सभी नागरिकों के लिए बुरी बात है

  • मौजूदा Conservative सरकार कम से कम 10 साल के लिए बाहर होने से ठीक पहले की आखिरी अवस्था में है। वह पहले से ही पैसा कमाने वाले private sector पर नजर गड़ाए हुए है, और लगता है कि public backlash की लगभग परवाह किए बिना UK को नुकसान पहुंचाने पर तुली है

    • Labour Party इस मुद्दे पर Conservative Party से भी ज्यादा पक्ष में है। Liberal Democrats भी वैसे ही हैं। UK की मुख्यधारा की पार्टियों में privacy को महत्व देने वाली कोई नहीं है
  • पहले विरोध प्रदर्शनों को निशाना बनाया गया, और अब वे encryption से छेड़छाड़ करना चाहते हैं
    लगता है उन्हें यह पसंद नहीं कि लोग अनौपचारिक जानकारी साझा कर सकें और बड़े पैमाने पर खुद को संगठित कर सकें[0]
    लोग Telegram पर anti-propaganda stickers भी साझा कर रहे थे[1]. 2:40 पर एक बस उनसे ढकी हुई दिखती है, और मैंने एक वीडियो भी देखा है जिसमें पूरी पुलिस कार उनसे ढकी हुई थी
    [0]. https://onevsp.com/watch/gqymHfesRd5sWJj
    [1]. https://onevsp.com/watch/3skDbBtB8sGwboa

  • Security Now में Steve Gibson की कही बात याद आती है। उन्होंने सुझाव दिया था कि UK में traffic वाली हर website को page के ऊपर लाल banner में “UK सरकार इस website के traffic की जबरन निगरानी कर रही है” जैसा संदेश दिखाना चाहिए
    तब देखेंगे कि चर्चा कितनी जल्दी पलटती है
    विधायकों की दलीलें strawman argument पर बनी हैं। बच्चों की सुरक्षा की बेचैनी समझ में आती है, लेकिन ऐसे कदम उन tools को अपराधियों के इस्तेमाल से नहीं रोकेंगे जो अभी legal हैं। वे उन्हें इस्तेमाल करते रहेंगे। उन्हें “illegal” बना देने से वे रुकेंगे नहीं, क्योंकि वे अब भी उपलब्ध रहेंगे

  • आज ही House of Commons के सभी सांसदों पर beta test करना चाहिए

    • UK में कोई भी iMessage इस्तेमाल नहीं करता। FaceTime का पता नहीं, लेकिन यह निश्चित रूप से ऐसी service नहीं है जिस पर कोई निर्भर हो
      बेकार की धमकी है
    • सब WhatsApp इस्तेमाल करते हैं