- UK के Online Safety Bill से messaging services से end-to-end encryption backdoor मांगने की संभावना बनी है, इसलिए Apple ने कहा है कि वह UK market से iMessage और FaceTime हटा सकता है
- UK सरकार बाल यौन शोषण सामग्री और अन्य अवैध content का पता लगाने के लिए encrypted messages scan करने का अधिकार चाहती है, और मानती है कि मौजूदा कानून आधुनिक security technology के साथ तालमेल नहीं रखता
- Apple, WhatsApp, Signal आदि backdoor, security features की पहले से reporting, और appeal से पहले features disable करने की मजबूरी जैसी मांगों का विरोध कर रहे हैं, क्योंकि इससे user security कमजोर होती है
- Apple का रुख है कि किसी एक देश की मांग के कारण सभी users की security कम नहीं की जाएगी, और जरूरत पड़ने पर वह UK customers के लिए iMessage और FaceTime disable करने का विकल्प चुन सकता है
- Bill अभी 8 सप्ताह की consultation प्रक्रिया से गुजर रहा है, और Apple पहले भी customers और human rights groups के विरोध के बाद iCloud Photos के लिए CSAM scanning feature वापस ले चुका है
UK Online Safety Bill और encryption के बीच टकराव
- UK का Online Safety Bill ऐसा प्रस्तावित कानून है, जिसके तहत messaging services से end-to-end encryption backdoor देने की मांग की जा सकती है
- सरकार end-to-end encrypted messages scan करने का अधिकार चाहती है
- उद्देश्य बाल यौन शोषण सामग्री और अन्य अवैध content का पता लगाना है
- मौजूदा कानून इसे समाहित करता है, लेकिन आधुनिक technology के security safeguards की वजह से इसे तकनीकी रूप से पुराना माना जा रहा है
- Apple, WhatsApp, Signal समेत कई services इस प्रस्ताव का विरोध कर रही हैं
Apple ने किन मांगों को खारिज किया
- Apple ने प्रस्तावित कानून पर 9 पन्नों की आपत्ति-पत्र जमा किया है
- जिन बातों का विरोध किया गया है, उनमें ये मांगें शामिल हैं
- end-to-end encryption के लिए backdoor
- product security features में बदलावों को release से पहले report करने की मांग
- appeal प्रक्रिया चलने से पहले security features disable करने के लिए मजबूर करने की मांग
UK market में विकल्प और पिछला उदाहरण
- Apple का रुख है कि अगर किसी एक देश के लिए बदलाव करने से सभी users की security कमजोर होती है, तो वह इसका पालन नहीं करेगा
- इसके बजाय उसने कहा है कि UK customers के लिए iMessage और FaceTime disable किए जा सकते हैं
- प्रस्तावित कानून अभी 8 सप्ताह की consultation अवधि से गुजर रहा है, और Apple व अन्य विरोधी पक्ष उम्मीद करते हैं कि सरकार आलोचनाओं को ध्यान में रखकर Bill में संशोधन करेगी
- Apple ने पहले iCloud Photos के लिए CSAM scanning feature की योजना customers और human rights groups के विरोध के बाद वापस ले ली थी
- उस समय Apple का समाधान UK सरकार के मौजूदा प्रस्ताव की तुलना में privacy को ज्यादा सुरक्षित रखने वाला था
1 टिप्पणियां
Hacker News राय
ऐसा लग रहा है कि बातचीत की निजता बचाने की लड़ाई हम सामूहिक रूप से हार रहे हैं
encryption-विरोधी कानूनों के खिलाफ आवाज़ उठाने वाले लोग कम हैं, और लगता है कि ज़्यादातर लोग मानते हैं कि शुरुआत से ही privacy जैसी कोई चीज़ नहीं है और सरकार चाहे तो messages पढ़ सकती है। जब लोग इसे पहले से हारी हुई लड़ाई मान लें, बल्कि यह भी स्वीकार कर लें कि हमेशा से स्थिति ऐसी ही थी, तो लड़ाई शुरू होने से पहले ही खत्म हो जाती है
लोग निजता को स्वतंत्रता से जोड़कर नहीं सोच पाते, और स्वतंत्रता इतनी स्वाभाविक मान ली गई है कि जब तक कोई तेज़ और तुरंत खतरा सामने न आए, उसे खोने का जोखिम दिखता ही नहीं। स्वतंत्रता की रक्षा के लिए बनाए गए सिस्टम उलटे खराब होकर पिछली पीढ़ियों को मिले अधिकारों को धीरे-धीरे खोखला कर रहे हैं
विधायकों की अदूरदर्शिता भी हैरान करने वाली है। अगर सरकार के पास सारी चिट्ठी-पत्री हो और वही सरकार गलत हाथों में चली जाए, तो सत्ता वालों के पक्ष में न खड़े लोगों का काम तमाम है। कोई गर्व से कहेगा कि “हमने बुरे लोगों को रोकने वाला कानून बनाया”, लेकिन उसकी कीमत सामूहिक स्वतंत्रता हो सकती है
encryption पर बोझ डालने की मांग पर लोग वैसे ही विरोध क्यों नहीं करते, यह समझ नहीं आता
फर्क यह है कि अब ऐसे communication माध्यम पूरी बातचीत का छोटा हिस्सा नहीं, लगभग सब कुछ बन गए हैं, और 1950 के दशक में लाखों लोगों की निगरानी के लिए जितना खर्च और मेहनत चाहिए होती, उसकी तुलना में privacy तोड़ने की लागत बहुत कम हो गई है। अब East Germany जैसे security state की भी जरूरत नहीं
उम्मीद नहीं थी कि समाज डर और नफरत, और media द्वारा भड़काए गए witch hunt से इस तरह बिगड़ जाएगा। उसके बाद से मैं मानने लगा हूं कि सरकार कुछ भी कर सकती है, और communications को encrypt कर पाने का तर्क और मजबूत हो गया है
इस योजना में messages analysis के लिए किसी third party को भेजे जाते हैं। third party को भेजे गए messages encrypted हो सकते हैं, लेकिन privacy पूरी तरह भंग हो जाती है
https://techcrunch.com/2022/07/06/uk-osb-csam-scanning/
समझ नहीं आता कि UK के विधायक सभी दरवाजों और तिजोरियों की चाबियों में सरकारी अधिकारियों के लिए bypass device अनिवार्य करने वाला नया regulation क्यों नहीं बना रहे
हर दरवाजे के पीछे और हर बंद जगह में child sexual abuse material और अवैध सामग्री छिपी हो सकती है। हर घर और hotel safe संदिग्ध है
अगर online chats और बातचीत में backdoor डालने का तर्क ऐसा है, तो वही बात हर घर और इमारत के entrance door, और हर बंद जगह पर भी लागू होनी चाहिए। यह संबंधित लोगों की मदद या जानकारी के बिना सामग्री तक आसानी से पहुंचने की कोशिश जैसा है
internet की universal accessibility और digital image file formats ने ऐसे जघन्य अपराधों से लड़ने वालों के लिए खेल बदल दिया है। बंद तिजोरी से अलग यह नया और विशेष मामला तो है
लेकिन अधिकांश encryption को ताकत से नहीं तोड़ा जा सकता
UK बार-बार अपना प्रभाव दिखाने की कोशिश करता है, लेकिन आखिर में उसे पता चलता है कि वह इतना बड़ा नहीं है। Xbox से जुड़े CMA मामले में भी यही था और इस बार भी ऐसा ही है
Apple और Microsoft जैसे बड़े बदलाव सिर्फ एक अपेक्षाकृत छोटे market के हिसाब से करने के लिए UK इतना बड़ा नहीं है
वह दौर अब खत्म हो चुका है जब ताज के दो सेवक Kafiristan पर अकेले कब्जा कर लेते थे
क्या यह वही Apple नहीं है जो चीन में CCP को पूरा App Store चलाने देता है?
जब पता हो कि कोई प्रतिशोध नहीं होगा, तब सरकार की आलोचना करना आसान है। ऐसे मुद्दों पर कंपनी का असली रुख देखना हो तो यह देखना चाहिए कि वास्तविक वित्तीय नुकसान की संभावना होने पर वह कैसे व्यवहार करती है
चीन एक totalitarian शासन है, इसलिए अधूरी आज़ादी भी बिल्कुल आज़ादी न होने से बेहतर है, लेकिन UK एक लोकतांत्रिक देश है जिसे privacy का अधिकार बचाना चाहिए
अगर Apple UK के लिए encryption कमजोर करता है, तो इसका असर दूसरे देशों के लोगों पर भी पड़ेगा। UK में iMessage इतना लोकप्रिय नहीं है, इसलिए WhatsApp की तुलना में इसका इस्तेमाल transatlantic बातचीत में असंतुलित रूप से ज्यादा होता है। अगर Apple कानून मानेगा, तो अमेरिकी यूज़र्स की privacy भी भंग होगी
चीन iPhone और messaging आने से पहले ही लगभग खोया हुआ मामला था। इसके उलट UK पश्चिम का एक प्रमुख देश है
बात यह है कि पश्चिमी देशों को चीन जैसा बनने से रोकने की कोशिश की जाए। UK एक domino बन सकता है, और अगर वह गिरा तो दूसरे पश्चिमी देशों के authoritarian लोग भी वैसा ही करने की कोशिश कर सकते हैं
गणना हर देश में अलग होगी, लेकिन इसमें पाखंड नहीं है
चीनी सरकार का चीनी servers में दखल देना चीनी बाजार को प्रभावित करता है, और वह बाजार बहुत पैसा देता है, इसलिए वहां बने रहने की प्रेरणा बड़ी है। इसके उलट, अगर UK FaceTime में backdoor डालता है, तो दुनिया भर का FaceTime कमजोर होगा, और privacy व data protection laws अधिक मजबूत रखने वाले दूसरे jurisdictions में Apple को जोखिम में डाल सकता है। अपेक्षाकृत छोटे बाजार के लिए यह जोखिम लेने लायक नहीं है
अगर EU या अमेरिका में यही समस्या आती है तो वह कहीं अधिक गंभीर बात होगी, और दुर्भाग्य से अगले कुछ वर्षों में यह वास्तविक रूप से संभव है। Apple बस यह कह रहा है कि regulation आएगा तो वह उसका पालन करेगा। UK सरकार अक्सर ऐसे शोर मचाती है और जब पता चलता है कि मामला सच में आसान नहीं है, तो चुपचाप पीछे हट जाती है
कंपनी कोई चेतन अस्तित्व नहीं है, इसलिए “असली रुख” जैसी कोई चीज नहीं होती। नीतियां तभी मायने रखती हैं जब लोग उन्हें तय और लागू करते हैं। कंपनियों को ideology की तरह बताना खतरनाक है; ऐसी चीजें बदल सकती हैं और पैसा अक्सर सद्भावना पर भारी पड़ता है। आखिरकार अहम यह है कि कंपनी और हमारे हित कितने मेल खाते हैं। लंबे समय में कंपनी को प्रभावित करने का सबसे अच्छा तरीका यह है कि उसके व्यवहार को business-wise sensible बनाया जाए
iMessage और FaceTime जैसे ecosystem features platform retention में बड़ा योगदान देते हैं। अगर cynically भरोसा करना मुश्किल लगे, तो सोचिए कि Apple पैसा खर्च करके iMessage और FaceTime की development और maintenance teams क्यों चलाए रखता है। यह वह भलाई के लिए तो नहीं कर रहा होगा
Signal CEO और UK Conservative Party के एक राजनेता का interview था[1]। interview काफी frustrating था, क्योंकि दोनों पक्ष दो बिल्कुल अलग समस्याओं पर बहस कर रहे थे
Signal की Meredith Whittaker encryption तोड़ने और उसके ripple effects पर ठीक से बात करना चाहती थीं, लेकिन राजनेता पक्ष का रवैया था कि वह बात तो पहले ही हल हो चुकी है। ऐसा लगा कि वे encryption तोड़ना नहीं चाहते, बल्कि चाहते हैं कि app messages को encrypt करने से पहले उठा ले और अलग रास्ते से government agency को भेज दे
वे device के अंदर messages तक पहुंच चाहते हैं, और क्योंकि app के पास मूल रूप से वह access होता ही है, तो उसी जानकारी को search/index/filter करके police को भेजने को कह रहे हैं। दुख की बात है कि राजनेताओं को समस्या दिखती नहीं। शायद सच में नहीं दिखती या समझ नहीं आती, या फिर वे पूरी तरह समझते हैं और यही उद्देश्य है, लेकिन उसका कारण समझा नहीं पाते
[1] https://www.youtube.com/watch?v=E--bVV_eQR0
Signal, WhatsApp, iMessage का इस bill की वजह से UK छोड़ने की धमकी देना इस बात का संकेत लगता है कि bill अव्यावहारिक है। लेकिन उस चर्चा में Meredith Whittaker इसे convincingly दिखा नहीं पाईं
अगर मान लें कि boxes opaque हैं, तो Meredith Whittaker का opaque pipes के पक्ष में argument देना network control को पूरी तरह छोड़ने की बात बन जाता है। राजनेताओं को यह पसंद नहीं है। कुछ लोग नेकनीयती से खुद को protector और threat detector मानते हैं, और कुछ दुर्भावना से जानते हैं कि यह काफी power छोड़ना है। वास्तविक राजनीतिक नेता इन दोनों के बीच कहीं होते हैं
व्यवहार में शायद boxes पर control खोने और फिर उसे वापस पाने के बीच झूलना होगा। क्योंकि यह बात धीरे-धीरे और साफ होगी कि ऐसा कोई backdoor नहीं होता जो सिर्फ कुछ लोगों के लिए खुला हो और दूसरों के लिए नहीं
मेरे हिसाब से एकमात्र संभव समाधान pipes तोड़ना है, यानी network पर encrypted messages भेजने को ही illegal करना। तब boxes को compromise न होने वाला, opaque और सुरक्षित रखा जा सकता है, लेकिन आप अब दूसरों से गुप्त रूप से communicate नहीं कर पाएंगे। असल में illegal/secret data का “sneakernet” movement बढ़ेगा और steganography में बड़ा विकास होगा। जैसा internet हम जानते हैं, खासकर पूरा e-commerce भी खत्म हो जाएगा, लेकिन CSAM खत्म करने के लिए यह छोटी सी कीमत ही तो है
सरकार आज भी conversations तक access कर सकती है। judge का order लेकर phone search कर सकती है। अगर messages delete नहीं किए गए हैं, तो end-to-end encryption भी मदद नहीं करता
यह judge का order लेकर दरवाजा खटखटाने जैसा है। लेकिन सरकार judge से dealing नहीं करना चाहती। वह 24 घंटे unlimited access चाहती है। यही मुख्य फर्क है, और इसलिए यह सभी नागरिकों के लिए बुरी बात है
मौजूदा Conservative सरकार कम से कम 10 साल के लिए बाहर होने से ठीक पहले की आखिरी अवस्था में है। वह पहले से ही पैसा कमाने वाले private sector पर नजर गड़ाए हुए है, और लगता है कि public backlash की लगभग परवाह किए बिना UK को नुकसान पहुंचाने पर तुली है
पहले विरोध प्रदर्शनों को निशाना बनाया गया, और अब वे encryption से छेड़छाड़ करना चाहते हैं
लगता है उन्हें यह पसंद नहीं कि लोग अनौपचारिक जानकारी साझा कर सकें और बड़े पैमाने पर खुद को संगठित कर सकें[0]
लोग Telegram पर anti-propaganda stickers भी साझा कर रहे थे[1]. 2:40 पर एक बस उनसे ढकी हुई दिखती है, और मैंने एक वीडियो भी देखा है जिसमें पूरी पुलिस कार उनसे ढकी हुई थी
[0]. https://onevsp.com/watch/gqymHfesRd5sWJj
[1]. https://onevsp.com/watch/3skDbBtB8sGwboa
Security Now में Steve Gibson की कही बात याद आती है। उन्होंने सुझाव दिया था कि UK में traffic वाली हर website को page के ऊपर लाल banner में “UK सरकार इस website के traffic की जबरन निगरानी कर रही है” जैसा संदेश दिखाना चाहिए
तब देखेंगे कि चर्चा कितनी जल्दी पलटती है
विधायकों की दलीलें strawman argument पर बनी हैं। बच्चों की सुरक्षा की बेचैनी समझ में आती है, लेकिन ऐसे कदम उन tools को अपराधियों के इस्तेमाल से नहीं रोकेंगे जो अभी legal हैं। वे उन्हें इस्तेमाल करते रहेंगे। उन्हें “illegal” बना देने से वे रुकेंगे नहीं, क्योंकि वे अब भी उपलब्ध रहेंगे
आज ही House of Commons के सभी सांसदों पर beta test करना चाहिए
बेकार की धमकी है