DEA के साथ मिलकर बना अमेरिकी सीनेट बिल, end-to-end encryption पर निशाना
(therecord.media)- Cooper Davis Act ऑनलाइन ड्रग ट्रेडिंग से निपटने के नाम पर social media, encrypted communications providers और online services पर DEA को रिपोर्ट करने की अनिवार्यता लगाता है, और अब सीनेट के पूर्ण सत्र में पहुंच गया है
- अगर किसी कंपनी को अवैध ड्रग वितरण की वास्तविक जानकारी हो, तो उसे user names जैसी जानकारी DEA को देनी होगी, और “willfully blind” वाली भाषा encrypted services की जिम्मेदारी की सीमा पर विवाद बढ़ा रही है
- privacy groups का कहना है कि यह बिल end-to-end encryption को बनाए रखना ही जोखिम का कारण बना सकता है, और encryption कमजोर करने से users की security और privacy दोनों हिल सकती हैं
- DEA और बिल के समर्थक यह तर्क दे रहे हैं कि Mexican cartels ने Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire, Wickr आदि का इस्तेमाल किया, और 1,100 से अधिक संबंधित मामलों का हवाला दे रहे हैं
- विरोधियों का कहना है कि ड्रग बिक्री से जुड़े एक्सप्रेशन पहचानने के लिए भाषा, संदर्भ और slang को समझना पड़ता है, इसलिए यह ढांचा कंपनियों को बिना warrant या oversight के निजी डेटा law enforcement को सौंपने की ओर ले जा सकता है
Cooper Davis Act की रिपोर्टिंग अनिवार्यता और encryption से टकराव
- Cooper Davis Act एक bipartisan bill है, जिसका नाम Kansas के उस किशोर के नाम पर रखा गया है जिसकी Snapchat पर खरीदी गई fentanyl-मिश्रित गोली अनजाने में लेने से मौत हो गई थी
- यह बिल social media कंपनियों और web communications providers से यह मांग करता है कि अगर उन्हें अपने platform पर अवैध ड्रग वितरण की actual knowledge हो, तो वे DEA को user names और अन्य जानकारी दें
- विवाद का केंद्र वह भाषा है जिसमें कहा गया है कि अगर कोई कंपनी उल्लंघन के प्रति “willfully blind” रही, तो रिपोर्ट न करने की जिम्मेदारी उस पर आ सकती है
- Center for Democracy and Technology के Greg Nojeim ने चिंता जताई कि encrypted service providers दो विकल्पों के बीच फंस सकते हैं
- अगर वे end-to-end encryption बनाए रखते हैं, तो उन पर अवैध कंटेंट के प्रति जानबूझकर आंख मूंदने का जोखिम आ सकता है
- अगर वे end-to-end encryption हटा देते हैं, तो मौजूदा users नए security खतरों और privacy उल्लंघनों के सामने आ जाएंगे
- ACLU के Cody Venzke का मानना है कि यह प्रावधान encryption को ही निशाना बनाता है, और उन्होंने कहा कि end-to-end encryption जैसी privacy-protecting technologies का मकसद users को platform surveillance से बचाना है
- Signal Foundation की Meredith Whittaker ने आलोचना की कि इस तर्क के तहत सभी पर व्यापक निगरानी न करना भी “willful blindness” माना जा सकता है
DEA और समर्थकों के तर्क
- law enforcement लंबे समय से यह आलोचना करती रही है कि end-to-end encryption एक ऐसा “lawless space” बनाता है जिसका दुरुपयोग अपराधी, आतंकवादी और malicious actors कर सकते हैं
- DEA ने मई की एक press release में कहा कि अमेरिका में आने वाले fentanyl और methamphetamine का अधिकांश हिस्सा तस्करी करने वाले दो Mexican cartels logistics coordination और victims तक पहुंचने के लिए social media apps का इस्तेमाल करते हैं
- उदाहरण के तौर पर Facebook, Instagram, TikTok, Snapchat का नाम लिया गया
- encrypted platforms के रूप में WhatsApp, Telegram, Signal, Wire, Wickr का भी उल्लेख किया गया
- DEA के हालिया operations में Mexican drug cartels को निशाना बनाने वाले 1,100 से अधिक मामलों में social media apps और encrypted communications platforms शामिल थे
- सीनेट Judiciary Committee के अध्यक्ष Dick Durbin ने आलोचना की कि कंपनियां यह जानते हुए भी कि अवैध बिक्री में ऐसी substances शामिल हैं जिनका कोई वैध उपयोग नहीं है, immunity के साथ काम कर रही हैं, और उन्होंने child sexual abuse material reporting system जैसा एक समान mechanism का उल्लेख किया
- Senator Jeanne Shaheen के कार्यालय ने DEA के आंकड़ों को इस बिल की जरूरत के आधार के रूप में पेश किया
- 5 महीनों में DEA द्वारा जांचे गए drug poisoning death investigations के 390 मामलों में से 129 मामले सीधे social media से जुड़े थे
- बिल का घोषित उद्देश्य एक व्यापक और standardized reporting system बनाना है, ताकि DEA अंतरराष्ट्रीय आपराधिक नेटवर्कों की बेहतर पहचान और उन्हें ध्वस्त कर सके
privacy, surveillance चिंताएं और platforms पर असर
- privacy advocates का जवाब है कि child sexual abuse images की पहचान की तुलना में ड्रग बिक्री से जुड़ी भाषा का पता लगाना कहीं अधिक कठिन है
- Senator Alex Padilla ने जोर देकर कहा कि online child sexual abuse images से अलग, भाषा के मामले में बड़े पैमाने की निगरानी में संदर्भ बेहद महत्वपूर्ण होता है
- उन्होंने आलोचना की कि यह बिल बिना प्रशिक्षण वाली tech कंपनियों को व्यावहारिक रूप से law enforcement जैसा बना सकता है
- उन्होंने यह चिंता भी जताई कि केवल reasonable belief के आधार पर लोगों का निजी डेटा बिना warrant या oversight के federal law enforcement के सामने उजागर कराया जा सकता है
- NetChoice के Carl Szabo ने कहा कि social media sites पहले से ही drug trafficking रोकने के लिए law enforcement के साथ स्वेच्छा से सहयोग कर रही हैं
- उनका मानना है कि अगर यह बिल लागू हुआ, तो सभी रिपोर्ट्स Fourth Amendment प्रक्रिया के दायरे में आ जाएंगी, जिससे law enforcement के लिए खतरों की पहचान करना उलटे और मुश्किल हो सकता है
1 टिप्पणियां
Hacker News की टिप्पणियाँ
मेरा मानना है कि ऐसा क़ानून होना चाहिए जिसे मोटे तौर पर गलत पेड़ पर भौंकने से रोकने वाला क़ानून कहा जा सके, ताकि कोई संगठन अपने ही आचरण को नियंत्रित करने वाले क़ानूनों पर प्रभाव डालने के लिए संसाधन खर्च न कर सके
यह तर्क दिया जा सकता है कि संबंधित उद्योग समस्या को सबसे अच्छी तरह समझता है और इसलिए निर्णय-प्रक्रिया में अपनी राय दे सकता है, लेकिन उसकी सीमा सिर्फ़ इतनी होनी चाहिए कि वह कानूनी रूप से छिपाई जाने वाली संवेदनशील जानकारी हटाकर ऑपरेशनल raw data जमा करे
उससे आगे वह अंततः अपने हित के लिए लॉबिंग करने वाला सिर्फ़ एक सरकारी लॉबिस्ट ही है
इसी से ऐसा तंत्र बना जिसमें आम लोगों पर शक किया जाता है, और अपराधियों को मुनाफ़े वाले बाज़ार पर एकाधिकार मिल जाता है
Al Capone जैसे लोगों ने 100 साल पहले ही prohibition के विनाशकारी नतीजे दिखा दिए थे, फिर भी हम दूसरी substances के साथ वही ग़लती दोहरा रहे हैं
ACLU का Mobile Justice ऐप सबको अपने फ़ोन में इंस्टॉल करके रखना चाहिए, एहतियात के तौर पर
Australia, UK, US में ऐसा लगता है जैसे हर दिन नया विधेयक आ रहा है
क्या वे बस इसे तब तक आगे बढ़ाते रहेंगे जब तक इनमें से कुछ पास न हो जाए?
हर बार ऐसा विधेयक आता है तो हमें हर बार जीतना पड़ता है, लेकिन उन्हें सिर्फ़ एक बार जीतना है
ऐसे विधेयकों के ख़िलाफ़ जन-दबाव और विज्ञापन अभियान लगातार चलते रहना चाहिए
बस एक domino गिरा, और फिर बात बन जाती है, “अगर वहाँ ठीक है तो हमारे यहाँ भी ठीक है”
सिर्फ़ इसलिए कि EU, US नहीं है, इसका मतलब यह नहीं कि वह वही या वैसी ही फंडिंग से समर्थित उसी तरह की authoritarian हरकतें नहीं करेगा
वही बहाने दिए जाते हैं—“हमें ख़तरनाक अपराधियों को पकड़ना है / बच्चों के बारे में सोचो”, “यह सिर्फ़ अपराधियों पर इस्तेमाल होगा”—लेकिन यह सच नहीं है
हम जानते हैं कि ऐसे क़ानून उन लोगों पर भी लागू होते हैं जिन्हें सरकार के प्रति शत्रुतापूर्ण माना जाता है, और उन लोगों पर भी जो डिग्री हो या न हो, पत्रकारिता करते हैं
उन्हें इस बात से सचमुच नफ़रत है कि वे हम सब पर 24/7 नज़र नहीं रख सकते
यह विधेयक Russia और China के लिए तोहफ़ा है
अब वे किसी की भी communications पढ़ सकेंगे, लेकिन क्या कोई सच में सोचता है कि वे अपनी communications की encryption बंद कर देंगे?
असली बिल का लिंक [1] है। चिंता यह है कि इसकी अस्पष्ट भाषा social media कंपनियों को end-to-end encryption छोड़ने पर मजबूर कर सकती है
मैं क़ानूनी विशेषज्ञ नहीं हूँ, लेकिन प्रस्तावित विधेयक में साफ़ लिखा है कि इसे इस तरह नहीं समझा जाना चाहिए कि provider को users या communications की निगरानी करनी होगी, या संबंधित तथ्यों व परिस्थितियों को सक्रिय रूप से ढूँढना, छाँटना या scan करना होगा
लक्ष्य शायद यह सुनिश्चित करना है कि जब लोग वेबसाइट पर किसी विशेष अवैध गतिविधि की रिपोर्ट करें, तो वेबसाइट उस रिपोर्ट को नज़रअंदाज़ न कर सके
[1] https://www.congress.gov/bill/118th-congress/senate-bill/108...
दोनों को मिलाकर देखें तो इसका मतलब है कि अनुरोध आने पर users की निगरानी कर सकने की क्षमता बनाए रखनी होगी, यानी डरावनी encryption की अनुमति नहीं होगी
और एक बार वह क्षमता आ गई, तो अगला कदम लगभग KYC और SAR फ़ंक्शन ही है
इस ट्वीट का चौथा बिंदु वही हिस्सा है जिसकी लोगों को चिंता है: https://twitter.com/JakeLaperruque/status/167888722551627776...
पता नहीं बिल पहले ही संशोधित हो चुका है, या फिर समस्या वाला चौथा बिंदु बाद में जोड़ा गया था
प्रायोजक: Sen. Marshall, Roger [R-KS]
सह-प्रायोजक: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
अपने Senator को फ़ोन करके बताना चाहिए कि आप इस विधेयक का समर्थन नहीं करते। यह ढीला-ढाला और बेअसर लग सकता है, लेकिन Senate staff सचमुच ऐसी बातों को दर्ज करते हैं
जज द्वारा स्वीकृत warrant के बिना शरीर और संपत्ति की सुरक्षा का अधिकार आखिर गया कहाँ?
अमेरिका का Bill of Rights उस समय बहुत विवादास्पद था, और उसके समर्थक इतने कड़े रुख पर थे कि अंततः वह संविधान के पहले 10 amendments बन गया।
अगर समर्थक अंत तक डटे रहते, तो शायद उसे संविधान के मुख्य पाठ में शामिल कराया जा सकता था, या फिर देश को मूल Articles of Confederation की स्थिति में ही रहने दिया जाता, लेकिन अंत में समझौता किया गया।
भले ही Bill of Rights amendments की जगह संविधान के मुख्य पाठ में होता, फिर भी लगता है कि आज की तरह उसे इतनी आसानी से किनारे कर दिया जाता।
आखिर किसलिए? ताकि DEA और CIA East India Company जैसी विशेषाधिकार प्राप्त संस्थाओं की तरह काम करते रहें?
मुझे समझ नहीं आता कि यह bill या drugs के खिलाफ यह युद्ध आम अमेरिकी के किस काम आता है। मुझे बिल्कुल नहीं लगता कि इससे औसत अमेरिकी को कोई फायदा होता है।
बल्कि इससे प्रशासनिक एजेंसियों को गंभीर आपराधिक वस्तुओं के बाज़ार और जानकारी तक विशेष पहुंच मिलती है, और फायदा नागरिकों के बजाय उन्हीं को होने की संभावना ज़्यादा लगती है।
अमेरिका की दो-तिहाई आबादी इसी क्षेत्र के भीतर रहती है।
https://www.aclu.org/know-your-rights/border-zone
कल्पना कीजिए: आप NYC में Bronx स्थित अपने घर से काम पर जाने के लिए subway लेते हैं, CBP आपको रोककर तलाशी लेती है, आपका phone और laptop जब्त कर लेती है, social media passwords मांगती है, और न मानने पर हिरासत में लेने की धमकी देती है: https://www.theatlantic.com/technology/archive/2017/02/give-...
https://www.wired.com/2017/02/guide-getting-past-customs-dig...
यह हकीकत कि अमेरिकी नागरिकों को सीमा पार करते समय, कहीं हिरासत में न ले लिए जाएँ, इस आशंका में अपने परिवार, दोस्तों और वकील को अपनी यात्रा की सूचना देकर चलने की सलाह दी जाती है, सचमुच पागलपन है।
यह देश लगातार fascism की तरफ फिसलता जा रहा है।
मुझे लगता है कि passkeys को आगे बढ़ाने का यह भी एक कारण है। Passkeys ऊपर से सिर्फ biometric authentication मांगते हुए दिखते हैं, लेकिन fingerprint या face data देना संरक्षित नहीं माना जाता, जबकि केवल बोले गए शब्द या गवाही ही संरक्षित होती है, इसलिए यह समग्र सुरक्षा को कमजोर करता है।
यह phishing जैसी अवैध धमकी को तो खत्म करता है, लेकिन encryption bypass जैसी वैध धमकी को, encryption कितना भी मजबूत हो, बहुत आसान बना देता है।
DEA fentanyl precursors को लेकर Senate पर China के खिलाफ sanctions लगाने का दबाव क्यों नहीं डालता?
https://www.brookings.edu/articles/chinas-role-in-the-fentan...
सबसे पहले, end-to-end encryption पर हमला करना गलत है
लेकिन बिना एन्क्रिप्शन वाली Big Tech की liability immunity से अब लगातार ऊब होने लगी है
यह व्यवस्था शुरू में social media platforms को जिंदा रहने देने के लिए बनाई गई थी, लेकिन अब वे गैरेज से शुरू हुए startup नहीं हैं, बल्कि पृथ्वी की सबसे अमीर इकाइयों में से कुछ हैं
उनके पास अपने platforms को manage करने की क्षमता है, लेकिन जब तक उनके revenue पर असर न पड़े या कानून की वजह से prosecution का डर न हो, वे good faith में ऐसा नहीं करेंगे
financial institutions पर लगभग यही तर्क लागू होता है: “banks अपने ग्राहकों की निगरानी कर सकते हैं, लेकिन जब तक revenue पर असर न पड़े या prosecution का डर न हो, वे good faith में ऐसा नहीं करते”
नतीजा यह होता है कि अगर कोई व्यक्ति या transaction जानकारी sanctions target से ज़रा भी जुड़ी हुई लगे, तो उसे बेतरतीब ढंग से block कर दिया जाता है
अगर Al-Qaeda से जुड़ा transaction निकल जाए और media को पता चल जाए, तो fine लगता है और regulators व Congress की फटकार पड़ती है, लेकिन अगर किसी निर्दोष व्यक्ति को block कर दिया जाए, तो बस थोड़ी शिकायत सुननी पड़ती है और business चलता रहता है
मेरा मानना है कि social media कंपनियों में भी यही dynamics बनेंगे. जो भी थोड़ा भी आपत्तिजनक माना जा सकता है, वह हटा दिया जाएगा
बस YouTube monetization removal वाले मामलों का और भी बदतर रूप सोच लीजिए
[1] उदाहरण: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
one-to-one services के लिए बहुत hands-off approach उचित लगती है. आम तौर पर कचरा जैसा content हटाने की ज़रूरत नहीं होती; जो कचरा अंदर आता है, वह बाहर भी कचरा ही रहता है, इसलिए लोग उसे नज़रअंदाज़ कर सकते हैं या local level पर filter कर सकते हैं
लेकिन public online forums को कुछ हद तक moderation चाहिए, और यह आम तौर पर वांछनीय भी है. क्योंकि कोई व्यक्ति spam या कचरे से सब कुछ भरकर उसे सबके लिए बेकार बना सकता है
S230 सिर्फ छूटे हुए content के लिए immunity नहीं देता, बल्कि good-faith moderation में ज़्यादा हटाने से हुई हानि के बावजूद moderation की अनुमति भी देता है
platforms पर आने वाली ज़्यादातर निंदनीय सामग्री illegal नहीं होती और न ही tortious होती है. आपत्तिजनक, अपमानजनक, नीचा दिखाने वाली, या गुमराह करने वाली सामग्री भी अक्सर legal होती है और वास्तविक liability बहुत कम पैदा करती है
लेकिन S230 जैसी व्यापक सुरक्षा न हो, तो लोग मामूली बातों पर भी मुकदमा कर सकते हैं, और अगर आप अरबों डॉलर की कंपनी नहीं हैं, तो अंत में जीतने पर भी उससे पहले दिवालिया हो सकते हैं
मज़बूत liability protection के बिना दुनिया ऐसी दुनिया होगी जहाँ आप अपने से कहीं ज़्यादा पैसा और शक्ति रखने वाले लोगों को सुरक्षित तरीके से नाराज़ या असहज नहीं कर सकेंगे
Facebook, Google, Twitter जैसे platforms अपने scale और wealth की वजह से पहले ही civil litigation से लगभग व्यावहारिक रूप से immune हैं. privacy violations या user data तक अचानक पहुँच रोक देने से हुए बड़े नुकसान के मामलों में मुकदमों का लगभग कोई असर न होना इसका उदाहरण है
Apple और Google का wage collusion भी अंततः दोषी ठहराया गया, लेकिन उसकी लागत उन पैसों से कम थी जो उन्होंने wages में बचाए थे
बुरी policies इसलिए बनती हैं क्योंकि उनका scale, wealth और power उन्हें public opinion से भी काफ़ी हद तक immune बना देते हैं
अगर social media sites का खराब governance जनता के लिए हानिकारक है, तो ज़्यादा alternatives होना बेहतर है
Facebook, Twitter आदि S230 के बिना भी बच जाएंगे, लेकिन वे छोटे और बेहतर managed alternatives जिन्हें लोग शायद चाहें, उनका बच पाना लगभग असंभव होगा
इस तरह के bills में जो दिखता है, वह यह है कि सरकार कंपनियों को अपने agent की तरह इस्तेमाल कर investigation और law enforcement करवाना चाहती है
इसकी एक motivation यह है कि इससे due process को गंभीर रूप से कमजोर किया जा सकता है. संविधान ने government searches पर safeguards बनाए हैं, लेकिन क्योंकि हमने अपना data कंपनियों को “स्वेच्छा से” दिया है, इसलिए कंपनियों के खिलाफ वही सुरक्षा कमज़ोर है
इसलिए अगर सरकार कंपनियों को search करने के लिए मजबूर करे, तो वह काफी हद तक Fourth Amendment के अधिकारों को bypass कर सकती है
क्या YouTube पर ड्यूटी के दौरान exposure से एक police officer के fentanyl overdose होने की news report [1] को fentanyl की illegal distribution से जुड़ी fact या circumstance के रूप में report किया जाना चाहिए?
सिर्फ इसलिए कि किसी गीत के बोल वास्तविक drug use की संभावना का संकेत देते हैं, कितने rap songs और lyrics report करने लायक माने जाएंगे?
क्या “{celebrity_name} dies from drug overdose” जैसे सभी news articles और social media discussions भी report किए जाने चाहिए?
क्या fentanyl synthesis method वाला USPTO patent US3141823A[2] भी report के दायरे में आएगा? क्योंकि उसे link करने वाला social media user fentanyl के illegal manufacturing में शामिल हो सकता है?
क्या National Institutes of Health का paper “An Efficient, Optimized Synthesis of Fentanyl and Related Analogs” [3] भी report किया जाना चाहिए? क्योंकि उसे link करने वाला user illegal manufacturing में शामिल हो सकता है?
अगर proposed bill preservation request notice को कम से कम 5 दिन तक रोकता है, तो क्या platform को terms-of-service violating content हटाना चाहिए, या user को सूचना न देने के लिए उसे रहने देना चाहिए?
अगर platform problem content हटा नहीं सकता, तो जब वही content copyright infringement, obscenity, या ऐसे दूसरे content के साथ पोस्ट हो जो सामान्यतः तुरंत हटा दिया जाता है, तब क्या होगा?
[1] https://www.youtube.com/watch?v=Jd76HxqCPf0
[2] https://patents.google.com/patent/US3141823A/en
[3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/
वास्तव में, ऐसे मामलों में व्यक्ति यह सोचकर कि उसने fentanyl छू लिया है और overdose हो जाएगा, panic attack का शिकार होता है
अस्पताल ले जाकर जाँच करने पर उसके bloodstream में fentanyl का कोई निशान नहीं मिलता, लेकिन media और police इस हिस्से को छोड़कर बात को बढ़ा-चढ़ाकर पेश करते हैं. क्योंकि यह शर्मनाक होता है
police officer के fentanyl के संपर्क में आने का एकमात्र तरीका उसे छूना नहीं, बल्कि ingest करना है
संदेश भेजने से पहले GPG से एन्क्रिप्ट करने वाला कोई सहायक ऐप बनाना कितना मुश्किल होगा?
टेक्स्ट बॉक्स में सामग्री डालें, वह एन्क्रिप्ट करके क्लिपबोर्ड में कॉपी कर दे, फिर उसे मैसेजिंग ऐप में पेस्ट कर दिया जाए। प्राप्त करने वाला पक्ष इसका उल्टा करे
यह बात लगातार और स्पष्ट होती जा रही है कि अगर सरकार और टेक कंपनियों को संदेशों पर झांकने से रोकना है, तो इसका हल हमें खुद निकालना होगा
इसका मतलब है कि अगर किसी को key मिल जाए, तो वह उस key से एन्क्रिप्ट किए गए अतीत और वर्तमान के सारे संदेश पढ़ सकता है
perfect forward secrecy के लिए दोनों endpoints का साथ में संचार करना जरूरी होता है, इसलिए यह ईमेल की “भेजो और भूल जाओ” संरचना के लिए उपयुक्त नहीं था, लेकिन instant messaging में इसकी स्पष्ट रूप से जरूरत है
मुश्किल हिस्सा यह है कि जब मैसेजिंग ऐप बनाने वाला इस तरह की गतिविधि के प्रति सक्रिय रूप से शत्रुतापूर्ण हो, तब ऐप के अंदर अपने-आप पेस्ट करना और ऐप के बाहर अपने-आप कॉपी करना कैसे किया जाए
वेबमेल में इस तरीके को लागू करने के उदाहरण के तौर पर Mailvelope[1] है
अगर आप मैनुअल काम स्वीकार कर सकते हैं, तो PGP पहले से ही किसी भी चीज़ के साथ इस्तेमाल किया जा सकता है
[1] https://mailvelope.com/
अगर Briar पूरी functionality के साथ iOS पर आ जाए, और UI को बस थोड़ा सा इस तरह व्यवस्थित कर दिया जाए कि वह Android 7 के बाद के लिए डिज़ाइन किया हुआ लगे, तो यह कमाल का होगा