英国需要更新其 "独裁者游戏手册"!在线安全法案》刚刚获得通过--可随时破解加密。

英国《在线安全法案》中有一项条款允许政客破坏加密技术--无论是现在还是将来。

Online Safety Bill: Will the UK break encryption?

在线安全法案》(Online Safety Bill)本周在议会下院获得通过,并很有可能在今年秋季成为法律。虽然政界人士最近发表声明称,在 "可行 "的技术出现之前,该法案不会强制科技公司扫描加密的滥用材料,但赋予政府在未来破解加密的权力的条款仍然包含在法案的最终版本中。


经过多年的辩论,备**受诟病的《在线安全法案》**将在未来几周内通过成为法律,这将对英国人民访问在线服务的方式产生巨大影响。

在上议院的最后一次宣读中,苏纳克政府做出让步,确认不会计划破解加密,只会在 “技术上可行 “时要求信息应用程序扫描非法内容。

这一声明被隐私权倡导者誉为 “胜利”。**人们对英国重写独裁者的共同游戏规则抱有一丝希望。**例如,安全专家亚历克-穆菲特在推特上写道:

“就在此刻,就在政策方面,让我们承认一件事:在多年之后—尤其是在过去 6 个月的虚张声势之后—政府承认客户端扫描的棘手性,这是一个巨大的胜利。

Signal 的梅雷迪思-惠特克(Meredith Whittaker)在推特上写道

“哇。我非常感动,有点目瞪口呆,更多的是由衷地感谢那些齐心协力确保将危险的 OSB 间谍条款公之于众的人们,以及那些综合事实并据此采取行动的英国政府人员。"

"我知道我们必须战斗。我不知道我们会赢❤️🙏“。

不过,梅雷迪斯也补充道:

“当然,这并不是一场完全的胜利。我们很希望能在法律文本中看到这一点。但这仍然是巨大的胜利,只要实施指南将对通信管理局的实施框架产生影响,这同样是非常大、非常好的胜利”。

因为,至关重要的是,虽然政府表示不会强迫科技公司破解加密,但这句话并没有被写入修订后的立法中。更糟糕的是,政府代表只说在 “技术上可行 “之前会按兵不动。

负责艺术和遗产事务的政务次官斯蒂芬-帕金森(Stephen Parkinson)在上议院说:“公司不会被要求扫描加密文件:他还直接提到了《在线安全法案》中备受争议的第 122 条

“如果不存在符合这些要求的适当技术,那么通信管理局将无法使用第 122 条要求使用这种技术。“

哪些技术可以扫描 CSAM?

虽然英国政府已经承认,目前不存在不侵犯人类隐私权的扫描儿童性虐待材料的技术,但它仍在寻找这样的技术。在讨论选项时,政客们最常谈论的是客户端扫描,欧盟也将其视为执法部门的 “圣杯”。

使用端到端加密技术的服务可以保证只有发件人和收件人可以看到信息内容。为了确定信息中是否包含 CSA 资料,我们需要在人们的设备上对数据进行本地扫描,使其仍能以端到端加密方式发送。扫描数据需要与另一台服务器上的数据集进行比较,这实际上会破坏端到端加密,侵犯人们的隐私。

由于扫描和尊重人们的隐私权基本上是不可能的,苹果公司终止了为 iCloud 开发客户端扫描的计划,称无法在不侵犯用户隐私的情况下实现扫描过程。

归根结底,如今还没有可行的技术来扫描加密数据中的滥用材料。

隐私权的胜利?

然而,隐私保护活动人士却声称取得了胜利。例如,《连线》杂志写道

”英国承认在破解加密的争议斗争中失败:英国政府承认,安全扫描 Signal 和 WhatsApp 上发送的加密信息所需的技术并不存在,这削弱了其有争议的《网络安全法案》。

从某种程度上说,这是一场胜利,因为—至少现在—英国《在线安全法案》中所谓的 “间谍条款 “将不再被执行,该条款要求信息应用程序必须破解端到端加密才能扫描滥用材料。

最后,经过安全和隐私专家几个月的说服,政府承认目前还不存在在不损害用户隐私的情况下安全扫描加密信息以发现儿童性虐待材料(CSAM)迹象的技术。

然而,其他隐私专家却不那么乐观。英国去中心化信息应用程序 Element 的首席执行官兼联合创始人马修-霍奇森(Matthew Hodgson)说:

这 “不是变革,而是在踢皮球”。

“只有法案中的实际内容才是最重要的。从根本上讲,扫描与端到端加密的消息应用程序是不兼容的。扫描会绕过加密来进行扫描,从而将你的信息暴露给攻击者。因此,‘直到技术上可行’的意思只是为将来的扫描而不是现在的扫描打开了大门”。

活动组织 Index on Censorship 的发言人

“目前起草的在线安全法案仍然是对加密技术的威胁,因此会危及从记者与举报人到普通公民私下交谈的每一个人。我们迫切需要看到修正案,以保护我们的网络言论自由权。

另一位专家马丁-阿尔布雷希特(Martin Albrecht)是伦敦国王学院的网络安全教授,同时也是《网络安全法案》第 122 条的批评者。这种技术如何能够在保护人们隐私的同时准确扫描滥用材料呢?

阿尔布莱希特对《卫报》

“我很高兴看到政府接受了科学界的共识,即不存在在不侵犯用户隐私的情况下扫描加密信息的技术。不过,目前还不清楚政府计划采用什么测试方法来决定该技术在未来是否可行。“

由于政府没有修改法案的措辞,因此强制公司以后进行扫描的选择仍然存在。媒体监管机构 Ofcom 仍有权宣布任何技术足以完成扫描滥用内容的任务,同时尊重人们的隐私权—至于该技术是否真的能实现这一点,并不重要。

在线安全法案》会破坏加密技术吗?

仔细聆听政界人士及其关于《在线安全法案》的声明,目前的计划是不破坏加密,但这可能只是口头上说说而已。

科技和数字经济部长、国会议员保罗-斯卡利(Paul Scully)

“我们在这个问题上的立场没有改变,否则就是错误的。我们在解决儿童网络性虐待问题上的立场依然坚定,而且我们一直都很清楚,《法案》采取的是一种有分寸、以证据为基础的方法。

这意味着英国政府仍然希望扫描您发送的每一条信息和每一条短信,无论其是否经过端到端加密。

斯卡利说:“如果《网络安全法案》以目前的形式获得通过,那么通信管理局将能够 “指导公司使用或尽最大努力开发或采购技术,以识别和删除非法的儿童性虐待内容—我们知道这些技术是可以开发的。

最后,我们只有一个承诺。英国政府表示,他们不会强迫消息应用程序使用未经证实的技术来扫描儿童性虐待材料(或 CSAM),但这样做的权力仍在法案中。政府随时可能改变主意。

来自科技公司的压力

英国政府的新基调是在科技公司的强大压力下形成的。例如,WhatsApp 和Signal威胁说,如果《网络安全法案》获得通过,它们将离开英国,因为它们不会为了遵守英国法律而削弱或破坏自己的端到端加密技术。

我们 Tutanota 不会接受《在线安全法案》。

我们Tutanota采取了不同的方式,声明我们不会离开英国,但英国需要像俄罗斯和伊朗一样阻止访问Tutanota

无论现在还是将来,我们都会关注用户的安全和隐私。我们不考虑如何破解或绕过加密,而是通过投资后量子安全加密技术,使加密更强大。

作为技术专家,我们深知端到端加密的必要性;作为自由斗士,我们宁可与《在线安全法案》对簿公堂,也不会对保护全球数百万用户数据的内置加密做任何手脚。我们没有向中国或伊朗屈服,他们已经阻止了对Tutanota的访问,我们也不会向英国屈服。

我们热衷于为您的隐私权而战。


在线安全法案摘要

什么是《在线安全法案》?

在线安全法案》旨在使英国成为最安全的网络空间。该法案强制平台删除非法内容,如儿童性虐待材料,并删除根据其自身条款被禁止的内容。

该法案包含一系列新法律,旨在保护儿童和成年人的网络安全。社交媒体公司应对其网站上发布的内容承担更多责任,并更快地删除非法内容。

网络安全法案》初稿于 2021 年 5 月公布,目前的法案极有可能在 2023 年秋季通过成为法律。