Tuta 公司首席执行官马蒂亚斯-普法(Matthias Pfau)警告说,如果欧盟继续沿着这条路走下去,就有可能失去创新、注重隐私的公司和公民的信任:
“强大的加密技术对于保护人权和欧洲的数字基础设施至关重要。任何授予执法部门特殊访问权的尝试都会带来危险的漏洞。没有技术上的 “银弹”,“只允许好人 “访问是不可能的。客户端扫描等所谓的解决方案会破坏加密,并为所有人打开后门,包括犯罪分子和国家支持的监控。Tuta Mail 首席执行官 Matthias Pfau 说:“我们敦促欧盟领导人在制定加密技术路线图时绝不能削弱安全性。
正如最近中国黑客对美国电信运营商的攻击所证明的那样,加密是每个人安全的基础,削弱加密会带来毁灭性的后果。这是美国历史上最严重的安全漏洞之一,之所以能够发生,完全是因为这些过时的电信系统没有使用端到端加密技术。继 “盐台风 “黑客事件后,瑞典武装部队和美国网络安全和基础设施安全局(CISA)推荐使用端到端加密的 WhatsApp 替代品 Signal 来确保敏感通信的安全。
在 Tuta,我们认为绝不允许为加密设置后门,因为恶意行为者会滥用这些后门。
反对 ProtectEU 的要点
-
威胁基本权利和安全 :欧盟制定加密技术路线图的计划包括允许执法部门访问加密数据的想法。
-
技术上不可能 :密码学专家强调,在不削弱加密技术的情况下提供这种访问权限是不可能的;任何 “特殊访问权限 “都会带来漏洞,易被恶意行为者和专制政权利用。
-
有缺陷的解决方案 :客户端扫描等建议并不能保护隐私;它们会导致大规模监控,并增加安全漏洞的风险。
-
加密必须是端到端的 :强大的加密技术对于保障人权和整个欧洲数字基础设施的安全至关重要。
2025 年 5 月 26 日致欧盟的公开信
89 个民间社会组织、公司和网络安全专家呼吁欧盟委员会坚持使用强加密技术
总之,有关 ProtectEU 的公开信希望确保人权得到尊重和维护,并确保欧盟保持其作为一个数据保护有保障的 IT 市场的世界级地位。我们在公开信中强调
-
强大的加密技术不是欧盟安全的障碍,而是欧盟安全的先决条件,将端到端加密技术的广泛使用定位为在当前地缘政治背景下促进网络安全和欧盟复原力的工具。
-
加密对欧盟及其公民都是有益的;要加强网络防御,就必须与欧盟现有的安全战略保持一致。
尊敬的负责技术主权、安全和民主事务的执行副总裁亨娜-维尔库宁(Henna Virkkunen)和内政与移民委员会马格努斯-布鲁纳(Magnus Brunner)先生
以下签名的民间社会组织、公司和网络安全专家,包括全球加密联盟的成员,紧急分享他们对最近宣布的欧洲内部安全战略(保护欧盟)的一些方面的担忧,因为该战略可能会对端到端加密产生影响。
4 月 1 日,欧盟委员会公布了新的五年战略 “保护欧盟”(ProtectEU),以解决欧盟在快速演变的地缘政治格局中面临的更多安全问题。在该战略中,欧盟委员会打算制定一个 “加密技术路线图”,以确定和评估技术解决方案,使执法机构能够以合法的方式访问加密数据。
虽然我们认识到在地缘政治不稳定加剧的时刻提升安全努力的重要性,但我们对技术路线图的框架表示担忧。世界其他地方的政府机构积极鼓励更多地使用端到端加密技术,而不是减少使用,以保护网络空间的完整性,应对日益增加的安全威胁。强大的加密技术,包括端到端加密技术,是保护欧盟免受网络攻击、混合威胁、间谍活动和对关键基础设施攻击的关键网络安全工具。
欧盟委员会本身也承认有必要加强努力和投资,以保护网络空间的完整性,这体现在《网络与信息安全指令修订版》(NIS2)中。修订指令》规定,平台和服务提供商有义务实施适当和适度的网络安全风险管理措施,包括加密,以保护其系统和服务的保密性、完整性和可用性。欧洲数据保护监督员对这一信息表示赞同,指出 “对加密的限制给整个经济和社会带来了重大风险”。
然而,在此背景下,我们对欧盟委员会继续专注于寻找削弱或规避加密的方法深表担忧。这有损于其自身在 “保护欧盟”(ProtectEU)战略下的安全目标,该战略强调了在面对更加复杂的网络威胁时的应变能力和准备工作的重要性。破坏加密会削弱安全通信和系统的基础,使个人、企业和公共机构更容易受到攻击。
欧盟过去和现在为允许执法部门访问加密数据所做的努力主要集中在客户端扫描上,这种技术通过在加密机制启动前扫描用户设备来规避加密。扫描不仅违反了端到端加密的承诺,而且还造成了可能被犯罪分子和敌对国家行为者利用的漏洞。技术专家普遍认为,加密规避工具会带来威胁国家安全的新风险,瑞典和荷兰的成员国当局最近也表达了同样的担忧。欧洲人权法院和欧盟基本权利机构强调,根据《欧盟基本权利宪章》,“削弱所有用户加密机制 “的法定要求是不相称的。
欧盟委员会宣布的技术路线图反映了其他国家政府为确定加密规避工具所做的努力,如英国的 “安全技术挑战”,该挑战承诺为概念验证工具提供资金,以防止和检测端到端加密环境中的儿童性虐待材料。就英国的努力而言,选定的独立第三方审查机构 REPHRAIN 发现,没有一个由此产生的概念验证符合其人权、安全、问责和其他标准的评估框架。我们认为,欧盟的任何类似做法都会产生同样的结果,浪费宝贵的资源。
我们呼吁欧盟委员会
-
承认强大的加密技术不是欧盟安全的障碍,而是欧盟安全的先决条件,将端到端加密技术的广泛使用定位为在当前地缘政治背景下推进网络安全和欧盟复原力的工具。
-
重构加密技术路线图,强调加密的益处,并确定增加使用的领域,以加强网络防御,与欧盟现有的安全战略保持一致。
-
在制定《技术路线图》时,不仅要借鉴执法部门的观点,还要借鉴网络安全专家、民间社会、数字权利倡导者和私营公司的观点。任何希望可信和平衡的未来路线图都必须考虑任何潜在技术能力的可行性及其社会、技术和法律影响。
请将您的回复发送给互联网协会(voge@isoc.org) 政府事务和宣传部主任 Callum Voge 和欧洲民主与技术中心(sperez@cdt.org) 安全、监控和人权项目主任 Silvia Lorenzo Perez。
组织签署人
3 步数据
应用程序协会
非洲媒体和信息技术倡议 (AfriMITI)
非洲农村互联网和 STEM 倡议 (AFRISTEMI)
非洲媒体信息技术倡议(AfriMITI
AMS-IX
老大哥观察
比特自由
黑夜
区块链协会
有组织仇恨研究中心 (CSOH)
欧洲民主与技术中心
拉丁美洲互联网研究中心
混沌计算机俱乐部
Comunitatea 互联网协会
网络安全顾问网络 (CyAN)
Danes je nov dan, Inštitut za druga vprašanja
数据朋克
数字协会
爱尔兰数字权利
数字社会
Državljan D / Citizen D
eco - 互联网行业协会
芬兰电子前沿 - Effi ry
电子前沿基金会
挪威电子前沿
元素
翡翠洋葱
Epicenter.works
EuroISPA - 欧洲互联网服务提供商协会
欧洲数字权利(EDRi)
FiCom ry
新闻自由基金会
全球数字合作伙伴
赫尔墨斯中心
互联网架构委员会
澳大利亚互联网
互联网协会
互联网协会巴西分会
互联网协会加泰罗尼亚分会(ISOC-CAT)
互联网协会马里分会
互联网协会尼泊尔分会
互联网协会葡萄牙分会
丹麦 IT-Pol
日本网络信息中心
日本网络信息中心
同性恋协会
LGBT Tech
Matrix.org 基金会
日本网络信息中心
开放媒体
凤凰研发有限公司
Politiscope
加拿大隐私与访问委员会
PrivID, Inc
质子
SABOA 基金会
安全加密
SkypLabs
国家观察
SUPERRR 实验室
冲浪鲨
亚洲科技公益组织
图塔邮件
Vircos Tecnologia
Vrijschrift.org
维基媒体欧洲
Xnet.民主数字化研究所
X-Lab
网络安全专家
乔恩-卡拉斯,印第安纳大学
索菲亚-塞利,勇敢者
克劳迪娅-迪亚兹,鲁汶大学
Donald E. Eastlake 3rd,独立人士
尼古拉-法比亚诺,法比亚诺律师事务所
都柏林圣三一学院 Stephen Farrell
Masayuki Hatta,骏河台大学
纽约大学 Mallory Knodel
X-Lab 的 Sascha Meinrath
Peter Neumann,ACM 风险论坛主持人
斯坦福大学 Riana Pfefferkorn
乔纳森-鲁登伯格,格雷斯
布鲁斯-施奈尔
威胁建模》作者 Adam Shostack:安全设计
Eugene H. Spafford,普渡大学
科隆大学 Asli Telli
彼得-托马森,deSEC
肯恩-怀特
罗切斯特理工学院 Matthew Wright
Philip Zimmermann,代尔夫特理工大学网络安全荣誉副教授
2025 年 5 月 5 日致欧盟的公开信
学者、技术专家和其他专家呼吁在欧盟加密技术路线图中发挥关键作用
尊敬的负责技术主权、安全和民主的执行副总裁 Henna Virkkunen 女士
以下签名的利益攸关方是民间社会组织、科学家、研究人员和其他具有人权与技术专业知识的专家。4 月 1 日,欧盟委员会发布了新的内部安全战略—“保护欧盟”(ProtectEU),提出了未来五年的计划,旨在协调欧洲应对安全威胁的措施。为欧洲所有人民和社区提供安全、保护和正义是欧盟使命的重要组成部分。这需要所有机构采取循证和全面的方法,从根本上解决社会问题,并提供适当的结构性解决方案。
从这一角度出发,我们担心执法机关获取数据的预期框架有可能损害基本权利的行使和我们的集体网络安全。特别是,“编制加密技术路线图,以确定和评估能使执法当局以合法方式获取加密数据的技术解决方案”,这提出了几个问题。
从欧盟层面过去和最近的尝试中,我们知道 “银弹 “技术 “解决方案 “不仅无效,还会造成有害后果,包括对那些最需要保护的人。科学界已达成广泛共识,即在技术上不可能在不造成恶意行为者和专制政府可以利用的漏洞的情况下,让执法部门对端到端加密的通信进行特殊访问。专家们发现,即使是客户端扫描等被宣传为安全和保护隐私的最新技术,实际上也会侵犯隐私,使大规模监控成为可能,并增加安全漏洞的风险。加密是保障人们权利和自由的重要工具,也是发展充满活力和安全的社区、民间社会、公共管理部门和行业的重要工具。面对复杂的威胁环境和我们生活方方面面的日益数字化,加密不是奢侈品,而是我们能够安全上网的必要条件。
我们坚信,所有利益相关者都需要共同努力,找到解决复杂社会问题的长期方案(包括技术和非技术方案),这些方案应以科学证据为基础,并尊重所有基本权利,而不是将更多的资源和时间投入到明显会造成伤害的系统中。
鉴于欧盟委员会在开展这项探索性工作时已确定了 “保障网络安全和基本权利 “的意向,我们希望支持欧盟委员会实现这一目标,因此提出以下请求:
- 您与本信签署方代表举行会议,进一步讨论我们的立场和贡献;
- 在 “技术路线图 “会议上为学者、独立技术专家、技术和人权律师以及专门研究这些问题的民间团体提供席位,以确保我们能够有意义地参与其中。
我们还认为,我们完全有能力向你们、你们的内阁和服务部门提供专家技术简报,我们将非常乐意为此提供帮助。
专注于技术和/或数字权利的民间社会组织,此致敬礼:
-
立即获取(欧盟/国际)
-
应用程序协会
-
ANSOL - 国家生活软件协会(葡萄牙)
-
Asociația pentru Tehnologie și Internet (ApTI) (罗马尼亚)
-
孟加拉国非政府组织无线电和通信网络 (BNNRC)
-
老大哥观察(英国)
-
比特自由(荷兰)
-
混沌计算机俱乐部(德国)
-
保护新闻工作者委员会(CPJ)(比利时)
-
塞浦路斯计算机协会(CCS)
-
D64 - 数字进步中心(德国)
-
Danes je nov dan, Inštitut za druga vprašanja(DJND)(斯洛文尼亚)
-
瑞典数据协会(瑞典)
-
Dataföreningen Väst(瑞典西部计算机协会)
-
捍卫民主(荷兰/比利时)
-
Deutscher Anwaltverein (DAV)(德国)
-
爱尔兰数字权利组织
-
Digitale Gesellschaft e.V.(德国)
-
Državljan D / Citizen D(斯洛文尼亚)
-
电子前线基金会(EFF)
-
电子隐私信息中心 (EPIC)(美国)
-
欧洲数字权利(EDRi)
-
Homo Digitalis(希腊)
-
网络自由倡议(Initiative für Netzfreiheit.(网络自由/IfNf)(奥地利)
-
互联网协会(美国/国际)
-
ISOC 印度海得拉巴分会
-
ISOC 印度海得拉巴分会 (ISOC Hyderabad)
-
IT-Pol (丹麦)
-
JCA-NET (日本)
-
Panoptykon 基金会(波兰)
-
Politiscope (克罗地亚)
-
隐私第一(荷兰)
-
隐私权国际
-
SHARE 基金会(塞尔维亚)
-
斯洛文尼亚信息协会(SSI)
-
国家观察(英国)
-
罗马尼亚信息技术与通信协会(ATIC)
-
欧洲民主与技术中心(CDT Europe)
-
民主数字化研究所 Xnet(西班牙)
专门研究技术和/或数字权利的个人签署者:
-
Assist.Giovanni Apruzzese 教授,列支敦士登大学
-
Assistant.Lili Nemec Zlatolas 教授,马里博尔大学
-
丹麦技术大学 Carsten Baum 博士副教授
-
Aureli Gómez i Vidal,关键互联网服务工程师
-
伦敦城市大学名誉教授 Douwe Korff
-
爱沙尼亚科学院 Dan Bogdanov 博士
-
科尔多瓦大学 David Galadi-Enriquez 博士
-
特拉维夫大学 Eyal Ronen 博士
-
Clarivate 的 Jordi Cortit 博士
-
Juanjo Llórente Albert 博士,巴伦西亚人民大学
-
卡洛斯三世国家健康研究所的 María Iglesias Caballero 博士
-
都柏林圣三一学院 Stephen Farrell 博士
-
Eng.Jorge Pinto,独立技术专家
-
Filippos Frantzolas Msc,希腊专业人员信息学协会 (HePIS)
-
应用程序安全工程师 Henrique California Mendes 先生
-
Matthias Pfau,Tuta.com 联合创始人、密码学专家
-
波茨坦大学哈索-普拉特纳研究所 Anja Lehmann 教授
-
欧洲通信委员会 Aurélien Francillon 教授
-
鲁汶大学 Bart Preneel 教授
-
Carmela Troncoso 教授,MPI-SP & EPFL
-
Diego F. Aranha 教授,奥胡斯大学
-
Daniel Loebenberger 博士教授,Sprecher Fachbereich Sicherheit der Gesellschaft für Informatik e.V.
-
Jaap-Henk Hoepman 博士教授,拉德布德大学/卡尔斯塔德大学
-
林茨约翰内斯-开普勒大学 René Mayrhofer 教授、博士
-
卡尔斯塔德大学和查尔姆斯理工大学 Simone Fischer-Hübner 教授、博士
-
埃因霍温理工大学 Tanja Lange 教授、博士
-
滑铁卢大学 Ian Goldberg 教授
-
伦敦大学皇家霍洛威学院 Keith Martin 教授
-
苏黎世联邦理工学院 Kenneth G. Paterson 教授
-
Kimmo Halunen 教授,奥卢大学
-
Levente Buttyán 教授,布达佩斯技术经济大学(密码学与系统安全实验室主任)
-
Manuel Barbosa 教授,波尔图大学 (FCUP)
-
马里博尔大学 Marko Hölbl 教授
-
马丁-阿尔布雷希特教授,伦敦国王学院
-
帕诺斯-帕帕季米特拉托斯教授,皇家理工学院
-
Simona Levi 教授,巴塞罗那大学数字时代的技术政治与权利研究生院院长
-
苏黎世联邦理工学院 Srdjan Čapkun 教授
-
Stefano Calzavara 教授,威尼斯卡福斯卡里大学
-
马萨里克大学 Vaclav Matyas 教授
-
国立政治研究和公共管理大学 Vasile Balatac 教授
-
Simone Aonzo, PhD, EURECOM
-
Matteo Maffei 博士,维也纳工业大学教授
-
Yigit Aydinalp,谢菲尔德大学