为什么 “聊天控制 “会威胁加密?
CSA 法规的核心是实施 “上传节制 “或客户端扫描。事实上,“上传节制 “只是欧盟政客的委婉说法,目的是阻止公众不断抵制这项危险的法律。客户端扫描—如果法律要求的话—将要求技术公司在加密之前扫描客户端上的通信,以查找非法内容,并将可疑内容发送给当局。匈牙利总统府声称这可以与端到端加密共存,但这从根本上是不真实的。
端到端加密确保只有发件人和收件人可以阅读信息。然而,通过客户端扫描,信息会在加密前被扫描,这就违背了加密本身的目的。这实际上是强制削弱加密,对我们欧洲的数字复原力来说是极其危险的。从目前的情况来看,没有任何技术解决方案既能保持端到端加密的安全性,又能满足 CSA 提案对内容检测的要求。
为什么这一点比以往任何时候都重要
因此,当前的 CSA 提案给数字安全和隐私带来了令人担忧的新风险。通过强制扫描加密信息,该提案使用户面临大量新的漏洞。
- 恶意攻击者会在加密前窃取你的数据:客户端扫描为黑客提供了利用系统漏洞的机会,他们可以在数据加密前就获取私人敏感数据。
- 分布式拒绝服务 (DDoS) 攻击:系统越复杂,故障点就越多。通过实施客户端扫描,服务提供商可能会受到 DDoS 攻击,从而中断可用性。
- 操纵 CSAM 系统:用于检测非法内容的系统可能会被操纵,导致错误指控或利用有缺陷的检测机制进行犯罪活动。
- 逆向工程:黑客或国家行为者可对扫描软件进行逆向工程,以绕过安全保护,从而可能使整个系统面临未经授权的访问。
- 民族国家利用:我们已经看到了复杂的行为者,例如中国国家黑客在攻击微软时,是如何利用为合法监控而设计的系统中的后门的。削弱加密或引入扫描机制将为恶意行为者提供危害国家安全的新机会。
如果客户端扫描成为电子邮件和聊天服务的法律要求,这些风险就会增加。事实上,拟议中的欧盟 CSA 法规非但不会提高每个人的网络安全,反而会降低其安全性。
中国通过合法窃听入侵 AT&T
据《华尔街日报》报道,最近一次与中国国家行为者有关的网络攻击暴露了美国宽带网络的漏洞,特别是那些用于合法窃听的网络。在这次黑客攻击中,中国攻击者进入威瑞森通信公司(Verizon Communications)、美国电话电报公司(AT&T)和路明科技公司(Lumen Technologies)的网络基础设施长达数月之久。攻击者滥用的正是这些公司用来配合美国当局法律要求的接入点。
如果旨在确保公共安全的系统也能像本案中一样被攻破,那么在欧盟公民的加密中引入类似的弱点将是灾难性的。
荷兰情报部门强调,这次攻击说明了为什么我们需要尽可能保证系统的安全,以保持其弹性。
据《华尔街日报》报道,美国高级官员也持同样的观点,他们警告说,中国对经济和国家安全都构成了重大风险,无论出于何种目的,都不能通过削弱我们自己系统的加密技术来增加风险。网络安全和基础设施安全局前执行董事、现任 SentinelOne 副总裁布兰登-威尔士(Brandon Wales)告诉《华尔街日报》:
“揭开这起事件的真相尚需时日,但在此期间,这是一长串警钟中最重要的一个,它显示了中华人民共和国(PRC)如何加强了他们的网络游戏。如果企业和政府以前没有认真对待这个问题,那么现在他们绝对需要认真对待。
我们绝不允许当局在加密通信中设置后门。后门就是后门,无法抵御国家攻击者的攻击。加密必须强大。
荷兰的反对意见是转折点
上周,由于荷兰的反对,关于 CSA 法规的投票被临时取消,这充分说明了这一点。
“在每部手机上引入扫描应用程序以及相关的管理系统基础设施,将形成一个极其庞大和复杂的系统。这个复杂的系统会因此访问大量移动设备及其上的个人数据。这最终会导致 AIVD 认为数字复原力所面临的风险过大”。
上述评论不是由任何人发表的,而是由颇具影响力的荷兰情报部门 发表的。简而言之,他们说:“对端到端加密通信提供商下达侦查令,会给我们的数字复原力带来太大的安全风险”。
匈牙利必须停止
破坏加密的危险显而易见。然而,尽管欧洲法院已宣布《聊天控制》中提出的客户端扫描是非法的,匈牙利仍在继续推动这一漏洞百出的解决方案,无视越来越多的证据凸显其风险。令人震惊的是,在继续批评《聊天控制》的同时,反对《聊天控制》的力量却在减弱。荷兰、德国、波兰等主要成员国表示强烈抵制,但匈牙利仍在继续争取支持。
西班牙、希腊和爱尔兰等支持该提案的国家可能低估了削弱加密的长期后果。
以下是目前各成员国的立场:
-
反对 波兰、德国、荷兰、卢森堡、奥地利、爱沙尼亚和斯洛文尼亚。
-
谨慎:捷克、意大利、瑞典和芬兰表示需要进一步的技术改进。
-
赞成:西班牙、希腊、爱尔兰、丹麦、克罗地亚、塞浦路斯、马耳他、立陶宛、拉脱维亚和罗马尼亚。
需要更多反对意见
反对 “聊天控制 “的声音越来越小,令人担忧。但是,尽管 CSA 提议的支持者可能越来越多,反对它的理由却从未如此清晰。为实现短期目标而削弱加密技术将给所有欧洲人带来长期的安全风险。我们通信的完整性、个人数据的安全性以及数百万人的隐私都岌岌可危。
欧盟必须认识到,有更好的方法在不损害加密的情况下打击网络危害。执法部门可以而且应该使用其他更安全的方法来处理儿童性虐待材料 (CSAM),而不是让科技公司承担削弱其服务安全性的负担。
继续为强大的加密技术而战
加密是数字安全的支柱。它保护个人免受犯罪分子的利用,确保个人通信隐私,并保障国家安全。一旦加密技术被削弱,就很容易被任何有资源找到并利用其缺陷的人利用,无论是网络犯罪分子还是敌对的外国政府。
匈牙利推动的聊天控制必须失败。 这项提案的利害关系太大,不能任其肆意通过。
欧洲公民理应获得强大、无损的加密技术,以保护他们的隐私、安全和安保。我们 Tuta 将继续为您的加密权利而奋斗!