İngiltere'nin Çevrimiçi Güvenlik Yasası, Signal'in kullanıcı mesajlarını denetlemesini gerektirecektir.
Signal CEO'su Meredith Whittaker, Ars'a "Ülkede kalmakla bize güvenen insanlara verdiğimiz katı gizlilik vaatlerini baltalamak arasında bir seçim yapsaydık, herhangi bir ülkeden kesinlikle ayrılırdık" dedi. "İngiltere bir istisna değil."
Whittaker'ın yorumları, Birleşik Krallık Parlamentosu Çevrimiçi Güvenlik Yasası olarak bilinen yasa tasarısını hazırlama sürecindeyken geldi. Eski Başbakan Boris Johnson tarafından sunulan yasa tasarısı, genellikle CSAM veya CSA olarak kısaltılan, neredeyse tüm kullanıcı tarafından oluşturulan içerik sağlayıcıların çocuklara yönelik cinsel istismar malzemelerini engellemesini gerektiren kapsamlı bir mevzuat parçasıdır. Sağlayıcılar ayrıca, reşit olmayanların erişebileceği tüm yasal içeriğin - kendine zarar verme konuları dahil - yaşa uygun olmasını sağlamalıdır.
Hedefte E2EE
Tasarıdaki hükümler özellikle, bir mesajın yalnızca göndericilerinin ve alıcılarının içeriğin insan tarafından okunabilir biçimine erişmesine izin veren bir şifreleme biçimi olan uçtan uca şifrelemeyi hedefliyor. Tipik olarak E2EE olarak kısaltılır ve servis sağlayıcının bile şifrelenmiş mesajların şifresini çözmesini engelleyen bir mekanizma kullanır. Varsayılan olarak etkinleştirilen sağlam E2EE, Signal'in 100 milyondan fazla kullanıcısı için en çok satan noktasıdır. E2EE sunan diğer hizmetler arasında Apple iMessages, WhatsApp, Telegram ve Meta's Messenger yer alır, ancak hepsi bunu varsayılan olarak sağlamaz.
Çevrimiçi Güvenlik Yasası'nın bir hükmü uyarınca, hizmet sağlayıcıların "[Birleşik Krallık telekomünikasyon düzenleyicisi] Ofcom'un anlaması mümkün olmayacak şekilde şifrelenmiş veya başkaları tarafından anlaşılması mümkün olmayacak şekilde şifrelenmiş bir belge üreten" bilgileri sağlaması yasaklanmıştır. Ofcom'un içerdiği bilgileri anlamak için" ve niyetin İngiliz bekçi teşkilatının bu tür bilgileri anlamasını engellemek olduğunda.
Birleşik Krallık Dijital, Kültür, Medya ve Spor Departmanı tarafından hazırlanan bir etki değerlendirmesi, E2EE'nin mevzuat kapsamında olduğunu açıkça söylüyor. Değerlendirmenin bir bölümünde şunlar belirtiliyor:
Hükümet, kullanıcı gizliliğini korumak için güçlü şifrelemeyi desteklemektedir, ancak, kamu güvenliği sorunları dikkate alınmadığında uçtan uca şifreli sistemlere geçişin mevcut bir dizi çevrimiçi güvenlik metodolojisini aşındırdığına dair endişeler vardır. Bunun, teknoloji şirketlerinin platformlarında tımarlama, CSA materyallerini paylaşma ve diğer zararlı veya yasa dışı davranışlarla mücadele etme becerileri üzerinde önemli sonuçları olabilir. Şirketlerin, uçtan uca şifrelemeyle ilgili riskler de dahil olmak üzere hizmetlerindeki zarar riskini düzenli olarak değerlendirmesi gerekecektir. Uçtan uca şifrelemeye geçiş gibi önemli tasarım değişikliklerinden önce riskleri de değerlendirmeleri gerekecek. Hizmet sağlayıcıların daha sonra belirledikleri riskleri azaltmak için makul ölçüde uygulanabilir adımlar atmaları gerekecektir.
Tasarı, E2EE hizmetleri sağlayıcılarının uyması için belirli bir yol sağlamıyor. Bunun yerine, "çocuklara ait müstehcen görüntülerin veya videoların uçtan uca şifrelenmiş ortamlarda tespit edilip adreslenebileceği ve aynı zamanda kullanıcı gizliliğine saygı gösterilmesini sağlayacak yenilikçi yollar" geliştirmek için beş kuruluşa fon sağlıyor.
Çok çeşitli teknoloji uzmanları ve mahremiyet ve sivil özgürlükler savunucuları, sağlayıcıların veya hükümet düzenleyicilerinin E2EE içeriğini denetlemesine izin veren aynı yenilikçi yöntemlerin hükümet casusları veya suçlu bilgisayar korsanları tarafından istismar edilebileceği gerekçesiyle bu tür önerileri uzun süredir eleştirdiler. 2021'de Apple, CSAM için iPhone'larda depolanan görüntüleri tarama planlarından geri adım attı. Geri dönüş, müşterilerden, savunuculuk gruplarından ve araştırmacılardan gelen bir dizi eleştirinin ardından gerçekleşti.
Birleşik Krallık Parlamentosu Çevrimiçi Güvenlik Yasa Tasarısını geçirmeye hazırlanırken, Signal, denetçilerin ve güvenlik uzmanlarının dünyanın en güvenlileri arasında olduğunu söylediği mevcut E2EE yönteminde herhangi bir değişiklik yapmak yerine çekip gideceğini söyleyerek kayıtlara geçiyor.
Whittaker Cuma günü yaptığı bir telefon görüşmesinde, "Signal asla, asla, yüzde 1000 teknolojimizin mahremiyet sözlerimizi baltalayacak herhangi bir şekilde tağşişine katılmayacak," dedi. "Mevcut mekanizmalar, fizik kanunları ve teknolojinin gerçekliği denenmiş yaklaşımlardır, hem insan hakları açısından hem de teknolojik açıdan son derece kusurludur."
E2EE içeriğini izlemenin kesin yolları Birleşik Krallık mevzuatında açıklanmasa da, geçmişte benzer çerçevelerde önerilen mekanizmalar tipik olarak iki kategoriye ayrılır. İlki, bir şifre çözme anahtarının yalnızca kolluk kuvvetleri veya düzenleyici kurumlar tarafından kullanılabilen emanette saklanmasına izin veren bir mekanizma uygulamaktır. Böyle bir düzenleme, elbette, E2EE'yi tamamen geçersiz kılar çünkü E2EE, tanımı gereği, konuşma katılımcıları dışındaki herhangi birinin mesajların şifresini çözmesini engeller. Teknoloji uzmanları ayrıca, kolluk kuvvetlerinin kullanabileceği herhangi bir anahtarın, emanet mekanizmasını bozan ve yetkisiz erişim sağlayan bilgisayar korsanlarına karşı da savunmasız olduğunu belirtiyor. Eleştirmenler ayrıca, hükümetlerin genellikle yetkilerini kötüye kullandıklarını iddia ediyor.
E2EE iletişimlerini denetlemek için sıklıkla önerilen ikinci bir yöntem, şifreleme gerçekleşmeden önce bir son kullanıcı cihazındaki içeriğin taranmasıdır. Bu düzenleme, Apple'ın geri adım atmadan önce 2021'de planladığı şeydi. Bu kadar popüler olmamasının nedeni, kullanıcı cihazlarını şu anda tanımlanmamış araçlarla son derece geniş bir izlemeye tabi tutmasıdır. Anahtar emanetlerinde olduğu gibi, cihazda izleme, casusların, suçluların veya kötü niyetli kişilerin kullanıcıların içeriğine yetkisiz erişim elde etmesine olanak tanıyan saldırılara tabidir.
Whittaker, Çevrimiçi Güvenlik Yasası'nın riskleri hesaba katmadığını söyledi. dedi ki:
Çok rahatsız edici bir mevzuat. Signal gibi polis ifadesi ve içeriği için proaktif gereklilik, etkili bir şekilde bir tür gözetleme kabiliyeti ve ifadenin kabul edilip edilmeyeceğine dair bir tür değerlendirme listesi gerektirecektir. Yaptıkları şey, bunun bizim istediğimiz sonuç olduğunu söylemek ama bunun nasıl yapılacağını bulmayı yenilikçilere, teknoloji uzmanlarına bırakmak.
İstedikleri sonuç, kitlesel gözetleme yeteneklerini, kabul edilebilir ve kabul edilemez ifadeleri denetleyen bir rejimi ve ya mahremiyeti tamamen baltalayacak şekilde E2EE'ye girmeyi ya da şifrelemenin dışında gözetim yürüterek E2EE'nin amacını baltalamayı gerektirir.
İngiltere hükümet yetkilileri Cuma günü geç saatlerde yorum yapmak için müsait değildi, ancak İçişleri Bakanlığı sözcüsü Guardian'a yaptığı açıklamada tasarıyı savundu.“Çevrimiçi güvenlik yasası, uçtan uca şifreleme yasağını temsil etmiyor, teknolojik değişikliklerin kamu güvenliğini, özellikle de çevrimiçi çocukların güvenliğini azaltacak şekilde uygulanmaması gerektiğini açıkça ortaya koymaktadır. Bu, mahremiyet veya çocuk güvenliği arasında bir seçim değil; ikisine de sahip olabiliriz ve sahip olmalıyız.”
İngiltere'den ayrılan Signal'in nasıl görüneceği belli değil. Apple ve Google, Signal'in talebi üzerine İngiltere merkezli IP adreslerine Signal indirmelerini engelleyebilir, ancak Birleşik Krallık'ta ikamet eden bazı kişilerin bu tür kısıtlamaları aşması neredeyse kesindir.