ProtonMail,Threema,Tresorit和Tutanota警告欧盟议员有关“反加密”的推动
端到端加密是一种加密形式,其中服务提供商不持有用于解密数据的密钥,从而增强了用户隐私-因为循环中没有第三方具有以解密形式访问数据的技术能力。
E2e加密还可以通过减少人们数据周围的攻击面来提高安全性。
然而,将e2e加密服务的访问量的增长在大约五年或更久的时间内被标记为执法机构关注的问题。这是因为它使代理机构更难访问解密的数据。拥有e2e加密用户数据的保证书的服务提供商只能以不可读的形式提供。
上个月,欧盟理事会通过了一项关于加密的决议,该决议充满争议-呼吁“通过加密实现安全性,尽管加密也实现安全性”,四家e2e应用程序制造商认为这是对后门加密的轻视。
欧盟委员会还讨论了寻求“改进对加密信息的访问”的做法,并在12月发布的广泛反恐议程中写道,它将“与成员国一起确定合法的可行法律,运营和技术解决方案”。访问” [强调其]。
同时,该委员会表示将“促进一种既保持加密在保护通信隐私和安全性的同时又对犯罪和恐怖主义作出有效反应的方法”。而且已经明确表明,就e2e加密安全性“挑战”而言,不会有“万灵丹”。
但是,这种警告无济于事,无法减轻e2e加密应用程序制造商的担忧-他们确信欧盟委员会的提案正在参与通过欧盟法律(尽管委员会通常是在起草法律),但总的来说却推向了后门。
四个应用程序制造商写道:“尽管该决议中未明确说明,但该提案旨在允许执法机构通过后门访问加密平台。”他警告说,此举将致命地强调欧盟机构的安全性也声称要维护。
他们继续说道:“该决议引起了根本性的误解:加密是绝对的,数据要么被加密,要么未被加密,用户拥有隐私,或者没有。” “赋予执法部门更多打击犯罪工具的愿望显然是可以理解的。但是这些提议在数字上等同于为执法人员提供每个公民家园的钥匙,并且可能会开始向更严重的侵犯个人隐私的道路倾斜。”
他们指出,在欧洲打破e2e加密的任何举动都将与全球对强大加密服务的兴趣背道而驰-指出由于Facebook的主流隐私问题,最近诸如Signal之类的应用程序注册量激增,拥有WhatsApp。
在保护隐私和安全的立法方面,欧洲在全球范围内也处于领先地位。因此,欧盟立法者排队戳破e2e加密漏洞将是非常大的转变。 (例如,同时建议使用欧盟数据保护监管机构,以便从法律上安全地将个人数据从集团中转移到可能面临风险的第三国)。
要说欧盟朝着反加密方向推进存在意识形态矛盾,这是一种轻描淡写的说法。即使布鲁塞尔发布的当前有关该主题的公报的内容看起来好像在本质上是相互矛盾的,但实际上这可能是承认,解决这一问题并不是简单的政策主张。
应用程序制造商也对此有所了解。 “全世界的人们都在收回对隐私的控制权,而欧洲公司通常会帮助他们做到这一点。他们写道,欧盟的政策制定者现在会推动法律在公众舆论面前飞扬,破坏正在发展的欧洲技术领域,这似乎是不合逻辑的。
在联合声明中的个人报价中,瑞士端到端加密电子邮件服务ProtonMail的首席执行官兼创始人安迪·安德森(Andy Yen)警告说,面对最新出现的要求对加密进行穿孔的法律框架的推动,不要自满。
“这不是我们第一次看到来自欧洲某些地区的反加密言论,我怀疑这将是最后一次。但这并不意味着我们应该自满,”他说。 “简单地说,该决议与先前的提议没有什么不同,先前的提议引起了那些关注隐私的公司,民间社会成员,专家和欧洲议会议员的强烈反对。
“这次的不同之处在于,安理会采取了更为微妙的方法,并明确避免使用诸如'禁令'或'后门'之类的词。但是请不要误会,这是意图。重要的是,现在必须采取措施,以防止这些提议走得太远,并保持欧洲的隐私权完整。”
端到端加密即时消息传递应用Threema的首席执行官Martin Blatter也认为,如果欧盟立法者试图推动立法以迫使欧洲供应商绕开或故意削弱e2e加密,则他们可能冒着包办本土初创公司的风险。
他警告说:“它不仅会破坏欧洲IT初创企业的经济,甚至无法提供一点点的额外安全性。” “加入世界上最臭名昭著的监视国行列,欧洲将不顾一切地放弃其独特的竞争优势,而成为隐私的荒原。”
Tresorit的联合创始人兼首席执行官Istvan Lam也参与其中,这是一种e2e加密文件同步和加密功能。共享服务,认为任何削弱加密的措施都会严重损害对服务的信任,并且“与欧盟目前的数据隐私立场不可调和”。
“鉴于欧盟先前对数据保护的渐进观点,我们认为这一决议尤其令人震惊。他说:“通用数据保护条例(GDPR)是欧盟在全球范围内公认的数据保护立法模式,明确主张将强加密作为确保公民隐私的基本技术。”彼此之间,因为在提供对加密数据的任何有针对性的访问时,不可能保证加密的完整性。”
德国e2e加密电子邮件提供商Tutanota的联合创始人ArneMöhle表示,任何后门加密技术的推动都会给安全带来灾难性的后果-这实际上有帮助罪犯的风险。
他说:“每个欧盟公民都需要加密,以确保其数据在网络上的安全,并保护自己免受恶意攻击。” “通过最新的后门加密尝试,政客希望有一种更简便的方法来预防恐怖袭击等犯罪,而无视加密保护我们免受的其他各种犯罪:端到端加密可保护我们的数据和通信免受诸如黑客,(外国)政府和恐怖分子。”
“通过要求加密后门,政客们没有要求我们在安全性和隐私之间做出选择。他们要求我们不选择任何安全性,”他补充说。
在欧洲,有关安理会确保“通过加密实现安全性和尽管加密实现安全性”的矛盾法令正在酝酿中,一场斗争似乎正在欧洲展开。但是,显然向后门的任何努力都将动员主要的地区反对派,并且对欧盟的政策制定者来说是没有吸引力的选择,因为这将面临该地区法学上的法律挑战。
委员会认识到这种复杂性。它的反恐议程也十分广泛。毫无疑问,它认为e2e加密是必须破解的唯一螺母。欧盟机构在这里取得了很多进展,尤其是因为一堆基本的红线限制了非针对性干预的回旋余地。
因此,安理会决议产生的结果可能是在与调查有关的领域(例如数字取证和元数据分析)一致努力提高警察的技能。也许可以为整个地区的地方或州级部队创建结构,以访问更强大的安全服务技术能力,以进一步开展有针对性的调查(例如,设备黑客)。与其在e2e加密供应商处发出欧盟级命令以强制使用通用密钥托管“解决方案”(或类似解决方案),而是不加区分地危及每个人的安全和隐私。
Save #SaveEncryption:欧盟委员会告诉相关的欧洲议会议员,它不打算普遍削弱,直接或间接禁止所有公民,例如通过引入“后门”, #加密。 pic.twitter.com/UQp0rWjfxm