近日,欧盟委员会的一项审查加密流量中儿童性虐待材料(CSAM)的提案(以下简称检测令)可能会迫使科技公司扫描私人信息,即使这些信息受到了端到端加密的保护。
虽然欧盟委员会在公告中承认端到端加密是一种重要的安全工具,但该检测令对加密信息“应检尽检”的要求逼迫科技企业“采用任何必要的技术手段”破解(关闭)端到端加密,并扫描其中的流量,欧盟委员会对“检测令”的解释部分摘录如下:
在执行检测令时,供应商应采取一切可用的保障措施,以确保其所使用的技术不能被他们或其雇员用于不符合本条例的目的,也不能被第三方使用,从而避免破坏安全和用户通信的机密性。
欧盟委员会的一份公告称,CSAM的问题已经失控,目前的“自愿”制度还不够。声明称:“仅2021年,全球就有8500万张描述儿童性虐待的图片和视频被报道,还有更多未被报道,儿童性虐待普遍存在。”“新冠病毒大流行加剧了这一问题,互联网观察基金会指出,与上一年相比,2021年确认的儿童性虐待报告增加了64%。目前基于公司自愿检测和报告的系统已证明不足以充分保护儿童。”
欧盟在公告的问答文档中强调了扫描端到端加密消息的重要性。“NCMEC(国家失踪和受剥削儿童中心)估计,其CyberTipline报告的一半以上(儿童性虐待相关证据)将随着端到端加密而消失,从而无法发现滥用行为,除非供应商采取措施保护儿童及其隐私。”
但业内人士认为,该检测令如果执行,意味着端到端加密将被终结,因为端到端加密不可检测。
“看起来欧盟委员会真的想取消加密,”荷兰数字权利基金会Bits of Freedom政策顾问Rejo Zenger写道,该提案“将迫使公司监控人们通过WhatsApp等聊天应用和Instagram等通信和社交平台相互分享的内容”。如果认为有必要,平台将被迫删除信息或向当局报告。互联网服务提供商也可以被命令监控其客户的互联网流量。
但欧盟委员会非常聪明地“忽略了”这实际上意味着取消端到端加密。欧盟委员会把皮球踢给企业,要求企业完成一个不可能完成的任务(审查端到端加密流量),同时暗示企业可以“采取必要手段”(关闭端到端加密)。
事实上,真正的端到端加密的私人信息是无法被检查的。正如Proton Mail解释的那样,“E2EE(端到端加密)消除了这种可能性,因为服务提供商实际上并不拥有解密密钥,E2EE比标准加密强得多。”
欧洲的提议遭到包括网络安全研究员Alec Muffett在内的安全专家的批评,他领导的团队为Facebook Messenger添加了端到端加密功能。“今天是欧盟向端到端加密宣战的日子,并以保护儿童的名义要求在任何平台上访问每个人的私人信息。”Muffett写道。
无独有偶,苹果公司此前也被扣上了“以保护儿童的名义侵犯隐私”的罪名。欧盟的提议与美国政府官员此前提出的加密“后门”呼吁类似,虽然苹果公司首席执行官蒂姆库克反对政府授权的后门程序,但苹果公司在去年公布了一项让iPhone和其他设备扫描用户照片以查找儿童性虐待图像的计划时,引起了安全专家的强烈反对。苹果搁置了该计划,并承诺会做出改变以应对批评。
“这又是苹果公司那一套玩法了。”约翰霍普金斯大学密码学教授马修格林在谈到新的欧盟提案时写道。在一条推文中,格林称该计划是“我见过的最可怕的事情。它提出了一个新的大规模监视系统,该系统将读取私人短信,而不仅是检测CSAM,而是检测‘引诱儿童内容’(编者:引诱内容的定义极为宽泛,包括物品名称、日常沟通用语都有可能是引诱内容,这意味着检测范围将包括几乎所有私人信息)。”
欧盟委员会提案链接:
https://ec.europa.eu/home-affairs/proposal-regulation-laying-down-rules-prevent-and-combat-child-sexual-abuse_en
