Dokument, będący ankietą Rady Europejskiej na temat poglądów krajów członkowskich na przepisy dotyczące szyfrowania, zawierał zakulisowe opinie urzędników na temat tego, jak stworzyć bardzo kontrowersyjne prawo, aby powstrzymać rozprzestrzenianie się materiałów przedstawiających seksualne wykorzystywanie dzieci (CSAM) w Europie. Proponowane prawo wymagałoby od firm technologicznych skanowania ich platform, w tym prywatnych wiadomości użytkowników, w celu znalezienia nielegalnych materiałów. Jednak propozycja Ylvy Johansson, komisarz UE odpowiedzialna za sprawy wewnętrzne, wywołała gniew kryptografów, technologów i obrońców prywatności ze względu na jej potencjalny wpływ na szyfrowanie typu end-to-end.

Od lat państwa UE debatują, czy platformy komunikacji typu end-to-end z szyfrowaniem, takie jak WhatsApp i Signal, powinny być chronione jako sposób na korzystanie przez Europejczyków z podstawowego prawa do prywatności – czy też osłabiane, aby uniemożliwić przestępcom komunikowanie się z zewnątrz zasięgu organów ścigania. Eksperci, którzy dokonali przeglądu dokumentu na prośbę WIRED, twierdzą, że zapewnia on ważny wgląd w to, które kraje UE planują poprzeć propozycję, która grozi przekształceniem szyfrowania i przyszłości prywatności w Internecie.

Spośród 20 krajów UE przedstawionych w dokumencie, który wyciekł do WIRED, większość stwierdziła, że ​​opowiada się za jakąś formą skanowania zaszyfrowanych wiadomości, przy czym stanowisko Hiszpanii wydaje się najbardziej skrajne. „Naszym zdaniem byłoby idealnie, gdyby ustawowo uniemożliwić dostawcom usług z siedzibą w UE wdrażanie szyfrowania typu end-to-end” – stwierdzili przedstawiciele Hiszpanii w dokumencie.

Źródło dokumentu odmówiło komentarza i poprosiło o anonimowość, ponieważ nie było upoważnione do jego udostępniania.

„To dla mnie szokujące, gdy Hiszpania stwierdza wprost, że powinny istnieć przepisy zabraniające dostawcom usług z UE wdrażania pełnego szyfrowania” — mówi Riana Pfefferkorn, naukowiec z Obserwatorium Internetowego Uniwersytetu Stanforda w Kalifornii, która dokonała przeglądu dokumentu na prośbę WIRED. „Ten dokument ma wiele znamion odwiecznej debaty na temat szyfrowania”.

Szyfrowanie typu end-to-end zostało zaprojektowane tak, aby tylko nadawca i odbiorca komunikacji, takiej jak wiadomości, mógł zobaczyć ich zawartość. To wyklucza wszystkie inne strony, od oszustów po policję, a nawet firmę dostarczającą platformę cyfrową. Zwolennicy organów ścigania często proponują stworzenie mechanizmów technicznych, za pomocą których można ominąć szyfrowanie typu end-to-end na potrzeby dochodzeń, ale kryptografowie i inni technolodzy od dawna twierdzą, że wprowadziłoby to słabości, które z natury osłabiają szyfrowanie typu end-to-end, narażając prywatność użytkowników na niebezpieczeństwo. ryzyko. Co więcej, wielokrotnie dochodzili do wniosku, że ta rozszerzona ekspozycja ostatecznie zaszkodziłaby cyfrowemu bezpieczeństwu i ochronie wrażliwych grup, w tym dzieci, zamiast ich chronić.

„Złamanie szyfrowania typu end-to-end dla wszystkich byłoby nie tylko nieproporcjonalne, ale także nieskuteczne w osiągnięciu celu, jakim jest ochrona dzieci” – mówi Iverna McGowan, sekretarz generalny europejskiego oddziału Centrum Demokracji i Technologii, organizacja non-profit zajmująca się prawami autorskimi, która dokonała przeglądu dokumentu na prośbę WIRED.

Dokument, który wyciekł, zawiera stanowisko członków policyjnej grupy roboczej ds. egzekwowania prawa, grupy Rady Unii Europejskiej zajmującej się poglądami organów ścigania na ustawodawstwo. Dokument z 12 kwietnia 2023 r. zawiera opinie 20 krajów na szereg pytań, w tym, czy postrzegają szyfrowanie typu end-to-end jako przeszkodę w ich pracy związanej z wykorzystywaniem seksualnym dzieci i czy opowiadają się za dodaniem sformułowań do prawa aby zastrzec, że szyfrowanie nie powinno być osłabiane. Pierwsze pytania zostały zadane w styczniu.

WIRED poprosił wszystkie 20 państw członkowskich, których opinie są zawarte w dokumencie o komentarz. Nikt nie zaprzeczył jej prawdziwości, a Estonia potwierdziła, że ​​jej stanowisko zostało opracowane przez ekspertów pracujących w pokrewnych dziedzinach iw różnych ministerstwach.

Dokument ujawnia silne poparcie dla propozycji Johanssona, aby przeskanować prywatną zaszyfrowaną komunikację typu end-to-end w poszukiwaniu nielegalnych treści. Spośród 20 krajów uwzględnionych w dokumencie 15 wyraziło poparcie dla pomysłu skanowania zaszyfrowanej komunikacji typu end-to-end dla CSAM. Wielu uważało ten rodzaj skanowania za kluczowe narzędzie, które umożliwiłoby władzom wygranie walki z wykorzystywaniem dzieci.

„Najwyższe znaczenie ma zapewnienie jasnego sformułowania w rozporządzeniu CSA, że szyfrowanie typu end-to-end nie jest powodem do niezgłaszania materiałów CSA” – stwierdzili przedstawiciele Chorwacji w dokumencie. „Nakazy wykrywania muszą obowiązkowo dotyczyć również sieci zaszyfrowanych” – powiedział Slovenia. „Nie chcemy, aby szyfrowanie E2EE stało się„ bezpieczną przystanią ”dla złośliwych aktorów” — dodał Rumunia.

Dania i Irlandia wyraziły poparcie dla skanowania zaszyfrowanych komunikatorów w poszukiwaniu materiałów związanych z wykorzystywaniem seksualnym dzieci, a także poparły włączenie do prawa sformułowania chroniącego kompleksowe szyfrowanie przed osłabieniem. Zdolność do tego opierałaby się na wynalezieniu technologii, która może skanować zaszyfrowane wiadomości w poszukiwaniu nielegalnych treści bez zmieniania lub łamania zabezpieczeń oferowanych przez szyfrowanie – wyczyn, który według kryptografów i ekspertów ds. bezpieczeństwa cybernetycznego jest technicznie niemożliwy.

Holandia stwierdziła jednak, że byłoby to możliwe dzięki skanowaniu „na urządzeniu”, zanim nielegalne materiały zostaną zaszyfrowane i wysłane do odbiorcy. „Istnieją… technologie, które mogą pozwolić na automatyczne wykrywanie CSAM przy jednoczesnym pozostawieniu nienaruszonego szyfrowania typu end-to-end” – stwierdzili w dokumencie przedstawiciele kraju.

„Chcą zachować bezpieczeństwo szyfrowania, jednocześnie mając możliwość jego obejścia” — mówi Ella Jakubowska, starszy doradca ds. polityki w European Digital Rights (EDRI). Jakubowska mówi, że „nie jest zaskoczona, ale mimo to zszokowana”, widząc, że kraje europejskie mają „naprawdę płytkie zrozumienie” szyfrowania. „Chcą prywatności, ale chcą też bezkrytycznie skanować zaszyfrowaną komunikację” – mówi Jakubowska.

W swojej odpowiedzi Hiszpania stwierdziła, że ​​„konieczne jest, abyśmy mieli dostęp do danych” i zasugerowała, że ​​powinno być możliwe odszyfrowanie zaszyfrowanej komunikacji. Hiszpański minister spraw wewnętrznych Fernando Grande-Marlaska otwarcie mówił o tym, co uważa za zagrożenie ze strony szyfrowania. Daniel Campos de Diego, rzecznik hiszpańskiego Ministerstwa Spraw Wewnętrznych, poproszony o komentarz w sprawie dokumentu, który wyciekł, powiedział, że stanowisko kraju w tej sprawie jest powszechnie znane i było wielokrotnie rozpowszechniane publicznie. Polska, znajdująca się blisko Hiszpanii, opowiadała się w dokumencie, który wyciekł, za mechanizmami, dzięki którym szyfrowanie mogłoby zostać zniesione na mocy nakazu sądowego, oraz za przyznaniem rodzicom uprawnień do odszyfrowywania komunikacji dzieci.

Jakubowska, która dokonała przeglądu dokumentu, mówi, że kilka krajów wydaje się twierdzić, że dadzą policji dostęp do zaszyfrowanych wiadomości i komunikacji ludzi. Na przykład komentarze z Cypru mówią, że „niezbędne” jest, aby organy ścigania miały dostęp do zaszyfrowanej komunikacji w celu prowadzenia dochodzeń w sprawie przestępstw związanych z wykorzystywaniem seksualnym w Internecie oraz że „wpływ tego rozporządzenia jest znaczący, ponieważ ustanowi precedens dla innych sektorów w przyszłość.” Podobnie urzędnicy na Węgrzech twierdzą, że „potrzebne są nowe metody przechwytywania i dostępu do danych”, aby pomóc organom ścigania.

„Cypr, Węgry i Hiszpania bardzo wyraźnie postrzegają to prawo jako okazję do wejścia do szyfrowania w celu podważenia zaszyfrowanej komunikacji, a dla mnie jest to ogromne” – mówi Jakubowska. „Widzą, że to prawo wykracza daleko poza to, co twierdzi DG home”.

Urzędnicy w Belgii powiedzieli w dokumencie, że wierzą w motto „bezpieczeństwo poprzez szyfrowanie i pomimo szyfrowania”. Kiedy skontaktował się z WIRED, rzecznik belgijskiego Ministerstwa Spraw Zagranicznych początkowo podzielił się oświadczeniem policji federalnej tego kraju, w którym stwierdził, że jego stanowisko ewoluowało od czasu przedłożenia komentarzy do dokumentu i że Belgia zajmuje stanowisko wraz z innymi „państwami o podobnych poglądach”, ”, że chce osłabienia szyfrowania. Jednak pół godziny później rzecznik próbował wycofać oświadczenie, mówiąc, że kraj odmówił komentarza.

Eksperci ds. bezpieczeństwa od dawna twierdzą, że wszelkie potencjalne backdoory do zaszyfrowanej komunikacji lub sposobów odszyfrowania usług naruszyłyby ogólne bezpieczeństwo szyfrowania. Jeśli funkcjonariusze organów ścigania mają sposób na odszyfrowanie wiadomości, hakerzy kryminalni lub osoby pracujące w imieniu rządów mogą wykorzystać te same możliwości.

Pomimo potencjalnego ataku na szyfrowanie z niektórych krajów, wiele krajów również zdecydowanie popiera szyfrowanie typu end-to-end i zapewniane przez nie zabezpieczenia. Włochy określiły propozycję nowego systemu jako nieproporcjonalną. „Oznaczałoby to powszechną kontrolę nad całą zaszyfrowaną korespondencją przesyłaną przez sieć” – stwierdzili przedstawiciele kraju. Estonia ostrzegła, że ​​jeśli UE nakaże skanowanie zaszyfrowanych wiadomości typu end-to-end, firmy prawdopodobnie albo przeprojektują swoje systemy, aby mogły odszyfrować dane, albo zostaną zamknięte w UE. Triin Oppi, rzecznik Ministerstwa Spraw Zagranicznych Estonii, mówi, że stanowisko kraju nie uległo zmianie.

Finlandia wezwała Komisję Europejską do dostarczenia większej ilości informacji na temat technologii, które mogą zwalczać wykorzystywanie seksualne dzieci bez narażania bezpieczeństwa w Internecie i ostrzegła, że ​​propozycja może być sprzeczna z fińską konstytucją.

Przedstawiciele Niemiec – kraju, który zdecydowanie sprzeciwiał się tej propozycji – powiedzieli, że projekt ustawy musi wyraźnie stwierdzać, że nie będą wykorzystywane żadne technologie zakłócające, obchodzące lub modyfikujące szyfrowanie. „Oznacza to, że projekt tekstu musi zostać zmieniony, zanim Niemcy będą mogły go zaakceptować” – powiedział kraj. Państwa członkowskie muszą uzgodnić tekst projektu ustawy, zanim negocjacje będą mogły ruszyć do przodu.

„Odpowiedzi z krajów takich jak Finlandia, Estonia i Niemcy świadczą o pełniejszym zrozumieniu stawek w dyskusjach na temat regulacji CSA”, mówi Pfefferkorn ze Stanford. „Rozporządzenie będzie miało wpływ nie tylko na dochodzenia w sprawie określonego zestawu przestępstw; wpływa to na bezpieczeństwo danych rządów, bezpieczeństwo narodowe oraz prawa do prywatności i ochrony danych ich obywateli, a także na innowacje i rozwój gospodarczy”.

Przeczytaj cały dokument poniżej: