Dự luật Online Safety Bill của Anh làm dấy lên lo ngại suy yếu mã hóa đầu cuối trên toàn thế giới
(eff.org)- Online Safety Bill của Quốc hội Anh đang ở giai đoạn cuối trước khi được House of Lords thông qua, và có thể ảnh hưởng đến quyền riêng tư của người dùng trên toàn thế giới vì có thể buộc các dịch vụ nhắn tin phải cài cửa hậu
- Điểm xung đột cốt lõi của dự luật là yêu cầu quét tin nhắn để phát hiện nội dung liên quan đến lạm dụng trẻ em và khủng bố khó có thể tương thích với mã hóa đầu cuối
- WhatsApp, Signal, Element và các bên khác đã cảnh báo trong thư ngỏ tháng 4/2023 rằng điều này có thể dẫn đến giám sát thường xuyên, phổ quát và không phân biệt đối với tin nhắn cá nhân; Apple cũng tham gia phản đối vào tháng 6
- Chính phủ Anh nói rằng quét phía máy khách có thể đồng thời bảo vệ an toàn và quyền riêng tư, nhưng EFF phản bác rằng cửa hậu mã hóa không thể chỉ được dùng cho mục đích thiện chí
- Nếu không có sửa đổi bảo vệ mã hóa đầu cuối, những người phụ thuộc vào nhắn tin riêng tư như nhà hoạt động nhân quyền, nhà báo, người dùng LGBTQ+ làm việc trong môi trường thù địch sẽ trực tiếp gánh chịu rủi ro
Áp lực của Online Safety Bill lên mã hóa
- Quốc hội Anh đang thúc đẩy Online Safety Bill, một dự luật quản lý Internet trên diện rộng, hiện ở giai đoạn cuối trước khi được House of Lords thông qua
- Dự luật này có thể trao cho chính phủ Anh quyền buộc các dịch vụ nhắn tin phải cài cửa hậu, qua đó phá vỡ mã hóa đầu cuối
- Các sửa đổi nhằm giảm nhẹ những yếu tố nguy hiểm nhất của dự luật vẫn chưa được chấp nhận
- EFF cảnh báo rằng dự luật sẽ không chỉ dừng lại trong phạm vi nước Anh, mà còn có thể khiến quyền riêng tư và dân chủ trên toàn thế giới thụt lùi
Phạm vi quản lý Internet và vấn đề cốt lõi
- Online Safety Bill bắt nguồn từ sách trắng “online harms” đã có hơn 4 năm, và được xem là một quy định Internet có phạm vi rất rộng
- Các yêu cầu bao gồm lọc nội dung, xác minh độ tuổi để truy cập nội dung người lớn, và báo cáo chi tiết về hoạt động trực tuyến nộp cho chính phủ
- Trong số đó, quyền quét tin nhắn có thể phá vỡ mã hóa đầu cuối được xem là vấn đề nghiêm trọng nhất
Quét tin nhắn xung đột với mã hóa đầu cuối
- Trò chuyện riêng tư là một quyền con người cơ bản, và trong môi trường số, phương tiện kỹ thuật mạnh nhất để hiện thực hóa quyền này là mã hóa đầu cuối
- Nếu buộc sử dụng công nghệ quét tin nhắn được chính phủ phê duyệt, điều đó sẽ xung đột với mô hình mã hóa vốn chỉ cho phép người gửi và người nhận đọc tin nhắn
- Phản bác cốt lõi của EFF là không có cách nào để cửa hậu mã hóa chỉ được “người tốt” sử dụng
- Cách cấm mã hóa
- Cách gây sức ép để doanh nghiệp rút lui khỏi mã hóa
- Cách yêu cầu quét phía máy khách đều có thể đem lại lợi ích cho tác nhân độc hại và các quốc gia chuyên chế
Cảnh báo từ doanh nghiệp và xã hội dân sự
- Chính phủ Anh nói rằng họ muốn có quyền quét tất cả tin nhắn trực tuyến để tìm nội dung liên quan đến lạm dụng trẻ em hoặc khủng bố, đồng thời vẫn có thể bảo vệ quyền riêng tư của người dùng
- EFF phản bác rằng không thể có cách nào đáp ứng đồng thời cả hai mục tiêu này
- Các tổ chức xã hội dân sự ở Anh, chuyên gia công nghệ và các tổ chức nhân quyền trên toàn thế giới cũng chỉ trích dự luật này
- Các nhà cung cấp nhắn tin mã hóa như WhatsApp, Signal và Element có trụ sở tại Anh đã cảnh báo về rủi ro của OSB trong thư ngỏ tháng 4/2023
- Dự luật có thể phá vỡ mã hóa đầu cuối
- Tin nhắn cá nhân của bạn bè, gia đình, nhân viên, lãnh đạo, nhà báo, nhà hoạt động nhân quyền và chính trị gia đều có thể trở thành đối tượng bị giám sát thường xuyên, phổ quát và không phân biệt
- Apple tham gia làn sóng phản đối vào tháng 6/2023, công khai tuyên bố rằng dự luật đe dọa mã hóa và có thể đặt công dân Anh vào rủi ro lớn hơn
Lập luận kỹ thuật của chính phủ Anh
- Trong câu trả lời gửi House of Lords, Bộ trưởng Văn hóa, Truyền thông và Thể thao Anh lặp lại lập trường rằng ngay cả trên các nền tảng mã hóa đầu cuối, vẫn có thể quét tin nhắn trong khi duy trì quyền riêng tư
- Câu trả lời nêu rằng các doanh nghiệp trước đây từng phát triển giải pháp cho nền tảng mã hóa đầu cuối, và Ofcom cần có khả năng yêu cầu sử dụng những công nghệ như vậy
- Câu trả lời cũng thể hiện quan điểm rằng khi chưa có giải pháp có thể dùng ngay, chính phủ nên dẫn dắt việc tìm kiếm công nghệ
-
Safety Tech Challenge Fund
- Đây là chương trình trong đó chính phủ Anh cấp các khoản tài trợ nhỏ để phát triển phần mềm được cho là có thể quét tệp trong khi vẫn bảo vệ quyền riêng tư của người dùng
- Mô tả nguyên mẫu đoạt giải bao gồm nhiều hình thức quét phía máy khách, trong đó AI xem xét tệp trước khi tệp được gửi qua kênh mã hóa
- EFF cho rằng sai lầm kiểu “nếu các công ty công nghệ chưa tạo được cửa hậu kỳ diệu để bảo vệ người dùng, hãy phát triển công nghệ chăm chỉ hơn” đang lặp lại
Các sửa đổi vẫn còn khả thi và những người bị ảnh hưởng
- Các nghị sĩ Anh vẫn còn cơ hội ngăn chặn những quyết định có thể dẫn đến giám sát quy mô lớn
- Mã hóa đầu cuối chưa được xem xét và biểu quyết đầy đủ ở giai đoạn ủy ban hoặc giai đoạn báo cáo của House of Lords
- Lords có thể bổ sung một sửa đổi đơn giản, nêu rõ rằng nhắn tin cá nhân phải được bảo vệ và mã hóa đầu cuối không được làm suy yếu hoặc loại bỏ
- EFF cùng các tổ chức xã hội dân sự Anh đã gửi bản tóm tắt lập luận tới House of Lords vào tháng 7/2023
- Giải thích các vấn đề liên quan đến mã hóa trong dự luật hiện tại
- Đề xuất thông qua sửa đổi nhằm bảo vệ mã hóa đầu cuối
- Nếu sửa đổi không được thông qua, những người phải trả giá sẽ là nhà hoạt động nhân quyền và nhà báo phụ thuộc vào nhắn tin riêng tư để làm việc trong môi trường thù địch, cùng người dùng LGBTQ+ phụ thuộc vào quyền riêng tư để tự do biểu đạt
Dư luận và tài liệu tham khảo
- EFF cho rằng quét và giám sát phổ quát không phải là hướng đi mà công dân Anh mong muốn, vì vậy Quốc hội nên bác bỏ dự luật
- Trong một khảo sát gần đây với công dân Anh, 83% người trả lời nói rằng họ muốn mức bảo mật và quyền riêng tư cao nhất có thể trong các ứng dụng nhắn tin như Signal, WhatsApp và Element
- Tài liệu liên quan:
- Trang thông tin của EFF về U.K. Online Safety Bill
- Cách OSB tấn công quyền tự do biểu đạt và mã hóa — EFF Deeplinks tháng 8/2022
- Lo ngại về quyền tự do biểu đạt trong bản dự thảo Online Safety Bill của Anh — EFF Deeplinks tháng 7/2021
- Thư ngỏ của xã hội dân sự về Online Safety Bill — tháng 11/2022
- Thư ngỏ của các nhà cung cấp nhắn tin mã hóa — tháng 4/2023
- Bản tóm tắt gửi House of Lords của EFF và các NGO hợp tác — tháng 7/2023
1 bình luận
Các ý kiến trên Hacker News
Chính phủ Anh liên tục không hiểu rằng Internet không có biên giới, và không thể tạo ra biên giới nếu không áp đặt những hạn chế cực đoan ngang mức các chế độ toàn trị.
Nếu thúc ép các biện pháp mà không có sự phối hợp quốc tế rộng rãi, họ sẽ đẩy một lượng người khổng lồ vào những góc tối hơn của Internet, không chỉ phá hỏng hoàn toàn mục tiêu mà còn làm vấn đề tệ hơn.
Chỉ riêng Meta cũng đã có đủ sức biến đạo luật này thành một thất bại thảm hại. Mọi người muốn dùng WhatsApp, và chính phủ cũng dùng nó rộng rãi. Nếu Meta từ chối, chính phủ gần như chẳng làm được gì. Facebook vẫn có thể tiếp tục vận hành mà không cần một nhân viên nào ở Anh; việc kinh doanh có thể bị ảnh hưởng phần nào, nhưng hoàn toàn khả thi.
Chính phủ có thể gây sức ép lên Apple và Google để gỡ WhatsApp khỏi app store tại Anh, nhưng các hạn chế theo khu vực như vậy rất dễ bị vượt qua, và WhatsApp đủ phổ biến để mọi người sẵn sàng thử. Khi đó các thực hành như sideloading, jailbreak, vượt hạn chế khu vực sẽ trở nên bình thường hóa; tội phạm mạng sẽ thấy cơ hội mà xoa tay, còn những kẻ ấu dâm và khủng bố mà họ muốn ngăn chặn cũng sẽ đi theo làn sóng đó.
https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
Những công ty phản đối đạo luật này tại Anh đang đe dọa rút khỏi thị trường. Điều đó không có nghĩa là họ sẽ giúp người dùng Anh tìm cách vi phạm luật, mà là họ sẽ chặn người dùng Anh khỏi dịch vụ của mình.
Nếu tôi làm một ứng dụng nhắn tin mã hóa đầu cuối, tôi hoàn toàn không cần nghe lời Anh. Cũng như Trung Quốc không thể ra lệnh cho tôi, Anh cũng vậy. Nếu Trung Quốc muốn, họ có thể chặn ứng dụng của tôi, nhưng việc chặn là phần việc của họ, không phải của tôi. Anh cũng có thể dựng tường lửa nếu muốn. Nhưng nếu tôi không đặt chân vào Anh, tôi không cần thay đổi ứng dụng.
Cũng khỏi cần lo về việc thiếu phối hợp quốc tế rộng rãi. Các chính phủ khác cũng tệ hại y như vậy và cũng muốn cùng thứ nhảm nhí đó.
Lệnh cấm mã hóa có lẽ cũng sẽ “khó” né tránh tương tự. Nó trông giống một cách để tỏ ra đạo mạo trước cử tri hơn là để thật sự đạt được điều gì đó.
Nếu bạn sống ở Anh, sẽ rất tốt nếu bạn ký kiến nghị này trên website của chính phủ và Quốc hội Anh: https://petition.parliament.uk/petitions/634725
Hiện có 6.327 chữ ký; cần thêm 3.673 chữ ký nữa để nhận phản hồi từ chính phủ, và sau đó cần thêm 90.000 chữ ký nữa để được xem xét đưa ra tranh luận.
Thư gửi nghị sĩ hầu như lúc nào cũng kết thúc bằng câu trả lời theo mẫu, nhưng ít nhất họ vẫn để ý. Rất thỉnh thoảng bạn cũng nhận được một phản hồi không theo mẫu.
Hiện giờ tôi thật sự ghét chính phủ Anh.
Sau khi tòa án xác nhận rằng thực tế mới là thứ vung gậy cuối cùng, tôi mong những dự luật cẩu thả này sẽ sụp đổ trước tòa.
Có lẽ trong đó còn có cả điều khoản quy định từ nay số pi bằng 4.
Tôi cũng ghét chính phủ của chúng ta, nhưng báo chí cũng đóng vai trò khổng lồ trong việc chống lưng cho họ.
Tất cả các công ty công nghệ nên cùng đứng lên, sẵn sàng chặn quyền truy cập dịch vụ. Cứ tưởng tượng chuyện gì sẽ xảy ra nếu ở Anh không dùng được dù chỉ WhatsApp, chưa nói đến iMessage. Điều đó không phải vô trách nhiệm hay không an toàn. SMS, thứ chính phủ có thể kiểm soát hoàn toàn, vẫn luôn còn đó.
Tôi cũng không nghĩ các công ty này cần sợ đối thủ cạnh tranh. Những dịch vụ này đã ăn sâu đến mức vài tuần, cùng lắm vài tháng phản đối cũng sẽ không thay đổi được gì. Nếu cuối cùng chính phủ nhượng bộ, việc khôi phục rất dễ, và các chỉ số sẽ nhanh chóng trở lại bình thường.
[1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
Điều này thật sự phi lý đến mức ngu ngốc. Nó sẽ tạo ra một Internet bị chia cắt hơn rất nhiều, mọi quốc gia sẽ bắt đầu tách rời nhau hơn, và niềm tin vào các sản phẩm phương Tây/Anh/Mỹ cũng sẽ mất đi
Khi đó phần còn lại của thế giới còn lý do gì để tiếp tục dùng iPhone, MacBook, Google, Amazon, v.v. Các tập đoàn lớn sẽ phải trả một cái giá khổng lồ về doanh thu bị mất
Trong khi đó vẫn có những cách thông minh hơn để làm những việc cần làm mà vẫn tôn trọng quyền riêng tư và không gây thiệt hại kinh tế không cần thiết cho doanh nghiệp. Chỉ là điều đó đòi hỏi trong chính phủ phải có những người thông minh, mà chính phủ thì đầy những người không như vậy
Một khía cạnh khác là việc thực thi là bất khả thi đối với đại đa số cá nhân. Có vô số cách lách luật, và nhiều công ty sẽ bắt đầu lập doanh nghiệp ở những khu vực không bị ảnh hưởng hoặc ở nước ngoài để cung cấp các lựa chọn thay thế cho Viber, Skype, Google, v.v. Một số thứ như vậy đã tồn tại rồi
Trong lúc những chuyện như thế này diễn ra, Vương quốc Anh lại đang kéo cáp quang tới mọi hộ gia đình. Nhiều người sống trên những con đường nông thôn rất hẻo lánh đang thấy cáp thuê bao 36x fibre COF215 được treo xuyên qua các hàng cây hoặc chôn bên cạnh đường bùn
EE đã dẫn đầu LTE Cat16 ở các đô thị hạng 1 và hạng 2 vào cuối thập niên 2010, đúng thời điểm iPhone X ra mắt với hỗ trợ lưu lượng gigabit. Chẳng bao lâu nữa, điều đó cũng sẽ có thể xảy ra ở cánh đồng gần bạn. Băng thông độ trễ thấp đang sắp trở nên dồi dào cho tất cả mọi người
Với mức kết nối như vậy, có thể tách bạch một cách sáng tạo hơn nhiều giữa bên cung cấp truyền dẫn và bên cung cấp kết nối IP. VPN đã trở nên phổ biến. Nghe có vẻ là một hướng tích cực. Internet định tuyến vòng qua hư hại, và các luật hạn chế những gì có thể hoặc không thể làm cũng có thể được “định tuyến vòng” nếu cho lưu lượng kết thúc ở Dublin hoặc Amsterdam
Vấn đề là khi việc người dân Anh đưa lưu lượng ra nước ngoài trở nên bình thường hơn, con đường chính sách của chính phủ Anh cuối cùng dường như không còn gì khác ngoài một cuộc chiến toàn diện với mã hóa
Tôi đang vận hành một máy chủ XMPP được mã hóa có khoảng 12 người dùng. Nó hoàn toàn tạm thời theo nghĩa là máy chủ không lưu tin nhắn. Nếu bạn ngoại tuyến thì sẽ lỡ tin nhắn, giống IRC
Luật này có áp dụng cho tôi không? Tôi có phải bảo đảm máy chủ của mình không có người dùng ở Anh không?
Khi dựng máy chủ, tôi hoàn toàn không lường trước những chuyện như thế này. Tôi đã nghĩ việc triển khai các biện pháp bảo mật và quyền riêng tư mạnh là một trách nhiệm cần được xem xét nghiêm túc
Nếu phải làm tổn hại quyền riêng tư của mọi người thì tôi không muốn vận hành máy chủ nữa. Nếu không có quyền riêng tư thì nó chẳng khác gì dùng dịch vụ của các tập đoàn khổng lồ
Tôi thấy vài ý kiến nói rằng thay chính phủ sẽ có ích, nhưng chính phủ Labour trước đây (1997~2010) đã đưa vào Regulation of Investigatory Powers Act 2000: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
Trong đó cũng có quy định tiết lộ khóa: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... Với việc tiết lộ khóa, gánh nặng chứng minh bị đảo ngược: bị cáo phải chứng minh mình không có khóa hoặc không thể giải mã, và vào thời điểm đó điều này đã khá gây tranh cãi trong số những người quan tâm. Việc sử dụng thực tế các điều khoản RIPA III bắt đầu vào năm 2007
Cũng chính chính phủ Labour đó đã thúc đẩy Interception Modernisation Programme: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Có thể bạn nhớ nó qua cụm “mastering the internet” trong các tiết lộ của Snowden, nhưng bản thân IMP không phải là bí mật. Họ cũng đã đưa ra một dự luật nhằm luật hóa một phần chương trình đó: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... Dự luật này đã không trở thành luật
Tôi cho rằng Labour cũng đồng tình với hướng này. Và tầng lớp công chức cấp cao làm việc trực tiếp với bộ trưởng hoặc ở gần họ không thay đổi như trong chính quyền Mỹ. Có khả năng dự luật này sẽ bị hủy vì không đủ thời gian trong nhiệm kỳ quốc hội hiện tại và chính phủ kế tiếp không tiếp tục, nhưng điều tương tự cũng có thể xảy ra ngay cả khi cùng một đảng tiếp tục cầm quyền. Tuy nhiên, ý tưởng này sẽ quay lại dưới một hình thức nào đó, và cuối cùng có lẽ sẽ trở thành luật
Để triển khai hoàn toàn điều này, phải tháo dỡ một lượng khổng lồ phần mềm và giao thức, bao gồm VPN, SSL/TLS, SSH, WebRTC
Các nước khác sẽ không muốn những giao thức này bị làm suy yếu chỉ vì Vương quốc Anh. Cuối cùng Vương quốc Anh sẽ có một “tường lửa khổng lồ” và trên thực tế tạo ra một Internet nhỏ của riêng mình, còn những người rành công nghệ sẽ chui qua các lỗ hổng như ở Trung Quốc
https://despair.com/products/mistakes
Tôi tò mò có bao nhiêu công ty sẽ chặn Vương quốc Anh thay vì tuân thủ luật. Chắc chắn không phải là 0
https://www.politico.eu/article/uk-ministers-lock-horns-with...
Chẳng phải chỉ cần xóa bỏ cơ sở kinh doanh tại Anh để tránh các vấn đề pháp lý tiềm tàng là được sao?