- Tòa án Nhân quyền châu Âu đã cấm việc làm suy yếu mã hóa đầu cuối (end-to-end encryption) một cách phổ quát, qua đó có thể cũng sẽ chặn lại kế hoạch giám sát hàng loạt chat control CSAR của EU
- Phán quyết cho rằng mã hóa bảo vệ công dân và doanh nghiệp khỏi tấn công mạng, đánh cắp danh tính và dữ liệu cá nhân, lừa đảo, rò rỉ thông tin mật, và backdoor có thể bị các mạng lưới tội phạm lợi dụng
- Tòa án cho rằng vẫn có những cách giám sát liên lạc được mã hóa mà không làm giảm mức bảo vệ của tất cả người dùng, ví dụ như khai thác lỗ hổng trong phần mềm mục tiêu hoặc cài implant lên thiết bị
- Nghị sĩ Nghị viện châu Âu Patrick Breyer đánh giá rằng đề xuất quét phía máy khách của Ủy ban châu Âu là rõ ràng bất hợp pháp theo phán quyết này vì nó giám sát mọi smartphone và phá hủy lớp bảo vệ mã hóa
- Dù Nghị viện châu Âu đã bác bỏ việc phá vỡ mã hóa an toàn và chat control bừa bãi, đàm phán vẫn có thể bắt đầu khi EU Council chốt lập trường, và các bộ trưởng nội vụ EU dự kiến sẽ thảo luận lại dự luật vào đầu tháng 3
Việc làm suy yếu mã hóa bị phán quyết cấm
- Tòa án Nhân quyền châu Âu cấm các biện pháp làm suy yếu mã hóa đầu cuối an toàn một cách phổ quát
- Mã hóa được công nhận là công cụ bảo vệ công dân và doanh nghiệp trước nhiều mối đe dọa
- tấn công mạng
- đánh cắp danh tính và dữ liệu cá nhân
- lừa đảo
- công bố trái phép thông tin mật
- Backdoor có thể bị các mạng lưới tội phạm lợi dụng, từ đó gây nguy hại nghiêm trọng đến an toàn của liên lạc điện tử của mọi người dùng
- Tòa án cho rằng cũng có thể áp dụng các phương thức giám sát mà không hạ thấp mức bảo vệ của tất cả người dùng
- khai thác lỗ hổng trong phần mềm mục tiêu
- gửi implant tới thiết bị mục tiêu
- Căn cứ phán quyết được dẫn tại para. 76 ff. trong tài liệu phán quyết của ECHR
Đánh giá của Breyer về dự luật chat control của EU
- Patrick Breyer, nghị sĩ Nghị viện châu Âu thuộc Pirate Party, gọi đây là một landmark judgement
- Breyer cho rằng hoạt động giám sát quét phía máy khách trên mọi smartphone trong dự luật chat control của Ủy ban châu Âu là rõ ràng bất hợp pháp
- Theo đánh giá của ông, cách làm này không nhắm vào nghi phạm mà thay vào đó phá vỡ lớp bảo vệ mã hóa của tất cả mọi người
- Breyer kêu gọi các chính phủ EU loại bỏ khỏi dự luật việc phá hủy mã hóa an toàn và giám sát bừa bãi liên lạc riêng tư của toàn bộ dân số
Lo ngại về mã hóa và tính liên tục của dịch vụ
- Breyer nhấn mạnh rằng mã hóa an toàn cứu mạng người
- Nếu không có mã hóa, không thể chắc chắn rằng tin nhắn hay ảnh sẽ không bị lộ cho những người không đáng tin cậy
- Cái gọi là quét phía máy khách được cho là sẽ dẫn đến một trong hai kết quả
- khiến liên lạc trở nên không an toàn về bản chất
- khiến công dân châu Âu không còn có thể sử dụng WhatsApp hoặc Signal
- Breyer cho biết các nhà cung cấp này đã cân nhắc việc ngừng dịch vụ tại châu Âu
- Bản dự thảo lập trường mới nhất của EU Council vẫn bị chỉ trích là tiếp tục hướng tới việc phá vỡ mã hóa an toàn
Cấu trúc đề xuất của EU Commission
- EU Commission và mạng lưới công nghiệp của các cơ quan giám sát yêu cầu một phương án tìm kiếm tổng quát trong liên lạc riêng tư
- Đối tượng tìm kiếm bao gồm cả messenger mã hóa đầu cuối
- Mục tiêu là tìm dấu hiệu của nội dung bất hợp pháp
- Cách tiếp cận này phụ thuộc vào công nghệ dễ phát sinh lỗi
- Nó chỉ có thể được triển khai nếu làm suy yếu mã hóa đầu cuối an toàn
Vị trí hiện tại của các cơ quan EU
- Đa số chính phủ EU ủng hộ sáng kiến này
- Tuy nhiên, một blocking minority đang ngăn quyết định được thông qua
- Các bộ trưởng nội vụ EU dự kiến sẽ thảo luận lại dự luật vào đầu tháng 3
- Nghị viện châu Âu, dưới áp lực từ Pirates và xã hội dân sự, đã bác bỏ
- việc phá hủy mã hóa an toàn
- chat control bừa bãi
- Lập trường của Parliament sẽ là điểm khởi đầu cho các cuộc đàm phán có thể diễn ra sau khi EU Council chốt lập trường
Meta và chat control tự nguyện
- Meta đã công bố sẽ bắt đầu mã hóa direct messages của Facebook và Instagram trong năm 2024
- Họ cũng cho biết sẽ dừng hoạt động giám sát chat control tự nguyện hiện áp dụng cho các tin nhắn này
- EU đang tiến hành thủ tục gia hạn giấy phép cho chat control tự nguyện
- Trang thông tin của Breyer về chat control là chatcontrol.eu
1 bình luận
Các ý kiến trên Hacker News
Trong vụ này, tòa cho rằng nghĩa vụ giải mã thông tin liên lạc được mã hóa đầu cuối là sự xâm phạm không tương xứng đối với quyền riêng tư
Luật bị đặt vấn đề đã yêu cầu các ứng dụng nhắn tin như Telegram phải giao nộp nội dung liên lạc, và nếu nội dung được mã hóa thì cả “thông tin cần thiết để giải mã tin nhắn điện tử”
Tòa cho rằng việc làm suy yếu mã hóa đầu cuối bằng cửa hậu sẽ gây tác động rộng lớn, đồng thời cũng trích dẫn yêu cầu rằng thông qua lập pháp và sự phát triển kỹ thuật liên tục, cần tìm ra “các phương án giải mã thay thế không làm suy yếu cơ chế bảo vệ”. Những phương án này bao gồm điều tra truyền thống, điều tra chìm, phân tích metadata, phối hợp cảnh sát quốc tế, live forensics trên thiết bị bị thu giữ, suy đoán hoặc lấy khóa riêng do các bên liên lạc nắm giữ, khai thác lỗ hổng phần mềm có mục tiêu hoặc gửi implant
Dù đây là phán quyết về một vụ việc và một đạo luật cụ thể, tòa có vẻ khá hoài nghi nói chung với cách yêu cầu nhà cung cấp dịch vụ làm suy yếu cơ chế mã hóa của mọi người dùng. Nếu là chính phủ Anh, họ có thể lo ngại rằng dựa trên phán quyết này, Online Safety Bill có khả năng bị tòa án trong nước hoặc tòa án châu Âu lật lại
Tuy nhiên, ngay cả khi cho rằng cửa hậu trong mã hóa đầu cuối vượt quá phạm vi hạn chế chính đáng đối với quyền riêng tư, quyền riêng tư vẫn là quyền có thể tạm đình chỉ, nên nếu chính phủ tuyên bố tình trạng khẩn cấp “đe dọa sự sống còn của quốc gia”, họ có thể tạm đình chỉ trong phạm vi cần thiết theo Điều 15 ECHR
Các đoạn liên quan là 76~80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
Điều tốt nhất họ có thể làm là ra tuyên bố không phù hợp, và khi đó các bộ trưởng có thể sửa khuyết điểm bằng văn bản dưới luật mà không cần thông qua lại một đạo luật mới. Tất nhiên đó là khi có ý chí chính trị để làm vậy
Tuy nhiên Online Safety Act định xử lý một phần lớn thông qua văn bản dưới luật, bộ quy tắc pháp định và hướng dẫn, nên những thứ này có thể bị tòa hủy bỏ. Miễn là bản thân đạo luật không ràng buộc đến mức buộc phải tạo ra các biện pháp xâm phạm, diễn biến tiếp theo sẽ rất đáng chú ý
Đáng tiếc là không thể đơn giản nói rằng hai thứ hoàn toàn không tương thích. Theo phán quyết này, vấn đề chỉ phát sinh khi không có biện pháp bảo đảm tốt; bản án có chỗ dùng “adequate”, chỗ khác dùng “suitable”, nhưng không nói rõ cụ thể là gì
https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
Để đáp lại yêu cầu cung cấp thông tin giải mã, Lavabit đã giao khóa riêng, nhưng nộp dưới dạng đánh máy trên giấy. Có lẽ đâu đó ở trang 6 hoặc trang 12 có thể đã có lỗi đánh máy
https://thenextweb.com/news/you-wont-believe-what-email-prov...
Tôi hơi bối rối. Bản thân bài viết trông khá chính trị, trích khẩu hiệu quảng bá của Pirate Party nhưng lại không giải thích vụ việc nào đã ra tòa và phán quyết chính xác đã cấm điều gì, nên tôi bấm vào phán quyết thực tế được liên kết ở cuối
Vụ này có vẻ không liên quan trực tiếp đến Pirate Party hay Chat Control. Nhìn qua phần sự kiện, đây là vụ một cá nhân kiện chính phủ Nga sau khi Telegram bị phạt vì không giao nộp tin nhắn chat dạng plaintext. Trong toàn bộ bài viết thậm chí không có từ “Russia”. Tôi không hiểu bài này đang đưa tin về điều gì, và vì sao lại mô tả như thể nó liên quan đến dự luật Chat Control gần đây
Nhìn vào các đoạn 80~81 của phán quyết, “việc lưu giữ thông tin liên lạc Internet của mọi người dùng, quyền truy cập trực tiếp của cơ quan an ninh khi không có biện pháp bảo đảm chống lạm dụng, và yêu cầu giải mã thông tin liên lạc được mã hóa áp dụng cho thông tin liên lạc được mã hóa đầu cuối” không thể được coi là cần thiết trong một xã hội dân chủ, và do đó là vi phạm quyền riêng tư theo Điều 8 ECHR
Có thể mở rộng lập luận này sang các luật né tránh mã hóa khác như Chat Control, nhưng nếu không xét đến hoàn cảnh cụ thể của luật Nga thì có thể không chính xác. Chẳng hạn, cụm “không có đủ biện pháp bảo đảm chống lạm dụng” ở đoạn 80 là quan trọng, và nếu Chat Control ra trước cùng hội đồng xét xử thì họ cũng có thể đã kết luận rằng có những cơ chế như vậy
Thật tốt là phán quyết vẫn áp dụng cho Anh sau Brexit. Anh vẫn là thành viên ECHR
Dạo này châu Âu đang thể hiện khá tốt cách triển khai quy định công nghệ một cách hợp lý
Quá nhiều chuyện từng kết thúc kiểu “hai năm nữa họ lại quay lại và thử tiếp thôi”, nên việc xuất hiện một rào cản dài hạn đối với những đề xuất chống mã hóa đầu cuối như thế này khiến tôi thấy hơi yên tâm
Châu Âu cuối cùng cũng làm được một việc thật sự đáng thích
Tôi đã lo câu chuyện “hãy nghĩ đến trẻ em” sẽ chiếm thế thượng phong, nhưng ít nhất ở châu Âu thì giá trị của mã hóa có vẻ vẫn có tương lai
Giữa chính phủ và ngành công nghiệp luôn có một mức độ giằng co nhất định về mã hóa. Chính phủ không nên cài lỗ hổng vào thuật toán, nhưng cũng cần có cách đọc tin nhắn của tội phạm và khủng bố. Ngành công nghiệp muốn có cách khiến khách hàng cảm thấy họ dùng sản phẩm nhắn tin một cách an toàn cho các mục đích hợp pháp
Nếu không có sức ép ở cấp khu vực, việc thương mại hóa mã hóa sẽ bị nhường cho Mỹ. Giới học thuật sẽ vẫn tiếp tục thích các thuật toán mới, nhưng cho đến khi có ai đó kiếm được tiền từ chúng, chúng sẽ vẫn nằm trong các bài báo, và rốt cuộc chỉ ở trạng thái sẵn sàng để một lập trình viên Mỹ cấp tiến nào đó biến thành ứng dụng chat mã hóa lớn tiếp theo, an toàn hơn Signal
Tốt. Tôi sẽ không nêu tên, nhưng chắc vài ISP hiện giờ không vui lắm đâu. Phán quyết này thực sự hãm lại một số mô hình proxy
Thật hả hê
Bài viết dở một nửa. Bỏ qua lập trường chính trị thì văn phong cũng kém và thiên lệch
Đọc bản án còn hơn
https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
CASE OF PODCHASOV v. RUSSIA
Application no. 33696/19
Bản án thật cũng khá đáng đọc, và xem lướt nhanh thì nội dung bài viết nhìn chung có vẻ đúng
Ông là người dùng Telegram, dịch vụ bị Nga chỉ định là “đơn vị tổ chức truyền thông Internet”, và theo luật, Telegram phải lưu toàn bộ dữ liệu liên lạc trong 1 năm, nội dung liên lạc trong 6 tháng, đồng thời trong các trường hợp luật định phải nộp dữ liệu đó cùng thông tin cần thiết để giải mã các tin nhắn điện tử đã mã hóa cho cơ quan thực thi pháp luật hoặc cơ quan an ninh
Podchasov viện dẫn Điều 8 và Điều 13 của ECHR để phản đối các yêu cầu lưu trữ, chuyển giao và giải mã dữ liệu, cũng như việc thiếu biện pháp khắc phục hiệu quả; tòa công nhận có vi phạm Điều 8. Đối với thiệt hại phi vật chất, tòa cho rằng bản thân việc công nhận vi phạm đã là sự thỏa mãn công bằng đầy đủ
Liên kết nguồn bị hỏng: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
Trang web này tệ hại vì gần như không thể tạo liên kết vĩnh viễn. Một thiết kế thật sự tồi đối với một cơ quan đưa ra các quyết định quan trọng mà người ta cần trích dẫn
Tòa quyết định với tỷ lệ 5–2 rằng khiếu nại theo Điều 13 không cần xem xét riêng, với tỷ lệ 6–1 rằng bản thân việc công nhận vi phạm là sự thỏa mãn đầy đủ đối với thiệt hại phi vật chất, và bác yêu cầu thỏa mãn công bằng của người nộp đơn với tỷ lệ 6–1
Phán quyết được viết bằng tiếng Anh và được thông báo bằng văn bản vào ngày 13/2/2024
Tòa cũng nói mã hóa bảo vệ công dân và doanh nghiệp trước việc lạm dụng công nghệ thông tin như hack, đánh cắp danh tính và dữ liệu cá nhân, gian lận, hay tiết lộ không phù hợp thông tin mật; vì vậy điều này phải được cân nhắc đầy đủ khi đánh giá các biện pháp có thể làm suy yếu mã hóa
Để giải mã liên lạc được mã hóa đầu cuối như “secret chats” của Telegram, có vẻ sẽ phải làm suy yếu mã hóa của tất cả người dùng; biện pháp như vậy không thể chỉ giới hạn ở các cá nhân cụ thể, nên sẽ ảnh hưởng bừa bãi cả đến những người không đe dọa lợi ích chính đáng của chính phủ
Tòa nhận định rằng việc tạo backdoor sẽ khiến việc giám sát thường xuyên, chung chung và không phân biệt đối xử đối với liên lạc điện tử cá nhân trở nên khả thi về mặt kỹ thuật, đồng thời các tổ chức tội phạm cũng có thể lạm dụng, qua đó gây tổn hại nghiêm trọng đến an toàn liên lạc điện tử của mọi người dùng
Tòa thừa nhận tội phạm cũng có thể dùng mã hóa, khiến điều tra khó khăn hơn, nhưng chấp nhận lập luận rằng cần tìm các phương án giải mã thay thế không làm suy yếu cơ chế bảo vệ, cũng như các phương pháp điều tra khác
Kết luận là, trong vụ này, nghĩa vụ giải mã liên lạc mã hóa đầu cuối có nguy cơ buộc nhà cung cấp dịch vụ làm suy yếu cơ chế mã hóa của mọi người dùng, nên không tương xứng với mục tiêu chính đáng; luật liên quan không thể được coi là cần thiết trong một xã hội dân chủ, do đó cấu thành vi phạm Điều 8
Tin tuyệt vời
Tòa án Nhân quyền châu Âu chính là tòa mà chính phủ ngu ngốc của Anh đang cố gom chung với EU để công kích