رؤساء الشرطة الأوروبية يستهدفون E2EE في أحدث طلب من أجل “الوصول القانوني”
في أحدث نسخة من حروب العملات المشفرة التي لا تنتهي (ودائمًا ما تثير الحيرة)، دعا غرايم بيغار، المدير العام للوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA)، الشركة الأم لإنستغرام، ميتا، إلى إعادة التفكير في طرحها المستمر للنهاية. -التشفير من النهاية (E2EE).
وتأتي هذه الدعوة في أعقاب إعلان مشترك صدر يوم الأحد عن رؤساء الشرطة الأوروبيين، بما في ذلك شرطة المملكة المتحدة، أعربوا فيه عن “قلقهم” بشأن كيفية نشر E2EE من قبل صناعة التكنولوجيا ودعوا المنصات إلى تصميم أنظمة أمنية بطريقة لا يزال بإمكانهم التعرف عليها نشاط غير قانوني وإرسال تقارير عن محتوى الرسالة إلى جهات إنفاذ القانون.
في تصريحات لبي بي سي يوم الاثنين، اقترح رئيس NCA خطة ميتا الحالية لتعزيز الأمن حول الدردشات الخاصة لمستخدمي Instagram من خلال طرح ما يسمى بتشفير “عدم الوصول” – حيث يمكن لمرسل الرسالة ومتلقيها فقط الوصول إلى المحتوى – يشكل تهديدا لسلامة الأطفال. بدأ عملاق الشبكات الاجتماعية أيضًا طرحًا مخططًا له منذ فترة طويلة لـ E2EE الافتراضي على Facebook Messenger في ديسمبر.
“مرر لنا المعلومات”
وفي حديثه لبرنامج توداي على إذاعة بي بي سي 4، قال بيغار لمحاوره نيك روبنسون: “مسؤوليتنا كمسؤولين عن تطبيق القانون… هي حماية الجمهور من الجريمة المنظمة، ومن الجرائم الخطيرة، ونحن بحاجة إلى معلومات حتى نتمكن من القيام بذلك.
“تضع شركات التكنولوجيا الكثير من المعلومات حول التشفير الشامل. ليس لدينا مشكلة مع التشفير. تقع على عاتقي مسؤولية محاولة حماية الجمهور من الجرائم الإلكترونية أيضًا — لذا يعد التشفير القوي أمرًا جيدًا — ولكن ما نحتاجه هو أن تظل الشركات قادرة على تزويدنا بالمعلومات التي نحتاجها للحفاظ على أمان الجمهور. “
وقال بيغار إنه في الوقت الحالي، نتيجة للقدرة على فحص الرسائل غير المشفرة، ترسل المنصات عشرات الملايين من التقارير المتعلقة بسلامة الأطفال سنويًا إلى قوات الشرطة في جميع أنحاء العالم – مضيفًا ادعاء آخر بأنه “على الجانب الخلفي” ومن هذه المعلومات، نقوم عادةً بحماية 1200 طفل شهريًا ونعتقل 800 شخص. المعنى الضمني هنا هو أن هذه التقارير سوف تنتهي إذا استمرت Meta في توسيع استخدامها لـ E2EE إلى Instagram.
مشيرًا إلى أن تطبيق WhatsApp المملوك لشركة Meta يستخدم التشفير القياسي الذهبي باعتباره التشفير الافتراضي لسنوات (تم تنفيذ E2EE بالكامل عبر منصة المراسلة بحلول أبريل 2016)، تساءل روبنسون عما إذا كانت هذه حالة من وكالة الجريمة التي تحاول إغلاق الاستقرار. الباب بعد أن انسحب الحصان. لم يحصل على إجابة مباشرة على ذلك، بل مجرد المزيد من المراوغة المثيرة للدهشة.
قال بيغار: “إنه اتجاه. نحن لا نحاول إيقاف التشفير. كما قلت، نحن ندعم التشفير والخصوصية بشكل كامل، وحتى التشفير الشامل يمكن أن يكون جيدًا تمامًا. ما نريده هو أن تجد الصناعة طرقًا لتزويدنا بالمعلومات التي نحتاجها.
يتماشى تدخل Biggar مع الإعلان المشترك المذكور أعلاه، والذي يحث فيه رؤساء الشرطة الأوروبيون المنصات على اعتماد “حلول تقنية” غير محددة يمكن أن توفر للمستخدمين أمانًا وخصوصية قوية مع الحفاظ على قدرتهم على اكتشاف النشاط غير القانوني والإبلاغ عن المحتوى الذي تم فك تشفيره إلى قوات الشرطة.
وجاء في الإعلان أن “الشركات لن تكون قادرة على الاستجابة بشكل فعال للسلطة القانونية”. “ونتيجة لذلك، لن نتمكن ببساطة من الحفاظ على سلامة الجمهور […] لذلك، ندعو صناعة التكنولوجيا إلى بناء الأمن حسب التصميم، لضمان احتفاظهم بالقدرة على تحديد الأنشطة الضارة وغير القانونية والإبلاغ عنها، مثل الاستغلال الجنسي للأطفال، والتصرف بشكل قانوني واستثنائي بناءً على سلطة قانونية.
تم اعتماد تفويض مماثل “للوصول القانوني” إلى الرسائل المشفرة من قبل المجلس الأوروبي في قرار صدر في ديسمبر 2020.
المسح من جانب العميل؟
لا يوضح الإعلان التقنيات التي يريدون أن تنشرها المنصات حتى يتمكنوا من البحث عن المحتوى الذي به مشكلات وإرسال هذا المحتوى الذي تم فك تشفيره إلى جهات إنفاذ القانون. من المحتمل أنهم يضغطون من أجل شكل ما من أشكال الفحص من جانب العميل – مثل النظام الذي كانت شركة Apple على وشك طرحه في عام 2021 للكشف عن مواد الاعتداء الجنسي على الأطفال (CSAM) على أجهزة المستخدمين.
وفي الوقت نفسه، لا يزال لدى المشرعين في الاتحاد الأوروبي خطة تشريعية مثيرة للجدل لفحص رسائل الاعتداء الجنسي على الأطفال مطروحة على الطاولة. حذر خبراء الخصوصية والقانون – بما في ذلك المشرف على حماية البيانات في الكتلة – من أن مشروع القانون يشكل تهديدًا وجوديًا للحريات الديمقراطية، ويمكن أن يلحق الضرر بالأمن السيبراني أيضًا. يجادل النقاد أيضًا بأنه نهج معيب لحماية الأطفال، مما يشير إلى أنه من المحتمل أن يسبب ضررًا أكثر من نفعه من خلال توليد الكثير من النتائج الإيجابية الكاذبة.
في أكتوبر/تشرين الأول الماضي، عارض البرلمانيون اقتراح اللجنة، ودعموا بدلاً من ذلك نهجاً معدلاً بشكل كبير يهدف إلى الحد من نطاق “أوامر الكشف” الخاصة بأجهزة الاعتداء الجنسي على الأطفال. ومع ذلك، لم يتفق المجلس الأوروبي بعد على موقفه. هذا الشهر، حذرت العشرات من مجموعات المجتمع المدني وخبراء الخصوصية من أن قانون “المراقبة الجماعية” المقترح لا يزال يمثل تهديدًا لـ E2EE. وفي الوقت نفسه، وافق المشرعون في الاتحاد الأوروبي على تمديد الاستثناء المؤقت من قواعد الخصوصية الإلكترونية للكتلة التي تسمح للمنصات بإجراء مسح طوعي لـ CSAM – ويهدف القانون المخطط له إلى استبدال ذلك.
يشير توقيت الإعلان المشترك يوم الأحد إلى أنه يهدف إلى زيادة الضغط على المشرعين في الاتحاد الأوروبي للالتزام بخطة فحص أسلحة CSAM.
لا ينص اقتراح الاتحاد الأوروبي على أي تقنيات يجب أن تستخدمها المنصات لمسح محتوى الرسائل أيضًا، لكن النقاد يحذرون من أنه من المحتمل أن يفرض اعتماد المسح من جانب العميل على الرغم من أن التكنولوجيا الناشئة غير ناضجة وغير مثبتة وببساطة ليست جاهزة للاستخدام السائد.
لم يسأل روبنسون Biggar عما إذا كان رؤساء الشرطة يضغطون من أجل إجراء فحص من جانب العميل، لكنه سأل عما إذا كانوا يريدون تشفير Meta من “الباب الخلفي”. ومرة أخرى، كانت إجابة بيجار غامضة: “لا يمكننا أن نطلق على ذلك بابًا خلفيًا – فالكيفية التي يحدث بها بالضبط هي التي تحددها الصناعة. وهم الخبراء في هذا.”
وضغط روبنسون على رئيس شرطة المملكة المتحدة للتوضيح، مشيرًا إلى أن المعلومات إما مشفرة بقوة (وخاصة جدًا)، أو أنها ليست كذلك. لكن بيجار ابتعد عن هذه النقطة كثيرًا، مجادلًا بأن “كل منصة تنتمي إلى نطاق واسع” من أمن المعلومات مقابل رؤية المعلومات. وأشار إلى أنه “لا يوجد شيء تقريبًا في النهاية الآمنة تمامًا”. “العملاء لا يريدون ذلك لأسباب تتعلق بسهولة الاستخدام [such as] القدرة على استعادة بياناتهم إذا فقدوا هاتفًا.
“ما نقوله هو أن كونك مطلقًا على أي من الجانبين لا ينجح. بالطبع، لا نريد أن يكون كل شيء مفتوحًا تمامًا. لكننا أيضًا لا نريد أن يكون كل شيء مغلقًا تمامًا. لذلك نريد من الشركات أن تجد طريقة للتأكد من قدرتها على توفير الأمن والتشفير للجمهور، مع الاستمرار في تزويدنا بالمعلومات التي نحتاجها لحماية الجمهور.
عدم وجود تكنولوجيا السلامة
في السنوات الأخيرة، كانت وزارة الداخلية في المملكة المتحدة تروج لفكرة ما يسمى بـ “تقنية السلامة” التي من شأنها أن تسمح بمسح محتوى E2EE لاكتشاف مواد الاعتداء الجنسي على الأطفال دون التأثير على خصوصية المستخدم. ومع ذلك، فإن تحدي “تكنولوجيا السلامة” لعام 2021، في محاولة لتقديم دليل على مفاهيم مثل هذه التكنولوجيا، أدى إلى نتائج سيئة للغاية لدرجة أن الخبير المعين لتقييم المشاريع، حذر عويس رشيد، أستاذ الأمن السيبراني بجامعة بريستول، العام الماضي. أن أيًا من التقنيات التي تم تطويرها لمواجهة التحدي لا تفي بالغرض. وكتب: “يظهر تقييمنا أن الحلول قيد النظر ستضر بالخصوصية بشكل عام ولا تحتوي على ضمانات مدمجة لوقف إعادة استخدام مثل هذه التقنيات لمراقبة أي اتصالات شخصية”.
إذا كانت التكنولوجيا التي تسمح لإنفاذ القانون بالوصول إلى بيانات E2EE دون الإضرار بخصوصية المستخدمين موجودة بالفعل، كما يبدو أن Biggar يدعي، فلماذا لا تستطيع قوات الشرطة شرح ما تريد من المنصات تنفيذه؟ (تجدر الإشارة هنا إلى أنه في العام الماضي، أشارت التقارير إلى أن وزراء الحكومة أقروا سرًا بعدم وجود مثل هذه التكنولوجيا الآمنة لمسح E2EE حاليًا.)
اتصلت TechCrunch بـ Meta للرد على تصريحات Biggar والإعلان المشترك الأوسع. وفي بيان عبر البريد الإلكتروني، كرر المتحدث باسم الشركة دفاعها عن توسيع الوصول إلى E2EE، كتابة: “تعتمد الغالبية العظمى من البريطانيين بالفعل على التطبيقات التي تستخدمها التشفير لحمايتهم من المتسللين والمحتالين والمجرمين. لا نعتقد أن الناس يريدون منا أن نقرأ رسائلهم الخاصة، لذلك أمضينا السنوات الخمس الماضية في تطوير إجراءات أمان قوية لمنع إساءة الاستخدام واكتشافها ومكافحتها مع الحفاظ على الأمان عبر الإنترنت. لقد نشرنا مؤخرًا تقرير محدث جلسة خارج هذه التدابير، مثل منع الأشخاص الذين تزيد أعمارهم عن 19 عامًا من مراسلة المراهقين الذين لا يتابعونهم واستخدام التكنولوجيا لتحديد السلوك الضار واتخاذ الإجراءات اللازمة ضده. كما نحن لفافة خارج نهاية إلى نهاية تشفير
وقد نجت ميتا من سلسلة من الدعوات المماثلة من وزراء الداخلية في المملكة المتحدة خلال فترة حكومة المحافظين التي استمرت لأكثر من عقد من الزمن. في سبتمبر الماضي، أخبرت سويلا برافرمان، وزيرة الداخلية في ذلك الوقت، شركة ميتا أنه يجب عليها نشر “تدابير السلامة” جنبًا إلى جنب مع E2EE، محذرة من أن الحكومة يمكن أن تستخدم صلاحياتها في مشروع قانون السلامة على الإنترنت (القانون الآن) لمعاقبة الشركة إذا فشلت في لعب الكرة.
عندما سأل روبنسون بيغار عما إذا كان بإمكان الحكومة التصرف إذا لم تغير ميتا مسارها بشأن E2EE، استشهد رئيس الشرطة بقانون السلامة على الإنترنت وأشار إلى تشريع آخر، وهو قانون صلاحيات التحقيق التي تمكن المراقبة (IPA)، قائلاً: “الحكومة يمكن أن تتحرك وعلى الحكومة أن تتحرك. ولديها صلاحيات قوية بموجب قانون صلاحيات التحقيق وكذلك قانون السلامة على الإنترنت للقيام بذلك.
يمكن أن تكون العقوبات المفروضة على انتهاكات قانون السلامة عبر الإنترنت كبيرة، كما أن Ofcom مخولة بإصدار غرامات تصل إلى 10% من إجمالي المبيعات السنوية في جميع أنحاء العالم.
تعمل حكومة المملكة المتحدة أيضًا على تعزيز قانون IPA بمزيد من الصلاحيات التي تستهدف منصات المراسلة، بما في ذلك اشتراط أن تقوم خدمات المراسلة بمسح ميزات الأمان مع وزارة الداخلية قبل إطلاقها.
أثارت خطة توسيع نطاق IPA مخاوف في جميع أنحاء صناعة التكنولوجيا في المملكة المتحدة من تعرض أمن المواطنين وخصوصيتهم للخطر. وفي الصيف الماضي، حذرت شركة آبل من أنها قد تضطر إلى إغلاق خدمات مثل iMessage وFaceTime في المملكة المتحدة إذا لم تقم الحكومة بإعادة التفكير في التوسع المخطط له في سلطات المراقبة.
هناك بعض المفارقة في حملة الضغط الأخيرة هذه. من المؤكد تقريبًا أن أجهزة إنفاذ القانون والأمن لم تتمكن مطلقًا من الوصول إلى معلومات استخباراتية عن الإشارات أكثر مما هي عليه اليوم، حتى مع الأخذ في الاعتبار ظهور E2EE. لذا فإن فكرة أن تحسين أمان الويب سيؤدي فجأة إلى نهاية جهود حماية الأطفال هي ادعاء ثنائي واضح.
ومع ذلك، لن يتفاجأ أي شخص مطلع على حروب العملات الرقمية التي استمرت لعقود من الزمن برؤية مثل هذه المناشدات يتم نشرها في محاولة لإضعاف أمن الإنترنت. هكذا كانت تُشن دائمًا هذه الحرب الدعائية.