- Birleşik Krallık Parlamentosu’nun Online Safety Bill tasarısı, House of Lords onayı öncesindeki son aşamada bulunuyor ve mesajlaşma hizmetlerine arka kapı zorunluluğu getirebileceği için dünya genelindeki kullanıcıların mahremiyetini etkileyebilir
- Tasarıdaki temel çatışma noktası, çocuk istismarı ve terörle ilgili içeriklerin tespiti için istenen mesaj tarama zorunluluğunun uçtan uca şifrelemeyle bağdaşmasının zor olması
- WhatsApp, Signal ve Element dahil şirketler, Nisan 2023’te yayımladıkları açık mektupta bunun özel mesajlar üzerinde gündelik, genel ve ayrım gözetmeyen gözetime yol açabileceği uyarısında bulundu; Apple da Haziran’da karşı çıkışa katıldı
- Birleşik Krallık hükümeti, istemci tarafı tarama ile güvenlik ve mahremiyetin birlikte korunabileceğini savunuyor; ancak EFF, şifreleme arka kapılarının yalnızca iyi niyetli amaçlarla kullanılamayacağını söylüyor
- Uçtan uca şifrelemeyi koruyan bir değişiklik yapılmazsa, düşmanca ortamlarda çalışan insan hakları savunucuları, gazeteciler ve LGBTQ+ kullanıcılar gibi özel mesajlaşmaya bağımlı kişiler doğrudan risk üstlenecek
Online Safety Bill’in şifreleme üzerindeki baskısı
- Birleşik Krallık Parlamentosu, kapsamlı bir internet düzenleme yasası olan Online Safety Bill üzerinde ilerliyor ve tasarı şu anda House of Lords onayı öncesindeki son aşamada
- Bu tasarı, Birleşik Krallık hükümetine mesajlaşma hizmetlerine arka kapı dayatma yetkisi vererek uçtan uca şifrelemeyi zayıflatabilir
- Tasarının en tehlikeli unsurlarını hafifletecek değişiklikler ise henüz kabul edilmiş değil
- EFF, tasarının etkisinin Birleşik Krallık’la sınırlı kalmayıp dünya genelinde mahremiyet ve demokrasi açısından geriye gidişe yol açabileceği uyarısında bulunuyor
İnternet düzenlemesinin kapsamı ve temel tartışma
- Online Safety Bill, dört yıldan uzun süre önce yayımlanan “online harms” beyaz kitabından doğdu ve son derece geniş kapsamlı bir internet düzenlemesi olarak ele alınıyor
- Gereklilikler arasında içerik filtreleme, yetişkin içeriklerine erişim için yaş doğrulama ve hükümete sunulan çevrimiçi faaliyetlere dair ayrıntılı raporlar yer alıyor
- Bunlar arasında, uçtan uca şifrelemeyi kırabilecek mesaj tarama yetkisi en kritik sorun olarak öne çıkıyor
Mesaj tarama, uçtan uca şifrelemeyle çatışıyor
- Özel iletişim temel bir insan hakkıdır ve dijital ortamda bunu mümkün kılan en güçlü teknik araç uçtan uca şifrelemedir
- Hükümet onaylı mesaj tarama teknolojilerinin zorunlu tutulması, mesajların yalnızca gönderici ve alıcı tarafından okunabilmesini sağlayan şifreleme modeliyle çatışır
- EFF’nin temel itirazı, şifreleme arka kapılarının yalnızca “iyi insanlar” tarafından kullanılacağı bir modelin mümkün olmadığı yönünde
- Şifrelemeyi yasaklama yöntemi
- Şirketleri şifrelemeden geri adım atmaya zorlama yöntemi
- İstemci tarafı taramayı zorunlu kılma yöntemi, kötü niyetli aktörlerin ve otoriter devletlerin işine yarayabilir
Şirketler ve sivil toplumdan gelen uyarılar
- Birleşik Krallık hükümeti, çocuk istismarı veya terörle ilgili içerikleri bulmak için tüm çevrimiçi mesajları tarama yetkisi isterken kullanıcı mahremiyetini de koruyabileceğini söylüyor
- EFF ise bu iki hedefin aynı anda karşılanmasının mümkün olmadığını savunuyor
- Birleşik Krallık’taki sivil toplum kuruluşları, teknik uzmanlar ve dünya genelindeki insan hakları örgütleri de tasarıyı eleştiriyor
- WhatsApp, Signal ve Birleşik Krallık merkezli Element gibi şifreli mesajlaşma sağlayıcıları, Nisan 2023’te yayımladıkları açık mektupta OSB’nin risklerine dikkat çekti
- Tasarı uçtan uca şifrelemeyi kırabilir
- Arkadaşların, aile bireylerinin, çalışanların, yöneticilerin, gazetecilerin, insan hakları savunucularının ve siyasetçilerin özel mesajları bile gündelik, genel ve ayrım gözetmeyen gözetimin hedefi haline gelebilir
- Apple da Haziran 2023’te karşı çıkanlar arasına katılarak tasarının şifrelemeyi tehdit ettiğini ve Birleşik Krallık vatandaşlarını daha büyük risk altına sokabileceğini açıkça belirtti
Birleşik Krallık hükümetinin öne sürdüğü teknik mantık
- Birleşik Krallık Kültür, Medya ve Spor Bakanı, House of Lords’a gönderdiği yanıtta, uçtan uca şifrelenmiş platformlarda da mesaj taraması yapılırken mahremiyetin korunabileceği görüşünü yineledi
- Yanıtta, şirketlerin daha önce de uçtan uca şifrelenmiş platformlar için çözümler geliştirdiği ve Ofcom’un bu tür teknolojilerin kullanımını talep edebilmesi gerektiği ifade edildi
- Ayrıca, hemen kullanılabilecek bir çözüm yoksa hükümetin teknoloji arayışına öncülük etmesinin doğru olacağı görüşüne de yer verildi
-
Safety Tech Challenge Fund
- Birleşik Krallık hükümetinin, kullanıcı mahremiyetini korurken dosya taradığı iddia edilen yazılımların geliştirilmesi için küçük hibeler verdiği bir program
- Kazanan prototip açıklamalarında, dosyalar şifreli kanallar üzerinden gönderilmeden önce yapay zeka ile incelenmesini öngören çeşitli istemci tarafı tarama biçimleri yer alıyor
- EFF’ye göre bu, teknoloji şirketleri kullanıcıları koruyan “sihirli arka kapılar” geliştiremiyorsa daha çok teknoloji üretmeleri gerektiği yönündeki hatalı düşüncenin tekrarı
Hâlâ mümkün olan değişiklikler ve etkilenecek kişiler
- Birleşik Krallık milletvekilleri, kitlesel gözetleme sonucunu doğurabilecek bu kararı engelleme fırsatına hâlâ sahip
- House of Lords’un komite ya da rapor aşamalarında uçtan uca şifreleme yeterince ele alınmadı ve oylanmadı
- Lords, özel mesajlaşmayı koruyan ve uçtan uca şifrelemenin zayıflatılamayacağını veya kaldırılamayacağını açıkça belirten basit bir değişiklik ekleyebilir
- EFF, Birleşik Krallık’taki sivil toplum kuruluşlarıyla birlikte Temmuz 2023’te House of Lords’a bir bilgilendirme notu gönderdi
- Mevcut tasarıdaki şifrelemeyle ilgili sorunları açıklıyor
- Uçtan uca şifrelemeyi koruyan bir değişikliğin kabul edilmesini öneriyor
- Bu değişiklik kabul edilmezse, düşmanca ortamlarda çalışmak için özel mesajlaşmaya bağımlı insan hakları savunucuları ve gazeteciler ile ifade özgürlüğü için mahremiyete ihtiyaç duyan LGBTQ+ kullanıcılar bedel ödeyecek
Kamuoyu ve başvuru belgeleri
- EFF, evrensel tarama ve gözetimin Birleşik Krallık vatandaşlarının istediği yön olmadığını, bu nedenle parlamentonun tasarıyı reddetmesi gerektiğini düşünüyor
- Birleşik Krallık vatandaşlarıyla yakın zamanda yapılan bir ankette katılımcıların %83’ü, Signal, WhatsApp ve Element gibi mesajlaşma uygulamalarında mümkün olan en yüksek düzeyde güvenlik ve mahremiyet istediğini söyledi
- İlgili belgeler:
- EFF bilgi sayfası: U.K. Online Safety Bill
- OSB’nin ifade özgürlüğüne ve şifrelemeye nasıl saldırdığı — Ağustos 2022 EFF Deeplinks
- Birleşik Krallık Online Safety Bill taslağının ifade özgürlüğü konusunda doğurduğu ciddi endişeler — Temmuz 2021 EFF Deeplinks
- Online Safety Bill hakkında sivil toplum açık mektubu — Kasım 2022
- Şifreli mesajlaşma sağlayıcılarının açık mektubu — Nisan 2023
- EFF ve işbirliği yaptığı STK’ların House of Lords bilgilendirme notu — Temmuz 2023
1 yorum
Hacker News görüşleri
Birleşik Krallık hükümeti internetin sınırları olmadığını ve totaliter rejim düzeyinde aşırı kısıtlamalar olmadan sınır oluşturulamayacağını tekrar tekrar kavrayamıyor.
Geniş kapsamlı uluslararası iş birliği olmadan önlem dayatırlarsa, muazzam sayıda insanı internetin daha karanlık köşelerine iterler; yalnızca hedefi tamamen boşa çıkarmakla kalmaz, sorunu daha da kötüleştirirler.
Tek başına Meta bile bu yasayı feci bir başarısızlığa çevirecek güce sahip. İnsanlar WhatsApp kullanmak istiyor ve hükümetlerin kendileri de onu yaygın biçimde kullanıyor. Meta reddederse hükümetin yapabileceği çok az şey var. Facebook, Birleşik Krallık’ta tek bir çalışanı olmadan da faaliyetini sürdürebilir; iş tarafında bir miktar darbe alır ama bu gayet mümkün.
Hükümet, Apple ve Google’a baskı yapıp WhatsApp’ı Birleşik Krallık uygulama mağazalarından kaldırttırabilir; ancak bu tür bölgesel kısıtlamalar kolayca aşılır ve WhatsApp insanların denemeye değecek kadar popüler olduğu bir uygulama. O zaman sideloading, jailbreak ve bölge kısıtlamalarını aşma gibi pratikler normalleşir; siber suçlular fırsatı görüp ellerini ovuşturur, durdurulmak istenen pedofiller ve teröristler de bu akıma katılır.
https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
Birleşik Krallık’ta bu yasaya karşı çıkan şirketler pazardan çekilmekle tehdit ediyor. Bu, Birleşik Krallık’taki kullanıcıların yasayı çiğnemenin yollarını bulmasına yardım etmek değil; kendi hizmetlerinde Birleşik Krallık kullanıcılarını engellemek anlamına geliyor.
Ben uçtan uca şifreli bir mesajlaşma uygulaması yapsaydım Birleşik Krallık’ı dinlemek zorunda olmazdım. Çin bana nasıl talimat veremiyorsa Birleşik Krallık da veremez. Çin isterse uygulamamı engelleyebilir ama engelleme onların işidir, benim değil. Birleşik Krallık da isterse güvenlik duvarı kurabilir. Ama Birleşik Krallık’a adım atmazsam uygulamayı değiştirmem gerekmez.
Geniş uluslararası iş birliği olmadığına dair endişeyi de bir kenara bırakabilirsiniz. Diğer hükümetler de aynı derecede berbat ve aynı saçmalığı istiyor.
Şifreleme yasağından kaçınmak da benzer şekilde “zor” olacak gibi görünüyor. Gerçekten bir şey başarmaktan çok, seçmenlere erdemli görünme amacına daha yakın duruyor.
Birleşik Krallık’ta yaşıyorsanız Birleşik Krallık hükümeti ve Parlamento web sitesindeki şu dilekçeyi imzalamanız iyi olur: https://petition.parliament.uk/petitions/634725
Şu anda 6.327 imza var; hükümet yanıtı almak için 3.673 imzaya daha, tartışma değerlendirmesine gitmek için de bunun ardından 90.000 imzaya daha ihtiyaç var.
Milletvekillerine gönderilen mektuplar da neredeyse her zaman kalıp cevaplarla sonuçlanıyor ama yine de en azından umursuyorlar. Çok nadiren de olsa şablon olmayan bir yanıt alabiliyorsunuz.
Şu an Birleşik Krallık hükümetinden gerçekten nefret ediyorum.
Umarım gerçekliğin eninde sonunda sopayı salladığını mahkemeler teyit ettikten sonra bu özensiz yasa tasarıları mahkemede çöker.
Muhtemelen içinde bundan böyle pi sayısının 4 olarak belirlendiğine dair bir madde de vardır.
Kendi hükümetimizden de nefret ediyorum ama onları ayakta tutmada medyanın da muazzam bir rolü var.
Tüm teknoloji şirketleri birlikte durup hizmetlere erişimi kesmeye kadar hazırlıklı olmalı. Birleşik Krallık’ta iMessage bir yana, yalnızca WhatsApp’ın kullanılamaz hâle gelmesiyle neler olacağını hayal etmek yeterli. Bu sorumsuzca ya da güvensiz de değil. Hükümetin tamamen kontrol edebileceği SMS her zaman geride duruyor.
Bu şirketlerin rakiplerden korkmasına da gerek olmadığını düşünüyorum. Bu hizmetler o kadar derine yerleşmiş durumda ki birkaç haftalık, en fazla birkaç aylık protestoyla hiçbir şey değişmez. Hükümet sonunda geri adım atarsa geri yüklemek kolay olur, rakamlar da kısa sürede normale döner.
[1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
Bu gerçekten akıl almaz derecede aptalca. Çok daha parçalanmış bir internet yaratacak; her ülke daha fazla ayrışmaya başlayacak ve Batı/İngiltere/ABD ürünlerine duyulan güven de kaybolacak.
O zaman dünyanın geri kalanı neden iPhone, MacBook, Google, Amazon vb. kullanmaya devam etsin? Tüm büyük şirketlerin kaybedeceği gelir açısından bunun maliyeti muazzam olacak.
Öte yandan, yapılması gerekeni yaparken mahremiyete saygı duyan ve şirketlere gereksiz ekonomik zarar vermeyen daha akıllı yöntemler var. Ama bunun için devlette akıllı insanların olması gerekir; devlet ise öyle olmayan insanlarla dolu.
Bir başka yönü de bunun bireylerin büyük çoğunluğu için uygulanamaz olması. Etraf atlatma yollarıyla dolu ve birçok şirket, etkilenmeyen bölgelerde ya da offshore bölgelerde şirket kurup Viber, Skype, Google vb. için alternatifler sunmaya başlayacak. Zaten var olanlar da var.
Bunlar olurken İngiltere aynı zamanda her eve fiber optik döşüyor. Oldukça ücra köy yollarında yaşayan birçok kişi, ağaçların arasından 36x fibre COF215 bağlantı kablosu çekildiğini ya da çamurlu yolların yanına gömüldüğünü görüyor.
EE, 2010'ların sonlarında birinci ve ikinci kademe şehirlerde LTE Cat16'ya öncülük etti; bu da iPhone X'in gigabit trafik desteğiyle piyasaya çıktığı döneme denk geldi. Yakında sizin yakınınızdaki tarlalarda da mümkün olacak. Herkes için düşük gecikmeli ve bol bant genişlikli bir dönem geliyor.
Böyle bir bağlantıyla, iletimi kimin sağladığını ve IP bağlantısını kimin verdiğini çok daha yaratıcı biçimde ayırmak mümkün. VPN zaten ana akım hâline geliyor. Bu kulağa olumlu bir yön gibi geliyor. İnternet hasarı etrafından dolaşarak yönlendirme yapar; neyin yapılıp yapılamayacağını kısıtlayan yasalar da trafiği Dublin ya da Amsterdam'da sonlandırarak “etrafından yönlendirilebilir”.
Sorun şu ki, İngiliz halkının trafiğini yurt dışına çıkarması normalleştikçe, İngiliz hükümet politikasının yolu sonunda yeniden şifrelemeye karşı topyekûn savaş dışında bir yere çıkmıyor gibi görünüyor.
Yaklaşık 12 kişinin kullandığı şifreli bir XMPP sunucusu işletiyorum. Sunucu mesajları saklamadığı için tamamen geçici. Çevrimdışıysanız mesajı kaçırıyorsunuz; bu açıdan IRC'ye benziyor.
Bu yasa bana da uygulanıyor mu? Sunucumda İngiltere kullanıcısı olmadığından emin olmam mı gerekiyor?
Sunucuyu kurarken böyle bir şeyi hiç öngörmemiştim. Güçlü güvenlik ve mahremiyet önlemleri uygulamanın ciddiye alınması gereken bir sorumluluk olduğunu düşünmüştüm.
İnsanların mahremiyetini zedelemek zorundaysam sunucuyu işletmek istemem. Mahremiyet yoksa, dev şirketlerin hizmetlerinde olmaktan farkı kalmaz.
Hükümet değişikliğinin yardımcı olacağını söyleyen birkaç yorum görüyorum; ancak önceki Labour hükümeti (1997~2010) Regulation of Investigatory Powers Act 2000'i yürürlüğe koymuştu: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
Bunun içinde anahtar açıklama kuralları da vardı: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... Anahtar açıklamada ispat yükü tersine çevrilir; sanığın anahtara sahip olmadığını ya da şifre çözme işlemini yapamayacağını kanıtlaması gerekir ve o dönemde konuyla ilgilenenler arasında epey tartışma yaratmıştı. RIPA III hükümlerinin fiili kullanımı 2007'de başladı.
Aynı Labour hükümeti Interception Modernisation Programme'ı da ilerletti: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Bunu Snowden sızıntılarındaki “mastering the internet” ifadesiyle hatırlayabilirsiniz, ama IMP'nin kendisi gizli değildi. Bunun bazı kısımlarını yasalaştırmaya yönelik bir yasa tasarısı da sundular: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... Bu yasa hâline gelmedi.
Labour'un da bu yönde mutabık olduğunu düşünüyorum. Ayrıca bakanlarla doğrudan çalışan ya da onlara yakın olan üst düzey kamu görevlileri tabakası, ABD yönetimindeki gibi değişmiyor. Bu tasarının mevcut parlamentoda zaman kalmadığı için düşmesi ve sonraki hükümetin devralmaması mümkün; aynı parti iktidarda kalmaya devam etse bile böyle bir şey olabilir. Ancak bu fikir bir biçimde geri dönecek ve sonunda yasalaşacak gibi görünüyor.
Bunu tamamen uygulamak için VPN, SSL/TLS, SSH, WebRTC dâhil muazzam miktarda yazılım ve protokolü sökmek gerekir.
Diğer ülkeler bu protokollerin yalnızca İngiltere için zayıflatılmasını istemeyecektir. Sonunda İngiltere “büyük bir güvenlik duvarı”na sahip olup fiilen kendine ait küçük bir internet yaratacak; teknik bilgisi olanlar da Çin'de olduğu gibi deliklerden geçip gidecek.
https://despair.com/products/mistakes
Kaç şirketin yasaya uymak yerine İngiltere'yi engelleyeceğini merak ediyorum. Kesinlikle sıfır olmayacaktır.
https://www.politico.eu/article/uk-ministers-lock-horns-with...
Olası hukuki sorunlardan uzak durmak için yalnızca İngiltere'deki iş varlığını ortadan kaldırmak yeterli değil mi?