2 puan yazan GN⁺ 2023-07-29 | 1 yorum | WhatsApp'ta paylaş
  • Birleşik Krallık Parlamentosu’nun Online Safety Bill tasarısı, House of Lords onayı öncesindeki son aşamada bulunuyor ve mesajlaşma hizmetlerine arka kapı zorunluluğu getirebileceği için dünya genelindeki kullanıcıların mahremiyetini etkileyebilir
  • Tasarıdaki temel çatışma noktası, çocuk istismarı ve terörle ilgili içeriklerin tespiti için istenen mesaj tarama zorunluluğunun uçtan uca şifrelemeyle bağdaşmasının zor olması
  • WhatsApp, Signal ve Element dahil şirketler, Nisan 2023’te yayımladıkları açık mektupta bunun özel mesajlar üzerinde gündelik, genel ve ayrım gözetmeyen gözetime yol açabileceği uyarısında bulundu; Apple da Haziran’da karşı çıkışa katıldı
  • Birleşik Krallık hükümeti, istemci tarafı tarama ile güvenlik ve mahremiyetin birlikte korunabileceğini savunuyor; ancak EFF, şifreleme arka kapılarının yalnızca iyi niyetli amaçlarla kullanılamayacağını söylüyor
  • Uçtan uca şifrelemeyi koruyan bir değişiklik yapılmazsa, düşmanca ortamlarda çalışan insan hakları savunucuları, gazeteciler ve LGBTQ+ kullanıcılar gibi özel mesajlaşmaya bağımlı kişiler doğrudan risk üstlenecek

Online Safety Bill’in şifreleme üzerindeki baskısı

  • Birleşik Krallık Parlamentosu, kapsamlı bir internet düzenleme yasası olan Online Safety Bill üzerinde ilerliyor ve tasarı şu anda House of Lords onayı öncesindeki son aşamada
  • Bu tasarı, Birleşik Krallık hükümetine mesajlaşma hizmetlerine arka kapı dayatma yetkisi vererek uçtan uca şifrelemeyi zayıflatabilir
  • Tasarının en tehlikeli unsurlarını hafifletecek değişiklikler ise henüz kabul edilmiş değil
  • EFF, tasarının etkisinin Birleşik Krallık’la sınırlı kalmayıp dünya genelinde mahremiyet ve demokrasi açısından geriye gidişe yol açabileceği uyarısında bulunuyor

İnternet düzenlemesinin kapsamı ve temel tartışma

  • Online Safety Bill, dört yıldan uzun süre önce yayımlanan “online harms” beyaz kitabından doğdu ve son derece geniş kapsamlı bir internet düzenlemesi olarak ele alınıyor
  • Gereklilikler arasında içerik filtreleme, yetişkin içeriklerine erişim için yaş doğrulama ve hükümete sunulan çevrimiçi faaliyetlere dair ayrıntılı raporlar yer alıyor
  • Bunlar arasında, uçtan uca şifrelemeyi kırabilecek mesaj tarama yetkisi en kritik sorun olarak öne çıkıyor

Mesaj tarama, uçtan uca şifrelemeyle çatışıyor

  • Özel iletişim temel bir insan hakkıdır ve dijital ortamda bunu mümkün kılan en güçlü teknik araç uçtan uca şifrelemedir
  • Hükümet onaylı mesaj tarama teknolojilerinin zorunlu tutulması, mesajların yalnızca gönderici ve alıcı tarafından okunabilmesini sağlayan şifreleme modeliyle çatışır
  • EFF’nin temel itirazı, şifreleme arka kapılarının yalnızca “iyi insanlar” tarafından kullanılacağı bir modelin mümkün olmadığı yönünde
    • Şifrelemeyi yasaklama yöntemi
    • Şirketleri şifrelemeden geri adım atmaya zorlama yöntemi
    • İstemci tarafı taramayı zorunlu kılma yöntemi, kötü niyetli aktörlerin ve otoriter devletlerin işine yarayabilir

Şirketler ve sivil toplumdan gelen uyarılar

  • Birleşik Krallık hükümeti, çocuk istismarı veya terörle ilgili içerikleri bulmak için tüm çevrimiçi mesajları tarama yetkisi isterken kullanıcı mahremiyetini de koruyabileceğini söylüyor
  • EFF ise bu iki hedefin aynı anda karşılanmasının mümkün olmadığını savunuyor
  • Birleşik Krallık’taki sivil toplum kuruluşları, teknik uzmanlar ve dünya genelindeki insan hakları örgütleri de tasarıyı eleştiriyor
  • WhatsApp, Signal ve Birleşik Krallık merkezli Element gibi şifreli mesajlaşma sağlayıcıları, Nisan 2023’te yayımladıkları açık mektupta OSB’nin risklerine dikkat çekti
    • Tasarı uçtan uca şifrelemeyi kırabilir
    • Arkadaşların, aile bireylerinin, çalışanların, yöneticilerin, gazetecilerin, insan hakları savunucularının ve siyasetçilerin özel mesajları bile gündelik, genel ve ayrım gözetmeyen gözetimin hedefi haline gelebilir
  • Apple da Haziran 2023’te karşı çıkanlar arasına katılarak tasarının şifrelemeyi tehdit ettiğini ve Birleşik Krallık vatandaşlarını daha büyük risk altına sokabileceğini açıkça belirtti

Birleşik Krallık hükümetinin öne sürdüğü teknik mantık

  • Birleşik Krallık Kültür, Medya ve Spor Bakanı, House of Lords’a gönderdiği yanıtta, uçtan uca şifrelenmiş platformlarda da mesaj taraması yapılırken mahremiyetin korunabileceği görüşünü yineledi
  • Yanıtta, şirketlerin daha önce de uçtan uca şifrelenmiş platformlar için çözümler geliştirdiği ve Ofcom’un bu tür teknolojilerin kullanımını talep edebilmesi gerektiği ifade edildi
  • Ayrıca, hemen kullanılabilecek bir çözüm yoksa hükümetin teknoloji arayışına öncülük etmesinin doğru olacağı görüşüne de yer verildi
  • Safety Tech Challenge Fund

    • Birleşik Krallık hükümetinin, kullanıcı mahremiyetini korurken dosya taradığı iddia edilen yazılımların geliştirilmesi için küçük hibeler verdiği bir program
    • Kazanan prototip açıklamalarında, dosyalar şifreli kanallar üzerinden gönderilmeden önce yapay zeka ile incelenmesini öngören çeşitli istemci tarafı tarama biçimleri yer alıyor
    • EFF’ye göre bu, teknoloji şirketleri kullanıcıları koruyan “sihirli arka kapılar” geliştiremiyorsa daha çok teknoloji üretmeleri gerektiği yönündeki hatalı düşüncenin tekrarı

Hâlâ mümkün olan değişiklikler ve etkilenecek kişiler

  • Birleşik Krallık milletvekilleri, kitlesel gözetleme sonucunu doğurabilecek bu kararı engelleme fırsatına hâlâ sahip
  • House of Lords’un komite ya da rapor aşamalarında uçtan uca şifreleme yeterince ele alınmadı ve oylanmadı
  • Lords, özel mesajlaşmayı koruyan ve uçtan uca şifrelemenin zayıflatılamayacağını veya kaldırılamayacağını açıkça belirten basit bir değişiklik ekleyebilir
  • EFF, Birleşik Krallık’taki sivil toplum kuruluşlarıyla birlikte Temmuz 2023’te House of Lords’a bir bilgilendirme notu gönderdi
    • Mevcut tasarıdaki şifrelemeyle ilgili sorunları açıklıyor
    • Uçtan uca şifrelemeyi koruyan bir değişikliğin kabul edilmesini öneriyor
  • Bu değişiklik kabul edilmezse, düşmanca ortamlarda çalışmak için özel mesajlaşmaya bağımlı insan hakları savunucuları ve gazeteciler ile ifade özgürlüğü için mahremiyete ihtiyaç duyan LGBTQ+ kullanıcılar bedel ödeyecek

Kamuoyu ve başvuru belgeleri

1 yorum

 
GN⁺ 2023-07-29
Hacker News görüşleri
  • Birleşik Krallık hükümeti internetin sınırları olmadığını ve totaliter rejim düzeyinde aşırı kısıtlamalar olmadan sınır oluşturulamayacağını tekrar tekrar kavrayamıyor.
    Geniş kapsamlı uluslararası iş birliği olmadan önlem dayatırlarsa, muazzam sayıda insanı internetin daha karanlık köşelerine iterler; yalnızca hedefi tamamen boşa çıkarmakla kalmaz, sorunu daha da kötüleştirirler.
    Tek başına Meta bile bu yasayı feci bir başarısızlığa çevirecek güce sahip. İnsanlar WhatsApp kullanmak istiyor ve hükümetlerin kendileri de onu yaygın biçimde kullanıyor. Meta reddederse hükümetin yapabileceği çok az şey var. Facebook, Birleşik Krallık’ta tek bir çalışanı olmadan da faaliyetini sürdürebilir; iş tarafında bir miktar darbe alır ama bu gayet mümkün.
    Hükümet, Apple ve Google’a baskı yapıp WhatsApp’ı Birleşik Krallık uygulama mağazalarından kaldırttırabilir; ancak bu tür bölgesel kısıtlamalar kolayca aşılır ve WhatsApp insanların denemeye değecek kadar popüler olduğu bir uygulama. O zaman sideloading, jailbreak ve bölge kısıtlamalarını aşma gibi pratikler normalleşir; siber suçlular fırsatı görüp ellerini ovuşturur, durdurulmak istenen pedofiller ve teröristler de bu akıma katılır.

    • Apple, bu yasaya uymaktansa Birleşik Krallık’tan kendi sistemlerini çekeceğini söyleyecek kadar ileri giderek tehditte bulundu.
      https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
    • Çin’e hiç gittin mi? İnternette kesinlikle sınırlar ve hudutlar var. Bazen gizlice geçebilir ya da vize alabilirsin; ama tek tek ülkeler kendi kurallarını koyar ve çoğu insan bunlara uyar ya da hiçbir şeyin farkında olmaz. Büyük çok uluslu şirketler de iyi hedefler oldukları için genelde yerel yasalara uyar.
      Birleşik Krallık’ta bu yasaya karşı çıkan şirketler pazardan çekilmekle tehdit ediyor. Bu, Birleşik Krallık’taki kullanıcıların yasayı çiğnemenin yollarını bulmasına yardım etmek değil; kendi hizmetlerinde Birleşik Krallık kullanıcılarını engellemek anlamına geliyor.
    • Totaliter bir rejim olsa bile dünyanın geri kalanının şifreleme kullanmasını engelleyemez. Şirketler Birleşik Krallık’tan çekilebilir ve Birleşik Krallık’ın sınırlarının dışında yargı yetkisi yoktur.
      Ben uçtan uca şifreli bir mesajlaşma uygulaması yapsaydım Birleşik Krallık’ı dinlemek zorunda olmazdım. Çin bana nasıl talimat veremiyorsa Birleşik Krallık da veremez. Çin isterse uygulamamı engelleyebilir ama engelleme onların işidir, benim değil. Birleşik Krallık da isterse güvenlik duvarı kurabilir. Ama Birleşik Krallık’a adım atmazsam uygulamayı değiştirmem gerekmez.
    • Aşırı kısıtlamalar onları neden durdursun ki? Böyle kısıtlamalar getirmekte hiçbir sorun görmüyor gibiler.
      Geniş uluslararası iş birliği olmadığına dair endişeyi de bir kenara bırakabilirsiniz. Diğer hükümetler de aynı derecede berbat ve aynı saçmalığı istiyor.
    • Birleşik Krallık hükümeti, uygulanamaz şeyleri zorlamayı geçmişte de pek umursamadı. Bir Britanyalı olarak bazen ISS’lerin korsan siteleri engellemesinin sonucuyla karşılaşıyorum; “bu site engellendi” gibi bir yazı çıkınca bir iki düğmeye basıp başka bir bağlantıya geçmek ya da VPN’i açmak yetiyor.
      Şifreleme yasağından kaçınmak da benzer şekilde “zor” olacak gibi görünüyor. Gerçekten bir şey başarmaktan çok, seçmenlere erdemli görünme amacına daha yakın duruyor.
  • Birleşik Krallık’ta yaşıyorsanız Birleşik Krallık hükümeti ve Parlamento web sitesindeki şu dilekçeyi imzalamanız iyi olur: https://petition.parliament.uk/petitions/634725
    Şu anda 6.327 imza var; hükümet yanıtı almak için 3.673 imzaya daha, tartışma değerlendirmesine gitmek için de bunun ardından 90.000 imzaya daha ihtiyaç var.

    • Milletvekilinize doğrudan mektup yazmak daha etkili. Şablon kullanmamak daha iyi. Bu tür dilekçelerin görmezden gelinmenin ötesinde bir sonuç doğurduğunu henüz görmedim; çok daha popüler dilekçelerde de durum aynıydı.
      Milletvekillerine gönderilen mektuplar da neredeyse her zaman kalıp cevaplarla sonuçlanıyor ama yine de en azından umursuyorlar. Çok nadiren de olsa şablon olmayan bir yanıt alabiliyorsunuz.
    • 6 bin imza ilginç derecede düşük; aramada yinelenmeyen tek dilekçe buysa daha da düşük görünüyor. Böyle dilekçeleri büyük sayılara taşıyan Facebook’ta kitlesel paylaşım çevrelerinde bu konu henüz pek duyulmamış gibi.
  • Şu an Birleşik Krallık hükümetinden gerçekten nefret ediyorum.
    Umarım gerçekliğin eninde sonunda sopayı salladığını mahkemeler teyit ettikten sonra bu özensiz yasa tasarıları mahkemede çöker.
    Muhtemelen içinde bundan böyle pi sayısının 4 olarak belirlendiğine dair bir madde de vardır.

    • Mahkemeler bunu nasıl çökertebilir? Bildiğim kadarıyla Birleşik Krallık mahkemeleri Parlamento yasalarını geçersiz kılamaz; ABD’den farklı olarak mahkemelerin Parlamento’nun altında olduğu bir yapı var.
    • Bu yalnızca mevcut hükümetin sorunu değil. Parlamento’nun tamamında ve çeşitli komitelerde istihbarat ve güvenlik kurumları “şifreleme kötüdür” dediğinde bunu aynen izleme havası var.
    • Labour da bunu desteklemiyor mu? Öyleyse zaten iş bitmiş demektir.
    • “Mevcut” hükümet deniyor ama 10 yılı aşkın süredir iktidardalar.
  • Kendi hükümetimizden de nefret ediyorum ama onları ayakta tutmada medyanın da muazzam bir rolü var.
    Tüm teknoloji şirketleri birlikte durup hizmetlere erişimi kesmeye kadar hazırlıklı olmalı. Birleşik Krallık’ta iMessage bir yana, yalnızca WhatsApp’ın kullanılamaz hâle gelmesiyle neler olacağını hayal etmek yeterli. Bu sorumsuzca ya da güvensiz de değil. Hükümetin tamamen kontrol edebileceği SMS her zaman geride duruyor.
    Bu şirketlerin rakiplerden korkmasına da gerek olmadığını düşünüyorum. Bu hizmetler o kadar derine yerleşmiş durumda ki birkaç haftalık, en fazla birkaç aylık protestoyla hiçbir şey değişmez. Hükümet sonunda geri adım atarsa geri yüklemek kolay olur, rakamlar da kısa sürede normale döner.

    • Yakın zamanda Sun’ın eski yayın yönetmeni David Yelland’ın bir röportajını izledim; Birleşik Krallık haber medyasının büyük ölçüde spads[1] olarak çalışanlarla aynı dar kesim tarafından yönetildiğini söylüyordu. Bu da medyanın hükümeti ayakta tuttuğu sözüyle iyi örtüşüyor. Çünkü artık medya ve siyaset homojen ve sıkı örülü bir topluluk hâline geldi.
      [1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
    • Doğru. WhatsApp’sız Birleşik Krallık isyan hâline döner. Tanıdığım gençlerden yaşlılara kadar herkes hayatını WhatsApp üzerinden yürütüyor. Yalnızca WhatsApp’ın yokluğu bile bizim gibi uyuşuk, tembel ve protesto etmeyen insanları sokağa dökmeye yeter.
  • Bu gerçekten akıl almaz derecede aptalca. Çok daha parçalanmış bir internet yaratacak; her ülke daha fazla ayrışmaya başlayacak ve Batı/İngiltere/ABD ürünlerine duyulan güven de kaybolacak.
    O zaman dünyanın geri kalanı neden iPhone, MacBook, Google, Amazon vb. kullanmaya devam etsin? Tüm büyük şirketlerin kaybedeceği gelir açısından bunun maliyeti muazzam olacak.
    Öte yandan, yapılması gerekeni yaparken mahremiyete saygı duyan ve şirketlere gereksiz ekonomik zarar vermeyen daha akıllı yöntemler var. Ama bunun için devlette akıllı insanların olması gerekir; devlet ise öyle olmayan insanlarla dolu.
    Bir başka yönü de bunun bireylerin büyük çoğunluğu için uygulanamaz olması. Etraf atlatma yollarıyla dolu ve birçok şirket, etkilenmeyen bölgelerde ya da offshore bölgelerde şirket kurup Viber, Skype, Google vb. için alternatifler sunmaya başlayacak. Zaten var olanlar da var.

    • İnternetin daha da parçalanmasının gelecekte bizi bekleyen şey olduğunu düşünüyorum.
  • Bunlar olurken İngiltere aynı zamanda her eve fiber optik döşüyor. Oldukça ücra köy yollarında yaşayan birçok kişi, ağaçların arasından 36x fibre COF215 bağlantı kablosu çekildiğini ya da çamurlu yolların yanına gömüldüğünü görüyor.
    EE, 2010'ların sonlarında birinci ve ikinci kademe şehirlerde LTE Cat16'ya öncülük etti; bu da iPhone X'in gigabit trafik desteğiyle piyasaya çıktığı döneme denk geldi. Yakında sizin yakınınızdaki tarlalarda da mümkün olacak. Herkes için düşük gecikmeli ve bol bant genişlikli bir dönem geliyor.
    Böyle bir bağlantıyla, iletimi kimin sağladığını ve IP bağlantısını kimin verdiğini çok daha yaratıcı biçimde ayırmak mümkün. VPN zaten ana akım hâline geliyor. Bu kulağa olumlu bir yön gibi geliyor. İnternet hasarı etrafından dolaşarak yönlendirme yapar; neyin yapılıp yapılamayacağını kısıtlayan yasalar da trafiği Dublin ya da Amsterdam'da sonlandırarak “etrafından yönlendirilebilir”.
    Sorun şu ki, İngiliz halkının trafiğini yurt dışına çıkarması normalleştikçe, İngiliz hükümet politikasının yolu sonunda yeniden şifrelemeye karşı topyekûn savaş dışında bir yere çıkmıyor gibi görünüyor.

  • Yaklaşık 12 kişinin kullandığı şifreli bir XMPP sunucusu işletiyorum. Sunucu mesajları saklamadığı için tamamen geçici. Çevrimdışıysanız mesajı kaçırıyorsunuz; bu açıdan IRC'ye benziyor.
    Bu yasa bana da uygulanıyor mu? Sunucumda İngiltere kullanıcısı olmadığından emin olmam mı gerekiyor?
    Sunucuyu kurarken böyle bir şeyi hiç öngörmemiştim. Güçlü güvenlik ve mahremiyet önlemleri uygulamanın ciddiye alınması gereken bir sorumluluk olduğunu düşünmüştüm.
    İnsanların mahremiyetini zedelemek zorundaysam sunucuyu işletmek istemem. Mahremiyet yoksa, dev şirketlerin hizmetlerinde olmaktan farkı kalmaz.

    • İngiltere'de değilseniz İngiltere'nin yargı yetkisi altında değilsiniz.
  • Hükümet değişikliğinin yardımcı olacağını söyleyen birkaç yorum görüyorum; ancak önceki Labour hükümeti (1997~2010) Regulation of Investigatory Powers Act 2000'i yürürlüğe koymuştu: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
    Bunun içinde anahtar açıklama kuralları da vardı: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... Anahtar açıklamada ispat yükü tersine çevrilir; sanığın anahtara sahip olmadığını ya da şifre çözme işlemini yapamayacağını kanıtlaması gerekir ve o dönemde konuyla ilgilenenler arasında epey tartışma yaratmıştı. RIPA III hükümlerinin fiili kullanımı 2007'de başladı.
    Aynı Labour hükümeti Interception Modernisation Programme'ı da ilerletti: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Bunu Snowden sızıntılarındaki “mastering the internet” ifadesiyle hatırlayabilirsiniz, ama IMP'nin kendisi gizli değildi. Bunun bazı kısımlarını yasalaştırmaya yönelik bir yasa tasarısı da sundular: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... Bu yasa hâline gelmedi.
    Labour'un da bu yönde mutabık olduğunu düşünüyorum. Ayrıca bakanlarla doğrudan çalışan ya da onlara yakın olan üst düzey kamu görevlileri tabakası, ABD yönetimindeki gibi değişmiyor. Bu tasarının mevcut parlamentoda zaman kalmadığı için düşmesi ve sonraki hükümetin devralmaması mümkün; aynı parti iktidarda kalmaya devam etse bile böyle bir şey olabilir. Ancak bu fikir bir biçimde geri dönecek ve sonunda yasalaşacak gibi görünüyor.

    • Labour, Suella Braverman'ın getirdiği protesto kısıtlama tasarısını geri alacağına da söz vermedi; muhalefet lider yardımcısına bu soru doğrudan sorulduğunda “şu an bunu değerlendirme zamanı değil” anlamına gelen bir yanıt verdi. Bu yüzden bu konuda ilerici bir adım atılmasını beklemek için pek neden yok.
  • Bunu tamamen uygulamak için VPN, SSL/TLS, SSH, WebRTC dâhil muazzam miktarda yazılım ve protokolü sökmek gerekir.
    Diğer ülkeler bu protokollerin yalnızca İngiltere için zayıflatılmasını istemeyecektir. Sonunda İngiltere “büyük bir güvenlik duvarı”na sahip olup fiilen kendine ait küçük bir internet yaratacak; teknik bilgisi olanlar da Çin'de olduğu gibi deliklerden geçip gidecek.

  • Kaç şirketin yasaya uymak yerine İngiltere'yi engelleyeceğini merak ediyorum. Kesinlikle sıfır olmayacaktır.

    • WhatsApp (Meta), Signal ve Apple var.
      https://www.politico.eu/article/uk-ministers-lock-horns-with...
    • İngiltere kullanıcılarını mutlaka engellemek mi gerekir?
      Olası hukuki sorunlardan uzak durmak için yalnızca İngiltere'deki iş varlığını ortadan kaldırmak yeterli değil mi?
    • Bunu uygulamanın ne kadar imkânsız olduğunu fark ettikleri anda her şey başarısız olacak.