1 puan yazan GN⁺ 2024-02-15 | 1 yorum | WhatsApp'ta paylaş
  • Avrupa İnsan Hakları Mahkemesi, uçtan uca şifrelemenin (end-to-end encryption) genel olarak zayıflatılmasını yasakladı; bu karar, AB’nin chat control CSAR kitlesel gözetim planlarına da fren koyabilir
  • Karara göre şifreleme, vatandaşları ve şirketleri hacklenme, kimlik ve kişisel veri hırsızlığı, dolandırıcılık, gizli bilgilerin sızdırılması gibi tehditlerden koruyor; arka kapılar ise suç ağları tarafından kötüye kullanılabilir
  • Mahkeme, tüm kullanıcıların korumasını düşürmeden de şifreli iletişimi izleme yöntemleri bulunduğunu belirtti; örnek olarak hedef yazılımdaki güvenlik açıklarının kullanılması veya cihaza implant gönderilmesi gösterildi
  • Avrupa Parlamentosu üyesi Patrick Breyer, AB Komisyonu’nun istemci tarafı tarama yaklaşımının tüm akıllı telefonları gözetlediğini ve şifreleme korumasını yok ettiğini, bu nedenle bu karara göre açıkça yasa dışı olduğunu söyledi
  • AB Parlamentosu güvenli şifrelemenin bozulmasını ve ayrım gözetmeyen chat control uygulamasını reddetti; ancak AB Konseyi’nin tutumu netleştiğinde müzakereler başlayabilir ve AB içişleri bakanlarının tasarıyı mart başında yeniden görüşmesi planlanıyor

Kararın yasakladığı şifreleme zayıflatma uygulamaları

  • Avrupa İnsan Hakları Mahkemesi, güvenli uçtan uca şifrelemeyi genel olarak zayıflatan önlemleri yasakladı
  • Şifreleme, vatandaşları ve şirketleri çeşitli tehditlerden koruyan bir araç olarak kabul edildi
    • hacklenme
    • kimlik hırsızlığı ve kişisel veri hırsızlığı
    • dolandırıcılık
    • gizli bilgilerin izinsiz ifşası
  • Arka kapılar, suç ağları tarafından kötüye kullanılabileceği için tüm kullanıcıların elektronik iletişim güvenliğini ciddi biçimde tehlikeye atabilir
  • Mahkeme, tüm kullanıcıların korumasını azaltmayan gözetim yöntemlerinin de mümkün olduğu görüşünde
    • hedef yazılımdaki güvenlik açıklarının kullanılması
    • hedef cihaza implant gönderilmesi
  • Kararın dayanağı olarak AİHM karar belgesindeki para. 76 ff. gösteriliyor

Breyer’in AB chat control yasa tasarısına ilişkin değerlendirmesi

  • Avrupa Parlamentosu üyesi ve Pirate Party mensubu Patrick Breyer, bu kararı landmark judgement olarak nitelendirdi
  • Breyer, AB Komisyonu’nun chat control tasarısında yer alan, tüm akıllı telefonları kapsayan istemci tarafı tarama gözetiminin açıkça yasa dışı olduğunu düşünüyor
  • Onun değerlendirmesine göre bu yöntem, şüphelileri hedef almak yerine herkesin şifreleme korumasını yıkıyor
  • Breyer, AB hükümetlerinin tasarıdan güvenli şifrelemenin bozulmasını ve tüm nüfusun özel iletişimine yönelik ayrım gözetmeyen gözetimi çıkarması gerektiğini talep etti

Şifreleme ve hizmetlerin devamlılığına dair kaygılar

  • Breyer, güvenli şifrelemenin hayat kurtardığını vurguladı
  • Şifreleme olmadan mesajların veya fotoğrafların güvenilmez kişilere açılıp açılmayacağından emin olunamaz
  • Sözde istemci tarafı taramanın iki sonuçtan birine yol açtığı değerlendiriliyor
    • iletişimi temelden güvensiz hale getirmesi
    • Avrupalı vatandaşların Whatsapp ya da Signal kullanamaz hale gelmesi
  • Breyer, ilgili sağlayıcıların Avrupa’da hizmetlerini durdurma seçeneğini zaten değerlendirdiğini söyledi
  • AB Konseyi’nin son tutum taslağı ise hâlâ güvenli şifrelemenin bozulmasını öngörmekle eleştiriliyor

AB Komisyonu önerisinin yapısı

  • AB Komisyonu ve gözetim otoritelerinin endüstriyel ağı, özel iletişimlerin genel olarak taranmasını talep ediyor
  • Tarama kapsamına uçtan uca şifreli mesajlaşma uygulamaları da dahil
  • Amaç, yasa dışı içerik işaretleri bulmak
  • Bu yöntem, hata üretmeye yatkın teknolojilere dayanıyor
  • Ancak güvenli uçtan uca şifreleme zayıflatılırsa uygulanabiliyor

AB kurumlarının mevcut konumu

  • AB hükümetlerinin çoğu bu girişimi destekliyor
  • Ancak bir blocking minority kararı engelliyor
  • AB içişleri bakanlarının tasarıyı mart başında yeniden ele alması bekleniyor
  • AB Parlamentosu, Pirates ve sivil toplum baskısı altında şunları reddetti
    • güvenli şifrelemenin bozulması
    • ayrım gözetmeyen chat control
  • Parlamento’nun tutumu, AB Konseyi tutumunu belirledikten sonra yapılabilecek müzakerelerin başlangıç noktası olacak

Meta ve gönüllü chat control

  • Meta, 2024 içinde Facebook ve Instagram direct messages özelliğini şifrelemeye başlayacağını duyurdu
  • Bu mesajlara yönelik mevcut gönüllü chat control gözetimini durduracağını da açıkladı
  • AB, gönüllü chat control izninin uzatılması için süreci sürdürüyor
  • Breyer’in chat control bilgi sayfası: chatcontrol.eu

1 yorum

 
GN⁺ 2024-02-15
Hacker News yorumları
  • Bu davada mahkeme, uçtan uca şifreli iletişimin şifresini çözme yükümlülüğünün mahremiyet hakkına orantısız bir müdahale olduğuna hükmetti
    Söz konusu yasa, Telegram gibi mesajlaşma uygulamalarından iletişim içeriğiyle birlikte, şifrelenmişse “elektronik mesajların şifresini çözmek için gerekli bilgileri” teslim etmelerini istiyordu
    Mahkeme, bir arka kapıyla uçtan uca şifrelemenin zayıflatılmasının geniş kapsamlı etkiler doğuracağını değerlendirdi ve mevzuat ile süregelen teknolojik gelişmeler yoluyla “koruma mekanizmalarını zayıflatmayan şifre çözme alternatifleri” bulunması gerektiği yönündeki talebi de alıntıladı. Bunlar arasında geleneksel soruşturma, gizli soruşturma, metadata analizi, uluslararası polis iş birliği, el konulan cihazlarda canlı adli bilişim incelemesi, iletişimin taraflarının elindeki özel anahtarları tahmin etme veya elde etme, hedefli yazılım açıklarından yararlanma ya da implant gönderme gibi yöntemler yer alıyor
    Belirli bir dava ve yasaya ilişkin bir karar olsa da mahkeme, hizmet sağlayıcılardan tüm kullanıcıların şifreleme mekanizmalarını zayıflatmalarını isteme yaklaşımının geneline epey şüpheyle bakıyor gibi görünüyor. Birleşik Krallık hükümeti açısından bu karar, Online Safety Bill’in yerel mahkemelerde ya da Avrupa mahkemelerinde bozulma ihtimali konusunda endişe yaratabilecek bir dayanak olurdu
    Bununla birlikte, uçtan uca şifreleme arka kapısının mahremiyet hakkına getirilebilecek meşru sınırlamaların sınırını aştığı kabul edilse bile mahremiyet hakkı askıya alınabilir bir hak olduğundan, hükümet “ulusun yaşamını tehdit eden” bir olağanüstü hâl ilan ederse ECHR’nin 15. maddesi uyarınca gerekli ölçüde askıya alabilir
    İlgili paragraflar 76–80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • Birleşik Krallık mahkemelerinin Parlamento tarafından çıkarılmış yasaları iptal edememesi de önemli
      Yapabileceklerinin en fazlası bir uyumsuzluk beyanı vermek; bu durumda bakanlar, yeni bir yasayı tekrar geçirmeden ikincil mevzuatla kusuru düzeltebilir. Elbette bu, bunu yapacak siyasi irade varsa geçerli
      Ancak Online Safety Act, önemli bir kısmı ikincil mevzuat, yasal kodlar ve kılavuzlarla ele almaya çalıştığından, mahkemeler bunları iptal edebilir. Yasanın kendisi ihlalci araçların ortaya çıkmasını zorunlu kılmadığı sürece, işlerin nasıl gelişeceğini görmek ilginç olacak
    • “Uçtan uca şifreli iletişimin şifresini çözme yükümlülüğü mahremiyet hakkını ihlal eder” sonucuna kötüye kullanımı önleyici güvenceler olmadığında şartı eklenmiş
      Ne yazık ki bunun tamamen bağdaşmaz olduğunu basitçe söyleyemeyiz. Bu karara göre sorun yalnızca iyi güvenceler olmadığında ortaya çıkıyor; karar metni bir yerde “adequate”, başka bir yerde “suitable” diyor ama bunun somut olarak ne anlama geldiği açık değil
    • Birleşik Krallık ECHR’den ayrılmak istiyor; bu yüzden ne yazık ki bu kararı baypas edebilir
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • “Şifrelenmişse elektronik mesajların şifresini çözmek için gerekli bilgiler” ifadesi, eskiden ana e-posta hesabım olarak kullandığım Lavabit’i hatırlatıyor
      Şifre çözme bilgisi talebine yanıt olarak Lavabit özel anahtarı teslim etti, ama bunu kâğıda daktiloyla yazıp sundu. Muhtemelen 6. ya da 12. sayfa civarında bir yerlerde yazım hatası vardı
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • Aptalca bir soru olabilir ama Birleşik Krallık artık AB üyesi değilken AB mahkemesinin neden Birleşik Krallık yasasını bozabildiğini merak ediyorum
  • Biraz kafam karıştı. Makalenin kendisi epey politik görünüyor; Pirate Party’nin tanıtım metnini alıntılıyor ama hangi davanın mahkemeye gittiğini ve kararın tam olarak neyi yasakladığını açıklamıyor. Bu yüzden en altta bağlantısı verilen gerçek karara tıkladım
    Bu dava Pirate Party ya da Chat Control ile doğrudan bağlantılı görünmüyor. Olgular kısmına kabaca bakınca, Telegram’ın düz metin sohbet mesajlarını teslim etmemesi nedeniyle para cezası almasına karşı bir kişinin Rusya hükümetine karşı açtığı bir dava. Makalenin tamamında “Russia” kelimesi bile yok. Bu makalenin neyi haberleştirdiğini ve neden yakın dönemdeki Chat Control mevzuatıyla ilgiliymiş gibi anlattığını anlamıyorum
    Kararın 80–81. paragraflarına bakınca, “tüm kullanıcıların internet iletişimlerinin saklanması, kötüye kullanımı önleyici güvenceler olmadan güvenlik kurumlarının doğrudan erişimi ve uçtan uca şifreli iletişimlere uygulanan şifreli iletişimin şifresini çözme talepleri” demokratik bir toplumda gerekli görülemez deniyor; bu nedenle de ECHR Madde 8’deki mahremiyet hakkının ihlali olduğu söyleniyor
    Bu mantık Chat Control gibi şifrelemeyi aşmaya yönelik başka yasalara genişletilebilir, ancak Rus yasasının somut koşulları dikkate alınmadan bunu yapmak isabetli olmayabilir. Örneğin 80. paragraftaki “kötüye kullanıma karşı yeterli güvenceler olmaksızın” ifadesi önemli; Chat Control aynı heyetin önüne gitseydi bu tür mekanizmaların var olduğuna hükmedilmiş olabilirdi

    • Bu karar emsal olacaktır. Avrupa Parlamentosu’ndan Pirate Party üyesinin yorum yapmasının nedeni, bu konunun partinin temel gündemlerinden biri olması. Karar metninde Pirate Party’nin geçmesi için bir neden yok
    • Söz konusu makale asıl kaynak değil. Asıl kaynak burada: https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • Brexit’ten sonra da Birleşik Krallık için geçerli olması güzel. Birleşik Krallık hâlâ ECHR üyesi

    • Muhafazakâr Parti yıllardır ECHR’den ayrılmaktan söz ediyor
    • Azerbaycan da ECHR üyesi ama bu, siyasi muhalifleri hapsetmesini, köle işgücü kullanmasını, savaş suçları işlemesini, başka bir ECHR üyesi ülkeye saldırmasını ve etnik temizlik yapmasını engellemiyor
  • Avrupa bugünlerde makul teknoloji düzenlemesinin nasıl yapılabileceği konusunda epey iyi örnekler veriyor

    • Bu karara ihtiyaç duyulmasının nedeni, AB’nin uçtan uca şifrelemeyi yasaklama yönüne doğru gidiyor olmasıydı. Kararı veren EU Commission değil mahkeme; bildiğim kadarıyla Commission hâlâ bunu görmezden gelebilir
    • Bir de artık teknolojinin kendisini de iyi geliştirebilseler keşke
  • “İki yıl sonra yine dönüp tekrar denerler” diye biten çok fazla şey oldu; bu tür uçtan uca şifreleme karşıtı önerilerin önünde uzun vadeli bir engel oluşması biraz rahatlatıcı

    • Mümkünse tarım ya da balıkçılık komisyonu gibi bir yer üzerinden halledilmesini isterim
  • Avrupa gerçekten hoşuma giden bir şey yaptı
    “Çocukları düşünelim” anlatısının baskın çıkmasından endişeliydim ama en azından Avrupa’da şifrelemenin değerinin bir geleceği var gibi görünüyor

    • Adına rağmen EU değil
  • Şifreleme konusunda hükümet ile sektör arasında belli ölçüde bir çekişme var. Hükümet algoritmalara zafiyet yerleştirmemeli, ama suçluların ve teröristlerin mesajlarını okuyabilmenin bir yoluna da ihtiyaç duyuyor. Sektör ise müşterilerin mesajlaşma ürünlerini meşru amaçlarla güvenli biçimde kullandıklarını hissetmelerini sağlayacak bir yol istiyor
    Bölgesel düzeyde baskı olmazsa şifrelemenin ticarileşmesini ABD’ye bırakmış olursunuz. Akademi yeni algoritmaları sevmeye devam eder, ama biri bundan para kazanabilir hâle gelene kadar bunlar makalelerde kalır; sonunda da atılgan bir ABD’li geliştiricinin Signal’dan daha güvenli bir sonraki büyük şifreli sohbet uygulamasına dönüştürmesine hazır hâle gelir

  • Güzel. İsim vermeyeceğim ama bazı ISP’ler şu anda pek mutlu değildir. Bu karar bazı proxy modellerine sağlam bir fren koyuyor
    İçimin yağları eridi

    • İsim verilip utandırılmalarını isterdim. Herkese faydası olur
  • Makale yarı yarıya çöp. Siyasi duruştan bağımsız olarak kötü yazılmış ve taraflı
    Kararı okumak daha iyi
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • Yine de makaleyi savunmak gerekirse, karara bağlantı vermiş. Sırf bu bile siyasi konulu makaleler arasında onu neredeyse ilk %20’ye sokar
      Asıl karar metni de oldukça okunabilir; hızlıca göz gezdirince makalenin içeriğiyle genel olarak uyumlu görünüyordu
    • Mahkeme basın duyurusunun İngilizce özgün metnine göre başvurucu Anton Valeryevich Podchasov, 1981 doğumlu bir Rus vatandaşı ve Barnaul’da yaşıyor
      Rusya’nın “internet iletişimi düzenleyicisi” olarak tanımladığı Telegram’ın bir kullanıcısıydı; Telegram da yasa gereği tüm iletişim verilerini 1 yıl, iletişim içeriklerini 6 ay boyunca saklamak ve yasada belirtilen durumlarda bu verileri ve şifreli elektronik mesajların şifresini çözmek için gerekli bilgileri kolluk kuvvetlerine veya güvenlik kurumlarına sunmak zorundaydı
      Podchasov, AİHS’nin 8. ve 13. maddelerine dayanarak veri saklama, aktarma ve şifre çözme taleplerini ve etkili başvuru yolunun bulunmamasını sorun etti; mahkeme 8. maddenin ihlal edildiğini kabul etti. Manevi zarar açısından ise ihlalin tespit edilmesini tek başına yeterli adil tatmin olarak gördü
      Kaynak bağlantısı bozuk: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      Bu web sitesi kalıcı bağlantı vermeyi neredeyse imkânsız hâle getirdiği için berbat. Önemli kararlar alıp insanların bunlara atıf yapması gereken bir kurum için gerçekten kötü tasarım
    • HN biçimlendirmesi bağlantıyı bozuyor gibi göründüğü için alternatif bağlantı bırakıyorum: https://hudoc.echr.coe.int/eng/?i=001-230854
    • Kararın özeti şu: Mahkeme, 16 Eylül 2022’den önceki olgulara ilişkin başvurucunun şikâyetlerini ele alma yetkisine sahip olduğuna oybirliğiyle karar verdi; özel hayat ve haberleşmeye saygı hakkının ihlali iddiasını kabul edilebilir buldu ve AİHS’nin 8. maddesinin ihlal edildiğini oybirliğiyle kabul etti
      13. maddeye ilişkin şikâyetin ayrıca incelenmesine gerek olmadığına 5’e karşı 2 oyla karar verdi; ihlalin tespitinin manevi zarar için yeterli tatmin olduğuna 6’ya karşı 1 oyla hükmetti ve başvurucunun adil tatmin talebini 6’ya karşı 1 oyla reddetti
      Karar İngilizce yazıldı ve 13 Şubat 2024’te yazılı olarak bildirildi
    • İlgili paragraflar 76–81. Mahkeme, şifrelemenin iletişim içeriklerine hukuka aykırı erişimi engelleyen güçlü bir teknik güvenlik önlemi olduğunu; çevrimiçi mahremiyet ve haberleşmenin gizliliğinin yanı sıra ifade özgürlüğü gibi temel hakların güvence altına alınmasına da katkı sağladığını değerlendirdi
      Ayrıca şifrelemenin vatandaşları ve şirketleri hackleme, kimlik ve kişisel veri hırsızlığı, dolandırıcılık ve gizli bilgilerin uygunsuz biçimde ifşası gibi bilgi teknolojisi suistimallerinden koruduğunu; bu nedenle şifrelemeyi zayıflatabilecek tedbirler değerlendirilirken bunun yeterince dikkate alınması gerektiğini belirtti
      Telegram “secret chats” gibi uçtan uca şifreli iletişimin şifresini çözmek için tüm kullanıcıların şifrelemesinin zayıflatılması gerekecek gibi göründüğünü; böyle bir tedbirin yalnızca belirli kişilerle sınırlanamayacağını ve bu yüzden meşru hükümet çıkarlarına tehdit oluşturmayan kişileri de ayrım gözetmeksizin etkileyeceğini değerlendirdi
      Bir backdoor oluşturulmasının kişisel elektronik iletişim üzerinde rutin, genel ve ayrım gözetmeyen gözetimi teknik olarak mümkün kılacağını; suç örgütlerince de kötüye kullanılabileceğini ve tüm kullanıcıların elektronik iletişim güvenliğine ciddi zarar vereceğini belirtti
      Mahkeme, suçluların da şifreleme kullanabileceğini ve bunun soruşturmaları zorlaştırabileceğini kabul etmekle birlikte, koruma mekanizmalarını zayıflatmayan şifre çözme alternatifleri ve başka soruşturma yöntemleri bulunması gerektiği yönündeki talebi kabul etti
      Sonuç olarak, bu davada uçtan uca şifreli iletişimin şifresini çözme yükümlülüğü, hizmet sağlayıcıyı tüm kullanıcıların şifreleme mekanizmalarını zayıflatmaya zorlayabilecek bir risk taşıdığı için meşru amaçla orantılı değildir; söz konusu yasa demokratik bir toplumda gerekli görülemez ve bu nedenle 8. madde ihlali oluşur
  • Harika haber
    Avrupa İnsan Hakları Mahkemesi, Birleşik Krallık’ın aptal hükümetinin AB ile aynı kefeye koyup saldırmaya çalıştığı mahkemenin ta kendisi