Avrupa İnsan Hakları Mahkemesi, güvenli uçtan uca şifrelemenin zayıflatılmasını yasakladı
(eureporter.co)- Avrupa İnsan Hakları Mahkemesi, uçtan uca şifrelemenin (end-to-end encryption) genel olarak zayıflatılmasını yasakladı; bu karar, AB’nin chat control CSAR kitlesel gözetim planlarına da fren koyabilir
- Karara göre şifreleme, vatandaşları ve şirketleri hacklenme, kimlik ve kişisel veri hırsızlığı, dolandırıcılık, gizli bilgilerin sızdırılması gibi tehditlerden koruyor; arka kapılar ise suç ağları tarafından kötüye kullanılabilir
- Mahkeme, tüm kullanıcıların korumasını düşürmeden de şifreli iletişimi izleme yöntemleri bulunduğunu belirtti; örnek olarak hedef yazılımdaki güvenlik açıklarının kullanılması veya cihaza implant gönderilmesi gösterildi
- Avrupa Parlamentosu üyesi Patrick Breyer, AB Komisyonu’nun istemci tarafı tarama yaklaşımının tüm akıllı telefonları gözetlediğini ve şifreleme korumasını yok ettiğini, bu nedenle bu karara göre açıkça yasa dışı olduğunu söyledi
- AB Parlamentosu güvenli şifrelemenin bozulmasını ve ayrım gözetmeyen chat control uygulamasını reddetti; ancak AB Konseyi’nin tutumu netleştiğinde müzakereler başlayabilir ve AB içişleri bakanlarının tasarıyı mart başında yeniden görüşmesi planlanıyor
Kararın yasakladığı şifreleme zayıflatma uygulamaları
- Avrupa İnsan Hakları Mahkemesi, güvenli uçtan uca şifrelemeyi genel olarak zayıflatan önlemleri yasakladı
- Şifreleme, vatandaşları ve şirketleri çeşitli tehditlerden koruyan bir araç olarak kabul edildi
- hacklenme
- kimlik hırsızlığı ve kişisel veri hırsızlığı
- dolandırıcılık
- gizli bilgilerin izinsiz ifşası
- Arka kapılar, suç ağları tarafından kötüye kullanılabileceği için tüm kullanıcıların elektronik iletişim güvenliğini ciddi biçimde tehlikeye atabilir
- Mahkeme, tüm kullanıcıların korumasını azaltmayan gözetim yöntemlerinin de mümkün olduğu görüşünde
- hedef yazılımdaki güvenlik açıklarının kullanılması
- hedef cihaza implant gönderilmesi
- Kararın dayanağı olarak AİHM karar belgesindeki para. 76 ff. gösteriliyor
Breyer’in AB chat control yasa tasarısına ilişkin değerlendirmesi
- Avrupa Parlamentosu üyesi ve Pirate Party mensubu Patrick Breyer, bu kararı landmark judgement olarak nitelendirdi
- Breyer, AB Komisyonu’nun chat control tasarısında yer alan, tüm akıllı telefonları kapsayan istemci tarafı tarama gözetiminin açıkça yasa dışı olduğunu düşünüyor
- Onun değerlendirmesine göre bu yöntem, şüphelileri hedef almak yerine herkesin şifreleme korumasını yıkıyor
- Breyer, AB hükümetlerinin tasarıdan güvenli şifrelemenin bozulmasını ve tüm nüfusun özel iletişimine yönelik ayrım gözetmeyen gözetimi çıkarması gerektiğini talep etti
Şifreleme ve hizmetlerin devamlılığına dair kaygılar
- Breyer, güvenli şifrelemenin hayat kurtardığını vurguladı
- Şifreleme olmadan mesajların veya fotoğrafların güvenilmez kişilere açılıp açılmayacağından emin olunamaz
- Sözde istemci tarafı taramanın iki sonuçtan birine yol açtığı değerlendiriliyor
- iletişimi temelden güvensiz hale getirmesi
- Avrupalı vatandaşların Whatsapp ya da Signal kullanamaz hale gelmesi
- Breyer, ilgili sağlayıcıların Avrupa’da hizmetlerini durdurma seçeneğini zaten değerlendirdiğini söyledi
- AB Konseyi’nin son tutum taslağı ise hâlâ güvenli şifrelemenin bozulmasını öngörmekle eleştiriliyor
AB Komisyonu önerisinin yapısı
- AB Komisyonu ve gözetim otoritelerinin endüstriyel ağı, özel iletişimlerin genel olarak taranmasını talep ediyor
- Tarama kapsamına uçtan uca şifreli mesajlaşma uygulamaları da dahil
- Amaç, yasa dışı içerik işaretleri bulmak
- Bu yöntem, hata üretmeye yatkın teknolojilere dayanıyor
- Ancak güvenli uçtan uca şifreleme zayıflatılırsa uygulanabiliyor
AB kurumlarının mevcut konumu
- AB hükümetlerinin çoğu bu girişimi destekliyor
- Ancak bir blocking minority kararı engelliyor
- AB içişleri bakanlarının tasarıyı mart başında yeniden ele alması bekleniyor
- AB Parlamentosu, Pirates ve sivil toplum baskısı altında şunları reddetti
- güvenli şifrelemenin bozulması
- ayrım gözetmeyen chat control
- Parlamento’nun tutumu, AB Konseyi tutumunu belirledikten sonra yapılabilecek müzakerelerin başlangıç noktası olacak
Meta ve gönüllü chat control
- Meta, 2024 içinde Facebook ve Instagram direct messages özelliğini şifrelemeye başlayacağını duyurdu
- Bu mesajlara yönelik mevcut gönüllü chat control gözetimini durduracağını da açıkladı
- AB, gönüllü chat control izninin uzatılması için süreci sürdürüyor
- Breyer’in chat control bilgi sayfası: chatcontrol.eu
1 yorum
Hacker News yorumları
Bu davada mahkeme, uçtan uca şifreli iletişimin şifresini çözme yükümlülüğünün mahremiyet hakkına orantısız bir müdahale olduğuna hükmetti
Söz konusu yasa, Telegram gibi mesajlaşma uygulamalarından iletişim içeriğiyle birlikte, şifrelenmişse “elektronik mesajların şifresini çözmek için gerekli bilgileri” teslim etmelerini istiyordu
Mahkeme, bir arka kapıyla uçtan uca şifrelemenin zayıflatılmasının geniş kapsamlı etkiler doğuracağını değerlendirdi ve mevzuat ile süregelen teknolojik gelişmeler yoluyla “koruma mekanizmalarını zayıflatmayan şifre çözme alternatifleri” bulunması gerektiği yönündeki talebi de alıntıladı. Bunlar arasında geleneksel soruşturma, gizli soruşturma, metadata analizi, uluslararası polis iş birliği, el konulan cihazlarda canlı adli bilişim incelemesi, iletişimin taraflarının elindeki özel anahtarları tahmin etme veya elde etme, hedefli yazılım açıklarından yararlanma ya da implant gönderme gibi yöntemler yer alıyor
Belirli bir dava ve yasaya ilişkin bir karar olsa da mahkeme, hizmet sağlayıcılardan tüm kullanıcıların şifreleme mekanizmalarını zayıflatmalarını isteme yaklaşımının geneline epey şüpheyle bakıyor gibi görünüyor. Birleşik Krallık hükümeti açısından bu karar, Online Safety Bill’in yerel mahkemelerde ya da Avrupa mahkemelerinde bozulma ihtimali konusunda endişe yaratabilecek bir dayanak olurdu
Bununla birlikte, uçtan uca şifreleme arka kapısının mahremiyet hakkına getirilebilecek meşru sınırlamaların sınırını aştığı kabul edilse bile mahremiyet hakkı askıya alınabilir bir hak olduğundan, hükümet “ulusun yaşamını tehdit eden” bir olağanüstü hâl ilan ederse ECHR’nin 15. maddesi uyarınca gerekli ölçüde askıya alabilir
İlgili paragraflar 76–80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
Yapabileceklerinin en fazlası bir uyumsuzluk beyanı vermek; bu durumda bakanlar, yeni bir yasayı tekrar geçirmeden ikincil mevzuatla kusuru düzeltebilir. Elbette bu, bunu yapacak siyasi irade varsa geçerli
Ancak Online Safety Act, önemli bir kısmı ikincil mevzuat, yasal kodlar ve kılavuzlarla ele almaya çalıştığından, mahkemeler bunları iptal edebilir. Yasanın kendisi ihlalci araçların ortaya çıkmasını zorunlu kılmadığı sürece, işlerin nasıl gelişeceğini görmek ilginç olacak
Ne yazık ki bunun tamamen bağdaşmaz olduğunu basitçe söyleyemeyiz. Bu karara göre sorun yalnızca iyi güvenceler olmadığında ortaya çıkıyor; karar metni bir yerde “adequate”, başka bir yerde “suitable” diyor ama bunun somut olarak ne anlama geldiği açık değil
https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
Şifre çözme bilgisi talebine yanıt olarak Lavabit özel anahtarı teslim etti, ama bunu kâğıda daktiloyla yazıp sundu. Muhtemelen 6. ya da 12. sayfa civarında bir yerlerde yazım hatası vardı
https://thenextweb.com/news/you-wont-believe-what-email-prov...
Biraz kafam karıştı. Makalenin kendisi epey politik görünüyor; Pirate Party’nin tanıtım metnini alıntılıyor ama hangi davanın mahkemeye gittiğini ve kararın tam olarak neyi yasakladığını açıklamıyor. Bu yüzden en altta bağlantısı verilen gerçek karara tıkladım
Bu dava Pirate Party ya da Chat Control ile doğrudan bağlantılı görünmüyor. Olgular kısmına kabaca bakınca, Telegram’ın düz metin sohbet mesajlarını teslim etmemesi nedeniyle para cezası almasına karşı bir kişinin Rusya hükümetine karşı açtığı bir dava. Makalenin tamamında “Russia” kelimesi bile yok. Bu makalenin neyi haberleştirdiğini ve neden yakın dönemdeki Chat Control mevzuatıyla ilgiliymiş gibi anlattığını anlamıyorum
Kararın 80–81. paragraflarına bakınca, “tüm kullanıcıların internet iletişimlerinin saklanması, kötüye kullanımı önleyici güvenceler olmadan güvenlik kurumlarının doğrudan erişimi ve uçtan uca şifreli iletişimlere uygulanan şifreli iletişimin şifresini çözme talepleri” demokratik bir toplumda gerekli görülemez deniyor; bu nedenle de ECHR Madde 8’deki mahremiyet hakkının ihlali olduğu söyleniyor
Bu mantık Chat Control gibi şifrelemeyi aşmaya yönelik başka yasalara genişletilebilir, ancak Rus yasasının somut koşulları dikkate alınmadan bunu yapmak isabetli olmayabilir. Örneğin 80. paragraftaki “kötüye kullanıma karşı yeterli güvenceler olmaksızın” ifadesi önemli; Chat Control aynı heyetin önüne gitseydi bu tür mekanizmaların var olduğuna hükmedilmiş olabilirdi
Brexit’ten sonra da Birleşik Krallık için geçerli olması güzel. Birleşik Krallık hâlâ ECHR üyesi
Avrupa bugünlerde makul teknoloji düzenlemesinin nasıl yapılabileceği konusunda epey iyi örnekler veriyor
“İki yıl sonra yine dönüp tekrar denerler” diye biten çok fazla şey oldu; bu tür uçtan uca şifreleme karşıtı önerilerin önünde uzun vadeli bir engel oluşması biraz rahatlatıcı
Avrupa gerçekten hoşuma giden bir şey yaptı
“Çocukları düşünelim” anlatısının baskın çıkmasından endişeliydim ama en azından Avrupa’da şifrelemenin değerinin bir geleceği var gibi görünüyor
Şifreleme konusunda hükümet ile sektör arasında belli ölçüde bir çekişme var. Hükümet algoritmalara zafiyet yerleştirmemeli, ama suçluların ve teröristlerin mesajlarını okuyabilmenin bir yoluna da ihtiyaç duyuyor. Sektör ise müşterilerin mesajlaşma ürünlerini meşru amaçlarla güvenli biçimde kullandıklarını hissetmelerini sağlayacak bir yol istiyor
Bölgesel düzeyde baskı olmazsa şifrelemenin ticarileşmesini ABD’ye bırakmış olursunuz. Akademi yeni algoritmaları sevmeye devam eder, ama biri bundan para kazanabilir hâle gelene kadar bunlar makalelerde kalır; sonunda da atılgan bir ABD’li geliştiricinin Signal’dan daha güvenli bir sonraki büyük şifreli sohbet uygulamasına dönüştürmesine hazır hâle gelir
Güzel. İsim vermeyeceğim ama bazı ISP’ler şu anda pek mutlu değildir. Bu karar bazı proxy modellerine sağlam bir fren koyuyor
İçimin yağları eridi
Makale yarı yarıya çöp. Siyasi duruştan bağımsız olarak kötü yazılmış ve taraflı
Kararı okumak daha iyi
https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
CASE OF PODCHASOV v. RUSSIA
Application no. 33696/19
Asıl karar metni de oldukça okunabilir; hızlıca göz gezdirince makalenin içeriğiyle genel olarak uyumlu görünüyordu
Rusya’nın “internet iletişimi düzenleyicisi” olarak tanımladığı Telegram’ın bir kullanıcısıydı; Telegram da yasa gereği tüm iletişim verilerini 1 yıl, iletişim içeriklerini 6 ay boyunca saklamak ve yasada belirtilen durumlarda bu verileri ve şifreli elektronik mesajların şifresini çözmek için gerekli bilgileri kolluk kuvvetlerine veya güvenlik kurumlarına sunmak zorundaydı
Podchasov, AİHS’nin 8. ve 13. maddelerine dayanarak veri saklama, aktarma ve şifre çözme taleplerini ve etkili başvuru yolunun bulunmamasını sorun etti; mahkeme 8. maddenin ihlal edildiğini kabul etti. Manevi zarar açısından ise ihlalin tespit edilmesini tek başına yeterli adil tatmin olarak gördü
Kaynak bağlantısı bozuk: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
Bu web sitesi kalıcı bağlantı vermeyi neredeyse imkânsız hâle getirdiği için berbat. Önemli kararlar alıp insanların bunlara atıf yapması gereken bir kurum için gerçekten kötü tasarım
13. maddeye ilişkin şikâyetin ayrıca incelenmesine gerek olmadığına 5’e karşı 2 oyla karar verdi; ihlalin tespitinin manevi zarar için yeterli tatmin olduğuna 6’ya karşı 1 oyla hükmetti ve başvurucunun adil tatmin talebini 6’ya karşı 1 oyla reddetti
Karar İngilizce yazıldı ve 13 Şubat 2024’te yazılı olarak bildirildi
Ayrıca şifrelemenin vatandaşları ve şirketleri hackleme, kimlik ve kişisel veri hırsızlığı, dolandırıcılık ve gizli bilgilerin uygunsuz biçimde ifşası gibi bilgi teknolojisi suistimallerinden koruduğunu; bu nedenle şifrelemeyi zayıflatabilecek tedbirler değerlendirilirken bunun yeterince dikkate alınması gerektiğini belirtti
Telegram “secret chats” gibi uçtan uca şifreli iletişimin şifresini çözmek için tüm kullanıcıların şifrelemesinin zayıflatılması gerekecek gibi göründüğünü; böyle bir tedbirin yalnızca belirli kişilerle sınırlanamayacağını ve bu yüzden meşru hükümet çıkarlarına tehdit oluşturmayan kişileri de ayrım gözetmeksizin etkileyeceğini değerlendirdi
Bir backdoor oluşturulmasının kişisel elektronik iletişim üzerinde rutin, genel ve ayrım gözetmeyen gözetimi teknik olarak mümkün kılacağını; suç örgütlerince de kötüye kullanılabileceğini ve tüm kullanıcıların elektronik iletişim güvenliğine ciddi zarar vereceğini belirtti
Mahkeme, suçluların da şifreleme kullanabileceğini ve bunun soruşturmaları zorlaştırabileceğini kabul etmekle birlikte, koruma mekanizmalarını zayıflatmayan şifre çözme alternatifleri ve başka soruşturma yöntemleri bulunması gerektiği yönündeki talebi kabul etti
Sonuç olarak, bu davada uçtan uca şifreli iletişimin şifresini çözme yükümlülüğü, hizmet sağlayıcıyı tüm kullanıcıların şifreleme mekanizmalarını zayıflatmaya zorlayabilecek bir risk taşıdığı için meşru amaçla orantılı değildir; söz konusu yasa demokratik bir toplumda gerekli görülemez ve bu nedenle 8. madde ihlali oluşur
Harika haber
Avrupa İnsan Hakları Mahkemesi, Birleşik Krallık’ın aptal hükümetinin AB ile aynı kefeye koyup saldırmaya çalıştığı mahkemenin ta kendisi