1 ポイント 投稿者 GN⁺ 2024-02-15 | 1件のコメント | WhatsAppで共有
  • 欧州人権裁判所が エンドツーエンド暗号化(end-to-end encryption) の一般的な弱体化を禁じ、EUの chat control CSAR 大量監視計画にも歯止めがかかる可能性がある
  • 判決は、暗号化が市民と企業を ハッキング、身元・個人情報の窃取、詐欺、機密情報の漏えい から守るとし、バックドアは犯罪ネットワークに悪用され得ると判断した
  • 裁判所は、すべての利用者の保護水準を下げずに暗号化された通信を監視する方法はあるとして、対象ソフトウェアの 脆弱性の利用 や端末へのインプラント送信を例に挙げた
  • 欧州議会議員の Patrick Breyer は、EU Commission の クライアントサイドスキャン はすべてのスマートフォンを監視し、暗号化による保護を破壊するため、今回の判決の下では明らかに違法だと評価した
  • EU Parliament は安全な暗号化の破壊と無差別な chat control を拒否したが、EU Council の立場が定まれば交渉が始まる可能性があり、EU 内務相らは 3 月初めに法案を再協議する予定である

判決が禁じた暗号化の弱体化

  • 欧州人権裁判所は、安全な エンドツーエンド暗号化 を一般的に弱体化させる措置を禁止した
  • 暗号化は、市民と企業をさまざまな脅威から守る手段として認められた
    • ハッキング
    • 身元情報の窃取と個人情報の窃取
    • 詐欺
    • 機密情報の無断公開
  • バックドアは 犯罪ネットワーク に悪用される可能性があり、すべての利用者の電子通信の安全性を深刻に危うくし得る
  • 裁判所は、すべての利用者の保護を低下させない監視手法も可能だとみている
    • 対象ソフトウェアの 脆弱性 の利用
    • 対象端末への インプラント 送信
  • 判決の根拠として、ECHR 判決文書の para. 76 ff. が示されている

EU chat control 法案に対する Breyer の評価

  • 欧州議会議員であり Pirate Party 所属の Patrick Breyer は、今回の判決を landmark judgement と評価した
  • Breyer は、EU Commission の chat control 法案に含まれる、すべてのスマートフォンを対象とした クライアントサイドスキャン 監視は明らかに違法だとみている
  • 彼の評価によれば、この方式は容疑者を狙うのではなく、すべての人の暗号化保護を崩してしまう
  • Breyer は、EU 各国政府が法案から安全な暗号化の破壊と、全人口の私的通信に対する無差別監視を削除すべきだと求めた

暗号化とサービス継続性への懸念

  • Breyer は、安全な暗号化は 命を救う と強調した
  • 暗号化がなければ、メッセージや写真が信頼できない相手に公開されないと確信することはできない
  • いわゆるクライアントサイドスキャンは、次の 2 つの結果のいずれかを招くと評価されている
    • 通信を根本的に安全でないものにする
    • 欧州市民が WhatsappSignal をもはや利用できなくなる
  • Breyer は、該当する提供事業者が欧州でのサービス停止をすでに検討したと明らかにした
  • EU Council の最新の立場草案は、依然として安全な暗号化の破壊を予定しているとの批判を受けている

EU Commission 提案の構造

  • EU Commission と監視当局の産業ネットワークは、私的通信を一般的に検索する仕組みを求めている
  • 検索対象には エンドツーエンド暗号化メッセンジャー も含まれる
  • 目的は違法コンテンツの兆候を見つけることにある
  • この方式は、誤りが起こりやすい技術に依存している
  • 安全なエンドツーエンド暗号化を弱体化させてはじめて実装可能となる

EU 各機関の現在地

  • EU 各国政府の多数はこのイニシアチブを支持している
  • ただし blocking minority が決定を阻んでいる
  • EU 内務相らは 3 月初めに法案を再協議する予定である
  • EU Parliament は Pirates と市民社会からの圧力の中で、次の点を拒否した
    • 安全な暗号化の破壊
    • 無差別な chat control
  • Parliament の立場は、EU Council が立場を定めた後に可能となる交渉の 出発点 となる

Meta と自主的な chat control

  • Meta は 2024 年中に FacebookInstagram の direct messages の暗号化を開始すると発表した
  • それに伴い、当該メッセージに対する現在の自主的な chat control 監視は停止すると明らかにした
  • EU は、自主的な chat control に対する許可を延長する手続きを進めている
  • Breyer の chat control 情報ページは chatcontrol.eu である

1件のコメント

 
GN⁺ 2024-02-15
Hacker News のコメント
  • この事件で裁判所は、エンドツーエンド暗号化通信の復号義務はプライバシー権に対する比例性を欠く侵害だと判断した
    問題の法律は、Telegram のようなメッセンジャーに対し、通信内容に加えて、暗号化されている場合には「電子メッセージを復号するために必要な情報」を引き渡すよう求めていた
    裁判所は、バックドアによってエンドツーエンド暗号化を弱体化させると広範な影響が生じると見ており、立法と継続的な技術発展を通じて「保護メカニズムを弱体化させない復号の代替手段」を見つけるべきだという要請も引用した。これには従来型の捜査、潜入捜査、メタデータ分析、国際的な警察協力、押収機器のライブフォレンジック、通信当事者が持つ秘密鍵の推測・取得、標的型のソフトウェア脆弱性の利用やインプラントの送信などが含まれる
    特定の事件と法律に関する判決ではあるが、裁判所はサービス提供者にすべてのユーザーの暗号化メカニズムの弱体化を求める方式全般にかなり懐疑的に見える。英国政府なら、この判決を根拠に Online Safety Bill が国内裁判所や欧州の裁判所で覆される可能性を懸念してもおかしくない
    ただし、エンドツーエンド暗号化のバックドアがプライバシー権の正当な制限範囲を超えると見なされたとしても、プライバシー権は留保可能な権利なので、政府が「国家の存立を脅かす」緊急事態を宣言すれば、必要な範囲で ECHR 第15条に基づき留保できる
    関連する段落は 76〜80 番: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • 英国の裁判所は議会制定法を覆せない、という点も重要
      できる最善は不適合宣言を出すことで、その場合、閣僚は新しい法律を再び成立させなくても、下位立法で欠陥を修正できる。もちろん、そうする政治的意思がある場合の話だ
      ただし Online Safety Act はかなりの部分を下位立法、法定コード、指針で処理しようとしているため、こうしたものは裁判所が取り消せる。法律自体が侵害的な手段を作らざるを得ないよう拘束していない限り、今後どう展開するかは興味深い
    • 「エンドツーエンド暗号化通信の復号義務はプライバシー権の侵害」という結論には、濫用防止のセーフガードがない場合という条件が付く
      残念ながら、完全に両立不可能だと単純に言うことはできない。この判決上は、良いセーフガードがない場合だけ問題であり、判決文はある箇所では「adequate」、別の箇所では「suitable」と表現しているが、具体的に何を意味するのかは明確ではない
    • 英国はECHR 脱退を望んでいるので、残念ながらこの判決を迂回する可能性もある
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • 「暗号化されている場合に電子メッセージを復号するために必要な情報」というくだりは、以前メインのメールとして使っていた Lavabit を思い出させる
      復号情報の要求に対応して Lavabit は秘密鍵を渡したが、紙にタイプして提出した。おそらく 6 ページ目か 12 ページ目あたりにタイプミスがあったのかもしれない
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • 間抜けな質問かもしれないが、英国はもう EU 加盟国ではないのに、なぜ EU の裁判所が英国法を覆せるのか気になる
  • 少し混乱する。記事自体がかなり政治的に見えるし、Pirate Party の宣伝文句を引用しながらも、どの事件が裁判所に持ち込まれ、判決が正確に何を禁じたのか説明していないので、一番下にリンクされている実際の判決をクリックしてみた
    この事件は Pirate Party や Chat Control とは直接関係がないように見える。事実関係の部分をざっと見ると、Telegram が平文のチャットメッセージを引き渡さなかったことで罰金を科されたことについて、ある個人がロシア政府を相手取って起こした事件だ。記事全体に「Russia」という単語すらない。この記事が何を報じているのか、なぜ最近の Chat Control 立法と関係があるかのように描写しているのか分からない
    判決の 80〜81 番を見ると、「すべてのユーザーのインターネット通信の保存、濫用防止のセーフガードなしの治安機関による直接アクセス、エンドツーエンド暗号化通信に適用される暗号化通信の復号要求」は民主社会において必要とは見なせず、したがって ECHR 第8条のプライバシー権違反だとしている
    この論理を Chat Control のような他の暗号化迂回法にも拡張することはできるだろうが、ロシア法の具体的事情を考慮しなければ正確ではないかもしれない。たとえば 80 番段落の「濫用防止に十分なセーフガードなしに」という表現が重要で、Chat Control が同じ法廷にかかったなら、そうした仕組みがあると判断された可能性もある

    • この判決は先例になるだろう。欧州議会の Pirate Party 議員がコメントしたのは、この問題が同党の中核的な議題だからだ。判決文に Pirate Party が出てくる理由はない
    • その記事は原文ではない。原文はこちら: https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • Brexit 後も英国に適用される点が良い。英国は今も ECHR 加盟国

    • 保守党は何年も前から ECHR 脱退を口にしてきた
    • Azerbaijan も ECHR 加盟国だが、政治的反対者を投獄し、奴隷労働を使い、戦争犯罪を犯し、他の ECHR 加盟国を攻撃し、民族浄化を行うのを止めることはできていない
  • 最近の欧州は、合理的な技術規制をどう展開できるかについて、かなり手本を示しているところだ

    • この決定が必要だったのは、EU がエンドツーエンド暗号化の禁止へ向かおうとしていた状況だったからだ。判決を下したのは EU Commission ではなく裁判所であり、私の知る限り Commission は今もこれを無視することもできる
    • あとは技術そのものもうまく開発してくれるといい
  • 「2年後にまた戻ってきて再挑戦するんだろう」で終わることがあまりに多かったので、こうした反エンドツーエンド暗号化提案に長期的な障害ができるのは少し安心できる

    • できれば農業・漁業委員会のようなところを通して処理されてほしい
  • ヨーロッパが実際に気に入ることを一つやった
    「子どもたちのことを考えよう」というナラティブに支配されるのではないかと心配していたが、少なくともヨーロッパでは暗号化の価値に未来がありそうだ

    • 名前とは違ってEUではない
  • 暗号化をめぐって政府と産業界の間には、ある程度の押し引きがある。政府はアルゴリズムに脆弱性を仕込むべきではないが、犯罪者やテロリストのメッセージを読む手段も必要としている。産業界は、顧客が合法的な用途でメッセージング製品を安全に使っていると感じられるようにする方法を求めている
    地域レベルの圧力がなければ、暗号化の商用化を米国に譲ることになる。学界は新しいアルゴリズムを引き続き好むだろうが、誰かが収益化できるようになるまでは論文の中にとどまり、結局は進取の気性に富んだ米国の開発者が、Signalより安全な次の大型暗号化チャットアプリとして作る準備が整った状態になるだけだ

  • 良い。名前は出さないが、あるISPたちは今あまりうれしくないだろう。この判決は一部のプロキシモデルにしっかりブレーキをかけてくれる
    胸がすく

    • 名前を出してさらし者にしてほしい。みんなのためになる
  • 記事は半分ゴミだ。政治的立場はさておき、文章が下手で偏っている
    判決文を読むほうがいい
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • それでも記事を擁護するなら、判決文へのリンクは貼ってあった。その事実だけでも、政治テーマの記事の中ではほぼ上位20%に入る
      実際の判決文もかなり読めるし、ざっと見たところ記事の内容と概ね合っているように見えた
    • 裁判所のプレスリリースの英語原文を見ると、申立人Anton Valeryevich Podchasovは1981年生まれのロシア国籍者で、Barnaulに居住している
      彼はロシアが「インターネット通信組織者」に指定したTelegramのユーザーであり、Telegramは法律により、すべての通信データを1年間、通信内容を6か月間保存し、法律で定められた状況では、そのデータと暗号化された電子メッセージの復号に必要な情報を法執行機関または治安機関に提出しなければならなかった
      PodchasovはECHR第8条と第13条を根拠に、データの保存・提供・復号要求と有効な救済手段の欠如を問題にし、裁判所は第8条違反を認定した。非金銭的損害については、違反の認定自体が十分な正当な満足に当たるとした
      出典リンクは壊れている: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      このWebサイトはパーマリンクをほぼ不可能にしていてひどい。重要な判断を下し、人々が引用する必要のある機関としては本当に悪い設計だ
    • HNのマークアップがリンクを壊しているようなので、代替リンクを置いておく: https://hudoc.echr.coe.int/eng/?i=001-230854
    • 判決の要旨は、裁判所が2022年9月16日以前の事実に関する申立人の請求を扱う管轄権があると全会一致で判断し、私生活および通信の尊重を受ける権利の侵害に関する請求を適法と宣言し、ECHR第8条違反を全会一致で認定した、というものだ
      第13条の請求については別途審理する必要はないと5対2で判断し、違反の認定自体が非金銭的損害に対する十分な満足だと6対1で見なし、申立人の正当な満足の請求は6対1で棄却した
      判決は英語で作成され、2024年2月13日に書面で通知された
    • 関連する段落は76〜81番だ。裁判所は、暗号化が通信内容への不正アクセスを防ぐ強力な技術的セーフガードであり、オンライン上のプライバシーと通信の秘密だけでなく、表現の自由のような基本権の保障にも寄与すると見た
      また暗号化は、ハッキング、身元・個人情報の窃取、詐欺、機密情報の不適切な開示といった情報技術の悪用から市民や企業を保護するため、暗号化を弱体化させ得る措置を評価する際には、その点を十分考慮しなければならないとした
      Telegramの「secret chats」のようにエンドツーエンド暗号化された通信を復号するには、すべてのユーザーの暗号化を弱体化させる必要があるように見え、こうした措置は特定の個人だけに限定できず、正当な政府利益に脅威を与えない人まで無差別に影響を受けると見た
      バックドアを作れば、個人の電子通信に対する日常的・一般的・無差別な監視が技術的に可能になり、犯罪組織にも悪用され得るため、すべてのユーザーの電子通信の安全性を深刻に損なうと判断した
      裁判所は、犯罪者も暗号化を利用できるため捜査が難しくなり得ることを認めつつも、保護メカニズムを弱体化させない復号の代替手段と、ほかの捜査方法を探すべきだという要求を受け入れた
      結論として、この事件におけるエンドツーエンド暗号化通信の復号義務は、サービス提供者にすべてのユーザーの暗号化メカニズムを弱体化させる危険を生じさせるため、正当な目的に比例しておらず、問題の法律は民主社会において必要とは見なせないので、第8条違反となる
  • すばらしいニュースだ
    欧州人権裁判所は、英国の愚かな政府がEUと同じように十把ひとからげに攻撃しようとしている、まさにその裁判所だ