1 poin oleh GN⁺ 2024-02-15 | 1 komentar | Bagikan ke WhatsApp
  • Pengadilan Hak Asasi Manusia Eropa melarang pelemahan umum terhadap enkripsi end-to-end (end-to-end encryption), yang juga bisa menghambat rencana pengawasan massal chat control CSAR Uni Eropa
  • Putusan tersebut menilai bahwa enkripsi melindungi warga dan perusahaan dari peretasan, pencurian identitas dan data pribadi, penipuan, serta kebocoran informasi rahasia, dan bahwa backdoor dapat disalahgunakan oleh jaringan kriminal
  • Pengadilan menyatakan ada cara untuk memantau komunikasi terenkripsi tanpa menurunkan perlindungan bagi semua pengguna, dengan mencontohkan pemanfaatan kerentanan pada perangkat lunak target atau pengiriman implan ke perangkat
  • Anggota Parlemen Eropa Patrick Breyer menilai pemindaian sisi klien dari Komisi Eropa jelas ilegal menurut putusan ini karena mengawasi semua ponsel pintar dan menghancurkan perlindungan enkripsi
  • Parlemen UE telah menolak perusakan enkripsi aman dan chat control tanpa pandang bulu, tetapi negosiasi bisa dimulai setelah posisi Dewan UE ditetapkan, dan para menteri dalam negeri UE dijadwalkan membahas RUU itu lagi pada awal Maret

Pelemahan enkripsi yang dilarang oleh putusan

  • Pengadilan Hak Asasi Manusia Eropa melarang langkah-langkah yang secara umum melemahkan enkripsi end-to-end yang aman
  • Enkripsi diakui sebagai sarana untuk melindungi warga dan perusahaan dari berbagai ancaman
    • peretasan
    • pencurian identitas dan pencurian data pribadi
    • penipuan
    • pengungkapan tanpa izin atas informasi rahasia
  • Backdoor dapat disalahgunakan oleh jaringan kriminal, sehingga dapat secara serius membahayakan keamanan komunikasi elektronik semua pengguna
  • Pengadilan juga menilai bahwa metode pengawasan yang tidak menurunkan perlindungan semua pengguna tetap dimungkinkan
    • pemanfaatan kerentanan pada perangkat lunak target
    • pengiriman implan ke perangkat target
  • Sebagai dasar putusan, ditunjuk dokumen putusan ECHR para. 76 ff.

Penilaian Breyer terhadap RUU chat control UE

  • Anggota Parlemen Eropa Patrick Breyer dari Pirate Party menilai putusan ini sebagai landmark judgement
  • Breyer memandang pengawasan pemindaian sisi klien untuk semua ponsel pintar yang tercantum dalam RUU chat control Komisi Eropa sebagai tindakan yang jelas ilegal
  • Menurut penilaiannya, pendekatan ini meruntuhkan perlindungan enkripsi semua orang alih-alih menargetkan tersangka
  • Breyer menuntut agar pemerintah-pemerintah UE menghapus perusakan enkripsi aman dan pengawasan tanpa pandang bulu atas komunikasi pribadi seluruh populasi dari RUU tersebut

Kekhawatiran soal enkripsi dan keberlangsungan layanan

  • Breyer menekankan bahwa enkripsi yang aman menyelamatkan nyawa
  • Tanpa enkripsi, tidak ada kepastian bahwa pesan atau foto tidak akan terbuka kepada orang yang tidak dapat dipercaya
  • Yang disebut pemindaian sisi klien dinilai hanya akan menghasilkan salah satu dari dua akibat berikut
    • membuat komunikasi pada dasarnya tidak aman
    • membuat warga Eropa tidak lagi bisa menggunakan Whatsapp atau Signal
  • Breyer menyatakan bahwa para penyedia tersebut sudah mempertimbangkan kemungkinan menghentikan layanan di Eropa
  • Draf posisi terbaru Dewan UE masih dikritik karena tetap mengarah pada perusakan enkripsi yang aman

Struktur usulan Komisi Eropa

  • Komisi Eropa dan jaringan industri dari otoritas pengawasan menuntut cara untuk secara umum memindai komunikasi pribadi
  • Sasaran pemindaian itu juga mencakup messenger terenkripsi end-to-end
  • Tujuannya adalah mencari tanda-tanda konten ilegal
  • Pendekatan ini bergantung pada teknologi yang rawan kesalahan
  • Ini hanya dapat diterapkan dengan melemahkan enkripsi end-to-end yang aman

Posisi terkini masing-masing lembaga UE

  • Mayoritas pemerintah UE mendukung inisiatif ini
  • Namun, blocking minority masih menghalangi keputusan
  • Para menteri dalam negeri UE dijadwalkan membahas kembali RUU itu pada awal Maret
  • Parlemen UE, di tengah tekanan dari Pirates dan masyarakat sipil, menolak hal-hal berikut
    • perusakan enkripsi aman
    • chat control tanpa pandang bulu
  • Posisi Parlemen menjadi titik awal bagi negosiasi yang mungkin terjadi setelah Dewan UE menetapkan posisinya

Meta dan chat control sukarela

  • Meta mengumumkan akan mulai mengenkripsi direct messages di Facebook dan Instagram pada 2024
  • Meta juga menyatakan akan menghentikan pengawasan chat control sukarela yang saat ini dilakukan pada pesan-pesan tersebut
  • UE sedang menjalankan proses untuk memperpanjang izin atas chat control sukarela
  • Halaman informasi chat control milik Breyer ada di chatcontrol.eu

1 komentar

 
GN⁺ 2024-02-15
Komentar Hacker News
  • Dalam kasus ini, pengadilan menilai kewajiban mendekripsi komunikasi terenkripsi end-to-end sebagai pelanggaran yang tidak proporsional terhadap hak atas privasi
    Undang-undang yang dipermasalahkan mewajibkan messenger seperti Telegram untuk menyerahkan isi komunikasi dan, jika terenkripsi, “informasi yang diperlukan untuk mendekripsi pesan elektronik”
    Pengadilan menilai bahwa pelemahan enkripsi end-to-end lewat backdoor akan menimbulkan dampak yang luas, dan juga mengutip tuntutan agar melalui legislasi dan kemajuan teknologi yang berkelanjutan dicari “alternatif dekripsi yang tidak melemahkan mekanisme perlindungan”. Ini mencakup penyelidikan tradisional, operasi penyamaran, analisis metadata, kerja sama kepolisian internasional, live forensics pada perangkat yang disita, menebak atau memperoleh private key yang dimiliki pihak komunikasi, serta memanfaatkan kerentanan perangkat lunak yang ditargetkan atau mengirim implant
    Ini memang putusan atas kasus dan undang-undang tertentu, tetapi pengadilan tampak cukup skeptis secara umum terhadap pendekatan yang menuntut penyedia layanan melemahkan mekanisme enkripsi semua pengguna. Jika saya pemerintah Inggris, saya akan khawatir putusan ini bisa menjadi dasar untuk membatalkan Online Safety Bill di pengadilan domestik atau pengadilan Eropa
    Namun, meskipun pengadilan menilai backdoor enkripsi end-to-end melampaui batas pembatasan yang sah atas hak privasi, hak privasi adalah hak yang dapat dikesampingkan, jadi bila pemerintah menyatakan keadaan darurat yang “mengancam kehidupan bangsa”, hak itu dapat dikesampingkan sejauh diperlukan menurut Pasal 15 ECHR
    Paragraf terkait adalah 76–80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • Penting juga bahwa pengadilan Inggris tidak dapat membatalkan undang-undang yang disahkan parlemen
      Hal terbaik yang bisa mereka lakukan adalah mengeluarkan declaration of incompatibility, lalu para menteri dapat memperbaiki cacatnya lewat legislasi turunan tanpa perlu meloloskan undang-undang baru. Tentu saja itu hanya berlaku bila ada kemauan politik untuk melakukannya
      Namun, Online Safety Act tampaknya berupaya menangani cukup banyak hal lewat legislasi turunan, kode hukum, dan pedoman, dan hal-hal seperti itu bisa dibatalkan pengadilan. Selama undang-undangnya sendiri tidak secara mengikat mewajibkan penciptaan sarana yang intrusif, menarik untuk melihat bagaimana kelanjutannya
    • Kesimpulan bahwa “kewajiban mendekripsi komunikasi terenkripsi end-to-end adalah pelanggaran hak privasi” disertai syarat ketika tidak ada perlindungan pencegah penyalahgunaan
      Sayangnya, kita tidak bisa begitu saja mengatakan ini sepenuhnya tidak kompatibel. Dalam putusan ini, yang jadi masalah adalah ketiadaan perlindungan yang baik, dan putusannya di satu bagian memakai kata “adequate”, di bagian lain “suitable”, tetapi tidak jelas apa tepatnya yang dimaksud
    • Inggris ingin keluar dari ECHR, jadi sayangnya mereka juga bisa mengakali putusan ini
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • Bagian “informasi yang diperlukan untuk mendekripsi pesan elektronik jika terenkripsi” mengingatkan saya pada Lavabit, yang dulu saya pakai sebagai email utama
      Untuk menanggapi permintaan informasi dekripsi, Lavabit menyerahkan private key-nya, tetapi diketik di atas kertas. Mungkin ada salah ketik di halaman 6 atau 12 entah di mana
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • Mungkin ini pertanyaan bodoh, tetapi Inggris sudah bukan anggota EU lagi, jadi saya penasaran kenapa pengadilan EU bisa membatalkan hukum Inggris
  • Saya agak bingung. Artikelnya sendiri tampak cukup politis, mengutip slogan promosi Pirate Party, tetapi tidak menjelaskan kasus apa yang dibawa ke pengadilan dan apa tepatnya yang dilarang oleh putusan itu, jadi saya membuka putusan asli yang ditautkan di bagian paling bawah
    Kasus ini tampaknya tidak terkait langsung dengan Pirate Party atau Chat Control. Dari bagian fakta perkara, sekilas terlihat ini adalah perkara yang diajukan seseorang terhadap pemerintah Rusia setelah Telegram didenda karena tidak menyerahkan pesan chat dalam bentuk plaintext. Bahkan kata “Russia” tidak muncul sama sekali di artikel itu. Saya tidak paham apa sebenarnya yang diberitakan artikel ini, atau kenapa digambarkan seolah-olah terkait dengan legislasi Chat Control yang terbaru
    Pada paragraf 80–81, putusannya mengatakan bahwa “penyimpanan komunikasi internet semua pengguna, akses langsung badan keamanan tanpa perlindungan pencegah penyalahgunaan, dan tuntutan dekripsi atas komunikasi terenkripsi yang berlaku pada komunikasi terenkripsi end-to-end” tidak dapat dianggap perlu dalam masyarakat demokratis, sehingga merupakan pelanggaran hak privasi Pasal 8 ECHR
    Logika ini mungkin bisa diperluas ke undang-undang bypass enkripsi lain seperti Chat Control, tetapi tanpa mempertimbangkan keadaan spesifik hukum Rusia, itu mungkin tidak akurat. Misalnya, frasa “tanpa perlindungan yang memadai terhadap penyalahgunaan” pada paragraf 80 itu penting, dan jika Chat Control dibawa ke majelis yang sama, bisa saja dinilai memiliki perlindungan seperti itu

    • Putusan ini akan menjadi preseden. Anggota Pirate Party di Parlemen Eropa mengomentarinya karena isu ini merupakan agenda inti partainya. Tidak ada alasan Pirate Party harus muncul dalam teks putusan
    • Artikel itu bukan sumber aslinya. Sumber aslinya ada di sini: https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • Menyenangkan bahwa ini tetap berlaku untuk Inggris setelah Brexit. Inggris masih merupakan negara anggota ECHR

    • Partai Konservatif sudah bertahun-tahun membicarakan keluar dari ECHR
    • Azerbaijan juga anggota ECHR, tetapi itu tidak menghentikannya memenjarakan lawan politik, menggunakan kerja paksa, melakukan kejahatan perang, menyerang negara anggota ECHR lain, dan melakukan pembersihan etnis
  • Akhir-akhir ini Eropa cukup memberi contoh bagus tentang bagaimana menerapkan regulasi teknologi yang masuk akal

    • Keputusan ini diperlukan karena EU sedang menuju pelarangan enkripsi end-to-end. Yang mengeluarkan putusan ini adalah pengadilan, bukan EU Commission, dan setahu saya Commission masih bisa saja mengabaikannya
    • Sekarang semoga mereka juga mau mengembangkan teknologinya dengan baik
  • Terlalu sering berakhir dengan, “dua tahun lagi mereka akan kembali dan mencoba lagi,” jadi agak melegakan melihat munculnya hambatan jangka panjang terhadap usulan anti-enkripsi end-to-end seperti ini

    • Kalau bisa, semoga ditangani lewat tempat seperti komite pertanian/perikanan
  • Eropa benar-benar melakukan satu hal yang saya sukai
    Saya khawatir narasi “pikirkan anak-anak” akan mendominasi, tapi setidaknya di Eropa, tampaknya masih ada masa depan bagi nilai enkripsi

    • Meski namanya begitu, ini bukan EU
  • Soal enkripsi, ada semacam tarik-ulur antara pemerintah dan industri. Pemerintah tidak boleh menanamkan kelemahan ke dalam algoritme, tetapi juga merasa perlu punya cara untuk membaca pesan para penjahat dan teroris. Industri ingin menemukan cara agar pelanggan merasa aman menggunakan produk perpesanan untuk tujuan yang sah
    Tanpa tekanan di tingkat kawasan, komersialisasi enkripsi akan diserahkan kepada AS. Kalangan akademik akan terus menyukai algoritme baru, tetapi itu akan tetap tinggal di dalam makalah sampai ada yang bisa menghasilkan uang darinya, dan pada akhirnya hanya akan menjadi kondisi siap bagi pengembang Amerika yang progresif untuk menjadikannya aplikasi chat terenkripsi besar berikutnya yang lebih aman daripada Signal

  • Bagus. Saya tidak akan menyebut nama, tetapi beberapa ISP mungkin sedang tidak terlalu senang sekarang. Putusan ini benar-benar mengerem sebagian model proxy
    Rasanya puas sekali

    • Saya berharap namanya disebut dan dipermalukan. Itu membantu semua orang
  • Artikelnya setengah sampah. Terlepas dari posisi politiknya, tulisannya buruk dan bias
    Lebih baik baca putusannya langsung
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • Meski begitu, untuk membela artikelnya, setidaknya ada tautan ke putusan. Hanya karena itu saja, artikel ini hampir masuk 20% teratas di antara artikel bertema politik
      Putusannya sendiri juga cukup enak dibaca, dan setelah saya lihat sekilas dengan cepat, isinya tampak secara umum sesuai dengan artikel
    • Jika melihat versi bahasa Inggris dari siaran pers pengadilan, pemohon Anton Valeryevich Podchasov adalah warga negara Rusia kelahiran 1981 yang tinggal di Barnaul
      Ia adalah pengguna Telegram yang ditetapkan Rusia sebagai “penyelenggara penyebaran informasi di internet”, dan berdasarkan hukum, Telegram harus menyimpan seluruh data komunikasi selama 1 tahun, isi komunikasi selama 6 bulan, serta menyerahkan data tersebut dan informasi yang diperlukan untuk mendekripsi pesan elektronik terenkripsi kepada lembaga penegak hukum atau keamanan dalam situasi yang ditentukan undang-undang
      Podchasov mempersoalkan kewajiban penyimpanan, penyerahan, dan dekripsi data serta tidak adanya upaya hukum yang efektif berdasarkan Pasal 8 dan Pasal 13 ECHR, dan pengadilan menyatakan ada pelanggaran Pasal 8. Untuk kerugian nonmateriel, pengadilan menilai bahwa pengakuan adanya pelanggaran itu sendiri sudah merupakan kepuasan yang adil dan memadai
      Tautan sumbernya rusak: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      Situs ini mengerikan karena hampir mustahil membuat tautan permanen. Desain yang sangat buruk untuk lembaga yang membuat putusan penting yang harus dikutip orang
    • Sepertinya markup HN merusak tautannya, jadi saya taruh tautan alternatif: https://hudoc.echr.coe.int/eng/?i=001-230854
    • Inti putusannya adalah bahwa pengadilan dengan suara bulat menyatakan memiliki yurisdiksi untuk memeriksa klaim pemohon terkait fakta sebelum 16 September 2022, menyatakan klaim pelanggaran hak atas penghormatan terhadap kehidupan pribadi dan komunikasi dapat diterima, dan dengan suara bulat menyatakan ada pelanggaran Pasal 8 ECHR
      Untuk klaim Pasal 13, dengan suara 5 banding 2 diputuskan tidak perlu pemeriksaan terpisah, dengan suara 6 banding 1 dinilai bahwa pengakuan pelanggaran itu sendiri merupakan kepuasan yang cukup untuk kerugian nonmateriel, dan dengan suara 6 banding 1 tuntutan pemohon atas just satisfaction ditolak
      Putusan ditulis dalam bahasa Inggris dan diberitahukan secara tertulis pada 13 Februari 2024
    • Paragraf yang relevan adalah 76–81. Pengadilan memandang enkripsi sebagai perlindungan teknis yang kuat untuk mencegah akses ilegal ke isi komunikasi, dan bahwa enkripsi berkontribusi tidak hanya pada privasi online dan kerahasiaan komunikasi, tetapi juga pada jaminan hak-hak dasar seperti kebebasan berekspresi
      Pengadilan juga menyatakan bahwa enkripsi melindungi warga dan perusahaan dari penyalahgunaan teknologi informasi seperti peretasan, pencurian identitas dan data pribadi, penipuan, serta pengungkapan informasi rahasia yang tidak semestinya, sehingga hal-hal ini harus dipertimbangkan secara memadai saat menilai langkah-langkah yang dapat melemahkan enkripsi
      Untuk mendekripsi komunikasi yang dienkripsi end-to-end seperti Telegram “secret chats”, tampaknya enkripsi semua pengguna harus dilemahkan, dan langkah seperti ini tidak dapat dibatasi hanya pada individu tertentu sehingga akan berdampak secara tidak pandang bulu pada orang-orang yang tidak mengancam kepentingan sah pemerintah
      Jika backdoor dibuat, pengawasan rutin, umum, dan tanpa pandang bulu atas komunikasi elektronik pribadi menjadi mungkin secara teknis, dan organisasi kriminal pun dapat menyalahgunakannya, sehingga keamanan komunikasi elektronik semua pengguna akan sangat dirugikan
      Pengadilan mengakui bahwa penjahat juga dapat menggunakan enkripsi sehingga penyelidikan bisa menjadi lebih sulit, tetapi menerima tuntutan bahwa harus dicari alternatif dekripsi dan metode penyelidikan lain yang tidak melemahkan mekanisme perlindungan
      Kesimpulannya, dalam perkara ini kewajiban mendekripsi komunikasi terenkripsi end-to-end menimbulkan risiko memaksa penyedia layanan melemahkan mekanisme enkripsi untuk semua pengguna, sehingga tidak proporsional dengan tujuan yang sah, dan undang-undang yang dipersoalkan tidak dapat dianggap perlu dalam masyarakat demokratis, sehingga merupakan pelanggaran Pasal 8
  • Kabar yang luar biasa
    Pengadilan Hak Asasi Manusia Eropa adalah pengadilan yang sama yang ingin diserang secara membabi buta oleh pemerintah bodoh Inggris seolah-olah itu EU