- Pengadilan Hak Asasi Manusia Eropa melarang pelemahan umum terhadap enkripsi end-to-end (end-to-end encryption), yang juga bisa menghambat rencana pengawasan massal chat control CSAR Uni Eropa
- Putusan tersebut menilai bahwa enkripsi melindungi warga dan perusahaan dari peretasan, pencurian identitas dan data pribadi, penipuan, serta kebocoran informasi rahasia, dan bahwa backdoor dapat disalahgunakan oleh jaringan kriminal
- Pengadilan menyatakan ada cara untuk memantau komunikasi terenkripsi tanpa menurunkan perlindungan bagi semua pengguna, dengan mencontohkan pemanfaatan kerentanan pada perangkat lunak target atau pengiriman implan ke perangkat
- Anggota Parlemen Eropa Patrick Breyer menilai pemindaian sisi klien dari Komisi Eropa jelas ilegal menurut putusan ini karena mengawasi semua ponsel pintar dan menghancurkan perlindungan enkripsi
- Parlemen UE telah menolak perusakan enkripsi aman dan chat control tanpa pandang bulu, tetapi negosiasi bisa dimulai setelah posisi Dewan UE ditetapkan, dan para menteri dalam negeri UE dijadwalkan membahas RUU itu lagi pada awal Maret
Pelemahan enkripsi yang dilarang oleh putusan
- Pengadilan Hak Asasi Manusia Eropa melarang langkah-langkah yang secara umum melemahkan enkripsi end-to-end yang aman
- Enkripsi diakui sebagai sarana untuk melindungi warga dan perusahaan dari berbagai ancaman
- peretasan
- pencurian identitas dan pencurian data pribadi
- penipuan
- pengungkapan tanpa izin atas informasi rahasia
- Backdoor dapat disalahgunakan oleh jaringan kriminal, sehingga dapat secara serius membahayakan keamanan komunikasi elektronik semua pengguna
- Pengadilan juga menilai bahwa metode pengawasan yang tidak menurunkan perlindungan semua pengguna tetap dimungkinkan
- pemanfaatan kerentanan pada perangkat lunak target
- pengiriman implan ke perangkat target
- Sebagai dasar putusan, ditunjuk dokumen putusan ECHR para. 76 ff.
Penilaian Breyer terhadap RUU chat control UE
- Anggota Parlemen Eropa Patrick Breyer dari Pirate Party menilai putusan ini sebagai landmark judgement
- Breyer memandang pengawasan pemindaian sisi klien untuk semua ponsel pintar yang tercantum dalam RUU chat control Komisi Eropa sebagai tindakan yang jelas ilegal
- Menurut penilaiannya, pendekatan ini meruntuhkan perlindungan enkripsi semua orang alih-alih menargetkan tersangka
- Breyer menuntut agar pemerintah-pemerintah UE menghapus perusakan enkripsi aman dan pengawasan tanpa pandang bulu atas komunikasi pribadi seluruh populasi dari RUU tersebut
Kekhawatiran soal enkripsi dan keberlangsungan layanan
- Breyer menekankan bahwa enkripsi yang aman menyelamatkan nyawa
- Tanpa enkripsi, tidak ada kepastian bahwa pesan atau foto tidak akan terbuka kepada orang yang tidak dapat dipercaya
- Yang disebut pemindaian sisi klien dinilai hanya akan menghasilkan salah satu dari dua akibat berikut
- membuat komunikasi pada dasarnya tidak aman
- membuat warga Eropa tidak lagi bisa menggunakan Whatsapp atau Signal
- Breyer menyatakan bahwa para penyedia tersebut sudah mempertimbangkan kemungkinan menghentikan layanan di Eropa
- Draf posisi terbaru Dewan UE masih dikritik karena tetap mengarah pada perusakan enkripsi yang aman
Struktur usulan Komisi Eropa
- Komisi Eropa dan jaringan industri dari otoritas pengawasan menuntut cara untuk secara umum memindai komunikasi pribadi
- Sasaran pemindaian itu juga mencakup messenger terenkripsi end-to-end
- Tujuannya adalah mencari tanda-tanda konten ilegal
- Pendekatan ini bergantung pada teknologi yang rawan kesalahan
- Ini hanya dapat diterapkan dengan melemahkan enkripsi end-to-end yang aman
Posisi terkini masing-masing lembaga UE
- Mayoritas pemerintah UE mendukung inisiatif ini
- Namun, blocking minority masih menghalangi keputusan
- Para menteri dalam negeri UE dijadwalkan membahas kembali RUU itu pada awal Maret
- Parlemen UE, di tengah tekanan dari Pirates dan masyarakat sipil, menolak hal-hal berikut
- perusakan enkripsi aman
- chat control tanpa pandang bulu
- Posisi Parlemen menjadi titik awal bagi negosiasi yang mungkin terjadi setelah Dewan UE menetapkan posisinya
Meta dan chat control sukarela
- Meta mengumumkan akan mulai mengenkripsi direct messages di Facebook dan Instagram pada 2024
- Meta juga menyatakan akan menghentikan pengawasan chat control sukarela yang saat ini dilakukan pada pesan-pesan tersebut
- UE sedang menjalankan proses untuk memperpanjang izin atas chat control sukarela
- Halaman informasi chat control milik Breyer ada di chatcontrol.eu
1 komentar
Komentar Hacker News
Dalam kasus ini, pengadilan menilai kewajiban mendekripsi komunikasi terenkripsi end-to-end sebagai pelanggaran yang tidak proporsional terhadap hak atas privasi
Undang-undang yang dipermasalahkan mewajibkan messenger seperti Telegram untuk menyerahkan isi komunikasi dan, jika terenkripsi, “informasi yang diperlukan untuk mendekripsi pesan elektronik”
Pengadilan menilai bahwa pelemahan enkripsi end-to-end lewat backdoor akan menimbulkan dampak yang luas, dan juga mengutip tuntutan agar melalui legislasi dan kemajuan teknologi yang berkelanjutan dicari “alternatif dekripsi yang tidak melemahkan mekanisme perlindungan”. Ini mencakup penyelidikan tradisional, operasi penyamaran, analisis metadata, kerja sama kepolisian internasional, live forensics pada perangkat yang disita, menebak atau memperoleh private key yang dimiliki pihak komunikasi, serta memanfaatkan kerentanan perangkat lunak yang ditargetkan atau mengirim implant
Ini memang putusan atas kasus dan undang-undang tertentu, tetapi pengadilan tampak cukup skeptis secara umum terhadap pendekatan yang menuntut penyedia layanan melemahkan mekanisme enkripsi semua pengguna. Jika saya pemerintah Inggris, saya akan khawatir putusan ini bisa menjadi dasar untuk membatalkan Online Safety Bill di pengadilan domestik atau pengadilan Eropa
Namun, meskipun pengadilan menilai backdoor enkripsi end-to-end melampaui batas pembatasan yang sah atas hak privasi, hak privasi adalah hak yang dapat dikesampingkan, jadi bila pemerintah menyatakan keadaan darurat yang “mengancam kehidupan bangsa”, hak itu dapat dikesampingkan sejauh diperlukan menurut Pasal 15 ECHR
Paragraf terkait adalah 76–80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
Hal terbaik yang bisa mereka lakukan adalah mengeluarkan declaration of incompatibility, lalu para menteri dapat memperbaiki cacatnya lewat legislasi turunan tanpa perlu meloloskan undang-undang baru. Tentu saja itu hanya berlaku bila ada kemauan politik untuk melakukannya
Namun, Online Safety Act tampaknya berupaya menangani cukup banyak hal lewat legislasi turunan, kode hukum, dan pedoman, dan hal-hal seperti itu bisa dibatalkan pengadilan. Selama undang-undangnya sendiri tidak secara mengikat mewajibkan penciptaan sarana yang intrusif, menarik untuk melihat bagaimana kelanjutannya
Sayangnya, kita tidak bisa begitu saja mengatakan ini sepenuhnya tidak kompatibel. Dalam putusan ini, yang jadi masalah adalah ketiadaan perlindungan yang baik, dan putusannya di satu bagian memakai kata “adequate”, di bagian lain “suitable”, tetapi tidak jelas apa tepatnya yang dimaksud
https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
Untuk menanggapi permintaan informasi dekripsi, Lavabit menyerahkan private key-nya, tetapi diketik di atas kertas. Mungkin ada salah ketik di halaman 6 atau 12 entah di mana
https://thenextweb.com/news/you-wont-believe-what-email-prov...
Saya agak bingung. Artikelnya sendiri tampak cukup politis, mengutip slogan promosi Pirate Party, tetapi tidak menjelaskan kasus apa yang dibawa ke pengadilan dan apa tepatnya yang dilarang oleh putusan itu, jadi saya membuka putusan asli yang ditautkan di bagian paling bawah
Kasus ini tampaknya tidak terkait langsung dengan Pirate Party atau Chat Control. Dari bagian fakta perkara, sekilas terlihat ini adalah perkara yang diajukan seseorang terhadap pemerintah Rusia setelah Telegram didenda karena tidak menyerahkan pesan chat dalam bentuk plaintext. Bahkan kata “Russia” tidak muncul sama sekali di artikel itu. Saya tidak paham apa sebenarnya yang diberitakan artikel ini, atau kenapa digambarkan seolah-olah terkait dengan legislasi Chat Control yang terbaru
Pada paragraf 80–81, putusannya mengatakan bahwa “penyimpanan komunikasi internet semua pengguna, akses langsung badan keamanan tanpa perlindungan pencegah penyalahgunaan, dan tuntutan dekripsi atas komunikasi terenkripsi yang berlaku pada komunikasi terenkripsi end-to-end” tidak dapat dianggap perlu dalam masyarakat demokratis, sehingga merupakan pelanggaran hak privasi Pasal 8 ECHR
Logika ini mungkin bisa diperluas ke undang-undang bypass enkripsi lain seperti Chat Control, tetapi tanpa mempertimbangkan keadaan spesifik hukum Rusia, itu mungkin tidak akurat. Misalnya, frasa “tanpa perlindungan yang memadai terhadap penyalahgunaan” pada paragraf 80 itu penting, dan jika Chat Control dibawa ke majelis yang sama, bisa saja dinilai memiliki perlindungan seperti itu
Menyenangkan bahwa ini tetap berlaku untuk Inggris setelah Brexit. Inggris masih merupakan negara anggota ECHR
Akhir-akhir ini Eropa cukup memberi contoh bagus tentang bagaimana menerapkan regulasi teknologi yang masuk akal
Terlalu sering berakhir dengan, “dua tahun lagi mereka akan kembali dan mencoba lagi,” jadi agak melegakan melihat munculnya hambatan jangka panjang terhadap usulan anti-enkripsi end-to-end seperti ini
Eropa benar-benar melakukan satu hal yang saya sukai
Saya khawatir narasi “pikirkan anak-anak” akan mendominasi, tapi setidaknya di Eropa, tampaknya masih ada masa depan bagi nilai enkripsi
Soal enkripsi, ada semacam tarik-ulur antara pemerintah dan industri. Pemerintah tidak boleh menanamkan kelemahan ke dalam algoritme, tetapi juga merasa perlu punya cara untuk membaca pesan para penjahat dan teroris. Industri ingin menemukan cara agar pelanggan merasa aman menggunakan produk perpesanan untuk tujuan yang sah
Tanpa tekanan di tingkat kawasan, komersialisasi enkripsi akan diserahkan kepada AS. Kalangan akademik akan terus menyukai algoritme baru, tetapi itu akan tetap tinggal di dalam makalah sampai ada yang bisa menghasilkan uang darinya, dan pada akhirnya hanya akan menjadi kondisi siap bagi pengembang Amerika yang progresif untuk menjadikannya aplikasi chat terenkripsi besar berikutnya yang lebih aman daripada Signal
Bagus. Saya tidak akan menyebut nama, tetapi beberapa ISP mungkin sedang tidak terlalu senang sekarang. Putusan ini benar-benar mengerem sebagian model proxy
Rasanya puas sekali
Artikelnya setengah sampah. Terlepas dari posisi politiknya, tulisannya buruk dan bias
Lebih baik baca putusannya langsung
https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
CASE OF PODCHASOV v. RUSSIA
Application no. 33696/19
Putusannya sendiri juga cukup enak dibaca, dan setelah saya lihat sekilas dengan cepat, isinya tampak secara umum sesuai dengan artikel
Ia adalah pengguna Telegram yang ditetapkan Rusia sebagai “penyelenggara penyebaran informasi di internet”, dan berdasarkan hukum, Telegram harus menyimpan seluruh data komunikasi selama 1 tahun, isi komunikasi selama 6 bulan, serta menyerahkan data tersebut dan informasi yang diperlukan untuk mendekripsi pesan elektronik terenkripsi kepada lembaga penegak hukum atau keamanan dalam situasi yang ditentukan undang-undang
Podchasov mempersoalkan kewajiban penyimpanan, penyerahan, dan dekripsi data serta tidak adanya upaya hukum yang efektif berdasarkan Pasal 8 dan Pasal 13 ECHR, dan pengadilan menyatakan ada pelanggaran Pasal 8. Untuk kerugian nonmateriel, pengadilan menilai bahwa pengakuan adanya pelanggaran itu sendiri sudah merupakan kepuasan yang adil dan memadai
Tautan sumbernya rusak: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
Situs ini mengerikan karena hampir mustahil membuat tautan permanen. Desain yang sangat buruk untuk lembaga yang membuat putusan penting yang harus dikutip orang
Untuk klaim Pasal 13, dengan suara 5 banding 2 diputuskan tidak perlu pemeriksaan terpisah, dengan suara 6 banding 1 dinilai bahwa pengakuan pelanggaran itu sendiri merupakan kepuasan yang cukup untuk kerugian nonmateriel, dan dengan suara 6 banding 1 tuntutan pemohon atas just satisfaction ditolak
Putusan ditulis dalam bahasa Inggris dan diberitahukan secara tertulis pada 13 Februari 2024
Pengadilan juga menyatakan bahwa enkripsi melindungi warga dan perusahaan dari penyalahgunaan teknologi informasi seperti peretasan, pencurian identitas dan data pribadi, penipuan, serta pengungkapan informasi rahasia yang tidak semestinya, sehingga hal-hal ini harus dipertimbangkan secara memadai saat menilai langkah-langkah yang dapat melemahkan enkripsi
Untuk mendekripsi komunikasi yang dienkripsi end-to-end seperti Telegram “secret chats”, tampaknya enkripsi semua pengguna harus dilemahkan, dan langkah seperti ini tidak dapat dibatasi hanya pada individu tertentu sehingga akan berdampak secara tidak pandang bulu pada orang-orang yang tidak mengancam kepentingan sah pemerintah
Jika backdoor dibuat, pengawasan rutin, umum, dan tanpa pandang bulu atas komunikasi elektronik pribadi menjadi mungkin secara teknis, dan organisasi kriminal pun dapat menyalahgunakannya, sehingga keamanan komunikasi elektronik semua pengguna akan sangat dirugikan
Pengadilan mengakui bahwa penjahat juga dapat menggunakan enkripsi sehingga penyelidikan bisa menjadi lebih sulit, tetapi menerima tuntutan bahwa harus dicari alternatif dekripsi dan metode penyelidikan lain yang tidak melemahkan mekanisme perlindungan
Kesimpulannya, dalam perkara ini kewajiban mendekripsi komunikasi terenkripsi end-to-end menimbulkan risiko memaksa penyedia layanan melemahkan mekanisme enkripsi untuk semua pengguna, sehingga tidak proporsional dengan tujuan yang sah, dan undang-undang yang dipersoalkan tidak dapat dianggap perlu dalam masyarakat demokratis, sehingga merupakan pelanggaran Pasal 8
Kabar yang luar biasa
Pengadilan Hak Asasi Manusia Eropa adalah pengadilan yang sama yang ingin diserang secara membabi buta oleh pemerintah bodoh Inggris seolah-olah itu EU