Katakan kepada UE: Jangan Rusak Enkripsi dengan "Chat Control"

 (mozillafoundation.org)
2 poin oleh GN⁺ 2025-09-23 | 1 komentar | Bagikan ke WhatsApp
  • Pemindaian sisi klien adalah metode untuk memeriksa pesan atau file di perangkat sebelum dienkripsi
  • Metode ini dipromosikan dengan tujuan perlindungan anak, tetapi pada praktiknya merusak janji inti enkripsi
  • Digunakan alat deteksi yang kemungkinan besar menimbulkan positif palsu dan kerentanan keamanan
  • Begitu pemindaian diizinkan, cakupan sasaran dapat meluas sehingga meningkatkan risiko pelanggaran privasi
  • Pada akhirnya, teknologi ini menimbulkan masalah dengan melemahkan keamanan semua orang

Apa itu pemindaian sisi klien (CSS)

  • Pemindaian sisi klien adalah metode untuk memeriksa pesan, foto, dan file pengguna di dalam perangkat sebelum dienkripsi
  • Metode ini umumnya dipromosikan sebagai langkah keselamatan anak

Merusak janji enkripsi

  • Pada kenyataannya, pemindaian sisi klien melemahkan janji keamanan dan privasi yang diberikan oleh enkripsi
  • Alat untuk mendeteksi konten yang "belum terverifikasi" sangat mungkin menimbulkan positif palsu, dan dapat memicu kerentanan keamanan baru

Risiko perluasan cakupan penerapan

  • Meski awalnya dimulai untuk penggunaan terbatas seperti perlindungan anak (misalnya CSAM), setelah itu cakupan konten yang dipindai berisiko mudah diperluas
  • Jika enkripsi dilemahkan, berbagai risiko meningkat, seperti pencurian informasi sensitif oleh peretas, pelacakan kelompok rentan oleh pelaku, dan pengawasan oleh negara otoriter

Pelemahan keamanan yang nyata

  • Pemindaian sisi klien menunjukkan kurangnya efektivitas nyata dalam memperkuat keamanan
  • Hal ini berujung pada pelemahan keamanan semua orang

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-23
Komentar Hacker News

  • Saya suka menyamakannya dengan memasang kamera pengawas di setiap rumah: memang akan mempermudah pendeteksian atau penyelidikan kejahatan, dan pemerintah bahkan bisa berjanji sambil kelingkingan bahwa mereka tidak akan pernah melihatnya tanpa surat perintah, bahkan mungkin benar-benar menepati janji itu. Namun lereng licin semacam ini hanya sebagian dari masalahnya. Yang lebih berbahaya adalah, selama sistem seperti ini ada, terlepas dari apakah benar-benar digunakan atau tidak, ia akan menjadi target paling menarik bagi kelompok kriminal atau peretas dari negara musuh. Ini membuka banyak kemungkinan penyalahgunaan seperti spionase, pemerasan, dan lain-lain. Privasi dan keamanan akan rusak parah.

    • Ada alasan mereka memasukkan klausul pengecualian untuk diri mereka sendiri. Saya pikir itu bisa jadi karena mereka sendiri tidak menganggapnya aman, atau karena ada hal terkait pelecehan anak yang ingin disembunyikan di kalangan anggota Parlemen Eropa. Kita sudah sampai pada titik di mana rasanya tidak perlu lagi menjelaskan satu per satu mengapa hal seperti ini harus ditentang. Anggota Parlemen Eropa harus dimintai pertanggungjawaban, dan jika itu tidak bisa, maka seluruh EU harus dimintai pertanggungjawaban. Jika itu pun tidak bisa, maka EU tidak punya legitimasi untuk hukum semacam ini. Pada akhirnya kita harus kembali ke gagasan pertanggungjawaban di tingkat negara.

    • Menurut saya, membandingkannya dengan pengawasan kamera di dalam rumah kurang tepat. Rumah hampir sepenuhnya milik saya, jadi kalau ada yang memasang kamera saya bisa menutupinya atau menyingkirkannya. Jika karena melakukan itu saya masuk penjara, berarti dunia ini sudah distopia. Ponsel berbeda. Pada dasarnya pengguna tidak sepenuhnya memilikinya: bootloader dikunci, kita tidak bisa bebas menjalankan kode yang kita mau, ada app store yang menentukan apa yang boleh dipasang. Pada akhirnya Apple/Google bisa saja mencegah aplikasi itu dipakai lewat app store.

    • Perbandingan yang lebih realistis adalah sistem ECHELON. Sejak 1971, negara-negara 5 eyes telah melakukan pengawasan massal dan pemindaian komunikasi. Menurut saya alasan kamu tidak suka perbandingan ini adalah karena kamu ingin membangun rasa krisis seolah ini fenomena baru. Semua hal yang kamu khawatirkan itu sudah terbukti nyata di masa lalu.

  • Jika EU, yang disebut-sebut sebagai benteng hak asasi manusia, mendorong undang-undang seperti ini, saya jadi bertanya-tanya dengan logika apa kita bisa menentang negara-negara yang lebih otoriter saat mereka meminta hal yang sama kepada Apple, Google, dan Meta.

    • Saya tidak setuju bahwa hanya karena EU tidak seburuk wilayah lain lalu otomatis menjadi benteng hak asasi manusia. Seperti di seluruh Barat lainnya, perebutan kekuasaan selalu ada.

    • Saya mengajukan pertanyaan: tidakkah kamu penasaran mengapa mereka memosisikan diri sebagai simbol hak asasi manusia seperti itu? Saya rasa karena itu terlalu sering diulang sampai semua orang mempercayainya.

  • Saya ingin bertanya mengapa tidak diuji coba dulu. Bagaimana kalau semua komunikasi antar anggota parlemen EU dibuka sepenuhnya lebih dulu? Intinya, mari kita coba bongkar enkripsi mereka juga.

    • Mengutip perkataan Patrick Breyer, MEP dari Pirate Party: “Para menteri dalam negeri EU ingin mengecualikan polisi, tentara, agen intelijen, dan bahkan diri mereka sendiri dari 'chat control' karena mereka sangat tahu betapa berbahaya dan tidak dapat dipercayanya algoritme pengintaian ini.” Mereka sebenarnya takut rahasia militer dan semacamnya bisa sewaktu-waktu jatuh ke tangan AS. Kerahasiaan komunikasi pemerintah memang penting, tetapi hal yang sama juga harus berlaku bagi bisnis biasa dan warga umum, dan ruang tempat para korban bisa berkomunikasi dengan aman serta saling berbagi proses pemulihan juga harus dilindungi. Saat ini, sebagian besar chat yang bocor dari algoritme yang secara sukarela memantau chat sama sekali tidak relevan dengan penyelidikan apa pun, misalnya foto keluarga atau sexting yang dilakukan atas dasar suka sama suka. Sangat tidak adil jika para menteri EU memaksakan penghancuran privasi digital dan enkripsi yang melindungi hanya kepada warga, sementara mereka sendiri dikecualikan.

  • Saya rasa banyak orang di luar EU menganggap isu ini sekadar masalah internal EU.

    1. Jika kamu pernah berkirim pesan dengan orang di EU, kamu juga menjadi sasaran 'chat control'.
    2. EU menyalurkan dana dalam jumlah besar ke negara-negara lain atas nama menyebarkan nilai-nilai EU, dan saya rasa tidak akan lama lagi sebelum "bantuan" itu dijadikan bersyarat pada penerapan 'chat control'.
    • Jika kali ini EU bisa meloloskannya dengan mudah, maka pemerintah lain akan mendapatkan cetak biru keberhasilan untuk meniru hal yang sama.

  • Ylva Johansson, pencetus rancangan undang-undang ini, tidak pergi ke EU karena populer di Swedia, melainkan dinominasikan oleh pemerintahan Sosial Demokrat pada 2019, dan para commissioner memang sejak awal tidak dipilih lewat pemungutan suara. Yang penting di Brussel adalah loyalitas pada partai, pengalaman puluhan tahun sebagai menteri, keseimbangan gender, dan semacamnya. Praktiknya, pemerintah nasional memakai EU sebagai semacam “lahan parkir” bagi politisi yang sudah kehilangan popularitas di dalam negeri. Kini ia paling dikenal justru karena rancangan undang-undang 'chat control' ini. Itu hanya makin menonjolkan ironi bahwa politisi yang tidak populer di negaranya sendiri bisa memimpin kebijakan EU yang kontroversial.

    • Terlalu sering di banyak negara, politisi yang sudah “kedaluwarsa” dipindahkan ke jabatan di EU, sampai-sampai sebagai orang Eropa sangat sulit untuk benar-benar menghormati EU. Tentu ada juga orang-orang hebat dan jujur, tetapi di tempat saya, politisi yang gagal menjalankan tugas di dalam negeri malah lolos ke EU sehingga tanggung jawab domestiknya ikut lenyap. Akhirnya ini merendahkan nilai EU sekaligus merugikan negara asalnya juga, kerugian ganda. Meski begitu, saya berharap pengalaman saya ini tidak berlaku untuk seluruh Eropa.

  • Setiap kali melihat undang-undang seperti ini, saya bertanya-tanya apakah para pembuatnya tidak tahu, tidak peduli, atau memang itulah tujuannya: bahwa untuk bisa menyadap satu orang saja, pada akhirnya mereka harus membuat semua orang mudah diawasi.
    Sebelumnya pernah ada usulan agar pemerintah wajib diikutkan ke semua ruang obrolan, dan yang ini terasa sedikit lebih masuk akal dibanding itu.

    • Menurut saya ironis ketika orang menerapkan prinsip “jangan menganggap jahat sesuatu yang bisa dijelaskan oleh ketidakmampuan” kepada para politisi. Politisi bisa memakai anggaran dan talenta sebanyak yang mereka mau, dan mereka juga didukung analisis dari pakar di tiap bidang. Dalam lingkungan seperti itu, menurut saya hampir tidak realistis ada orang yang benar-benar tidak kompeten. Jadi yang kita lihat bukan ketidakmampuan, melainkan konflik kepentingan, serta tarik-ulur antara apa yang mereka inginkan dan sejauh mana mereka bisa mendapatkan persetujuan warga.

    • Politisi bukanlah pihak yang secara langsung memecahkan persoalan teknis, melainkan yang memutuskan apa yang mereka anggap terbaik bagi masyarakat secara keseluruhan. Menganggap bahwa “kalau kita hanya membobol enkripsi milik penjahat, semua orang akan lebih aman” pada dasarnya bukan gagasan yang sepenuhnya tidak rasional. Masalahnya, itu tidak mungkin dilakukan. Namun bagi politisi, kriptografi pada dasarnya seperti “sihir”, jadi mereka tidak tahu bahwa itu mustahil secara nyata. Hal yang sama terlihat pada isu perubahan iklim: mereka berpikir “ilmuwan tinggal menghilangkan CO2 dari atmosfer saja.” Mereka tidak memahami proses penyelesaiannya, tetapi mengira itu mungkin, seolah hanya mantra sihir.

    • Pembahasan tentang metode analisis teks itu sendiri masih berlangsung dan belum sepenuhnya dikesampingkan.

    • Banyak rancangan undang-undang memang pada praktiknya hampir menyalin mentah-mentah “model law” yang diajukan kelompok seperti political action committee, lalu diajukan ke parlemen masing-masing negara. Itu juga sebabnya banyak negara bagian di AS mengajukan undang-undang identik secara bersamaan.
      Partai memutuskan akan memberikan suara untuk rancangan undang-undang yang mana, dan kadang rancangan berbahaya memang tersaring di komite, misalnya larangan semua vaksin mRNA atau aturan hanya menyediakan darah non-vaksin.
      Status rancangan undang-undang di parlemen negara bagian bisa dilihat di sini, dan untuk Kongres federal di sini.
      Sebagai contoh, RUU HR 22 hanya dua halaman, tetapi jelas menunjukkan upaya siapa yang ingin menghalangi pemungutan suara federal, padahal orang asing memang sudah ilegal untuk ikut pemungutan suara federal. Enhanced Driving License hanya diterbitkan oleh 5 negara bagian. Kesimpulannya, ada berbagai kelompok yang bisa kehilangan hak pilih, seperti transgender, non-warga negara, perempuan yang memakai nama belakang suami setelah menikah, orang yang mengganti nama, orang yang tidak mampu menanggung biaya pembuatan paspor, dan lain-lain.

  • Logika membobol enkripsi dengan alasan memberantas kejahatan dan penyebaran CSAM tidak akan efektif, dan hanya akan merugikan warga yang taat hukum. Para penjahat tetap bisa memakai metode enkripsi yang efektif meskipun itu ilegal. EU sangat mengetahui fakta ini. Mereka selalu memakai dalih “melindungi anak”, tetapi tujuan sebenarnya adalah pengawasan.

  • Fakta yang jarang disebut dalam pembahasan "Chat Control" di EU adalah bahwa hukum ini hanya berlaku pada "platform" tertentu.
    Artinya, chat terenkripsi yang tidak melalui platform pihak ketiga seperti Meta pada dasarnya berada di luar cakupan hukum ini.
    Jika seseorang merasa chat internet tanpa pihak ketiga itu mustahil, maka sebenarnya ia sudah menghadapi hambatan privasi yang lebih parah daripada chat control EU itu sendiri.
    Menurut saya konteks yang lebih besar di sini bukan komentar forum yang frontal mengecam kebijakan EU, melainkan bahwa ‘EU pada akhirnya sedang meregulasi Big Tech’.
    Rancangan undang-undang ini bisa menjadi pukulan bagi Meta, dan kalau itu terjadi, akan ada kampanye disinformasi yang ditujukan ke publik.
    Secara praktis, (a) memakai Meta sebagai pihak ketiga itu sendiri menciptakan celah besar agar pemerintah bisa mengawasi, dan (b) pihak yang benar-benar melakukan pengawasan bukan pemerintah, melainkan Meta.
    EU terus menjatuhkan denda kepada Meta karena Meta mengabaikan privasi dan mengambil untung dari bisnis surveillance. Untuk percakapan pribadi, menurut saya hampir tidak ada pilihan yang lebih buruk daripada Meta.

  • RUU Chat Control sebenarnya tidak menargetkan orang-orang yang peduli pada privasi. Orang-orang seperti itu akan selalu menemukan cara untuk tetap memakai enkripsi. Dasar matematisnya tidak bisa dihapus oleh hukum, dan proyek open source juga tidak akan lenyap.
    Undang-undang ini pada akhirnya justru melembagakan kenyataan bahwa orang-orang “arus utama” biasa hidup sambil menyensor diri sendiri karena sadar siapa pun mungkin sedang mendengarkan. Orang biasa kehilangan sarana, sementara workaround yang sudah dikenal tetap akan terus digunakan.

  • Saya benar-benar berharap undang-undang seperti ini akhirnya dikubur kali ini juga, karena melelahkan sekali melihatnya selalu hidup lagi seperti zombi.