1 poin oleh GN⁺ 2023-07-21 | 1 komentar | Bagikan ke WhatsApp
  • Ketika muncul kemungkinan bahwa Online Safety Bill Inggris akan menuntut backdoor enkripsi end-to-end pada layanan pesan, Apple menyatakan dapat menghapus iMessage dan FaceTime dari pasar Inggris
  • Pemerintah Inggris menginginkan wewenang untuk memindai pesan terenkripsi guna mendeteksi materi eksploitasi seksual anak dan konten ilegal lainnya, serta menilai hukum yang ada tidak lagi mengikuti teknologi keamanan modern
  • Apple, WhatsApp, Signal, dan lainnya menentang tuntutan seperti backdoor, pelaporan awal fitur keamanan, serta kewajiban menonaktifkan fitur sebelum proses banding selesai karena dinilai melemahkan keamanan pengguna
  • Posisi Apple adalah tidak akan menurunkan keamanan seluruh pengguna karena tuntutan satu negara, dan bila perlu dapat memilih menonaktifkan iMessage dan FaceTime bagi pelanggan di Inggris
  • RUU ini sedang melalui proses konsultasi 8 minggu, dan Apple sebelumnya juga pernah menarik kembali fitur pemindaian CSAM untuk iCloud Photos setelah mendapat penolakan dari pelanggan dan kelompok HAM

Benturan antara Online Safety Bill Inggris dan enkripsi

  • Online Safety Bill Inggris sedang ditinjau sebagai RUU yang dapat mewajibkan layanan pesan menyediakan backdoor untuk enkripsi end-to-end
  • Pemerintah menginginkan wewenang untuk memindai pesan dengan enkripsi end-to-end
    • Tujuannya adalah mendeteksi materi eksploitasi seksual anak dan konten ilegal lainnya
    • Hukum yang ada dinilai mengakomodasi hal ini, tetapi secara teknis sudah ketinggalan zaman karena mekanisme keamanan teknologi modern
  • Apple, WhatsApp, Signal, dan berbagai layanan lain menentang proposal ini

Tuntutan yang ditolak Apple

  • Apple mengajukan dokumen penolakan sepanjang 9 halaman terhadap RUU yang direncanakan
  • Yang ditentang mencakup tuntutan berikut
    • Backdoor untuk enkripsi end-to-end
    • Kewajiban melaporkan perubahan fitur keamanan produk sebelum dirilis
    • Kewajiban menonaktifkan fitur keamanan sebelum proses banding berjalan selesai

Opsi di pasar Inggris dan kasus sebelumnya

  • Apple menyatakan tidak akan mematuhi jika perubahan untuk satu negara melemahkan keamanan seluruh pengguna
    • Sebagai gantinya, Apple mengatakan dapat menonaktifkan iMessage dan FaceTime bagi pelanggan di Inggris
  • RUU yang diusulkan saat ini sedang melalui masa konsultasi 8 minggu, dan Apple serta pihak penentang lainnya berharap pemerintah merevisi RUU tersebut dengan mencerminkan kritik yang ada
  • Apple sebelumnya pernah membatalkan rencana fitur pemindaian CSAM untuk iCloud Photos setelah mendapat penolakan dari pelanggan dan kelompok HAM
    • Saat itu solusi Apple merupakan pendekatan yang lebih menjaga privasi dibanding proposal pemerintah Inggris saat ini

1 komentar

 
GN⁺ 2023-07-21
Komentar Hacker News
  • Rasanya kita secara kolektif sedang kalah dalam perjuangan menjaga privasi percakapan.
    Hanya sedikit orang yang bersuara menentang rancangan undang-undang anti-enkripsi, sementara mayoritas tampaknya percaya bahwa sejak awal tidak ada yang namanya privasi, dan pemerintah bisa membaca pesan kalau mereka mau. Jika orang menganggap ini pertarungan yang sudah kalah, bahkan menerima bahwa memang dari dulu begitu, maka pertarungan itu selesai bahkan sebelum dimulai.
    Mereka gagal mengaitkan privasi dengan kebebasan, dan karena kebebasan sudah dianggap terlalu wajar, mereka tidak melihat risiko kehilangannya sampai muncul ancaman yang drastis dan langsung. Sistem yang dirancang untuk melindungi kebebasan justru rusak dan perlahan menggerogoti hak-hak yang dinikmati generasi sebelumnya.
    Kepicikan para pembuat undang-undang juga mengejutkan. Jika pemerintah memegang semua korespondensi dan pemerintah itu jatuh ke tangan yang salah, siapa pun yang tidak berada di pihak penguasa akan tamat. Seseorang mungkin akan membanggakan diri, “kami membuat undang-undang untuk menghentikan orang jahat,” tetapi harganya bisa berupa kebebasan kolektif.

    • Membiarkan hal seperti ini saja sudah aneh. Hanya karena pemerintah tidak bisa mengawasi percakapan rahasia yang dilakukan tatap muka, bukan berarti mereka bisa memaksa kita membawa alat perekam pemerintah ke mana-mana, bukan?
      Saya tidak paham mengapa orang tidak bereaksi sama kerasnya terhadap tuntutan untuk membebani enkripsi.
    • Sebagian besar masalahnya adalah sifat percakapan telah berubah. Surat dan telepon pada titik mana pun tidak pernah sepenuhnya privat, dan gagasan mengharapkan privasi penuh dalam percakapan seperti itu sendiri relatif baru.
      Bedanya, kini sarana komunikasi semacam itu bukan lagi hanya sebagian kecil dari seluruh percakapan, melainkan mewakili hampir semuanya, dan biaya untuk melanggar privasi telah jauh turun dibanding biaya serta upaya yang diperlukan untuk mengawasi jutaan orang pada 1950-an. Negara keamanan ala Jerman Timur pun tidak lagi diperlukan.
    • Alasan terbesar untuk melindungi privasi adalah karena kita tidak tahu pemerintah akan berubah menjadi apa dalam beberapa tahun ke depan. Logika dasar soal enkripsi ini sering dibahas dalam konteks negara-negara yang sudah dianggap tidak bebas, tetapi baru pada masa COVID saya benar-benar merasakan maknanya.
      Saya tidak menyangka masyarakat bisa memburuk sejauh itu oleh ketakutan, kebencian, dan perburuan penyihir yang dipicu media. Sejak itu, saya melihat pemerintah bisa melakukan apa saja, dan argumen bahwa kita harus bisa mengenkripsi komunikasi menjadi makin kuat.
    • AS masih cukup baik-baik saja, tetapi Inggris dan UE cenderung sangat menentang perlindungan privasi. Mereka cukup baik dalam privasi konsumen, tetapi tampaknya tidak percaya bahwa harus ada privasi dari pemerintah.
    • Bagian licik dalam perdebatan ini adalah klaim bahwa undang-undang semacam ini tidak mencampuri enkripsi. Secara pribadi saya menganggap itu tidak jujur, tetapi para pendukung RUU selalu mengatakan “ini tidak memecahkan enkripsi” atau “privasi dan keamanan bisa berjalan berdampingan, dan amandemen ini menyediakan keduanya.”
      Dalam rencana ini, pesan dikirim ke pihak ketiga untuk dianalisis. Pesan yang dikirim ke pihak ketiga mungkin saja terenkripsi, tetapi privasi sepenuhnya dilanggar.
      https://techcrunch.com/2022/07/06/uk-osb-csam-scanning/
  • Saya heran mengapa para legislator Inggris tidak menyiapkan regulasi baru yang mewajibkan perangkat bypass untuk pejabat pemerintah pada semua kunci pintu dan brankas.
    Di balik setiap pintu dan ruang terkunci bisa saja tersembunyi materi eksploitasi seksual anak dan materi ilegal. Semua rumah dan brankas hotel adalah tersangka.
    Jika logika bahwa chat dan percakapan online harus diberi backdoor seperti itu, maka logika yang sama harus diterapkan pada pintu masuk semua rumah dan bangunan, serta semua ruang terkunci. Itu sama saja dengan ingin mengakses materi dengan mudah tanpa bantuan atau sepengetahuan pihak terkait.

    • Untuk bermain sebagai devil's advocate, tidak ada orang yang membagikan materi eksploitasi seksual anak di brankasnya secara massal kepada ribuan voyeur di seluruh dunia.
      Aksesibilitas universal internet dan format file gambar digital telah mengubah permainan bagi mereka yang memerangi kejahatan keji seperti ini. Ini memang kasus baru dan khusus yang berbeda dari brankas terkunci.
    • Saya pernah mendengar argumen bahwa karena polisi bisa mendobrak pintu untuk penggerebekan, mereka juga harus punya kewenangan yang sama terhadap teknologi.
    • Ada yang namanya surat perintah penggeledahan.
    • Jika mempertimbangkan kemungkinan memeriksa percakapan pribadi secara tak terlihat dan nyaris gratis, analoginya lebih dekat ke “pasang kamera yang hanya bisa diakses pemerintah di setiap rumah.” Tentu saja mereka akan berjanji kamera itu dimatikan hampir sepanjang waktu.
    • Alasan tidak diwajibkannya perangkat bypass pemerintah pada semua kunci pintu adalah karena hampir semua pintu bisa didobrak dengan kekuatan. Polisi bisa melakukannya dengan surat perintah, pasukan khusus bisa melakukannya diam-diam.
      Tetapi sebagian besar enkripsi tidak bisa dipecahkan dengan kekuatan.
  • Inggris terus mencoba memamerkan pengaruhnya, tetapi pada akhirnya justru memastikan bahwa mereka tidak sebesar itu. Kasus CMA terkait Xbox juga begitu, dan kali ini pun sama.
    Inggris tidak cukup besar untuk membuat Apple dan Microsoft melakukan perubahan besar demi menyesuaikan diri dengan satu pasar yang relatif kecil.

    • Inggris telah berulang kali menyadari lalu melupakan pelajaran ini setidaknya sejak Krisis Suez, mungkin bahkan sebelumnya.
    • Kekaisaran lama Inggris adalah bagian dari identitas budaya mereka. Butuh beberapa generasi lagi untuk melepaskan ekspektasi terhadap masa lalu.
      Masa ketika dua abdi mahkota bisa menguasai Kafiristan sendirian sudah berakhir.
    • Sebaliknya, apakah Inggris akan benar-benar dirugikan sebesar itu hanya karena beberapa game tidak ada di pasar Inggris? Tidak ada pihak yang cukup besar untuk bertahan tanpa pihak lain. Ini bukan hanya masalah Inggris.
  • Bukankah ini Apple yang sama yang membiarkan CCP mengoperasikan seluruh App Store di Tiongkok?
    Mudah mengkritik pemerintah ketika tahu tidak akan ada pembalasan. Untuk melihat sikap sebenarnya perusahaan terhadap masalah seperti ini, kita perlu melihat bagaimana mereka bertindak ketika ada kemungkinan kerugian finansial nyata

    • Inggris dan Tiongkok tidak bisa dibandingkan. Tiongkok saat ini adalah negara dengan populasi terbesar di dunia, sementara penduduk Inggris bahkan tidak sampai 70 juta
      Tiongkok adalah rezim totaliter, jadi kebebasan yang tidak sempurna pun lebih baik daripada tidak ada sama sekali, tetapi Inggris adalah negara demokratis yang seharusnya melindungi hak atas privasi
      Jika Apple melemahkan enkripsi demi Inggris, orang-orang di negara lain juga akan terdampak. Di Inggris, iMessage tidak terlalu populer, sehingga secara tidak proporsional lebih banyak dipakai untuk percakapan lintas Atlantik daripada WhatsApp. Jika Apple mematuhi hukum itu, privasi pengguna AS juga akan dilanggar
    • Logika hitam-putih seperti ini bersifat defaitis
      Tiongkok sudah hampir menjadi perkara yang hilang bahkan sebelum iPhone dan messaging muncul. Sebaliknya, Inggris adalah negara besar di Barat
      Intinya adalah mencoba agar negara-negara Barat tidak menjadi seperti Tiongkok. Inggris bisa menjadi domino, dan jika jatuh, para otoritarian di negara Barat lain bisa tergoda untuk ikut menirunya
    • Pada akhirnya pilihannya sederhana. Mematuhi hukum lokal, atau menarik fitur/perangkat
      Perhitungannya berbeda-beda di tiap negara, tetapi tidak ada kemunafikan di sini
      Pemerintah Tiongkok menyentuh server di Tiongkok berdampak pada pasar Tiongkok, dan pasar itu menghasilkan banyak uang, jadi insentif untuk tetap bertahan besar. Sebaliknya, jika Inggris memasang backdoor di FaceTime, seluruh FaceTime di dunia akan rusak, dan itu bisa menempatkan Apple dalam risiko di yurisdiksi lain dengan undang-undang privasi dan perlindungan data yang lebih kuat. Itu bukan sesuatu yang layak ditanggung demi pasar yang relatif kecil
      Jika masalah yang sama muncul di UE atau AS, itu akan menjadi perkara yang jauh lebih besar, dan sayangnya secara realistis mungkin terjadi dalam beberapa tahun. Apple hanya mengatakan bahwa jika ada regulasi, mereka akan mematuhinya. Pemerintah Inggris juga sering membuat ribut seperti ini lalu diam-diam mundur ketika ternyata praktiknya tidak sederhana
      Perusahaan bukanlah entitas yang memiliki kesadaran, jadi tidak ada yang namanya “posisi sebenarnya”. Kebijakan hanya bermakna ketika diputuskan dan dijalankan oleh manusia. Berbicara tentang korporasi sebagai ideologi itu berbahaya; hal-hal seperti ini bisa berubah, dan uang sering mengalahkan niat baik. Pada akhirnya yang penting adalah sejauh mana kepentingan perusahaan selaras dengan kepentingan kita. Dalam jangka panjang, cara terbaik untuk menggerakkan perusahaan adalah membuat perilaku itu masuk akal secara bisnis
    • Tidak ada yang namanya posisi sebenarnya perusahaan. Itu hanya fiksi yang memudahkan kritik
    • Menurutmu tidak ada kemungkinan kerugian finansial? Apple secara harfiah mengatakan akan menarik produknya
      Fitur ekosistem seperti iMessage dan FaceTime sangat berkontribusi pada retensi platform. Kalau sulit mempercayainya secara sinis, pikirkan saja mengapa Apple terus membayar tim pengembangan dan pemeliharaan iMessage dan FaceTime. Pasti bukan karena kebaikan hati
  • Ada wawancara antara CEO Signal dan seorang politisi Partai Konservatif Inggris[1]. Wawancara itu cukup membuat frustrasi, karena kedua pihak berdebat tentang dua masalah yang sepenuhnya berbeda
    Meredith Whittaker dari Signal mencoba membicarakan dengan tepat persoalan merusak enkripsi dan dampak ikutannya, tetapi pihak politisi bersikap seolah-olah itu sudah diselesaikan. Mereka tampaknya bukan ingin memecahkan enkripsi, melainkan ingin aplikasi mengambil pesan sebelum dienkripsi dan mengirimkannya lewat jalur terpisah ke lembaga pemerintah
    Mereka ingin mengakses pesan di dalam perangkat, dan karena aplikasi memang memiliki akses itu, mereka ingin informasi tersebut dicari, diindeks, difilter, lalu dikirim ke polisi. Menyedihkan bahwa para politisi tidak melihat masalahnya. Entah mereka benar-benar tidak melihat atau tidak memahami, atau justru sepenuhnya paham dan itulah tujuannya, tetapi tidak bisa menjelaskan alasannya
    [1] https://www.youtube.com/watch?v=E--bVV_eQR0

    • Sejujurnya Meredith Whittaker terlihat cukup buruk. Ia berhasil menyampaikan satu argumen bahwa backdoor yang aman tidak bisa dibuat, tetapi setelah politisi Konservatif itu mengatakan tidak akan menuntut backdoor pada layanan pesan terenkripsi, ia pada dasarnya menolak menjawab topik lain
      Fakta bahwa Signal, WhatsApp, dan iMessage mengancam akan hengkang dari Inggris karena RUU ini tampak sebagai tanda bahwa RUU itu tidak masuk akal. Namun dalam debat itu Meredith Whittaker tidak berhasil menunjukkannya secara meyakinkan
    • Orang yang ingin mengendalikan jaringan komputer harus memilih antara pipa dan kotak. Pilihannya antara merusak pipa untuk mencegat lalu lintas di antara kotak-kotak yang buram, atau membiarkan pipa tetap buram lalu membobol isi kotak
      Jika kita mengasumsikan kotak-kotaknya buram, maka ketika Meredith Whittaker menuntut pipa yang buram, itu berarti sepenuhnya menyerah pada pengendalian jaringan. Para politisi tidak menyukainya. Ada yang karena dengan niat baik memandang diri mereka sebagai pelindung sekaligus pendeteksi ancaman, dan ada yang karena dengan niat buruk tahu bahwa itu berarti melepaskan sebagian kekuasaan yang besar. Pemimpin politik nyata biasanya berada di antara keduanya
      Secara realistis, tampaknya kita akan bolak-balik antara kehilangan kendali atas kotak dan merebutnya kembali. Sebab semakin jelas bahwa tidak ada backdoor yang hanya diizinkan untuk orang tertentu dan tidak untuk orang lain
      Menurut saya satu-satunya solusi yang mungkin adalah merusak pipa, yaitu menjadikan pengiriman pesan terenkripsi melalui jaringan itu sendiri ilegal. Dengan begitu kotak bisa tetap tidak bisa ditembus, buram, dan aman, tetapi kita tidak lagi bisa berkomunikasi secara rahasia dengan orang lain. Dalam praktiknya, perpindahan data ilegal/rahasia lewat “sneakernet” akan meningkat dan steganografi akan berkembang pesat. Internet seperti yang kita kenal, terutama semua e-commerce, juga akan berakhir, tetapi bukankah itu harga kecil untuk menghapus CSAM
  • Pemerintah sudah bisa mengakses percakapan bahkan saat ini. Mereka tinggal mendapatkan perintah hakim lalu menggeledah ponsel. Jika pesan belum dihapus, enkripsi ujung ke ujung pun tidak membantu
    Ini seperti mengetuk pintu dengan membawa perintah hakim. Namun pemerintah tidak ingin berurusan dengan hakim. Yang mereka inginkan adalah akses tanpa batas 24 jam. Itulah perbedaan utamanya, dan itulah sebabnya ini buruk bagi semua warga

  • Pemerintahan Konservatif saat ini setidaknya berada di fase akhir menjelang tersingkir selama 10 tahun. Mereka sudah mengincar sektor swasta yang menguntungkan, dan tampaknya ingin merusak Inggris dengan hampir tidak memedulikan reaksi publik

    • Partai Buruh bahkan lebih mendukung masalah ini daripada Partai Konservatif. Liberal Demokrat juga sama. Di antara partai-partai arus utama Inggris, tidak ada yang mengutamakan privasi
  • Awalnya mereka menargetkan demonstrasi, sekarang mereka mau mengutak-atik enkripsi
    Sepertinya mereka tidak suka orang-orang bisa berbagi informasi tidak resmi dan mengorganisir diri dalam skala besar[0]
    Orang-orang juga berbagi stiker anti-propaganda di Telegram[1]. Pada menit 2:40 ada bus yang tertutup stiker itu, dan saya juga pernah melihat video seluruh mobil polisi tertutup stiker tersebut
    [0]. https://onevsp.com/watch/gqymHfesRd5sWJj
    [1]. https://onevsp.com/watch/3skDbBtB8sGwboa

  • Saya teringat sesuatu yang pernah dikatakan Steve Gibson di Security Now. Ia menyarankan agar semua situs web yang memiliki traffic di Inggris menampilkan banner merah di bagian atas halaman dengan tulisan seperti “Pemerintah Inggris memaksa pengawasan terhadap traffic situs web ini
    Kalau begitu, kita akan lihat seberapa cepat pembahasannya berbalik arah
    Argumen para legislator dibangun di atas straw man. Saya memahami keinginan kuat untuk melindungi anak-anak, tetapi langkah seperti ini tidak akan membuat penjahat berhenti menggunakan alat yang saat ini legal. Mereka akan tetap menggunakannya. Menjadikannya “ilegal” tidak akan menghentikan mereka, karena alat itu tetap bisa didapat

  • Harus diuji beta kepada semua anggota House of Commons hari ini juga

    • Di Inggris tidak ada yang memakai iMessage. FaceTime saya kurang tahu, tapi jelas bukan layanan yang diandalkan siapa pun
      Ancaman yang tidak berarti
    • Semua orang memakai WhatsApp