欧盟聊天控制计划对加密构成“灾难性风险”，Signal表示

欧洲提案要求科技公司扫描通过加密电子邮件和消息服务发送的通信内容，昨晚被指构成“存在性灾难性风险”。

加密消息服务Signal警告称，通过新立法“否定了加密的根本目的”。欧盟理事会计划于10月14日就丹麦提案进行投票，该提案将强制要求电子邮件和消息服务在手机和电脑上安装机器学习和扫描技术，以识别和报告疑似儿童虐待图像。

欧盟成员国对这一被称为“聊天控制”的计划存在分歧，密码学家和安全研究人员广泛批评称，强制扫描将创建可被黑客和敌对国家安全漏洞。

Signal全球事务副总裁Udbhav Tiwari表示，如果提案成为法律，将在手机和电脑使用的操作系统中引入“巨大的明显漏洞”。

“恶意行为者将开始利用这种能力获得访问权限，在当前操作系统实施的安全范式下，这简直是不可想象的，”他说。

根据丹麦提案，科技公司将需要引入客户端扫描技术，使用哈希函数识别已知的虐待图像，并使用机器学习算法识别未知图像。一种执行方式将是要求软件公司在广泛使用的操作系统（如Windows、苹果的MacOS和iOS，以及谷歌的Android）中引入扫描功能。

安全漏洞

Tiwari在一次在线讨论中表示，欧洲的执法和情报机构已 pressed 要求政府设备免于强制扫描，以保护政府数据免受安全漏洞的影响。

“你可以想象，如果一个情报机构希望确保其服务器和服务没有这种技术，一家价值数十亿美元的公司的CEO可能不希望其高管面临同样的风险，”他补充道。

批评者表示，聊天控制的实施将非常昂贵，因为需要欧盟国家部署数千名执法人员手动审查被扫描算法识别为可疑的图像，而这些算法容易产生误报或漏报。

民主与技术中心欧洲秘书长Asha Allen表示，如果提案颁布，可能会面临法律挑战。

她说，欧盟理事会自己的律师已对提案的合法性提出保留意见。

例如，欧洲人权法院在Podchasov诉俄罗斯案中发现，试图削弱加密或创建“后门”违反隐私权。

Allen表示，聊天控制提案“本质上不成比例”，因为它们将“要求扫描没有指控或涉嫌不当行为的用户的私人消息和内容”。

丹麦妥协协议对加密有何规定？

• 使用端到端加密的公开消息服务将被要求在传输前检测虐待材料。
• 提供商应保持自由提供使用端到端加密的服务，不应被强制解密数据或创建对端到端加密数据的访问。
• 加密服务的用户将被要求同意对其通过端到端加密服务发送的图像、视频和URL进行监控。
• 不同意的用户可能能够使用消息服务的其他功能发送不包括图像、视频或URL的消息。
• 端到端加密服务的检测技术将由欧盟中心认证和测试，以验证其使用不会导致加密保护的削弱。
• 欧盟委员会将有权批准检测技术。
• 检测服务提供商应有人工监督，以减少误报和漏报。
• 检测技术不得“引入无法采取任何有效措施缓解此类风险的网络安全风险”。

来源：草案提案

这些提案还可能违反《通用数据保护条例》数据保护法规，该法规要求人们在扫描其私人消息前给予“知情同意”。

拒绝者将无法完全访问加密消息或电子邮件服务，Allen称这相当于“强制同意”，违反了数据保护法。

批评者表示，如果这些措施成为法律，欧洲最终可能需要使绕过客户端扫描的技术非法，例如，使修改包含客户端扫描软件的操作系统非法，并禁止使用虚拟专用网络。

Tiwari表示，罪犯和不良行为者将找到规避聊天控制的方法，但希望合法使用加密的人将失去隐私。

顶级计算机和安全专家在一篇科学论文中警告称，苹果在2021年提出的现已放弃的客户端扫描计划不可行，容易被罪犯滥用，并对安全和保障构成威胁。

欧盟成员国对聊天控制提案存在分歧，12个国家支持，包括法国、丹麦和西班牙。荷兰、芬兰和波兰等六国反对。八个未决定的国家包括比利时、德国、瑞典和希腊。