欧盟聊天控制法案对加密技术构成"灾难性风险"，Signal发出警告

欧洲计划要求科技公司扫描通过加密电子邮件和消息服务发送的通信内容，昨晚被指构成"存在性灾难风险"。

加密消息服务Signal警告称，通过新立法"否定了加密的真正目的"。欧洲理事会将于10月14日就丹麦提案进行投票，该提案要求电子邮件和消息服务在手机和电脑上安装机器学习和扫描技术，以识别和报告疑似儿童虐待图像。

欧盟成员国对这个被称为"聊天控制"的计划存在分歧。密码学家和安全研究人员广泛批评该计划，声称强制扫描将创建可能被黑客和敌对国家利用的安全漏洞。

Signal全球事务副总裁Udbhav Tiwari表示，如果这些提案成为法律，将在手机和电脑使用的操作系统中引入"巨大的明显漏洞"。

“恶意行为者将开始利用这种能力获取访问权限，在当前操作系统实施的安全范式下，这简直是不可想象的，“他说。

根据丹麦提案，科技公司将需要引入客户端扫描技术，使用哈希函数识别已知的虐待图像，并使用机器学习算法识别未知图像。一种执行方式是要求软件公司在广泛使用的操作系统（如Windows、苹果的MacOS和iOS，以及谷歌的Android）中引入扫描功能。

安全漏洞

Tiwari在一次在线讨论中表示，欧洲的执法和情报机构已要求政府设备免于强制扫描，以保护政府数据免受安全漏洞的影响。

“可以想象，如果情报机构希望确保其服务器和服务不使用这种技术，那么价值数十亿美元公司的CEO可能也不希望其高管面临同样的风险，“他补充道。

批评者表示，聊天控制的实施成本高昂，因为它需要欧盟国家部署数千名执法人员手动审查被扫描算法识别为可疑的图像，而这些算法容易产生误报或漏报。

民主与技术中心欧洲秘书长Asha Allen表示，如果这些提案颁布，可能会面临法律挑战。

她说欧洲理事会自己的律师已对这些提案的合法性提出保留意见。例如，欧洲人权法院在Podchasov诉俄罗斯案中发现，试图削弱加密或创建"后门"违反了隐私权。

Allen表示，聊天控制提案"本质上不成比例”，因为它们将"要求扫描没有不当行为指控或嫌疑的用户的私人消息和内容”。

丹麦妥协协议对加密有何规定？

• 使用端到端加密的公开消息服务将被要求在传输前检测虐待材料
• 提供商应保持自由提供使用端到端加密的服务，不应被要求解密数据或创建对端到端加密数据的访问
• 加密服务用户将被要求同意对其通过端到端加密服务发送的图像、视频和URL进行监控
• 不同意的用户可能只能使用消息服务的其他功能发送不包括图像、视频或URL的消息
• 端到端加密服务的检测技术将由欧盟中心认证和测试，以验证其使用不会导致加密保护的削弱
• 欧盟委员会将有权批准检测技术
• 检测服务提供商应有人工监督以减少误报和漏报
• 检测技术不得"引入无法采取有效措施缓解的网络安全风险”

来源：草案提案

这些提案还可能违反《通用数据保护条例》数据保护法规，该法规要求人们在扫描其私人消息前给予"知情同意”。

拒绝同意的人将无法完全访问加密消息或电子邮件服务，Allen称这相当于"强制同意"，违反了数据保护法。

批评者表示，如果这些措施成为法律，欧洲最终可能需要禁止人们使用可能绕过客户端扫描的技术，例如，禁止修改包含客户端扫描软件的操作系统，并禁止使用虚拟专用网络。

Tiwari表示，罪犯和不良行为者会找到规避聊天控制的方法，但希望合法使用加密的人将失去隐私。

顶级计算机和安全专家在一篇科学论文中警告，苹果在2021年引入客户端扫描的现已放弃的计划是不可行的，容易被罪犯滥用，并对安全和保障构成威胁。

欧盟成员国对聊天控制提案存在分歧，12个国家支持，包括法国、丹麦和西班牙。荷兰、芬兰和波兰等六个国家反对。八个未决定的国家包括比利时、德国、瑞典和希腊。