1 Punkte von GN⁺ 2024-02-15 | 1 Kommentare | Auf WhatsApp teilen
  • Der Europäische Gerichtshof für Menschenrechte hat eine allgemeine Schwächung der Ende-zu-Ende-Verschlüsselung (end-to-end encryption) untersagt; das könnte auch die Pläne der EU zur CSAR-Massenüberwachung im Rahmen der chat control ausbremsen
  • Das Urteil sieht Verschlüsselung als Schutz für Bürger und Unternehmen vor Hacking, Identitäts- und Datendiebstahl, Betrug sowie der Offenlegung vertraulicher Informationen; Backdoors könnten von kriminellen Netzwerken missbraucht werden
  • Das Gericht erklärte, es gebe Möglichkeiten, verschlüsselte Kommunikation zu überwachen, ohne den Schutz aller Nutzer zu senken, und nannte als Beispiele die Nutzung von Schwachstellen in Zielsoftware oder das Übermitteln von Implantaten auf Geräte
  • Patrick Breyer, Mitglied des Europäischen Parlaments, bewertet das Client-side Scanning der EU Commission, das alle Smartphones überwache und den Verschlüsselungsschutz zerstöre, nach diesem Urteil als eindeutig rechtswidrig
  • Das EU Parliament hat die Zerstörung sicherer Verschlüsselung und wahllose chat control abgelehnt; sobald der EU Council seine Position festlegt, könnten Verhandlungen beginnen, und die EU-Innenminister wollen den Gesetzentwurf Anfang März erneut beraten

Vom Urteil verbotene Schwächung von Verschlüsselung

  • Der Europäische Gerichtshof für Menschenrechte untersagt Maßnahmen, die sichere Ende-zu-Ende-Verschlüsselung generell schwächen
  • Verschlüsselung wird als Mittel anerkannt, das Bürger und Unternehmen vor mehreren Bedrohungen schützt
    • Hacking
    • Identitätsdiebstahl und Diebstahl personenbezogener Daten
    • Betrug
    • Unbefugte Offenlegung vertraulicher Informationen
  • Backdoors können von kriminellen Netzwerken missbraucht werden und dadurch die Sicherheit elektronischer Kommunikation aller Nutzer ernsthaft gefährden
  • Das Gericht sieht auch Überwachungsmethoden als möglich an, die den Schutz aller Nutzer nicht senken
    • Nutzung von Schwachstellen in Zielsoftware
    • Übermittlung von Implantaten auf Zielgeräte
  • Als Grundlage des Urteils wird para. 76 ff. im Urteilsdokument des ECHR genannt

Breyers Bewertung des EU-Gesetzes zur chat control

  • Patrick Breyer, Mitglied des Europäischen Parlaments und der Pirate Party, bewertet das Urteil als landmark judgement
  • Breyer hält die im chat-control-Gesetz der EU Commission vorgesehene Überwachung per Client-side Scanning auf allen Smartphones für eindeutig rechtswidrig
  • Seiner Einschätzung nach zerstört dieser Ansatz den Verschlüsselungsschutz aller Menschen, statt Verdächtige ins Visier zu nehmen
  • Breyer fordert die EU-Regierungen auf, die Zerstörung sicherer Verschlüsselung und die wahllose Überwachung der privaten Kommunikation der gesamten Bevölkerung aus dem Gesetz zu streichen

Bedenken zu Verschlüsselung und Fortbestand von Diensten

  • Breyer betont, dass sichere Verschlüsselung Leben rettet
  • Ohne Verschlüsselung könne man nicht sicher sein, ob Nachrichten oder Fotos gegenüber nicht vertrauenswürdigen Personen offengelegt werden
  • Das sogenannte Client-side Scanning führe nach dieser Bewertung zu einem von zwei Ergebnissen
    • Es macht Kommunikation grundsätzlich unsicher
    • Europäische Bürger können Whatsapp oder Signal nicht mehr nutzen
  • Breyer erklärt, die entsprechenden Anbieter hätten bereits geprüft, ihre Dienste in Europa einzustellen
  • Der neueste Positionsentwurf des EU Council wird dafür kritisiert, weiterhin die Zerstörung sicherer Verschlüsselung vorzusehen

Struktur des Vorschlags der EU Commission

  • Die EU Commission und das industrielle Netzwerk der Überwachungsbehörden fordern eine allgemeine Durchsuchung privater Kommunikation
  • Zu den Suchzielen gehören auch Ende-zu-Ende-verschlüsselte Messenger
  • Ziel ist es, Hinweise auf illegale Inhalte zu finden
  • Dieser Ansatz stützt sich auf fehleranfällige Technologie
  • Er kann nur umgesetzt werden, wenn sichere Ende-zu-Ende-Verschlüsselung geschwächt wird

Aktuelle Positionen der EU-Institutionen

  • Eine Mehrheit der EU-Regierungen unterstützt die Initiative
  • Eine blocking minority verhindert jedoch eine Entscheidung
  • Die EU-Innenminister wollen den Gesetzentwurf Anfang März erneut beraten
  • Das EU Parliament hat unter dem Druck der Pirates und der Zivilgesellschaft Folgendes abgelehnt
    • Zerstörung sicherer Verschlüsselung
    • Wahllose chat control
  • Die Position des Parlaments wird zum Ausgangspunkt möglicher Verhandlungen, nachdem der EU Council seine Position festgelegt hat

Meta und freiwillige chat control

  • Meta hat angekündigt, im Laufe des Jahres 2024 die direct messages von Facebook und Instagram zu verschlüsseln
  • Das Unternehmen erklärte, die derzeitige freiwillige chat-control-Überwachung dieser Nachrichten einzustellen
  • Die EU betreibt ein Verfahren zur Verlängerung der Erlaubnis für freiwillige chat control
  • Breyers Informationsseite zur chat control ist chatcontrol.eu

1 Kommentare

 
GN⁺ 2024-02-15
Meinungen auf Hacker News
  • In diesem Fall sah das Gericht die Pflicht zur Entschlüsselung Ende-zu-Ende-verschlüsselter Kommunikation als unverhältnismäßigen Eingriff in das Recht auf Privatsphäre an.
    Das betreffende Gesetz verlangte von Messengern wie Telegram, neben den Kommunikationsinhalten im Fall einer Verschlüsselung auch „Informationen, die zur Entschlüsselung elektronischer Nachrichten erforderlich sind“, herauszugeben.
    Das Gericht befand, dass eine Schwächung der Ende-zu-Ende-Verschlüsselung durch Backdoors weitreichende Auswirkungen hätte, und zitierte auch die Forderung, durch Gesetzgebung und kontinuierliche technische Entwicklung „Alternativen zur Entschlüsselung zu finden, die die Schutzmechanismen nicht schwächen“. Dazu gehören klassische Ermittlungen, verdeckte Ermittlungen, Metadatenanalyse, internationale polizeiliche Zusammenarbeit, Live-Forensik beschlagnahmter Geräte, das Erraten oder Erlangen privater Schlüssel im Besitz der Kommunikationsparteien, die Ausnutzung gezielter Software-Schwachstellen oder das Einschleusen von Implantaten.
    Zwar handelt es sich um ein Urteil zu einem konkreten Fall und Gesetz, doch das Gericht wirkt insgesamt ziemlich skeptisch gegenüber Ansätzen, die Dienstanbieter zur Schwächung der Verschlüsselungsmechanismen aller Nutzer verpflichten. Die britische Regierung dürfte sich auf Grundlage dieses Urteils Sorgen machen, dass der Online Safety Bill vor nationalen Gerichten oder europäischen Gerichten gekippt werden könnte.
    Allerdings: Selbst wenn Backdoors in Ende-zu-Ende-Verschlüsselung als Überschreitung der zulässigen Einschränkungen des Rechts auf Privatsphäre angesehen werden, ist das Recht auf Privatsphäre ein derogierbares Recht. Wenn eine Regierung also einen Notstand ausruft, der „das Leben der Nation bedroht“, kann sie es im erforderlichen Umfang nach Artikel 15 der EMRK außer Kraft setzen.
    Die relevanten Absätze sind 76 bis 80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • Wichtig ist auch, dass britische Gerichte vom Parlament verabschiedete Gesetze nicht aufheben können.
      Das Beste, was sie tun können, ist eine Unvereinbarkeitserklärung abzugeben; dann können Minister den Mangel per untergesetzlicher Regelung beheben, ohne ein neues Gesetz erneut durchs Parlament bringen zu müssen. Das gilt natürlich nur, wenn der politische Wille dazu vorhanden ist.
      Allerdings versucht der Online Safety Act, große Teile über untergesetzliche Regelungen, gesetzliche Codes und Leitlinien zu regeln; solche Dinge können Gerichte aufheben. Solange das Gesetz selbst nicht zwingend zur Schaffung eingriffsintensiver Mittel verpflichtet, bleibt spannend, wie sich das entwickelt.
    • Die Schlussfolgerung, dass eine „Pflicht zur Entschlüsselung Ende-zu-Ende-verschlüsselter Kommunikation ein Eingriff in das Recht auf Privatsphäre“ sei, steht unter der Bedingung, dass keine Schutzvorkehrungen gegen Missbrauch vorhanden sind.
      Leider lässt sich nicht einfach sagen, dass beides völlig unvereinbar sei. Nach diesem Urteil ist es nur dann problematisch, wenn es keine guten Schutzvorkehrungen gibt; der Urteilstext spricht an einer Stelle von „adequate“, an anderer von „suitable“, macht aber nicht klar, was damit konkret gemeint ist.
    • Das Vereinigte Königreich will aus der EMRK austreten, daher könnte es dieses Urteil leider umgehen.
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • Die Passage „Informationen, die zur Entschlüsselung elektronischer Nachrichten erforderlich sind, sofern diese verschlüsselt sind“ erinnert an Lavabit, das ich früher als Haupt-E-Mail-Dienst genutzt habe.
      Als Reaktion auf die Forderung nach Entschlüsselungsinformationen übergab Lavabit seinen privaten Schlüssel – allerdings auf Papier abgetippt. Vielleicht gab es irgendwo auf Seite 6 oder 12 einen Tippfehler.
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • Vielleicht eine dumme Frage, aber ich frage mich, warum ein EU-Gericht britisches Recht kippen kann, obwohl das Vereinigte Königreich nicht mehr Mitglied der EU ist.
  • Ich bin etwas verwirrt. Der Artikel selbst wirkt ziemlich politisch und zitiert PR-Formulierungen der Pirate Party, erklärt aber nicht, welcher Fall vor Gericht gelandet ist und was das Urteil genau verboten hat. Deshalb habe ich auf das unten verlinkte eigentliche Urteil geklickt.
    Dieser Fall scheint nicht direkt mit der Pirate Party oder Chat Control zu tun zu haben. Wenn man die Sachverhaltsdarstellung grob überfliegt, handelt es sich um eine Klage einer Einzelperson gegen die russische Regierung, nachdem Telegram mit einer Geldstrafe belegt wurde, weil es Klartext-Chatnachrichten nicht herausgegeben hatte. Im gesamten Artikel kommt nicht einmal das Wort „Russia“ vor. Ich weiß nicht, worüber dieser Artikel eigentlich berichtet oder warum er so dargestellt wird, als stünde er im Zusammenhang mit der aktuellen Chat-Control-Gesetzgebung.
    In den Randnummern 80 bis 81 des Urteils heißt es, die „Speicherung der Internetkommunikation aller Nutzer, der direkte Zugriff von Sicherheitsbehörden ohne Schutzvorkehrungen gegen Missbrauch und Entschlüsselungsanforderungen für verschlüsselte Kommunikation, die auf Ende-zu-Ende-verschlüsselte Kommunikation angewendet werden“, könnten in einer demokratischen Gesellschaft nicht als notwendig angesehen werden und verstießen daher gegen Artikel 8 EMRK, das Recht auf Privatsphäre.
    Man kann diese Argumentation zwar auf andere Gesetze zur Umgehung von Verschlüsselung wie Chat Control ausweiten, aber ohne Berücksichtigung der konkreten Umstände des russischen Gesetzes könnte das ungenau sein. Wichtig ist zum Beispiel die Formulierung in Absatz 80: „ohne ausreichende Schutzvorkehrungen gegen Missbrauch“. Wäre Chat Control vor dieselbe Kammer gekommen, hätte diese möglicherweise entschieden, dass es solche Vorkehrungen gibt.

    • Dieses Urteil wird ein Präzedenzfall sein. Dass ein Abgeordneter der Pirate Party im Europäischen Parlament es kommentiert hat, liegt daran, dass dieses Thema zu den Kernanliegen der Partei gehört. Es gibt keinen Grund, warum die Pirate Party im Urteil auftauchen sollte.
    • Der Artikel ist nicht die Originalquelle. Die Originalquelle ist hier: https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • Gut, dass das nach dem Brexit weiterhin für das Vereinigte Königreich gilt. Das Vereinigte Königreich ist weiterhin Mitglied der EMRK.

    • Die Konservativen reden seit Jahren über einen Austritt aus der EMRK.
    • Auch Aserbaidschan ist Mitglied der EMRK, aber das verhindert nicht, dass es politische Gegner inhaftiert, Zwangsarbeit einsetzt, Kriegsverbrechen begeht, andere EMRK-Mitgliedstaaten angreift und ethnische Säuberungen durchführt.
  • Europa zeigt in letzter Zeit ziemlich gut, wie man vernünftige Technologieregulierung betreiben kann.

    • Diese Entscheidung war nötig, weil die EU auf ein Verbot von Ende-zu-Ende-Verschlüsselung zuzusteuern schien. Das Urteil wurde nicht von der EU-Kommission gefällt, sondern von einem Gericht, und soweit ich weiß, kann die Kommission es weiterhin ignorieren.
    • Jetzt wäre es schön, wenn auch die Technologie selbst gut entwickelt würde.
  • Es gab zu oft Fälle, die mit „In zwei Jahren kommen sie wieder und versuchen es erneut“ endeten; dass solchen Anti-Ende-zu-Ende-Verschlüsselungs-Vorschlägen nun ein langfristiges Hindernis entsteht, ist etwas beruhigend.

    • Wenn möglich, sollte so etwas über Gremien wie den Landwirtschafts- oder Fischereiausschuss abgewickelt werden.
  • Europa hat tatsächlich einmal etwas getan, das mir gefällt.
    Ich hatte Sorge, dass das Narrativ „Denkt an die Kinder“ die Oberhand gewinnt, aber zumindest in Europa scheint die Bedeutung von Verschlüsselung eine Zukunft zu haben.

    • Anders als der Name vermuten lässt, ist das nicht die EU.
  • Beim Thema Verschlüsselung gibt es zwischen Regierung und Industrie ein gewisses Tauziehen. Die Regierung sollte keine Schwachstellen in Algorithmen einbauen, braucht aber auch eine Möglichkeit, Nachrichten von Kriminellen und Terroristen zu lesen. Die Industrie will, dass Kunden das Gefühl haben, Messaging-Produkte für legitime Zwecke sicher nutzen zu können.
    Ohne Druck auf regionaler Ebene überlässt man die Kommerzialisierung von Verschlüsselung den USA. Die Wissenschaft wird neue Algorithmen weiterhin mögen, aber bis jemand damit Geld verdienen kann, bleiben sie in Papers stecken; am Ende steht dann nur ein fortschrittlicher US-Entwickler bereit, daraus die nächste große, noch sicherere verschlüsselte Chat-App nach Signal zu machen.

  • Gut. Ich werde keine Namen nennen, aber einige ISPs dürften gerade nicht besonders erfreut sein. Dieses Urteil bremst einige Proxy-Modelle ziemlich wirksam aus.
    Sehr befriedigend.

    • Ich fände es gut, wenn man sie namentlich bloßstellen würde. Das hilft allen.
  • Der Artikel ist halbwegs Müll. Unabhängig von der politischen Position ist er schlecht geschrieben und voreingenommen.
    Es ist besser, das Urteil zu lesen.
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • Zur Verteidigung des Artikels: Er verlinkt immerhin auf das Urteil. Allein dadurch gehört er bei politischen Artikeln schon fast zu den besten 20 %.
      Auch das eigentliche Urteil ist recht lesenswert, und beim schnellen Überfliegen wirkte der Artikel inhaltlich weitgehend zutreffend.
    • Laut der englischen Originalfassung der Pressemitteilung des Gerichts ist der Beschwerdeführer Anton Valeryevich Podchasov ein 1981 geborener russischer Staatsangehöriger mit Wohnsitz in Barnaul.
      Er war Nutzer von Telegram, das Russland als „Internet communications organiser“ eingestuft hatte; Telegram war gesetzlich verpflichtet, sämtliche Kommunikationsdaten ein Jahr lang und die Kommunikationsinhalte sechs Monate lang zu speichern sowie diese Daten und die zur Entschlüsselung verschlüsselter elektronischer Nachrichten erforderlichen Informationen in gesetzlich vorgesehenen Fällen Strafverfolgungs- oder Sicherheitsbehörden vorzulegen.
      Podchasov rügte auf Grundlage von Artikel 8 und Artikel 13 der EMRK die Pflichten zur Speicherung, Weitergabe und Entschlüsselung von Daten sowie das Fehlen eines wirksamen Rechtsbehelfs; das Gericht stellte eine Verletzung von Artikel 8 fest. Hinsichtlich des immateriellen Schadens sah es die Feststellung der Verletzung selbst als ausreichende gerechte Entschädigung an.
      Der Quellenlink ist kaputt: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      Diese Website macht dauerhafte Links nahezu unmöglich und ist schrecklich. Für eine Institution, die wichtige Entscheidungen trifft, die Menschen zitieren müssen, ist das wirklich schlechtes Design.
    • Da HN-Markup den Link offenbar kaputtmacht, hier ein alternativer Link: https://hudoc.echr.coe.int/eng/?i=001-230854
    • Der Kern des Urteils ist, dass das Gericht einstimmig feststellte, für die Beschwerde des Antragstellers hinsichtlich der Tatsachen vor dem 16. September 2022 zuständig zu sein, die Beschwerde wegen Verletzung des Rechts auf Achtung des Privatlebens und der Korrespondenz für zulässig erklärte und einstimmig eine Verletzung von Artikel 8 EMRK feststellte.
      Die Rüge nach Artikel 13 wurde mit 5 zu 2 Stimmen nicht gesondert geprüft; mit 6 zu 1 Stimmen wurde entschieden, dass die Feststellung der Verletzung selbst eine ausreichende Genugtuung für den immateriellen Schaden darstellt, und der Antrag des Beschwerdeführers auf gerechte Entschädigung wurde mit 6 zu 1 Stimmen abgewiesen.
      Das Urteil wurde auf Englisch abgefasst und am 13. Februar 2024 schriftlich zugestellt.
    • Die relevanten Absätze sind 76 bis 81. Das Gericht sah Verschlüsselung als starke technische Schutzmaßnahme gegen unrechtmäßigen Zugriff auf Kommunikationsinhalte an, die nicht nur zum Schutz der Online-Privatsphäre und des Kommunikationsgeheimnisses beiträgt, sondern auch zur Gewährleistung von Grundrechten wie der Meinungsfreiheit.
      Außerdem schützt Verschlüsselung Bürger und Unternehmen vor Missbrauch von Informationstechnologie wie Hacking, Identitäts- und Datendiebstahl, Betrug und unangemessener Offenlegung vertraulicher Informationen; dies müsse bei der Bewertung von Maßnahmen, die Verschlüsselung schwächen könnten, ausreichend berücksichtigt werden.
      Um Ende-zu-Ende-verschlüsselte Kommunikation wie Telegrams „secret chats“ zu entschlüsseln, müsste offenbar die Verschlüsselung aller Nutzer geschwächt werden; eine solche Maßnahme könne nicht auf bestimmte Personen beschränkt werden und betreffe daher unterschiedslos auch Menschen, die keine Bedrohung für legitime staatliche Interessen darstellen.
      Die Schaffung einer Backdoor würde die routinemäßige, allgemeine und unterschiedslose Überwachung privater elektronischer Kommunikation technisch ermöglichen und könnte auch von kriminellen Organisationen missbraucht werden, wodurch die Sicherheit der elektronischen Kommunikation aller Nutzer ernsthaft beeinträchtigt würde.
      Das Gericht erkannte an, dass auch Kriminelle Verschlüsselung nutzen können und Ermittlungen dadurch erschwert werden können, akzeptierte aber die Forderung, nach Entschlüsselungsalternativen und anderen Ermittlungsmethoden zu suchen, die die Schutzmechanismen nicht schwächen.
      Zusammengefasst war die Pflicht zur Entschlüsselung Ende-zu-Ende-verschlüsselter Kommunikation in diesem Fall nicht verhältnismäßig zu den legitimen Zielen, weil sie den Dienstanbieter in die Gefahr brachte, die Verschlüsselungsmechanismen aller Nutzer schwächen zu müssen; das betreffende Gesetz könne nicht als in einer demokratischen Gesellschaft notwendig angesehen werden und führte daher zu einer Verletzung von Artikel 8.
  • Ausgezeichnete Nachrichten.
    Der Europäische Gerichtshof für Menschenrechte ist genau das Gericht, das die dumme britische Regierung auf dieselbe Weise pauschal angreifen will wie die EU.