1 Punkte von GN⁺ 2023-07-21 | 1 Kommentare | Auf WhatsApp teilen
  • Nachdem durch die britische Online Safety Bill die Möglichkeit entstanden ist, dass Messaging-Dienste eine Backdoor für Ende-zu-Ende-Verschlüsselung bereitstellen müssen, erklärte Apple, iMessage und FaceTime möglicherweise vom britischen Markt zu entfernen
  • Die britische Regierung will die Befugnis zum Scannen verschlüsselter Nachrichten, um Darstellungen sexuellen Kindesmissbrauchs und andere illegale Inhalte zu erkennen, und sieht bestehende Gesetze als nicht mehr auf dem Stand moderner Sicherheitstechnologien
  • Apple, WhatsApp, Signal und andere lehnen Anforderungen wie Backdoors, vorherige Meldungen zu Sicherheitsfunktionen und eine erzwungene Deaktivierung von Funktionen vor einem Berufungsverfahren ab, weil sie die Sicherheit der Nutzer schwächen würden
  • Apple vertritt die Position, die Sicherheit aller Nutzer nicht wegen der Forderungen eines einzelnen Landes zu senken, und könnte bei Bedarf iMessage und FaceTime für Kunden in Großbritannien deaktivieren
  • Der Gesetzentwurf durchläuft derzeit ein 8-wöchiges Konsultationsverfahren; Apple hatte in der Vergangenheit auch die CSAM-Scan-Funktion für iCloud Photos nach Widerstand von Kunden und Menschenrechtsgruppen zurückgezogen

Die britische Online Safety Bill und der Konflikt um Verschlüsselung

  • Die britische Online Safety Bill wird als Gesetzesvorhaben geprüft, das Messaging-Dienste zur Bereitstellung einer Backdoor für Ende-zu-Ende-Verschlüsselung verpflichten könnte
  • Die Regierung will die Befugnis, Ende-zu-Ende-verschlüsselte Nachrichten scannen zu können
    • Ziel ist die Erkennung von Darstellungen sexuellen Kindesmissbrauchs und anderen illegalen Inhalten
    • Bestehende Gesetze decken dies zwar ab, gelten wegen der Sicherheitsmechanismen moderner Technologie aber als technisch veraltet
  • Mehrere Dienste wie Apple, WhatsApp und Signal lehnen den Vorschlag ab

Von Apple abgelehnte Forderungen

  • Apple reichte eine 9-seitige Stellungnahme gegen den Entwurf ein
  • Zu den abgelehnten Punkten gehören folgende Anforderungen
    • eine Backdoor für Ende-zu-Ende-Verschlüsselung
    • die Pflicht, Änderungen an Sicherheitsfunktionen von Produkten vor der Veröffentlichung zu melden
    • die Verpflichtung, Sicherheitsfunktionen zu deaktivieren, bevor ein Berufungsverfahren abgeschlossen ist

Optionen auf dem britischen Markt und frühere Beispiele

  • Apple vertritt die Position, Änderungen nicht umzusetzen, wenn sie die Sicherheit aller Nutzer zugunsten eines einzelnen Landes schwächen würden
    • Stattdessen könne man iMessage und FaceTime für Kunden in Großbritannien deaktivieren
  • Das vorgeschlagene Gesetz befindet sich derzeit in einer 8-wöchigen Konsultationsphase, und Apple sowie andere Gegner hoffen, dass die Regierung die Kritik aufgreift und den Entwurf überarbeitet
  • Apple hatte in der Vergangenheit Pläne für eine CSAM-Scan-Funktion in iCloud Photos nach Widerstand von Kunden und Menschenrechtsgruppen zurückgezogen
    • Apples damaliger Ansatz war stärker auf den Schutz der Privatsphäre ausgerichtet als der aktuelle Vorschlag der britischen Regierung

1 Kommentare

 
GN⁺ 2023-07-21
Hacker-News-Kommentare
  • Es fühlt sich so an, als würden wir den Kampf um die Privatsphäre von Gesprächen kollektiv verlieren.
    Nur wenige Menschen erheben ihre Stimme gegen Gesetze, die sich gegen Verschlüsselung richten, und die Mehrheit scheint zu glauben, dass es so etwas wie Privatsphäre ohnehin nicht gibt und die Regierung Nachrichten lesen kann, wenn sie nur will. Wenn die Leute den Kampf für bereits verloren halten und sogar akzeptieren, dass es schon immer so gewesen sei, ist der Kampf vorbei, bevor er überhaupt begonnen hat.
    Viele schaffen es nicht, Privatsphäre mit Freiheit zu verknüpfen; Freiheit ist so selbstverständlich geworden, dass sie die Gefahr ihres Verlusts erst sehen, wenn eine akute und unmittelbare Bedrohung auftaucht. Systeme, die zum Schutz der Freiheit gedacht waren, versagen stattdessen und nagen langsam an den Rechten, die frühere Generationen genossen haben.
    Auch die Kurzsichtigkeit der Gesetzgeber ist erstaunlich. Wenn der Staat sämtliche Korrespondenz besitzt und dieser Staat in die falschen Hände gerät, ist jeder erledigt, der nicht auf der Seite der Mächtigen steht. Jemand wird sich vielleicht damit brüsten, „ein Gesetz gegen böse Menschen gemacht“ zu haben, aber der Preis könnte die kollektive Freiheit sein.

    • Schon die Tatsache, dass so etwas zugelassen wird, ist seltsam. Nur weil die Regierung heimlich geführte persönliche Gespräche nicht überwachen kann, kann sie uns doch nicht dazu zwingen, ein staatliches Aufnahmegerät mit uns herumzutragen.
      Ich verstehe nicht, warum Menschen nicht genauso auf die Forderung reagieren, Verschlüsselung zu belasten.
    • Ein großer Teil des Problems liegt darin, dass sich die Natur von Gesprächen verändert hat. Post und Telefon waren zu keinem Zeitpunkt vollkommen privat, und die Vorstellung, bei solchen Gesprächen vollständige Privatsphäre zu erwarten, ist relativ neu.
      Der Unterschied ist, dass diese Kommunikationsmittel heute nicht mehr nur einen kleinen Teil aller Gespräche ausmachen, sondern fast alles repräsentieren, und dass die Kosten, Privatsphäre zu brechen, im Vergleich zu den Kosten und dem Aufwand, die in den 1950ern nötig gewesen wären, um Millionen Menschen zu überwachen, stark gesunken sind. Ein Sicherheitsstaat nach DDR-Vorbild ist dafür nicht mehr nötig.
    • Der wichtigste Grund, Privatsphäre zu schützen, ist, dass man nicht weiß, was aus einer Regierung in den nächsten Jahren werden kann. Dieses grundlegende Argument für Verschlüsselung wird oft im Zusammenhang mit Ländern genannt, die bereits als unfrei gelten, aber erst während COVID habe ich wirklich gespürt, was es bedeutet.
      Ich hätte nicht erwartet, dass sich die Gesellschaft durch Angst und Hass sowie durch von Medien angeheizte Hexenjagden so verschlechtern würde. Seitdem gehe ich davon aus, dass Regierungen zu allem fähig sind, und das Argument, dass Kommunikation verschlüsselt werden können muss, ist dadurch noch stärker geworden.
    • Die USA sind noch ziemlich in Ordnung, aber Großbritannien und die EU stehen dem Schutz der Privatsphäre stark ablehnend gegenüber. Bei der Privatsphäre von Verbrauchern machen sie vieles ziemlich gut, aber sie scheinen nicht zu glauben, dass es Privatsphäre gegenüber dem Staat geben sollte.
    • Das Tückische an dieser Debatte ist die Behauptung, solche Gesetze griffen nicht in Verschlüsselung ein. Persönlich halte ich das für unehrlich, aber Befürworter des Gesetzes sagen immer: „Wir brechen die Verschlüsselung nicht“ oder „Privatsphäre und Sicherheit sind vereinbar, und dieser Änderungsantrag liefert beides“.
      In diesem Plan werden Nachrichten zur Analyse an Dritte übermittelt. Die an Dritte gesendeten Nachrichten mögen verschlüsselt sein, aber die Privatsphäre wird vollständig verletzt.
      https://techcrunch.com/2022/07/06/uk-osb-csam-scanning/
  • Ich frage mich, warum britische Gesetzgeber nicht gerade neue Vorschriften vorbereiten, die für alle Türen und Tresore eine Umgehungsvorrichtung für Regierungsbeamte vorschreiben.
    Hinter jeder Tür und in jedem verschlossenen Raum könnten Darstellungen sexuellen Kindesmissbrauchs und illegales Material versteckt sein. Jedes Haus und jeder Hotelsafe ist verdächtig.
    Wenn die Logik für Backdoors in Online-Chats und Gesprächen so lautet, müsste sie genauso für die Eingangstüren aller Wohnungen und Gebäude sowie für jeden verschlossenen Raum gelten. Es geht um dasselbe: einfachen Zugriff auf Material ohne Hilfe oder Wissen der Betroffenen.

    • Um einmal den Advocatus Diaboli zu spielen: Niemand teilt Darstellungen sexuellen Kindesmissbrauchs aus seinem eigenen Tresor massenhaft mit Tausenden Voyeuren auf der ganzen Welt.
      Die universelle Erreichbarkeit des Internets und digitale Bilddateiformate haben für diejenigen, die gegen diese abscheulichen Verbrechen kämpfen, die Lage grundlegend verändert. Das ist tatsächlich ein neuer und spezieller Fall, anders als ein verschlossener Tresor.
    • Ich habe schon das Argument gehört, dass die Polizei Türen für Razzien aufbrechen darf und daher bei Technologie dieselben Befugnisse haben sollte.
    • So etwas wie Durchsuchungsbeschlüsse gibt es.
    • Wenn man die Möglichkeit bedenkt, private Gespräche unsichtbar und praktisch kostenlos zu überprüfen, ist die passendere Analogie eher: „Installiert Kameras in jedem Haus, auf die nur die Regierung Zugriff hat.“ Natürlich mit dem Versprechen, dass sie die meiste Zeit ausgeschaltet sein werden.
    • Der Grund, warum man keine staatliche Umgehungsvorrichtung für alle Türschlüssel vorschreibt, ist, dass sich fast jede Tür mit Gewalt aufbrechen lässt. Die Polizei kann das mit Durchsuchungsbeschluss tun, Spezialeinheiten auch heimlich.
      Der Großteil der Verschlüsselung lässt sich aber nicht mit Gewalt brechen.
  • Großbritannien versucht immer wieder, seinen Einfluss zur Schau zu stellen, nur um dann festzustellen, dass es gar nicht so groß ist. Beim CMA-Fall rund um Xbox war es so, und hier ist es genauso.
    Großbritannien ist nicht groß genug, dass Apple und Microsoft umfassende Änderungen vornehmen würden, nur um sich an einen relativ kleinen Markt anzupassen.

    • Großbritannien hat diese Lektion mindestens seit der Suezkrise, vielleicht schon davor, immer wieder gelernt und wieder vergessen.
    • Das frühere britische Empire ist Teil der kulturellen Identität. Es wird noch ein paar Generationen dauern, die Erwartungen an die Vergangenheit abzuschütteln.
      Die Zeiten, in denen zwei Untertanen der Krone Kafiristan im Alleingang an sich reißen konnten, sind längst vorbei.
    • Umgekehrt: Erleidet Großbritannien wirklich so großen Schaden, wenn ein paar Spiele auf dem britischen Markt fehlen? Keine der beiden Seiten ist groß genug, um ohne die andere auszukommen. Das ist nicht nur ein Problem Großbritanniens.
  • Ist das nicht genau Apple, das in China der KPCh erlaubt, den gesamten App Store zu betreiben?
    Es ist leicht, eine Regierung zu kritisieren, wenn man weiß, dass es keine Vergeltung geben wird. Um die wahre Haltung eines Unternehmens zu solchen Fragen zu erkennen, muss man sehen, wie es handelt, wenn echte finanzielle Verluste drohen.

    • Großbritannien und China sind nicht vergleichbar. China ist derzeit das bevölkerungsreichste Land der Welt, während Großbritannien nicht einmal 70 Millionen Einwohner hat.
      China ist ein totalitäres Regime; dort ist eine unvollkommene Freiheit besser als gar keine. Großbritannien dagegen ist ein demokratisches Land, das das Recht auf Privatsphäre schützen sollte.
      Wenn Apple für Großbritannien die Verschlüsselung schwächt, betrifft das auch Menschen in anderen Ländern. iMessage ist in Großbritannien nicht besonders populär und wird im Vergleich zu WhatsApp überproportional häufig für transatlantische Gespräche genutzt. Wenn Apple dem Gesetz folgt, verletzt es auch die Privatsphäre von US-Nutzern.
    • Diese Schwarz-Weiß-Logik ist defätistisch.
      China war schon vor iPhone und Messaging nahezu ein verlorener Fall. Großbritannien dagegen ist ein wichtiges westliches Land.
      Es geht darum zu verhindern, dass westliche Länder wie China werden. Großbritannien könnte ein Domino sein; wenn es fällt, könnten Autoritäre in anderen westlichen Ländern versuchen nachzuziehen.
    • Am Ende ist die Wahl einfach: lokale Gesetze befolgen oder Funktionen bzw. Geräte zurückziehen.
      Die Rechnung fällt je nach Land anders aus, aber Heuchelei steckt darin nicht.
      Wenn die chinesische Regierung auf chinesische Server zugreift, betrifft das den chinesischen Markt, und dieser Markt ist sehr lukrativ, also gibt es starke Anreize zu bleiben. Wenn Großbritannien dagegen eine Backdoor in FaceTime einbaut, wird FaceTime weltweit kompromittiert und könnte Apple in anderen Rechtsräumen mit stärkeren Datenschutz- und Datensicherheitsgesetzen in Gefahr bringen. Für einen vergleichsweise kleinen Markt lohnt sich dieses Risiko nicht.
      Wenn dasselbe Problem in der EU oder den USA auftritt, wäre das deutlich gravierender, und leider ist es in den nächsten Jahren realistisch möglich. Apple sagt im Grunde nur, dass es sich an Regulierung halten wird, wenn sie kommt. Die britische Regierung macht oft viel Lärm auf diese Weise und zieht sich dann still zurück, sobald sich zeigt, dass es in der Praxis nicht einfach ist.
      Ein Unternehmen ist kein bewusstes Wesen, also gibt es so etwas wie eine „wahre Haltung“ nicht. Richtlinien haben nur Bedeutung, wenn Menschen sie festlegen und durchsetzen. Unternehmen ideologisch zu beschreiben ist gefährlich; solche Dinge können sich ändern, und Geld schlägt oft gute Absichten. Am Ende zählt, wie gut die Interessen des Unternehmens mit unseren übereinstimmen. Langfristig bewegt man ein Unternehmen am besten, indem man sein Verhalten geschäftlich sinnvoll macht.
    • So etwas wie die wahre Haltung eines Unternehmens gibt es nicht. Das ist nur eine Fiktion, die Kritik leichter macht.
    • Glaubst du, es drohen keine finanziellen Verluste? Apple hat buchstäblich gesagt, dass es Produkte zurückziehen würde.
      Ökosystem-Funktionen wie iMessage und FaceTime tragen stark zur Plattformbindung bei. Wenn man das aus Zynismus nicht glauben kann, sollte man sich fragen, warum Apple Geld dafür ausgibt, weiterhin Teams für Entwicklung und Wartung von iMessage und FaceTime zu beschäftigen. Aus reiner Freundlichkeit wohl kaum.
  • Es gab ein Interview zwischen der Signal-CEO und einem britischen konservativen Politiker[1]. Es war ein ziemlich frustrierendes Interview, weil beide Seiten über zwei völlig unterschiedliche Probleme stritten.
    Meredith Whittaker von Signal versuchte, das Brechen von Verschlüsselung und dessen Folgewirkungen richtig zu diskutieren, aber der Politiker tat so, als sei das bereits geklärt. Sie scheinen nicht zu sagen, dass sie Verschlüsselung brechen wollen, sondern dass die App Nachrichten vor der Verschlüsselung abgreifen und über einen separaten Kanal an Regierungsstellen senden soll.
    Sie wollen im Gerät auf Nachrichten zugreifen; die App hat diesen Zugriff ohnehin, also soll sie diese Informationen durchsuchen, indexieren, filtern und an die Polizei schicken. Es ist traurig, dass Politiker das Problem nicht sehen. Entweder sehen sie es wirklich nicht oder verstehen es nicht, oder sie verstehen es vollständig und genau das ist der Zweck, können aber nicht erklären, warum.
    [1] https://www.youtube.com/watch?v=E--bVV_eQR0

    • Ehrlich gesagt machte Meredith Whittaker keinen besonders guten Eindruck. Das eine Argument, dass man keine sichere Backdoor bauen kann, brachte sie gut vor. Aber nachdem der konservative Politiker gesagt hatte, er werde keine Backdoor in verschlüsselte Messaging-Dienste verlangen, weigerte sie sich praktisch, auf das andere Thema zu antworten.
      Dass Signal, WhatsApp und iMessage wegen dieses Gesetzentwurfs mit dem Rückzug aus Großbritannien drohen, wirkt wie ein Zeichen dafür, dass der Entwurf unvernünftig ist. Aber in dieser Debatte konnte Meredith Whittaker diesen Punkt nicht überzeugend darlegen.
    • Wer ein Computernetzwerk kontrollieren will, muss sich zwischen Rohren und Boxen entscheiden. Entweder man bricht die Rohre auf, um Traffic zwischen undurchsichtigen Boxen abzufangen, oder man lässt die Rohre undurchsichtig und dringt in die Boxen ein.
      Wenn man annimmt, dass die Boxen undurchsichtig sind, bedeutet Meredith Whittakers Eintreten für undurchsichtige Rohre, die Kontrolle über das Netzwerk vollständig aufzugeben. Politiker mögen das nicht. Manche, weil sie sich in gutem Glauben als Beschützer und Bedrohungserkenner sehen; andere, weil sie in böser Absicht wissen, dass sie einen erheblichen Teil ihrer Macht aufgeben würden. Reale politische Führungskräfte liegen irgendwo dazwischen.
      Realistisch gesehen wird es wohl ein Hin und Her zwischen Kontrollverlust und Wiedererlangung der Kontrolle über die Boxen geben. Denn es wird immer deutlicher werden, dass es keine Backdoor gibt, die nur für bestimmte Personen zugänglich ist und für andere nicht.
      Die einzige mögliche Lösung ist meiner Ansicht nach, die Rohre zu brechen, also das Senden verschlüsselter Nachrichten über das Netzwerk selbst zu illegalisieren. Dann können die Boxen unangreifbar, undurchsichtig und sicher bleiben, aber man kann nicht mehr heimlich mit anderen kommunizieren. In der Praxis würde die „Sneakernet“-Übertragung illegaler und geheimer Daten zunehmen, und Steganografie würde enorme Fortschritte machen. Das Internet, wie wir es kennen, insbesondere auch der gesamte E-Commerce, wäre damit zwar am Ende, aber das ist doch ein kleiner Preis für die Abschaffung von CSAM.
  • Die Regierung kann schon heute auf Gespräche zugreifen. Sie muss sich nur eine richterliche Anordnung holen und das Handy durchsuchen. Wenn die Nachrichten nicht gelöscht wurden, hilft auch Ende-zu-Ende-Verschlüsselung nicht.
    Das ist so, als würde man mit einer richterlichen Anordnung an die Tür klopfen. Aber die Regierung will sich nicht mit Richtern befassen. Sie will unbegrenzten Zugriff rund um die Uhr. Das ist der entscheidende Unterschied, und deshalb ist es schlecht für alle Bürger.

  • Die aktuelle konservative Regierung befindet sich in der Endphase und steht kurz davor, für mindestens zehn Jahre abgewählt zu werden. Sie schielt bereits auf lukrative Posten im privaten Sektor und scheint Großbritannien zerstören zu wollen, ohne sich groß um den öffentlichen Widerstand zu kümmern.

    • Labour unterstützt diese Frage noch stärker als die Konservativen. Die Liberal Democrats ebenfalls. Unter den großen Parteien Großbritanniens legt keine Wert auf Privatsphäre.
  • Zuerst nahmen sie Proteste ins Visier, und jetzt wollen sie an die Verschlüsselung ran.
    Offenbar gefällt ihnen nicht, dass Menschen in der Lage sind, inoffizielle Informationen zu teilen und sich in großem Maßstab selbst zu organisieren[0].
    Die Leute teilten auf Telegram auch Anti-Propaganda-Sticker[1]. Bei 2:40 ist ein Bus damit bedeckt, und ich habe auch ein Video gesehen, in dem ein ganzes Polizeiauto damit beklebt war.
    [0]. https://onevsp.com/watch/gqymHfesRd5sWJj
    [1]. https://onevsp.com/watch/3skDbBtB8sGwboa

  • Ich muss an etwas denken, das Steve Gibson bei Security Now gesagt hat. Er schlug vor, dass jede Website mit Traffic im Vereinigten Königreich oben auf der Seite ein rotes Banner mit einem Hinweis wie „Die britische Regierung überwacht zwangsweise den Traffic dieser Website“ anzeigen sollte.
    Dann würde man sehen, wie schnell sich die Debatte dreht.
    Die Argumente der Gesetzgeber stehen auf einem Strohmann. Ich verstehe die Dringlichkeit, Kinder schützen zu wollen, aber solche Maßnahmen werden Kriminelle nicht davon abhalten, Tools zu nutzen, die derzeit legal sind. Sie werden sie weiter nutzen. Nur weil man sie „illegal“ macht, hören sie nicht auf, weil sie weiterhin verfügbar sind.

  • Das sollte man noch heute als Betatest bei allen Abgeordneten des Unterhauses machen.

    • Im Vereinigten Königreich nutzt niemand iMessage. Bei FaceTime bin ich mir nicht sicher, aber es ist definitiv kein Dienst, auf den irgendjemand angewiesen ist.
      Eine bedeutungslose Drohung.
    • Alle nutzen WhatsApp.