注意:本博客中的链接将更新,以指向论文和支持材料,当这些变得明显时
好吧,它终于落地了,我不能说我非常惊讶:
…
伊恩·利维(Ian Levy)和克里斯平·罗宾逊(Crispin Robinson)制作了一份 70 页的文件,其中混合了描述识别和调查在线虐待儿童的过程、端到端加密可能对这些过程产生的影响、如何通过实施后门来最大限度地减少这种影响。侧面扫描和“幽灵”对话拦截,不法分子如何绕过这些后门的合法拦截和访问机制,以及如何防止这种绕过…… ,而且显然——除了提到第三方儿童保护调查之外——这在民主社会中是恰当的。
我对另一篇文章的总结如下:
作者认为,政府正在失去“现有的缓解措施”——实际上是系统性弱点——作为打击犯罪的工具,好像开发 E2EE 信使的平台实际上并没有试图消除这些弱点,从而增加了服务的隐私风险和管理成本。底线。
他们写了大量关于“规模”的文章,将技术描绘成一个“大海捞针”的挑战,让他们保护数千人……但完全忽略了他们提议的“规模”风险,这些风险危及全球数十亿人的隐私。
最后,奇怪的是,他们将虐待视为“社会问题”,却只需要技术解决方案。没有对他们管理所引用的“550,000 [to] 850,000”潜在罪犯的方法进行成本效益分析。也许使用他们的资金来采取减少伤害的方法,雇用更多的社会工作者来实施这些方法会更有效?
…
有相当多的特殊恳求、稻草人、和非真苏格兰人谬误——例如(参见屏幕截图中突出显示的文本) Facebook 和谷歌等大平台没有提供“真正的”端到端加密,因为它们正在从元数据中获利,或者不能科学地考虑端到端加密,并将其与应用程序和使用目的分开。
这都是稻草人的论点:Ian 和 Crispin 很容易在他们认为构成“端到端加密”的定义子集内争论,但当他们不得不与现实世界中的其他人争论时,对他们来说就困难得多了。因此,同样引用诸如“我们不赞成将安全系统评估为学术密码系统,或将‘安全解决方案’的潜在可用性二进制表示为这组问题”之类的引用——同样,通常很容易跳过你自己制造的障碍,但越过别人的障碍更具挑战性。
第 41 页上的指控(例如)Facebook Messenger 端到端加密在某种程度上不是“真实的”,这是我在最近的端到端加密入门中详细讨论的问题。作者拒绝用户定义自己的威胁模型的自由,他们可以选择接受带有广告的“免费”服务,或者选择不带广告的慈善支持平台,但两者都同样提供端到端的隐私保证为内容。拒绝用户这个机构是不自由的、规定性的,并且(从字面上看)在文本中是不合理的。
Ian 和 Crispin 提出(至少?)围绕端到端加密的两个任意和主观的界限。以 Facebook Messenger 为例,他们会说 Messenger E2E 加密不是“真实的” ,首先是因为 Facebook 有业务并且可能(例如)向用户做广告,其次是它们之间存在某种社会或法律“合同”。用户和 Facebook。目前尚不清楚这两个问题是否应该被视为布尔与或布尔或一起,但无论如何;很明显,与“……在它所集成的服务的上下文中”以及“将‘端到端加密服务’视为学术密码系统的无益倾向”相关联,很明显,整体文本的目标是将“真正的”端到端加密系统的任命限制为…… Ian 和 Crispin。
如果“合同的存在”足以使系统失去端到端加密的资格,那么将iMessage 用作在所有用户设备之间共享支付卡详细信息的结构将面临危险。
但最让我震惊的是“社会技术”这个词,以及我从这个词的使用中推断出来的。我要感谢 Ian 和 Crispin 将一些实际数字带入公众讨论,这些数字比NCMEC 发布的过度夸大的“报告数量”更有用,而 Ian 和 Crispin 自己也对这些数字进行了相当长的批评:(提取物)
- “2021年NCMEC收到的报告数量达到2940万份”
- “同年,NCA 收到 NCMEC 的 102,842 份报告” [过滤后]
- “在 102,842 份报告中,有 20,038 份被提交给当地警方并开始(或协助)调查”
- “同年,超过 6,500 人因与虐待儿童有关的罪行被捕或自愿参加,超过 8,700 名儿童得到保护”
- “我们希望能够展示个人 CyberTips 和信念之间的因果关系。但是,这目前是不可能的”
- [进一步向下] “据估计,英国有 550,000 到 850,000 人对儿童有不同程度的性兴趣,这些儿童对儿童构成伴随的风险水平”
因此,103,000 份报告转化为 6500 次面谈或逮捕,8700 次保护,结果不明确,但起诉和定罪的数量肯定较少,有多少是累犯,有多少根本没有被起诉,也不清楚多长时间或有影响的保护措施。
但与对全球近 30 亿人的隐私和安全的影响相比,所有这些数字都相形见绌。很容易说: “如果我们能挽救一个孩子的生命,那么任何轻微的不便肯定都值得付出代价……” ——但事实并非如此,否则我们将在英国永久“封锁”以减少在被困在每年大约 1900 人死亡近十年之后,道路死亡人数下降了 26%。
该文件的执行摘要包括:
儿童性虐待是一个社会问题,不是由互联网造成的,打击它需要全社会的回应。然而,在线活动独特地允许犯罪者扩展他们的活动,但也允许全新的仅限在线危害,其影响对受害者来说同样是灾难性的。
…
……还有那个词,“规模”,再次;但不被认可的是双重的:
- 那少数的罪犯——几千人,如上所述? ——只能以相对较小的量“扩大”他们的努力;而当 30 亿基本正派和诚实的人“扩大”他们的努力——其中一些受益于强大的安全性——将产生真正的天文数字
- 与儿童性虐待等社会问题作斗争可能需要全社会的回应,但不能排除社会的其他利益,如民主、自由和隐私;并以打击儿童性虐待为借口建立一个“社会技术”圆形监狱,这些都不是。