مقررات حفاظت کلی اطلاعات (GDPR) مهمترین و بحث برانگیز است – قانون حفظ حریم خصوصی در سال های اخیر تصویب شده است. علیرغم منشاء آن در اتحادیه اروپا، دسترسی آن واقعا جهانی است، زیرا بر هر کسی که اطلاعات شخصی شهروندان اتحادیه اروپا را ذخیره می کند، بدون توجه به جایی که سازمان در آن قرار دارد، تاثیر می گذارد. بخشی از این امر به دلیل طغیان های پاپ آپ آزار دهنده است که از بازدیدکنندگان سایت ها برای پذیرش شرایط و ضوابط جدید، اکثر مردم در حال حاضر در مورد GDPR می دانند. اما چند نفر از خواهر و برادر خود، تنظیم مقررات ePrivacy پیشنهاد شده اتحادیه اروپا، که از بسیاری جهات حتی بیشتر از GDPR خواهد بود، شنیده ام.
جایی که GDPR از اطلاعات شخصی محافظت می کند وقتی که جمع آوری و ذخیره می شود، مقررات ePrivacy محافظت از شخصی داده ها هنگامی که آن را منتقل می شود. شرکت های مخابراتی سنتی در حال حاضر با قوانین در این زمینه هستند؛ مقررات ePrivacy با هدف گسترش آن به نسل جدیدی از خدمات آنلاین که اطلاعات شخصی را از طریق اینترنت انتقال می دهند. به ویژه، قانون پیشنهادی قصد دارد تنظیم نحوه گردآوری و استفاده از متادیتا و محدود کردن چگونگی ردیابی افراد آنلاین، به عنوان مثال با استفاده از کوکی ها را انجام دهد.
کمیسیون اروپا پیش نویس پیش نویس قانون تنظیم مقررات الکترونیکی خود را منتشر کرد، طراحی شده برای به روز رسانی مقررات سال 2002 در ژانویه 2017 حاکم بر این منطقه است. همانطور که در فرایند قانونی اتحادیه اروپا نیز معمول است، پارلمان اروپا قصد دارد برای تولید نسخه خود از متن، اصلاح طرح اصلی کمیسیون اروپا انجام دهد. سایت آلمانی Netzpolitik، که به دنبال این قوانین با دقت است، 6 اصل اصلی پارلمان اروپا را به شرح زیر خلاصه کرد (اصل در آلمان)
بدون پردازش اطلاعات بدون رضایت
Metadata rich فعالیت های آنلاین به صورت روزانه تولید می شود و تنها می تواند توسط شرکت های اینترنتی مورد تجزیه و تحلیل و بهره برداری قرار گیرد، در صورتی که اجازه دسترسی صریح از کاربران دریافت کنند. این در مقایسه با وضعیت کنونی است که در آن ابرداده جمع آوری و برای تحلیل منافع بازدیدکنندگان و هدف قرار دادن آنها با تبلیغات استفاده می شود. به طور طبیعی، شرکت های اینترنتی که سود خود را از این نوع از استفاده از فراداده ها می گیرند، به شدت با این مقررات مبارزه می کنند. در عوض، آنها می خواهند شرکت ها مجاز به استفاده از این داده ها باقی بمانند تا زمانی که "مشروعیت" در آن وجود داشته باشد، جایی که "مشروع" خیلی مبهم است تا بتواند چیزی بیشتر یا کمتری به دست آورد.
ردیابی
در حال حاضر، هر کس در هر جایی که به اینترنت می رود، ردیابی می شود مگر اینکه اغلب اقدامات بسیار شدید را برای جلوگیری از این انجام می دهد. اکثر مردم مزاحم نیستند، به این معنی که ردیابی آنلاین معمول است. پارلمان اروپا می خواهد تنظیمات ePrivacy را برای رد کردن از ردیابی آسان تر کند – به عنوان مثال، با استفاده از تنظیمات در سیستم عامل مرورگر یا گوشی های هوشمند. علاوه بر این، به اصطلاح "دیوارهای ردیابی"، که دسترسی به سایت ها را مسدود می کند مگر اینکه بازدیدکنندگان موافقت کنند که ردیابی شوند، ممنوع است.
Privacy by default
همانطور که با GDPR، باید برای استفاده از خدمات آنلاین آسان است برای جلوگیری از ردیابی. این به این معنی است که حریم خصوصی باید به طور پیش فرض باشد، نه چیزی که عمیقا در منوهای سردرگمی گزینه ها دفن شده است.
محدودیت های ردیابی دنیای فیزیکی
به طور فزاینده ای برای ردیابی افراد در حال حرکت در اطراف فضاهای فیزیکی – برای مثال، مناطق خرید – با استفاده از سیگنال های WiFi یا بلوتوث، تنظیم می شود. ردیابی آفلاین تنها در صورتی مجاز خواهد بود که کاربران رضایت صریح خود را داشته باشند، یا اگر جمع آوری داده ها در زمان و مکان محدود باشد و برای اهداف صرفا آماری استفاده شود.
حق رمزگذاری
متن پارلمان نیازمند ارائه دهندگان خدمات برای محافظت از ارتباطات کاربران با فناوری «پیشرفته» است و به روشنی از روشهای رمزنگاری مانند رمزنگاری پایان دادن به پایان استفاده می کند. این همچنین شامل بیانیه ای قوی علیه استفاده از پشت صحنه های رمزنگاری شده توسط دولت ها می باشد:
کشورهای عضو هیچ گونه تعهدی در ارائه دهندگان خدمات ارتباطات الکترونیکی یا تولید کنندگان نرم افزار اعمال نمی کنند که منجر به تضعیف محرمانه بودن و یکپارچگی شبکه ها و خدمات آنها شود. یا تجهیزات ترمینال، از جمله روش های رمزنگاری استفاده شده است.
شفافیت زیاد برای دسترسی دولت به ارتباطات
همانطور که شما ممکن است انتظار داشته باشید، پیش نویس متن حاوی استثنا در مورد حق ارتباطات محرمانه به دلایل اجرای قانون یا امنیت ملی. با این حال، مقررات ePrivacy همچنین مقررات گزارشگری جامع را برای هر دو ارائه دهنده خدمات ارتباطی و دولت های ملی معرفی می کند که جزئیات و زمان دسترسی به اطلاعات شخصی را درخواست می کند.
با توجه به ماهیت گسترده و اغلب رادیکال مقررات تجارت الکترونیک به عنوان یک گزارش از شرکت تحقیقاتی شرکت اروپایی، تحقیقات گسترده ای در مورد اقدامات انجام شده، جای تعجب است که لابی با آن شدید بوده است. ژان فیلیپ البرشت، نماینده مجلس آلمان که عمدتا مسئول فرماندهی GDPR از طریق پارلمان اروپا است، به مشاورین حفظ حریم خصوصی گفت که مخالفان قانون جدید برخی ادعاهای بی نظیر را ارائه دادند:
این مرگ مطبوعات است، مرگ تمام برنامه ها و خدمات آنلاین رایگان، اینترنت را خاموش می کند، این پایان دادن به تلفن های همراه است، ما همه چیز را از دست خواهیم داد. این واقعا لابی با رادیکال با توجه به لحن است و به نظر من کاملا غلط است.
با وجود این مخالفت، پارلمان اروپا اصلاحات را در متن اصلی کمیسیون اروپا در اکتبر 2017 با 318 رای به 280 نفر، با 20 نفر رأی داد. سرپرست MEP برای مقررات ePrivacy، مارجو لوریستین، یک سند را با مقایسه دو نسخه از دو نسخه ایجاد کرد که نشان می دهد که پارلمان اروپا اقدامات بسیاری را تقویت می کند.
با این حال، این بدان معنا نیست که نبرد ePrivacy پایان یافته است به دلیل تعامل پیچیده قطعات مختلف دستگاه سیاسی اتحادیه اروپا، ریاست شورای اتحادیه اروپا – سومین بخش در کنار پارلمان اروپا و کمیسیون اروپا – اکنون باید نسخه خود متن پیشنهادی را تهیه کند. هنگامی که این اتفاق می افتد، سه نهاد برای مذاکرات به اصطلاح "سه گانه" برای یک متن نهایی و مصالحه می آیند که می تواند قانون تبدیل شود.
در یک پیچیدگی دیگر که ناشی از ساختار سیاسی اتحادیه اروپا است، ریاست جمهوری شورای اتحادیه اروپا در میان تمام کشورهای عضو قرار دارد. این در حال حاضر توسط اتریش برگزار می شود، که به طور غیر منتظره پیشنهاد دو بخش کلیدی متن ePrivacy را تضعیف می کند: یکی که ممنوع است "دیوارهای ردیابی"، و دیگری "حفظ حریم شخصی توسط طراحی و به طور پیش فرض".
چند روز بعد، اسناد رسمی برای نشست در دسامبر سال جاری، ریاست جمهوری اتریش اعلام کرد که این امر "گزارش وضعیت" را برای مقررات ePrivacy ارائه خواهد کرد. این یک راه کد گذاری شده بود که می گوید این امر نمی تواند یکی از اولویت های ریاست جمهوری شش ماهه خود باشد و هیچ پیشرفت دیگری در مورد قانون ایجاد نخواهد شد. از آنجا که انتخابات مهمی برای پارلمان اروپا در ماه مه سال 2019 صورت می گیرد، تاثیر عملی تصمیم ریاست جمهوری اتریش این است که ابتدا تنظیم مقررات تجارت الکترونیک می تواند سال 2020 باشد.
حرکت اشتباه اتریش برای متوقف کردن کار بر روی جدید قانون حفظ حریم خصوصی تقریبا قطعا به لابی گرایی بیشتر، به ویژه توسط صنعت چاپ و نشر آلمان است. این بخشی از تلاش مستمر برای رفع این قانون مهم است که به شدت محافظت از حریم خصوصی برای شهروندان اتحادیه اروپا را تقویت می کند. علاوه بر این، همانطور که در GDPR نیز گفته شده است، اگر در هر چیزی مانند نسخه فعلی آن تصویب شود، مقررات ePrivacy نیز احتمالا تاثیرات مهمی برای کاربران اینترنت در سراسر جهان دارد.
تصویر قابل توجه توسط کمیسیون اروپا
درباره Glyn Moody
Glyn Moody یک روزنامه نگار آزاد است که در مورد حفظ حریم خصوصی، نظارت، حقوق دیجیتال، منبع باز، کپی رایت، اختراعات و مسائل سیاست عمومی مربوط به فن آوری دیجیتال می نویسد و صحبت می کند. او شروع به پوشش استفاده از اینترنت در سال 1994 کرد و اولین ویژگی اصلی در مورد لینوکس را که در اوت 1997 در Wired ظاهر شد، نوشت. کتاب او "Code Rebel Code" اولین و تنها تاریخ دقیق افزایش منبع باز است VPN Service "title =" VPN Service "/> در حال حاضر فعالیت های بعدی خود،" Code of Life of Life "، به بررسی بیوانفورماتیک ها – تقاطع محاسبات با ژنومیک می پردازد
عقب نشینی رمزنگاری در اخبار بارها و بارها و بارها به خاطر حفظ حریم خصوصی است
VPN ها بخشی ضروری از زندگی آنلاین هستند و از جنبه های بسیاری از حریم خصوصی محافظت می کنند. اما یک طبقه از تهدیدات وجود دارد که VPN ها نمیتوانند از آن دفاع کنند: backdoors رمزنگاری، که حتی قویترین رمزگذاری را که بایستی دور زده شود، فراهم می کند. به همین دلیل برای هر کسی که در مورد حفظ حریم خصوصی و امنیت آنها اهمیت دارد، از هر گونه تلاش برای معرفی درب عقب، مهم است. چیزی که Privacy News Online در مورد چندین بار نوشته است. متاسفانه، این ایده هنوز بسیار زنده است و برای مقامات به نفع آن است، به عنوان دو خبرنامه اخیر نشان می دهد. [1965،9002] اولین مورد حماسی طولانی مدت در سازمان بین المللی استاندارد سازی (ISO) است. آژانس امنیت ملی آمریکا (NSA) تلاش کرده است تا دو تکنیک رمزگذاری، که به نام "سیمون" و "Speck" شناخته شده است، به عنوان استانداردهای ایزو برای استفاده با اینترنت اشیا (IoT) به تصویب برسد. از آنجا که تعداد دستگاه های IoT انتظار می رود که به بسیاری از میلیاردها دلار برسد، انتخاب روش رمزنگاری یک مسئله حیاتی است که عواقب وسیعی را در پی دارد. تکنیک های تایید شده در طیف گسترده ای از محصولات جدید مانند سیستم های کنترل گرما، یخچال و فریزر، روشنایی، بلندگو های هوشمند و دستگاه های پوشیدنی استفاده می شود. اینها عمدتا به اینترنت متصل می شوند، بنابراین عقب در پروتکل های رمزگذاری اجازه می دهد تا هر یک از این دستگاه ها تحت نظارت و احتمالا توسط آژانس های خارجی نظیر NSA کنترل شود.
اهمیت انتخاب برای رمزنگاری IoT باعث شده است رمزنگاری بین المللی کارشناسان بررسی پیشنهاد NSA محتاطانه. آنها از این واقعیت استنباط می کنند که NSA سابقه ای طولانی در تلاش دارد تا پروتکل های رمزنگاری را به جای عقب قرار دهد. این عمل تایید شده توسط فایل های ارائه شده توسط ادوارد اسنودن در سال 2013 است. یکی از آنها جزئیات برنامه 300 میلیون دلاری را با هدف اعلام شده " وارد کردن آسیب پذیری ها به سیستم های رمزگذاری تجاری ". براساس یک گزارش سال گذشته از رویترز در مورد بحث های ایزو، "مخالفان به عدم انتشار انتشار نظرسنجی توسط سازندگان اشاره کردند، عدم پذیرش صنعت و یا نیازی واضح برای سایبر های جدید و موفقیت نسبی دانشگاهیان در نشان دادن آنها نقاط ضعف. "NSA تلاش کرد تا این نگرانی ها را از بین برده و تنها دو قدرتمند ترین نسخه از استانداردها را حذف کند؛ زیرا این ها سخت ترین کار برای شکستن بود.
اما یک پست در سایت WikiTribune نشان می دهد که حتی این نسخه های قوی تر هم اکنون توسط گروه کارشناسان ایزو در یک دیدار در ووهان چین رد شد. مشکل این است که ناتوانی NSA در ارائه اطلاعات فنی کافی در مورد تکنیک های رمزنگاری آن باقی مانده است:
براساس گزارش WikiTribune، متخصصان هیئت های نمایندگی در هفته های اخیر با یکدیگر روبرو شده اند و NSA جزئیات فنی در مورد الگوریتم های معمولی را ارائه نکرده است. فرآیندهای منبع گفت: امتناع از امضای هیئت آمریکایی برای ارائه یک "منطق طراحی قانع کننده، نگرانی اصلی بسیاری از کشورها است."
یکی دیگر از مقاله های WikiTribune به یکی از مخالفان پیشرو پیشنهادات NSA اشاره دارد. دکتر تامر اشور از دانشگاه کوه لوان بلژیک:
"عاشور" گفت: "بسیاری از متخصصان رمزنگاری در داخل و خارج از ایزو نگرانی در مورد امنیت الگوریتم ها داشتند. "NSA تلاش کرد تا در مورد تصمیمات طراحی خاص و گزینه های انتخابی که آنها ساخته اند، همچنان مبهم باقی بماند. همانطور که این امر با آنچه که به عنوان بهترین شیوه طراحی طراحی شده است، بی نظیر است، اما برخی از نمایندگان، از جمله خودم، نگرانند. »
نمایندگان احتمالا هشدار داده بودند، زیرا ناامیدی دقیقا همان چیزی است که NSA برای مخفی کردن حضور یک الگوریتم در پشت درهای بسته. علاوه بر این، در یک پیام کوتاه در توییتر ، عاشور گفت که سازمان امنیت ملی آمریکا تلاش کرده است تا "راه خود را به استانداردهای" تحمیل کند، و رفتار "NSA را" به طرز غم انگیزی خصمانه "نامید و ادعا کرد که شخصا به برخی از کارشناسان حمله کرده است "بی عیب و نقص". اگر تأیید شود، این اقدامات به نظر می رسد که تأیید کند که NSA واقعا مایل است پیشنهادات خود را تأیید کند، اما نمی تواند این را با پیروی از قوانین معمول برای تعریف استانداردهای رمزنگاری انجام دهد.
برنامه نویس و کارآفرین Ray Ozzie، که برای شناختن یادداشت های لوتوس شناخته شده است، در مورد پشتی نیز فکر کرده است. وی ادعا می کند که راهی برای هماهنگی آرزوی آژانس های اجرای قانون برای دسترسی به سیستم های رمز شده مانند تلفن های همراه با نیاز به حفظ حریم خصوصی و امنیت مردم است.
برخی از جزئیات را می توان در یک مقاله در Wired ، اما ایده اصلی این است که یک کد پین قادر به باز کردن یک تلفن محافظت شده با استفاده از کلید عمومی سازنده رمزگذاری شده است. اگر مقامات مایل به باز کردن قفل گوشی هستند که آنها در حال بررسی هستند، آنها یک حکم به دست می آورند، تلفن را روشن می کنند و یک عکس از کد QR نشان داده شده با پین رمز شده را به سازنده ارسال می کنند. دومی از کلید رمزگذاری خصوصی خود برای باز کردن اطلاعات در کد QR استفاده می کند و سپس پین را به مقامات ارسال می کند تا کنترل کامل گوشی را به آنها بدهد. برای جلوگیری از خطر احتمالی که ممکن است پلیس پس از محو کردن گوشی، با یک تراشه خاص در داخل گوشی نفوذ کند، وضعیت فعلی دستگاه را خنثی می کند.
با این وجود ممنون Ozzie's "safe" کارشناسان امنیتی دیگر به زودی در مورد کمبودهای آن اهمیت می دهند. گرچه کمی پیچیده تر است، این روش شبیه به ایده های قبلی "کلیدی سپرده" است: یک نوع "کلید طلایی" وجود دارد، جداگانه ذخیره می شود، که می تواند دستگاه های رمزگذاری شده را باز کند. مشکل این است که کل کلید طلایی را ایمن نگه دارید در حالی که هنوز قادر به استفاده از آن همیشه هستید. به عنوان مثال، همانطور که رابرت گراهام در یک پست وبلاگ طولانی به بررسی نقص در ایده اوزکی می نویسد:
او تنها بخشی را که قبلا می دانیم چگونه حل می کند، حل می کند. او عمدا چیزهایی را که نمیدانیم چگونه حل می شود نادیده بگیریم. ما می دانیم که چگونه به عقب، ما نمی دانیم که چگونه آنها را امن می کنیم.
بله، اپل طاقت فرسایی دارد که با موفقیت کلاه های مهم را محافظت کرد. نه، به این معنی نیست که این مقیاس طاق. مردم بیشتر و بیشتر شما باید طاق را لمس کنید، کمتر امن می شود. ما در حال صحبت کردن با هزاران درخواست در روز از 100000 سازمان مجری قانون در سراسر جهان هستیم. ما بعید به نظر می رسد که این را در برابر بی کفایتی و اشتباه محافظت کنیم. ما قطعا قادر به محافظت از این در برابر حمله عمدی نیستیم.
همان متخصص امنیت دیگر، متیو گرین، که مسئله دیگری را مطرح می کند، مطرح شده است. این تراشه خاص خود تخریب کننده، که عنصر مهمی مهمی از "راه حل" Ozzie را تشکیل می دهد، وجود ندارد:
ثروتمندترین و پیچیده ترین تولید کننده تلفن در سراسر جهان [Apple] تلاش کرد تا یک پردازنده را بسازد که به اهداف مشابه برسد به کسانی که Ozzie نیاز دارد. و از آوریل 2018، پس از پنج سال تلاش، آنها نتوانسته اند به این هدف دست یابند – هدفی که برای امنیت پیشنهاد اوزی که من آن را درک می کنم، حیاتی است.
این واقعیت که پیشنهاد Ozzie حل نخواهد شد تنش میان تمایل به ارائه دسترسی قانونی به تلفن های رمزگذاری شده توسط دولت و نیاز به حفظ حریم خصوصی و امنیت همه، به سختی می تواند به عنوان یک شگفتی تبدیل شود. اگر یک راه حل برای این مشکل پیچیده وجود داشته باشد، احتمالا با توجه به دهه های کاری که به دنبال یکی از آنها بوده است و همچنین میزان بالایی که در آن حضور داشتند، احتمالا پیدا شده است.
اما مشکل اینجاست که شهرت اوزی به عنوان یکی از مهندسان پیشین سالهای اخیر به بعضی ها اجازه می دهند ادعا کنند که پازل درپشتی اکنون "حل شده" بوده است؛ چرا که ری اوزی می گوید که آن را دارد. این قطعا این مورد نیست، زیرا دو منتقد ذکر شده در بالا و سایر نقاط دیگر، ساده است. اما سیاستمداران در مورد چنین زیبایی های فنی نگران نباشند، در صورتی که خواستار قوانینی باشند که این "امن" ها را در دستگاه های اجباری قرار دهند. به همین دلیل مهم است که هر کس که در مورد حفظ حریم خصوصی و امنیت خود مراقبت کند باید آماده باشد تا از تلاش برای تبدیل ایده ناقص به یک واقعیت ناقص جلوگیری کند.
تصویر برجسته توسط Alexas_Fotos
درباره Glyn Moody
Glyn Moody یک روزنامه نگار آزاد است که در مورد حفظ حریم خصوصی، نظارت، حقوق دیجیتال، منبع باز، کپی رایت، اختراعات و مسائل مربوط به سیاست کلی با فن آوری دیجیتال می نویسد و صحبت می کند. او شروع به پوشش استفاده از اینترنت در سال 1994 کرد و اولین ویژگی اصلی در مورد لینوکس را که در اوت 1997 در Wired ظاهر شد، نوشت. کتاب او "Code Rebel Code" اولین و تنها تاریخ دقیق افزایش منبع باز است VPN Service "title =" VPN Service "/> در حالی که کار بعدی خود،" Code of Life of Life "، به بررسی بیوانفورماتیک ها – تقاطع محاسبات با ژنومیک می پردازد
