歐盟發難，端到端加密的末日即將到來？

近日，歐盟委員會的一項審查加密流量中兒童性虐待材料（CSAM）的提案（以下簡稱檢測令）可能會迫使科技公司掃描私人信息，即使這些信息受到了端到端加密的保護。

雖然歐盟委員會在公告中承認端到端加密是一種重要的安全工具，但該檢測令對加密信息“應檢盡檢”的要求逼迫科技企業“采用任何必要的技術手段”破解（關閉）端到端加密，并掃描其中的流量，歐盟委員會對“檢測令”的解釋部分摘錄如下：

在執行檢測令時，供應商應采取一切可用的保障措施，以確保其所使用的技術不能被他們或其雇員用于不符合本條例的目的，也不能被第三方使用，從而避免破壞安全和用戶通信的機密性。

歐盟委員會的一份公告稱，CSAM的問題已經失控，目前的“自愿”制度還不夠。聲明稱：“僅2021年，全球就有8500萬張描述兒童性虐待的圖片和視頻被報道，還有更多未被報道，兒童性虐待普遍存在。”“新冠病毒大流行加劇了這一問題，互聯網觀察基金會指出，與上一年相比，2021年確認的兒童性虐待報告增加了64%。目前基于公司自愿檢測和報告的系統已證明不足以充分保護兒童。”

歐盟在公告的問答文檔中強調了掃描端到端加密消息的重要性。“NCMEC（國家失蹤和受剝削兒童中心）估計，其CyberTipline報告的一半以上（兒童性虐待相關證據）將隨著端到端加密而消失，從而無法發現濫用行為，除非供應商采取措施保護兒童及其隱私。”

但業內人士認為，該檢測令如果執行，意味著端到端加密將被終結，因為端到端加密不可檢測。

“看起來歐盟委員會真的想取消加密，”荷蘭數字權利基金會Bits of Freedom政策顧問Rejo Zenger寫道，該提案“將迫使公司監控人們通過WhatsApp等聊天應用和Instagram等通信和社交平臺相互分享的內容”。如果認為有必要，平臺將被迫刪除信息或向當局報告。互聯網服務提供商也可以被命令監控其客戶的互聯網流量。

但歐盟委員會非常聰明地“忽略了”這實際上意味著取消端到端加密。歐盟委員會把皮球踢給企業，要求企業完成一個不可能完成的任務（審查端到端加密流量），同時暗示企業可以“采取必要手段”（關閉端到端加密）。

事實上，真正的端到端加密的私人信息是無法被檢查的。正如Proton Mail解釋的那樣，“E2EE（端到端加密）消除了這種可能性，因為服務提供商實際上并不擁有解密密鑰，E2EE比標準加密強得多。”

歐洲的提議遭到包括網絡安全研究員Alec Muffett在內的安全專家的批評，他領導的團隊為Facebook Messenger添加了端到端加密功能。“今天是歐盟向端到端加密宣戰的日子，并以保護兒童的名義要求在任何平臺上訪問每個人的私人信息。”Muffett寫道。

無獨有偶，蘋果公司此前也被扣上了“以保護兒童的名義侵犯隱私”的罪名。歐盟的提議與美國政府官員此前提出的加密“后門”呼吁類似，雖然蘋果公司首席執行官蒂姆庫克反對政府授權的后門程序，但蘋果公司在去年公布了一項讓iPhone和其他設備掃描用戶照片以查找兒童性虐待圖像的計劃時，引起了安全專家的強烈反對。蘋果擱置了該計劃，并承諾會做出改變以應對批評。

“這又是蘋果公司那一套玩法了。”約翰霍普金斯大學密碼學教授馬修格林在談到新的歐盟提案時寫道。在一條推文中，格林稱該計劃是“我見過的最可怕的事情。它提出了一個新的大規模監視系統，該系統將讀取私人短信，而不僅是檢測CSAM，而是檢測‘引誘兒童內容’（編者：引誘內容的定義極為寬泛，包括物品名稱、日常溝通用語都有可能是引誘內容，這意味著檢測范圍將包括幾乎所有私人信息）。”

歐盟委員會提案鏈接：

https://ec.europa.eu/home-affairs/proposal-regulation-laying-down-rules-prevent-and-combat-child-sexual-abuse_en

（來源：@GoUpSec）