Signal Foundation waarschuwt tegen het plan van de EU om privéberichten te scannen op CSAM

Een controversieel voorstel van de Europese Unie om privéberichten van gebruikers te scannen op het opsporen van materiaal van seksueel misbruik van kinderen (CSAM) brengt ernstige risico's met zich mee voor de end-to-end-encryptie (E2EE), waarschuwde Meredith Whittaker, voorzitter van de Signal Foundation, die beweert de op privacy gerichte berichtendienst met dezelfde naam.

“Het verplicht stellen van het massaal scannen van privécommunicatie ondermijnt de encryptie fundamenteel. Volledige stop”, zei Whittaker maandag in een verklaring.

“Of dit nu gebeurt door bijvoorbeeld te knoeien met het genereren van willekeurige getallen door een versleutelingsalgoritme, of door een sleutelbewaarsysteem te implementeren, of door communicatie te dwingen door een bewakingssysteem te gaan voordat ze worden versleuteld.”

Het antwoord komt omdat wetgevers in Europa regelgeving invoeren om CSAM te bestrijden met een nieuwe bepaling genaamd “uploadmoderation” die het mogelijk maakt dat berichten nauwkeurig worden onderzocht voordat ze worden versleuteld.

Uit een recent rapport van Euractiv blijkt dat audiocommunicatie is uitgesloten van de reikwijdte van de wet en dat gebruikers moeten instemmen met deze detectie onder de algemene voorwaarden van de dienstverlener.

“Degenen die geen toestemming geven, kunnen nog steeds delen van de dienst gebruiken waarbij geen visuele inhoud en URL's worden verzonden”, aldus het rapport.

Europol riep eind april 2024 de technologie-industrie en regeringen op om prioriteit te geven aan de openbare veiligheid en waarschuwde dat beveiligingsmaatregelen zoals E2EE kunnen voorkomen dat wetshandhavingsinstanties toegang krijgen tot problematische inhoud, waardoor een voortdurend debat over het evenwicht tussen privacy en de bestrijding van ernstige misdaden opnieuw oplaait. .

Het riep platforms ook op om beveiligingssystemen zo te ontwerpen dat ze nog steeds schadelijke en illegale activiteiten kunnen identificeren en rapporteren aan wetshandhavingsinstanties, zonder zich te verdiepen in de implementatiedetails.

iPhone-maker Apple maakte bekend plannen aan te kondigen om client-side screening op materiaal met seksueel misbruik van kinderen (CSAM) te implementeren, maar stopte dit eind 2022 na aanhoudende terugslag van voorstanders van privacy en veiligheid.

“Het scannen op één type inhoud opent bijvoorbeeld de deur voor bulkbewaking en zou de wens kunnen creëren om andere gecodeerde berichtensystemen te doorzoeken op verschillende inhoudstypen”, zei het bedrijf destijds, ter toelichting van zijn beslissing. Het omschreef het mechanisme ook als een ‘gladde helling van onbedoelde gevolgen’.

Whittaker van Signal zei verder dat de aanpak 'uploadmoderatie' een woordspel is dat neerkomt op het invoegen van een achterdeur (of een voordeur), waardoor in feite een beveiligingsprobleem ontstaat dat rijp is voor uitbuiting door kwaadwillende actoren en hackers van de natiestaat.

“Ofwel beschermt end-to-end-encryptie iedereen en waarborgt de veiligheid en privacy, ofwel is het voor iedereen kapot”, zei ze. “En het verbreken van de end-to-end-encryptie is, vooral in deze geopolitieke tijd, een rampzalig voorstel.”

Thijs Van der Does