"The EU wants to decrypt your private data by 2030"

"..The group was tasked, by the EU Council in June 2023, to develop a strategic plan "on access to data for effective law enforcement."

Specifically, the group's final report, published in March 2025, referred to end-to-end encryption as "the biggest technical challenge" to the investigative work of law enforcement agencies, explicitly targeting the use of the best VPN services, encrypted messaging apps, and similar tools.."

https://www.techradar.com/vpn/vpn-privacy-security/the-eu-wants-to-decr…

Hozzászólások

Álmodoznak. 2030-ra semmit nem törnek meg, max. a spagettit anyu pörköltjéhez. Egyrészt már ma a legtöbb előretekintő titkosítás már a kvantumszámítógépes törés ellen is ellenálló, másrészt ahogy javul a törési sebesség, úgy emelik majd a kulcsméretet meg a titkosító algoritmusok komplexitását, hogy X évtizedre jövőtálló legyen. Ez ellen még a CIA, NSA, FBI sem tud mit tenni, nem hogy egy fostos kis EU.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Nem, lyukkal együtt sem, mert mire a lyukat megtalálják, az eleve szerencse és évek kérdése, ahogy meg fény derül rá, onnantól a kriptográfiai szakma szépen kidolgoz új megoldásokat, amikben megint idő lesz a lyukat megtalálni.

Mondom, ez egy álmodozás, mint ha én arról álmodnék, hogy majd 2030-ra úgy éneklek, mint Pavarotti. Nem, nem fogok 2059-re se, legfeljebb tervezgetni, meg álmodozni lehet róla.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

A "government" nem kér be lyukat. A "government" back doort szokott követelni. Lyukat általában beépített ügynökökkel szokás befejleszteni olyan szoftvereknél amelyek használata globális és a "government" még a szövetségesekkel sem kíván egyeztetni erről. Debian OpenSSL fiaskó egy elég jó ismertté vált példa erről. 

Ursula Bin Laden és Eurotálibjainak ez a dilettáns kezdeményezése azért káros, mert globálisan hátrányba hozza az egyébként is gyengén teljesítő EU-t. Elég gyakori jelenség ugyanis, hogy egy "government" által igényelt lehallgató infrastruktúrát a rivális "government" is elkezdi használni. Innentől masszív hátrányban van mindenki a rivális országokkal szemben, ahol ilyen önlobotóniát nem tesznek kötelezővé. 

A kereskedelmi VPN szolgáltatásokról különben korábban is az volt a véleményem, hogy potenciális megfigyelőrendszerek, ahova még kiválasztják önmagukat a megfigyelésre érdekes személyek és még ki is fizetik megfigyelésük költségeit. 

Viszont a VPN egy technológia is, amit például Tasmániában lakó haver routere felé kiépíthetek vele együttműködve. Ez pedig kívül van az eu hatókörén. 

Illetve nagyvállalati környezetben is ma már szinte kötelező kellék a VPN. Saját megoldás, mondjuk OpenVPN használatával máris vanis-nincsis kategória. De jellemző, hogy fizetnek valamilyen VPN-re specializálódott cégnek, Cisco stb és ők biztosítják a VPN szolgáltatást és szavatolják annak biztonságát. Ha ezeket is kötelezik a lehallgató funkció implementálására majd lesz egy VPN-t érintő incidens, akkor mutogatnak az EU spicli kötelezően implementált szolgáltatásra mint gyenge láncszemre. 

Ha pedig bele-hallgatással a teljesen belső/saját VPN-eket is célba veszik az eurotálibok, azaz bármit amibe nem tudnak belehallgatni automatikusan illegális, akkor hamar meg fog jelenni az EU felett Musk FreedomLink-re átkeresztelt StarLinkje, ami hamar előlép Európa első számú internetszolgáltatójává. Remek üzleti lehetőség ez is Amerikának. 

“Az ellenség keze betette a lábát”

Ha van egy pici szerencsénk, Musk eltűnik a színről rohadt gyorsan. És ez az idő nem tud elég gyorsan eljönni, iszonyat káros az az ember...

Amúgy, Amerikában is ugyanúgy bevett gyakorlat a backdoor. Miből gondolod, hogy a Starlink-ben nincs? Mert Elonka bácsi azt mondta? Vagy az amerikai backdoor jó, az európai rossz? Nem értem az ötletet...

> ahova még kiválasztják önmagukat a megfigyelésre érdekes személyek és még ki is fizetik megfigyelésük költségeit. 

Ez úgy marhaság ahogy van, pontosabban: ez már régen meghaladott dolog.

Eleve, nem csak azok használnak manapság (kommersz) VPN-t, ahol a kiinduló szándék az identitás vagy az átvitt tartalom elrejtése. Ma már VPN-t használ minden huszadik háztartás, hogy olyan tartalmakat nézhessen a Netflixen, ami amúgy régiókódolt, vagy olyan streaming szolgáltatókhoz férjen hozzá, ami helyben nem szolgáltat. VPN-t használnak a gémerek egy kinda LAN létrehozásához interneten keresztül. Hihetetlenül megnövekedett a VPN szolgáltatók népszerűsége az utóbbi 6-10 évben világszerte, és a wild variety dolgokra használják emberek. A VPN használók 75-80%-a nem érdemes a megfigyelésre ma már, mert titkosszolgálati szempontból végtelenül unalmas dolgot csinál rajta: (pornó)filmet néz, játszik, csetel, stb. Ha van is külön infó gyűjtés ezeken, már régen nem annyi erőforrás a forgalmat átszitálni, mint annak idején.

> De jellemző, hogy fizetnek valamilyen VPN-re specializálódott cégnek, Cisco stb és ők biztosítják a VPN szolgáltatást és szavatolják annak biztonságát. 

A Cisco meg a többi cég VPN-jében is szinte teljesen biztos vagyok benne, hogy benne van a backdoor, asszem pont a Cisco (vagy valamelyik felvásárolt cége) bukott is már meg ezzel régebben. Mivel nem nyílt forrású, nem tudhatod. És kb sosem fog kiderülni. Amerikában azért elég erős érdekérvényesítő szerepe van a különféle titkos és egyéb szolgálatoknak. 

Ami a "másik ország is ki tudja használni a backdoor-t" részt illeti, kinda igazad van. Azért csak kinda, mert azért itt van egy nagyon nagy HA, HA egyáltalán tudnak a létéről, Ha elkezdik keresni, HA megtalálják, HA tudják úgy módosítani, hogy ők is ki tudják használni... azért itt vannak bizonytalansági tényezők szép számmal.

Ráadásul azért a titkosszolgálatok igencsak kémkednek egymás ellen is, ha egy ilyen megtörténik, arról elég gyorsan tudnak a másik oldalon is, abból azért meg minimum diplomáciai konfliktus lehet, ha nem háború. Ugyanis akkor már nem lesz kockázata annak, hogy kitudódik a backdoor, vagy legalábbis sokkal kisebb lesz, mint annak, hogy az ellenséges ország ugyanazon a backdooron át tud kémkedni ellenük. Nagyon vad mostanában a politikai meg egyéb helyzet, de szerintem így sincs ország, ami ennyire direktben magára rántana pár rakétát önként és dalolva. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

"Amúgy, Amerikában is ugyanúgy bevett gyakorlat a backdoor. Miből gondolod, hogy a Starlink-ben nincs? Mert Elonka bácsi azt mondta? Vagy az amerikai backdoor jó, az európai rossz? Nem értem az ötletet..."

EU backdoor nincs benne és nem lesz benne. Az NSA nem kedveli az efféle konkurenciát. Azt sem fogják eltűrni az usákok, hogy brüsszeliek belehallgassanak a jelentős európai érdekeltségeik dolgaiba. 
Sőt kihasználnák a felháborodást amcsi szolgáltatások terjesztésére, erre írtam példaként a Starlinket. 

"A Cisco meg a többi cég VPN-jében is szinte teljesen biztos vagyok benne, hogy benne van a backdoor, asszem pont a Cisco (vagy valamelyik felvásárolt cége) bukott is már meg ezzel régebben. Mivel nem nyílt forrású, nem tudhatod. És kb sosem fog kiderülni. Amerikában azért elég erős érdekérvényesítő szerepe van a különféle titkos és egyéb szolgálatoknak."

Ezzel könnyű megbukni ha az ügyfél egy nagy multi saját itsec osztállyal, vagy egy ország. De ha volt ilyen eset az érdekelne. Arrogánsan nyomják a Cisco-only megoldásokat, amik amennyire drágák annyira szarok és kényelmetlenek. Lehet csak korrupció van a háttérben, de ebben az esetben nem gondolnám. 

"Ami a "másik ország is ki tudja használni a backdoor-t" részt illeti, kinda igazad van. Azért csak kinda, mert azért itt van egy nagyon nagy HA, HA egyáltalán tudnak a létéről, Ha elkezdik keresni, HA megtalálják, HA tudják úgy módosítani, hogy ők is ki tudják használni... azért itt vannak bizonytalansági tényezők szép számmal."

Ez nem csak onnan megy, hogy nagyon okos security mérnökök megtalálják a fekete dobozban a rendellenességet. Ügynökök mélyen be vannak építve a másik fél központjaiba. A hidegháború idején éppen ezért nem készült soha semmilyen forgatókönyv, haditerv Szovjetunió elleni nukleáris csapásra, mert attól tartottak beépített szovjet ügynökök megszerzik és egy ilyen tervezet puszta léte támadáshoz vezetne szovjet részről. 

“Az ellenség keze betette a lábát”

"EU backdoor nincs benne és nem lesz benne. "

meglepne, ha nem lenne. Csak nem backdoor, hanem a szolgáltató cég számára kötelező egy zárt irodahelyiség biztosítása a megfelelő eszközökkel együtt, ahová nem léphetnek be a cég saját dolgozói sem csak úgy. Az ilyen hozzáférési pontnál lekérhetik, eltéríthetik, lehallgathatják a kiválasztott adatforgalmat. Mivel eleve a magyar törvények is megkövetelik ezt, a nagyobb telkóknál van ilyen szoba. A kisebbeknél azért nincs, mert ők a sávszélességet a nagyobb telkótól bérlik, tehát már annál megvan a hozzáférés. A végpontok közti titkosítást azért rühelik, mert nem tudják a tartalmát megnézni, ha saját kulcsokat használnak. De azért metaadatokat, időpontokat, mennyiségeket, címeket akkor is látnak.

2003. évi C. törvény - 55. § 5); 92. § (4); https://net.jogtar.hu/jogszabaly?docid=a0300100.tv

180/2004. (V. 26.) Korm. rendelet 3. § (3) https://net.jogtar.hu/jogszabaly?docid=a0400180.kor

Nem technikai csoda úgy biztosítani ezt, hogy a magyarország területén üzemelő / magyarok által előfizetett szolgáltatás forgalmához férhessenek hozzá a magyar irodából. Valószínű, hogy hasonló törvények más eu tagországban is vannak. Az amcsiknál is van tán olyasmi is, hogy amcsi résztulajdonú cégek adataiban turkálhatnak az amerikai hatóságok.

A starlink nem kapott volna működési engedélyt itthon, ha nem felelne meg a magyar törvényeknek. A földi antennák sugárzása mindenképpen engedélyköteles, tehát ügyfél nem tudhatna legálisan forgalmazni engedély nélkül.

Ez is ilyesmiről szól
https://news.ycombinator.com/item?id=7558329

De mintha lett volna valami csóka, akit beépítettek és több ártatlannak tűnő módosítással legyengítette az entropy -t valamelyik titkosítással összefüggő libben.
Ja megvan. Az NSA épült be és az RSA fejelsztésébe 
https://blog.cloudflare.com/how-the-nsa-may-have-put-a-backdoor-in-rsas…

De mintha valamelyik régebbi intel proci generáció véletlenszám generátorát is lebutították volna beépült ügynökök, hogy valójában kevesbb bites variációkat adjon. 

A cikket nem olvastam el, de a nyúlfarknyi beírást elolvasva nekem egyből az ugrott be, hogy ezt nem technológiai oldalról (vagyis töréssel), hanem szabályozási oldalról közelítik majd meg, pl. egyszerűen illegális lesz bizonyos dolgokat használni, vagy le kell adni mondjuk a privát kulcsból egy másolatot, ha jogkövető módon akar valaki titkosítást használni, vagy mondjuk minden titkosított adatforgalmat két kulccsal nyithatóan kell titkosítani, az egyik a saját kulcsod, a másik az állami megfigyelők publikus kulcsa.

Régebben az USA-ból pl. nem lehetett erős titkosítási algoritmusokat exportálni, elméletileg valami olyan célból, hogy a külföldieket azért meg tudják figyelni.

Úgy emlékszem, valamikor a 2000-es évek elején Franciaországban tilos volt titkosítást használni (gondolom fel volt sorolva, hogy mit lehet és mit nem). Nem túl régen titkosítást használó alkalmazásokba állami megfigyelést lehetővé tevő kiskaput akartak beépíttetni.

Szóval elképzelni elég sokmindent el lehet ebben az irányban. Hogy mi lesz, az más kérdés.

Viszont az EU 2030-ig nem fog rendeletet hozni a témában, túl lassúak ahhoz.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ide vezet az, ha nem képességek, hanem más alapján tolják be a vezetői posztokba az embereket. Inkompetencia.

A bürokraták ezt is úgy "oldják" majd meg, ahogyan minden mást:hoznak több rakat újabb szabályt.

Itt viszont gazdaságilag is megéri egy országnak tojni az új brüsszel-őrületre. Globálisan az unió-mentes országok nyilván nem fogják meggyengíteni a saját IT infrastruktúrájukat önkéntesen. Tehát biztonságos szoftver továbbra is elérhető marad az EU-n kívül, nem kell nulláról fejleszteni. Az az ország ahol nem fogják alkalmazni ezt a baromságot az EU új IT központjává fog válni pár éven belül teljesen érthető okokból. 

Az az ország ahol nem fogják alkalmazni ezt a baromságot

..az csoportos erőszak áldozata lesz, pont mind a tömeges illegális bevándorlás kapcsán. Vigaszt jelenthet utólag, ha 10-15 évvel később az átvett gyakorlattal elismerik, hogy neked volt igazad: a fanatikus dzsihadisták sosem fogják ezt nyíltan elismerni; az erőszakot, terrort később is igyekeznek fenntartani körömszakadtig. "Mint az közismert".

Szerintem ez egy kissé más téma mint az migránsbalhé. Ott csak annyi az azonnali eredmény, hogy a bűnözés nem ugrik meg rövid időn belül látványosan. Ebből nincs azonnali profit, a brüsszeli szívózásnak viszont vannak gazdasági vetületei azonnal. 

Ez a tervezet viszont még annyira sincs átgondolva mint a korábbi brüsszeli baromságok. Ha egy központi vízfej minden adatba bele akar látni a 2020-as években az rengeteg helyen veri ki a biztosítékot. És ha lesz csak egy olyan eu tagállam ahol nem alkalmazzák és nem ültetik át a nemzeti jogba, nagyon hamar odaköltöznek az adatközpontok, kritikus fejlesztések, biztonságilag kényes infrastruktúrák. Ez pedig rövid időn belül gazdasági haszonnal is jár. 

Igazából tök mindegy, mi lesz az ultimate "szabad" adatközpont-ország, ha gazdaságilag szankcionálják az ott levő infrát használó cégeket. És ehhez nagyrészt elég egy sima adóügyi ellenőrzés. Ha fehéren csinálják, akkor azért lesznek feketeseggűek, ha feketén, akkor meg adókerülés/feketegazdaság miatt.

Amúgy, azzal együtt, hogy látom a kockázatait, és én sem tartom jó ötletnek a jelenlegi formájában a tervezetet, engem érdekelne, hogy mi volt a kiinduló ötlet és hogyan lehetne azt megvalósítani jól. Mármint, az EU-t tipikusan nem olyannak ismerte meg az ember, hogy kifejezetten a kémkedés lenne a fő célpont, ezt egy Amerikáról vagy Oroszországról bármikor kérdés nélkül elhiszem, az EU-nál szinte biztos, hogy valakinek volt valami ötlete, ami ebben csúcsosodott ki, és mivel eddig ezt alapvetően kémkedés miatt csinálták - titokban -, mindenki erre gondol. De nekem ez így offos, az EU-nak nem származik ebből közvetlenül haszna (katonai és egyéb vonalakon inkább a NATO-nak vagy az egyes országok titkosszolgálatainak lenne ebből hasznuk, ha egyáltalán...). Nincs olyan közösködés az EU országok között, amin keresztül az EU, mint közösség hasznot húzna ebből (tehát nincs közös titkosszolgálat, közös hadügy-külügy, ilyesmi, ezek mind az adott ország szuverén szervezetei, amiket az EU indirekt módon, szabályok lefektetésével befolyásol). Egy USA jellegű államközösség és az EU két nagyon különböző világ.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Akkor lekapcsolják az EU-t a IT lélegeztetőgépről és lehet lemenni az alagsorba az írógépekért, stencilpapírért meg kazettás magnóért. 

Ha nem dolgoztál valódi multinál ahol fontos az IT vagy eleve fejlesztők nem értheted. Ők soha nem fogják eltűrni, hogy hátsókapu legyen a rendszerükben. 

Ez szerintem nem vonatkozik erre a körre. 

"2003. évi C. törvény
az elektronikus hírközlésről"

"a Magyarország területén végzett vagy területére irányuló elektronikus hírközlési tevékenységre, valamint minden olyan tevékenységre, amelynek gyakorlása során rádiófrekvenciás jel keletkezik,"

Mobilszolgáltatókra írták, úgy ha a későbbiekben megjelenne valami más hasonló technológia akkor azokra is vonatkozzon. A Wireles-internet kényszer-internetszolgáltatókra érdemben valószínűleg soha nem alkalmazták jelentéktelenségük miatt. 

A szöveg szerint a céges wifi-re lehetne vonatkoztatni, mert keletkezik "rádiófrekvenciás jel" de a valóságban ezeket nem tekintik célcsoportnak. 

Egy multinacionális cég adatközpontjaiba, ahol különböző kontinenseken dolgozó munkatársakat teszik egy védett VPN hálózatba soha nem fognak beengedni ilyen megoldásokat. Ha nagyon erősködik a közeg egy országban bezárják az irodát és veszik a kalapjukat. 

A vezetékes szolgáltatóknál is van megfigyelőszoba. A cégek meg kifele kemények, de egyik vezető sem akar böntönbe menni. 

Olyannyira nem keméménykednek, hogy ha stratégiailag fontosnak jelölt cég, akkor a katonaságot is rájuk külhetik, mint ahogyan ezt történt 2020ban is itthon hetven valahány céggel.

Nem veszik a kalapjukat, mert a pénz jó.

Más szempontból meg: a brand cuccoknál beépítve is volt sokszor beégetett root jogú user. Telkós szolgáltatásnál meg eleve a megfigyeléshez szükséges funkciókhoz api van kialakítva az eszközben (egy konkrét példát láttam 15 éve egy telkós projekben a dokumentációban).
Amikor az amcsi reptéren hátraviszik a laptopot és bedugják az okoskütyüt az is a beépített hátsókapukon át szedi le az adatokat.

Na, na, na,na! Előbb várjuk meg hogy betiltsák a mémeket!

2019 körül ez volt a legnagyobb problémájuk.