- หลังรัฐบาลอังกฤษเรียกร้องสิทธิ์เข้าถึงข้อมูลผู้ใช้ Apple ได้ทำให้ลูกค้าในสหราชอาณาจักรไม่สามารถเปิดใช้ฟีเจอร์ความปลอดภัยระดับสูงสุด Advanced Data Protection สำหรับ iCloud ได้อีก
- ADP เป็นฟีเจอร์แบบเลือกใช้ที่เข้ารหัสข้อมูลที่จัดเก็บออนไลน์ เช่น รูปภาพและเอกสาร ด้วย การเข้ารหัสแบบต้นทางถึงปลายทาง ทำให้มีเพียงเจ้าของบัญชีเท่านั้นที่ดูได้ และแม้แต่ Apple ก็ไม่สามารถเข้าถึงข้อมูลที่เปิดใช้ฟีเจอร์นี้ได้
- ตั้งแต่วันที่ 21 กุมภาพันธ์ 2025 เวลา 15:00 GMT ผู้ใช้ในสหราชอาณาจักรที่พยายามเปิด ADP จะเห็นข้อผิดพลาด และ ADP ของผู้ใช้เดิมจะถูกปิดใช้งานในภายหลังด้วย
- หากไม่มี ADP ข้อมูล iCloud บางส่วนจะได้รับเพียง การเข้ารหัสมาตรฐาน ซึ่ง Apple สามารถเข้าถึงได้ และอาจถูกแชร์กับหน่วยงานบังคับใช้กฎหมายหากมีหมายศาล
- ยังไม่ชัดเจนว่ามาตรการนี้จะคลี่คลายข้อเรียกร้องของสหราชอาณาจักรภายใต้ Investigatory Powers Act และความกังวลเรื่อง backdoor ระดับโลกได้หรือไม่ ขณะที่ยังมีแรงคัดค้านจากฝ่ายการเมืองสหรัฐฯ และกลุ่มคุ้มครองความเป็นส่วนตัวอย่างต่อเนื่อง
การถอน ADP และผลกระทบต่อผู้ใช้ iCloud ในสหราชอาณาจักร
- Apple ดำเนินมาตรการที่ไม่เคยเกิดขึ้นมาก่อน ด้วยการหยุดให้บริการ Advanced Data Protection(ADP) แก่ลูกค้าในสหราชอาณาจักร
- ADP เข้ารหัสข้อมูลที่เก็บใน iCloud เช่น รูปภาพและเอกสาร แบบต้นทางถึงปลายทาง ทำให้มีเพียงเจ้าของบัญชีเท่านั้นที่เข้าถึงได้
- ปัจจุบัน แม้แต่ Apple ก็ไม่สามารถดูข้อมูลที่เปิดใช้ฟีเจอร์นี้ได้
- ในสหราชอาณาจักรจะไม่สามารถเปิดใช้งาน ADP ใหม่ได้
- ตั้งแต่วันที่ 21 กุมภาพันธ์ 2025 เวลา 15:00 GMT ผู้ใช้ในสหราชอาณาจักรที่พยายามเปิด ADP จะเห็นข้อความแสดงข้อผิดพลาด
- การเข้าถึงของผู้ใช้ ADP เดิมจะถูกปิดใช้งานในภายหลังด้วย
- ยังไม่ทราบว่ามีผู้สมัครใช้กี่คน นับตั้งแต่ ADP เปิดให้ลูกค้า Apple ในสหราชอาณาจักรใช้เมื่อเดือนธันวาคม 2022
- เมื่อ ADP หายไป ข้อมูล iCloud ทั้งหมดของลูกค้าในสหราชอาณาจักรจะไม่ได้รับการปกป้องด้วยการเข้ารหัสแบบต้นทางถึงปลายทางอย่างสมบูรณ์
- Apple สามารถเข้าถึงข้อมูลที่ใช้ การเข้ารหัสมาตรฐาน ได้
- หากหน่วยงานบังคับใช้กฎหมายมีหมายศาล Apple สามารถแชร์ข้อมูลดังกล่าวได้
- Apple ระบุว่า “gravely disappointed” ที่ลูกค้าในสหราชอาณาจักรจะไม่สามารถใช้ฟีเจอร์ความปลอดภัยนี้ได้อีกต่อไป
- บริษัทยังคงยืนกรานว่าไม่เคยสร้าง “backdoor” หรือ “master key” ในผลิตภัณฑ์ของตน และจะไม่ทำเช่นนั้นในอนาคต
- บริษัทมองว่าการยกระดับความปลอดภัยของพื้นที่เก็บข้อมูลบนคลาวด์ด้วยการเข้ารหัสแบบต้นทางถึงปลายทางเป็นเรื่องเร่งด่วนกว่าที่เคย
- และหวังว่าในอนาคตจะสามารถมอบการปกป้องข้อมูลส่วนบุคคลในระดับสูงสุดให้ผู้ใช้ในสหราชอาณาจักรได้เช่นกัน
ข้อเรียกร้องของรัฐบาลและแรงคัดค้านระดับนานาชาติ
- มีรายงานว่าข้อเรียกร้องของรัฐบาลอังกฤษถูกส่งโดย Home Office ภายใต้ Investigatory Powers Act(IPA)
- IPA สามารถบังคับให้บริษัทให้ข้อมูลแก่หน่วยงานบังคับใช้กฎหมายได้
- Apple ไม่ได้แสดงความคิดเห็นต่อประกาศดังกล่าว และ Home Office ระบุว่าจะไม่ยืนยันหรือปฏิเสธการมีอยู่ของประกาศเช่นนั้น
- BBC และ Washington Post ได้ติดต่อกับแหล่งข่าวหลายรายที่ทราบเรื่องนี้เป็นอย่างดี
- ฝ่ายคุ้มครองความเป็นส่วนตัว รวมถึงผู้เกี่ยวข้องบางส่วนในแวดวงเทคโนโลยีและนโยบาย คัดค้านอย่างรุนแรง
- นักเคลื่อนไหวด้านความเป็นส่วนตัวเรียกเรื่องนี้ว่าเป็น “unprecedented attack” ต่อข้อมูลส่วนตัวของบุคคล
- Will Cathcart หัวหน้า WhatsApp เขียนบน X ว่าหากสหราชอาณาจักรบังคับให้มี backdoor ระดับโลกในความปลอดภัยของ Apple ทุกคนในทุกประเทศจะปลอดภัยน้อยลง
- นักการเมืองระดับสูงของสหรัฐฯ 2 คนมองว่า หากไม่ถอนข้อเรียกร้องนี้ รัฐบาลสหรัฐฯ ควรพิจารณาข้อตกลงแบ่งปันข่าวกรองกับสหราชอาณาจักรใหม่ เพราะถือเป็นภัยคุกคามร้ายแรงต่อความมั่นคงแห่งชาติของสหรัฐฯ
- ยังไม่ชัดเจนว่าการที่ Apple ถอน ADP ในสหราชอาณาจักรเพียงอย่างเดียวจะทำให้ข้อถกเถียงยุติลงหรือไม่
- คำสั่งตาม IPA มีผลทั่วโลก และ ADP ยังดำเนินต่อในประเทศอื่น
- Senator Ron Wyden ระบุว่าการถอนการสำรองข้อมูลแบบเข้ารหัสต้นทางถึงปลายทางในสหราชอาณาจักรสร้างแบบอย่างอันตรายที่ประเทศเผด็จการอาจทำตาม
- Wyden มองว่ามาตรการนี้เพียงอย่างเดียวอาจยังไม่เพียงพอให้สหราชอาณาจักรถอนข้อเรียกร้อง และอาจคุกคามความเป็นส่วนตัวของผู้ใช้ในสหรัฐฯ อย่างร้ายแรง
ข้อถกเถียงเรื่องการเข้ารหัสและความปลอดภัยของเด็ก
- มีปฏิกิริยาที่เรียกร้องให้สร้างสมดุลระหว่างความปลอดภัยของเด็กกับการเข้ารหัสด้วย
- Rani Govender จาก NSPCC ระบุว่าบริษัทเทคโนโลยีอย่าง Apple ต้องสร้างสมดุลระหว่างความปลอดภัยของเด็กและผู้ใช้กับการคุ้มครองความเป็นส่วนตัว
- NSPCC มองว่าบริการเข้ารหัสแบบต้นทางถึงปลายทางอาจขัดขวางความพยายามคุ้มครองเด็ก เช่น การระบุการแชร์สื่อการล่วงละเมิดทางเพศเด็ก(CSAM)
- ในทางกลับกัน ก็มีข้อโต้แย้งว่าการเข้ารหัสเป็นเครื่องมือคุ้มครองความเป็นส่วนตัวในชีวิตประจำวัน
- Emily Taylor ผู้ร่วมก่อตั้ง Global Signal Exchange ระบุว่าการเข้ารหัสเป็นเรื่องของการคุ้มครองความเป็นส่วนตัวของผู้บริโภค และไม่เหมือนกับดาร์กเว็บที่ CSAM ถูกเผยแพร่เป็นหลัก
- Taylor กล่าวว่า การเข้ารหัสเป็นเครื่องมือคุ้มครองความเป็นส่วนตัวที่ใช้กันทุกวัน เช่น การสื่อสารกับธนาคารและแอปส่งข้อความแบบเข้ารหัสต้นทางถึงปลายทาง
- ข้อถกเถียงครั้งนี้เกิดขึ้นท่ามกลางกระแสแรงคัดค้านในสหรัฐฯ ที่เพิ่มขึ้นต่อแรงกดดันด้านกฎระเบียบจากต่างประเทศต่อบริษัทเทคโนโลยีสหรัฐฯ
- JD Vance รองประธานาธิบดีสหรัฐฯ กล่าวในสุนทรพจน์ที่ Paris AI Action Summit เมื่อต้นเดือนกุมภาพันธ์ว่า รัฐบาล Trump กังวลต่อรายงานที่ว่ารัฐบาลต่างชาติบางแห่งพยายามเพิ่มแรงกดดันต่อบริษัทเทคโนโลยีสหรัฐฯ ที่ดำเนินงานในระดับนานาชาติ
2 ความคิดเห็น
ทุกคนคงได้ใจแล้วทำตามคำขอกันแน่ ๆ น่าเสียดายมากครับ
ความคิดเห็นบน Hacker News
ใช่แล้ว จริง ๆ เป็นเรื่องร้ายแรงกว่าที่รัฐบาลอธิบายไว้มาก
ข้อเรียกร้องของรัฐบาลสหราชอาณาจักรมาภายใต้ “technical capability notice” ของ Investigatory Powers Act และเป็นการสั่งให้ Apple สร้าง แบ็กดอร์ ที่เข้าถึงข้อมูลผู้ใช้ที่เข้ารหัสทั่วโลกได้
ลองนึกถึงกรณีที่อุปกรณ์ถูกตรวจค้นที่สนามบินภายใต้ Counter Terrorism Act ไม่มีทั้งสิทธิขอคำปรึกษาทางกฎหมายหรือสิทธิที่จะไม่ให้การ และไม่ใช่แค่คนอังกฤษเท่านั้น ชาวต่างชาติที่ผ่านอาณาเขตสหราชอาณาจักรก็อาจตกเป็นเป้าหมายได้
นี่แทบจะเป็น แบ็กดอร์ที่ใหญ่ที่สุด เท่าที่เคยได้ยินมา และสิ่งที่น่ากังวลกว่าคือดูเหมือนมีแค่ Apple ที่ออกมาต่อสู้เรื่องนี้อย่างเปิดเผย
อุปกรณ์ Android ก็ยังคอยแนะนำให้สำรองข้อมูลขึ้นคลาวด์และทำให้ปิดได้ยาก จึงยากจะมั่นใจว่า Google หรือ Microsoft ไม่ได้ยอมทำตามข้อเรียกร้องคล้าย ๆ กันไปแล้ว
ยิ่งกว่านั้น การยืนยันตัวตนแบบสองขั้นตอนส่วนใหญ่ต้องผ่านบริษัทเทคโนโลยีรายใหญ่หรือโทรศัพท์มือถือ สุดท้ายก็เท่ากับส่งมอบกุญแจของทุกบัญชี และดูเหมือนว่าศึกด้านความเป็นส่วนตัวกับความปลอดภัยกำลังแพ้อยู่
ถ้าต้องปฏิบัติตาม IPA ก็คงต้องใส่กลไกใน Android เพื่อดึงกุญแจออกมา แต่ใน Android ซึ่งทำวิจัยด้านความปลอดภัยได้ง่ายกว่า iOS การละเมิดแบบนั้นน่าจะมีโอกาสถูกพบสูงไม่ใช่หรือ
Google ออกจากจีนเมื่อรัฐบาลจีนเรียกร้องกุญแจทั้งหมดของข้อมูลพลเมือง
Apple มักจะต่อสู้เฉพาะเมื่อเรื่องนั้นมองเห็นได้ชัดและไม่เป็นภัยใหญ่ต่อธุรกิจ ผมมองว่า Apple ใกล้เคียงกับบริษัทที่เก่งด้านการตลาดและการจัดการภาพลักษณ์ มากกว่าจะเป็นบริษัทที่ปกป้องข้อมูลผู้ใช้อย่างแท้จริง
ประเด็นครั้งนี้คือการพยายามเข้าถึง ข้อมูลสำรองที่เข้ารหัส ซึ่งเชื่อกันว่า Apple ไม่มีกุญแจ
และผมก็คิดว่าสหรัฐฯ เองก็อาจเข้าถึงข้อมูลของพลเมืองที่ไม่ใช่สหรัฐฯ ซึ่งเก็บอยู่ในสหรัฐฯ ได้โดยแทบไม่มีการกำกับดูแลเช่นกัน
เช่น ถ้า Apple ให้แบ็กดอร์กับข้อมูลของวุฒิสมาชิกสหรัฐฯ การส่งมอบข้อมูลนั้นอาจถูกมองว่าเป็นการทรยศต่อชาติในสหรัฐฯ ก็ได้
เป็นตัวอย่างสมมติล้วน ๆ แต่สุดท้ายอาจกลายเป็นประเด็นเรื่อง อธิปไตยของข้อมูล
โดยพื้นฐานแล้วผมมองว่าเป็นปัญหา ความรู้เท่าทันเทคโนโลยี ของแวดวงการเมือง
พวกเขายังคงพึ่งพาตรรกะผิด ๆ ที่ว่า “ถ้าไม่มีอะไรต้องปิดบัง ก็ไม่มีอะไรต้องกลัว” และโดยเฉพาะสหราชอาณาจักรก็มีการบริหารรัฐแบบพ่อปกครองลูกกับการสนับสนุนแนวอำนาจนิยมจากทุกพรรค
กฎหมายแบบนี้มักถูกเขียนให้คลุมเครือพอที่จะนำไปใช้และเล็งเป้าได้ เพื่อใช้เลี่ยงกฎหมายอื่น ๆ และเมื่อกฎหมายมีผลบังคับใช้ เหตุผลอย่าง “คิดถึงเด็ก ๆ สิ” ก็น่าจะหายไปอย่างรวดเร็ว
รัฐบาลเข้าใจผิดว่าแบ็กดอร์ของตนแยกฝ่ายดีออกจากฝ่ายร้ายได้ แต่ในความเป็นจริง มาตรการป้องกันมีเพียง ความปลอดภัยจากความคลุมเครือ ที่ทำให้การเปิดเผยการมีอยู่ของแบ็กดอร์หรือข้อเรียกร้องนั้นเป็นสิ่งผิดกฎหมาย
สำหรับผู้โจมตีประสงค์ร้ายที่ถือว่าบริษัทคลาวด์ข้ามชาตินั้นถูกเจาะไปแล้ว ก็เท่ากับเพิ่มเป้าหมายให้มากขึ้น และแบ็กดอร์แบบนี้จะเป็นโอกาสในฝันของแฮ็กเกอร์สายดำและสายเทาที่อยากเจาะรัฐบาล
แวดวงการเมืองต้องการ การควบคุม และมองว่าแม้ความเสี่ยงของผู้ใช้จะเพิ่มขึ้นระหว่างการสร้างการควบคุมนั้น ก็ไม่ใช่ปัญหาของตน
ผมเคยเรียนละตินเลยรู้ว่า pater แปลว่าพ่อ แต่ไม่รู้ว่ารัฐแบบพ่อนั้นคืออะไร
คำว่า “การสนับสนุนแนวอำนาจนิยมจากทุกพรรค” ก็เป็นถ้อยคำที่คลุมเครือ
อย่างไรก็ตาม ผมเห็นด้วยว่าการทำลายการเข้ารหัสที่ใช้กันในชีวิตประจำวันเป็นความคิดที่โง่มากจริง ๆ และก็น่าเสียดายที่ Apple ขายเรื่องนี้ราวกับเป็นฟีเจอร์เสริม
การรัน
opensslไม่ได้มีต้นทุนสูงอะไร และมันก็เป็นโอเพนซอร์สที่ดีจริง ๆพวกเขาต้องการระบบที่ตัวเองเจาะได้ แต่อาชญากรเจาะไม่ได้ ซึ่งอาจเป็นไปได้ในความปลอดภัยทางกายภาพ แต่เป็นไปไม่ได้ในความมั่นคงปลอดภัยไซเบอร์
รู้สึกว่านักการเมืองเองก็รู้อยู่แล้วว่าความปลอดภัยไซเบอร์แบบบางส่วนเป็นไปไม่ได้ แต่ก็ไม่สนใจ และหน่วยข่าวกรองที่ให้คำปรึกษาพวกเขาย่อมรู้อย่างแน่นอน
โลกที่ความลับเป็นสิ่งผิดกฎหมายทำให้งานของแฮ็กเกอร์ง่ายขึ้น มากกว่าจะเป็นโลกที่หยุดแฮ็กเกอร์ได้จริง
แค่ดูช่วงไม่กี่เดือนที่ผ่านมา ก็เห็นแล้วว่าคนที่อยู่ในรัฐบาลหรือกำลังจะเป็นรัฐบาลไม่ได้เป็นฝ่ายดีเสมอไป และต่อให้จำกัดสิทธิ์เข้าถึงไว้เฉพาะรัฐบาล ก็ยากจะอ้างได้อีกต่อไปว่า “เราเป็นฝ่ายดี”
Apple เปิดเผยจำนวน คำขอข้อมูลจากรัฐบาล ที่ได้รับแยกตามประเทศ
จำนวนคำขอจากสหราชอาณาจักรเพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา: https://www.apple.com/legal/transparency/gb.html#:~:text=77%...
เป็นไปได้ว่าส่วนใหญ่เกิดจากการดำเนินการและการทำให้เป็นอัตโนมัติของข้อตกลงการเข้าถึงข้อมูลระหว่างสหรัฐฯ-สหราชอาณาจักรภายใต้ CLOUD Act และข้อตกลงนี้น่าจะทำให้ขั้นตอนการร้องขอของหน่วยงานบังคับใช้กฎหมายและหน่วยงานความมั่นคงแห่งชาติของสหราชอาณาจักรง่ายขึ้น
https://www.apple.com/legal/transparency/de.html#:~:text=77%...
ดังนั้นคำขอแบบนี้จึงมีโอกาสสูงที่จะไม่ปรากฏในรายงานความโปร่งใส
ในเมื่อ Apple ตัดสินใจปิดใช้งาน Advanced Data Protection แล้ว ก็ยากที่จะตัดความเป็นไปได้ที่จะมอบ แบ็กดอร์ ให้สหราชอาณาจักร และยิ่งน่ากังวลมากเพราะสาธารณชนไม่มีทางรู้ปริมาณการใช้งานและเหตุผล
ช่วงเวลา 6 เดือนทุกช่วงตั้งแต่มกราคม 2014 ถึงมิถุนายน 2017 มีจำนวนคำขอมากกว่าช่วงเวลา 6 เดือนใด ๆ ใน 5 ปีล่าสุด
หากรัฐบาลต้องการเข้าถึงข้อมูลส่วนบุคคล ก็ควรถูกบังคับให้ต้องมี หมายศาล ที่เฉพาะเจาะจงเสมอ
คำพูดที่ว่า “การที่บริษัทไม่ร่วมมือกับรัฐบาลและถอนผลิตภัณฑ์ออกไปเป็นเรื่องที่ไม่เคยมีมาก่อน” เป็นคำพูดที่เข้าข้างตัวเองเกินไป
ถ้า Apple มอบแบ็กดอร์ให้สหราชอาณาจักร ผู้ใช้ทั่วโลกก็จะอ่อนแอลง
การตัดสินใจครั้งนี้คือการปฏิบัติตามกฎหมายท้องถิ่น และประเทศนั้นก็ต้องยอมรับผลลัพธ์ที่ผู้ปกครองซึ่งตนเลือกต้องการ
ประโยคในย่อหน้าถัดไปที่ว่า “ถ้าผู้ให้บริการโทรคมนาคมรายอื่นรู้สึกว่าสามารถถอนผลิตภัณฑ์ออกและไม่ต้องรับผิดชอบต่อรัฐบาลได้ ก็จะเป็นบรรทัดฐานที่น่ากังวลมาก” ก็ฟังดูเป็นลางไม่ดี
Google ถอนตัวออกจากจีน มานานแล้วเพื่อไม่ยอมจำนนต่อข้อเรียกร้องของรัฐบาลจีน และไม่ได้ถอนแค่ผลิตภัณฑ์เดียว แต่ถอนธุรกิจทั้งหมด
Pornhub ทำเช่นนั้นในบางรัฐของสหรัฐฯ และ Meta ก็เคยขู่คล้ายกันในหลายประเทศ
บริษัทที่แข็งแกร่งต่อต้านกฎระเบียบมีมาตลอด แต่ยุทธวิธีลงโทษประเทศด้วยการถอนผลิตภัณฑ์ดูเหมือนถูกใช้บ่อยขึ้นในช่วงหลัง
การตัดสินใจว่าจะสร้างงานและตั้งสถานที่ไว้ที่ไหนก็เป็นเครื่องมือของอำนาจบริษัทเช่นกัน อย่างกรณีที่ Musk ย้ายจาก California ไป Texas หรือบริษัทกลาโหมและน้ำมันก็ใช้ยุทธวิธีแบบนั้นด้วย
ในความเป็นจริง ดูเหมือนจะ เป็นปฏิปักษ์ต่อความเป็นส่วนตัว มากกว่า
มาตรการนี้ไม่ได้ตอบสนองข้อเรียกร้องเดิมของรัฐบาล นั่นคือการเข้าถึงแบบแบ็กดอร์ต่อ บัญชีคลาวด์ที่เข้ารหัสแบบต้นทางถึงปลายทาง ทั่วโลก
คำถามที่สำคัญกว่าคือจะ “ถอน” การเข้ารหัสแบบต้นทางถึงปลายทางได้อย่างไรโดยไม่ทำให้ข้อมูลสูญหาย
แล้วคนที่เปิดใช้งานไปแล้วจะเป็นอย่างไร?
เหตุผลที่ Apple ใช้ปฏิเสธแบ็กดอร์อาศัยหลักการของสหรัฐฯ ที่ว่า “ไม่สามารถบังคับใช้แรงงานได้” แต่ถ้า Apple สร้างฟังก์ชันสำหรับ “ปิดการเข้ารหัสแบบต้นทางถึงปลายทางของบัญชีนี้” ขึ้นมา ก็จะยิ่งยากขึ้นที่จะอ้างว่าการทำเช่นนั้นเป็นแรงงานบังคับหรือการบังคับให้พูด
Apple อาจปิดกั้นการเข้าถึง iCloud จนกว่าผู้ใช้จะดำเนินการนี้ก็ได้
ตามบทความ หากผู้ใช้ไม่ปิดใช้งานเอง Apple ก็ทำแทนไม่ได้ ดังนั้นบัญชี iCloud จะถูกยกเลิก
Apple สามารถปล่อยอัปเดตเพื่อให้อุปกรณ์ถอดรหัสข้อมูลแล้วอัปโหลดได้
“เป็นเรื่องไร้เดียงสาที่รัฐบาลสหราชอาณาจักรคิดว่าสามารถสั่งให้บริษัทเทคโนโลยีสหรัฐฯ ทำอะไรทั่วโลกได้”
ไม่รู้ว่ามีวิธีใดที่จะตอบสนองข้อเรียกร้องเดิมโดยไม่กลายเป็นแบ็กดอร์โดยพฤตินัยได้หรือไม่ และการปิดการเข้ารหัสแบบต้นทางถึงปลายทางในตลาดสหราชอาณาจักรก็เป็นเพียงการผลักปัญหาไปข้างหลัง
แค่สร้างเครื่องมือที่ผลักผู้ใช้ออกจากการเข้ารหัสแบบต้นทางถึงปลายทางโดยไม่มีความยินยอมอย่างชัดเจน ก็อาจถูกนำไปใช้ในทางที่ผิดภายหลังเพื่อให้ประเทศอื่นใช้หมายศาลขอข้อความที่เข้ารหัสแบบต้นทางถึงปลายทางได้
ปัญหานี้ไม่ใช่เรื่องของผู้ใช้ Apple เท่านั้น
หากมีใครสำรองข้อมูลบทสนทนากับคุณไว้บน Apple cloud บทสนทนาของคุณก็จะเป็นเป้าหมายที่เข้าถึงได้เช่นกัน และคุณไม่มีทางเลือก
สุดท้ายแล้วเป็นโครงสร้างที่ทุกคนแพ้
ผมทำให้คนรอบตัวทุกคนหันมาใช้แล้ว
แม้ผมไม่อยากแชร์รายชื่อผู้ติดต่อของตัวเอง แต่ทันทีที่คนรู้จักยินยอม คนคนนั้นก็แชร์แทนผมไปแล้ว ทำให้ผมสูญเสียสิทธิในข้อมูลของตัวเอง
หากข้อมูลอย่างวันเกิด ที่อยู่บ้าน อีเมลอื่น ๆ หรือหมายเลขโทรศัพท์ถูกบันทึกไว้ด้วย ทั้งหมดก็อาจตกเป็นเป้าหมายได้
เครื่องมือความเป็นส่วนตัวที่แท้จริงมีเพียง PGP ซึ่งใช้โมเดล web of trust แต่จะทำงานได้ก็ต่อเมื่อผู้คนเป็นเจ้าของคอมพิวเตอร์และอุปกรณ์จัดเก็บข้อมูลของตัวเอง
ตอนนี้ทุกคนถูกทำให้เช่าคอมพิวเตอร์และพื้นที่จัดเก็บข้อมูลใช้ และในสภาพแบบนี้โมเดลความปลอดภัยเพื่อผู้ใช้เกิดขึ้นได้ยาก
การที่ BBC อ้างคำพูดของ Caro Robson “ผู้เชี่ยวชาญด้านความเป็นส่วนตัวออนไลน์” โดยไม่กล่าวถึงภูมิหลังว่าเธอให้คำปรึกษาแก่ UN, EU และหน่วยงานทหารระหว่างประเทศ ดูเหมือนเป็น อคติเอนเอียงเข้าข้างรัฐบาล แบบฉบับของ BBC
สถานการณ์ที่ผู้ให้บริการโทรคมนาคมไม่ถอนผลิตภัณฑ์ แต่ถูกบังคับให้สร้างผลิตภัณฑ์ที่หลอกลวงโดยการออกแบบและมีข้อบกพร่องต่างหากที่เป็นเรื่อง “น่ากังวลอย่างยิ่ง มาก ๆ”
เสรีภาพในการแสดงออกก็ถูกคุกคามอยู่แล้ว ตอนนี้ยังจะยอมทิ้ง สิทธิในการสื่อสารส่วนตัว อีกหรือ?
คนที่สนับสนุนเรื่องนี้เชื่อจริง ๆ หรือว่ามันจะกระทบแค่ “คนเลว” และตัวเองจะไม่มีวันตกอยู่ใต้เท้ารัฐบาล?
ต่อให้คุณเชื่อรัฐบาลวันนี้ แล้วถ้าเพื่อนบ้านของคุณเลือกตั้งรัฐบาลที่มีอุดมการณ์ตรงข้ามกับคุณขึ้นมาล่ะ จะทำอย่างไร?
เป็นคำถามแบบซื่อ ๆ แต่สงสัยจริง ๆ
ADP เป็นฟีเจอร์ที่เพิ่งมีมาไม่กี่ปี แล้วตอนนี้ที่มันหายไป ผู้คนถึงโกรธกัน แต่ทำไมตลอด 10 ปีก่อนหน้านั้นถึงไม่โกรธกันนะ
ก่อนหน้านี้คิดกันว่า iCloud ถูกเข้ารหัสอย่างสมบูรณ์อยู่แล้วหรือเปล่า?
เมื่อก่อนไม่ได้สนใจการเข้ารหัสแบบต้นทางถึงปลายทาง แล้วเพิ่งมาสนใจตอนนี้หรือ?
ถ้ามันเป็นปัญหาใหญ่ขนาดนั้น ทำไมยังใช้ของอย่าง iCloud ต่อมาเรื่อย ๆ และเพิ่งมารู้สึกว่าถูกหักหลังตอนนี้ก็ไม่เข้าใจ
iCloud Photos ก็ไม่ได้ใช้ เก็บทุกอย่างไว้ใน NAS ที่เข้ารหัสอย่างถูกต้อง และใช้การตั้งค่าซับซ้อนที่ย้ายข้อมูลเป็นระยะ ๆ
ใช้ iMazing กับแบ็กอัปในเครื่องที่เข้ารหัสตามตารางด้วย
หลายคนเรียกร้องให้ข้อมูลแบบนี้มี การเข้ารหัสแบบต้นทางถึงปลายทาง มาตลอด แต่ความจริงก็คือถ้าฟีเจอร์เข้ารหัสเข้าถึงได้ง่ายขึ้น คนจำนวนมากขึ้นก็จะได้รับการปกป้อง
ไม่ใช่ทุกคนจะมีเวลา ทักษะ และพลังงานในการแบ็กอัปลง NAS และดูแลไม่ให้ข้อมูลหายเมื่อ NAS เสียหรือไฟดับ
สิ่งที่ผมกลัวมากกว่ารัฐบาลคือผู้ให้บริการคลาวด์ถูกแฮ็ก หรือถูกเจาะในระยะยาวจากช่องโหว่ซอฟต์แวร์อย่าง log4j
ADP ช่วยปกป้องผู้คนจำนวนมากจากการโจมตีบนคลาวด์ ส่วนการป้องกันคำขอจากรัฐบาลแทบจะเป็นของแถม
เราได้เห็นแล้วว่าประตูหลังสามารถถูกค้นพบและถูกนำไปใช้ประโยชน์ได้ เช่นกรณี Salt Typhoon และช่องโหว่ในซอฟต์แวร์ฝังตัวอย่าง log4j ก็สามารถทำลายผู้ให้บริการรายใหญ่ได้เช่นกัน
แค่พอฟีเจอร์ถูกถอดออกในสหราชอาณาจักร เรื่องนี้เลยกลับมาได้รับความสนใจอีกครั้ง แต่ความกังวลถูกหยิบยกขึ้นมาต่อเนื่องตั้งแต่ก่อนหน้านี้แล้ว ทั้งในบล็อกอิสระและสื่อต่าง ๆ
ในฐานะผู้ใช้ ADP นอกสหราชอาณาจักร ผมดีใจที่ Apple พยายามปกป้องเรื่องนี้ และก็ขอบคุณที่ฟีเจอร์นี้มีอยู่
มีข้อกล่าวอ้างมากมายว่าการเปิดตัวล่าช้าเพราะแรงกดดันจากรัฐบาล [1] และที่น่าสังเกตคือรายงานนั้นเขียนโดยนักข่าวคนเดียวกับที่เป็นคนรายงานข่าววันนี้เป็นคนแรกเมื่อไม่กี่สัปดาห์ก่อน
การปล่อยใช้งานการเข้ารหัสต้องใช้เวลา จึงพูดได้แค่ว่า “ในที่สุดก็มาถึงแล้ว” แต่ไม่นานก็ถูกโจมตีโดยรัฐบาลสหราชอาณาจักร และถูกปิดใช้งานในสหราชอาณาจักร
ผมคิดว่า Apple เองก็คงจะกลัวที่จะโปรโมตฟีเจอร์นี้อย่างแข็งขัน แม้แต่ในสหรัฐฯ และคนสายเทคนิคควรบอกให้เพื่อนที่ไม่ใช่สายเทคนิคเห็นความสำคัญของฟีเจอร์นี้ให้มากกว่านี้มาก
[1] https://www.reuters.com/article/world/exclusive-apple-droppe...
ถ้าถามว่าทำไมตอนนั้นผู้คนไม่โกรธ คุณไม่คิดหรือว่าตอนนี้ถ้าจู่ ๆ HTTPS ถูกห้าม ผู้คนจะโกรธมากกว่าเดิม?
สิทธิและอภิสิทธิ์มักทำให้เกิดความโกรธมากกว่าเมื่อถูกมอบให้แล้วถูกพรากไป มากกว่าตอนที่ไม่เคยมีตั้งแต่แรก
สิ่งที่น่ากังวลกว่าคือ Apple เคยพร้อมเปิดตัวแบ็กอัปคลาวด์แบบเข้ารหัสตั้งแต่หลายปีก่อนแล้ว แต่เลื่อนออกไปเพราะรัฐบาลสหรัฐฯ คัดค้าน
มีรายงานด้วยว่า “หลังจากล่าช้ามาหลายปีจากแรงกดดันของรัฐบาล Apple ระบุว่าจะเข้ารหัสอย่างสมบูรณ์ให้กับแบ็กอัปบนคลาวด์ของรูปภาพ ประวัติแชต และข้อมูลผู้ใช้อ่อนไหวส่วนใหญ่ทั่วโลก”
https://www.washingtonpost.com/technology/2022/12/07/icloud-...
รัฐบาลที่คัดค้านการปกป้องความเป็นส่วนตัวจริง ๆ ไม่ได้มีแค่สหราชอาณาจักร
หลังจากมีการเข้ารหัสแบบต้นทางถึงปลายทางและ ADP จึงเปิดใช้ และถ้ามันหายไปในสหรัฐฯ ด้วย ก็จะกลับไปใช้แต่แบ็กอัปในเครื่องที่เข้ารหัสเท่านั้น
ฝันร้ายยังดำเนินต่อไป
ตอนนี้ผมใช้บริการแบ็กอัปจากบุคคลที่สาม ซึ่งสัญญาว่าแบ็กอัปจะถูกเข้ารหัสด้วยกุญแจที่ผู้ให้บริการเข้าถึงหรือควบคุมไม่ได้
แต่ในยุคที่ คำสั่งลับ แบบนี้ถูกส่งไปยังบริษัทนับไม่ถ้วน ผมก็ไม่รู้ว่าจะเชื่อคำสัญญานั้นได้หรือไม่
ขั้นต่อไปคงเป็นการทำให้แน่ใจว่าไฟล์ถูกเข้ารหัสตั้งแต่ก่อนจะไปถึงคลาวด์ แต่ผมยังไม่เห็นบริการไหนที่มีความสะดวกแบบเดียวกับโซลูชันแบ็กอัปปัจจุบัน ที่แบ็กอัปโทรศัพท์ของผม โทรศัพท์ของครอบครัว และแล็ปท็อปต่าง ๆ ได้อย่างไร้รอยต่อ
การแบ็กอัปนอกสถานที่เป็นสิ่งจำเป็น และในนั้นย่อมมีข้อมูลลูกค้าอย่างหลีกเลี่ยงไม่ได้ ซึ่งผมต้องเก็บเป็นความลับจากการเข้าถึงของบุคคลภายนอก
ถ้าทุกอย่างมีประตูหลัง แล้วจะทำแบบนี้ได้อย่างไร?
ตลอด 20 ปีที่ผ่านมา อำนาจนี้ถูกขยายอย่างช้า ๆ
ต้องทำให้ไม่จำเป็นต้องเชื่อใจใคร และแค่อัปโหลด ไฟล์ที่เข้ารหัสแล้ว ไปยังบริการจัดเก็บข้อมูลทั่วไปก็พอ
Syncthing + Rclone น่าจะทำให้สร้างการตั้งค่าคล้าย ๆ กันที่ควบคุมเองได้
แบ็กอัปอุปกรณ์ต่าง ๆ ไปไว้ที่นั่น แล้วเข้ารหัสบนเซิร์ฟเวอร์นั้นก่อนส่งต่อขึ้นคลาวด์ก็ได้