यह घोषणा पेरिस के गलियारों में ‘स्वतंत्रता की सच्ची पुकार’ की तरह गूंजी: प्रधानमंत्री ने सरकार को WhatsApp और Signal छोड़ने और Olvid का उपयोग करने का आदेश दिया, जिसे एक ‘स्वदेशी’ मैसेजिंग ऐप के रूप में पेश किया गया। उद्देश्य स्पष्ट था: राज्य के रहस्यों को विदेशी खुफिया एजेंसियों की पहुंच से बचाना।
हालांकि, एक कड़वी विडंबना जल्दी ही सामने आ गई: Olvid का मुख्य हिस्सा — इसका सर्वर इंफ्रास्ट्रक्चर — एक अमेरिकी दिग्गज, Amazon Web Services (AWS) के भीतर धड़कता है।
आम जनता के लिए, यह एक साधारण तकनीकी होस्टिंग समस्या लगती है। लेकिन संप्रभु साइबर सुरक्षा के आर्किटेक्ट्स के लिए, यह एक प्रथम श्रेणी की राजनीतिक भेद्यता है।
बाह्यक्षेत्रीयता और संप्रभुता का टकराव
Amazon के इंफ्रास्ट्रक्चर पर निर्भर होकर, Olvid स्वचालित रूप से अमेरिकी CLOUD Act के दायरे में आ जाता है।
इस मामले का कानूनी विश्लेषण अधिकार क्षेत्र की असुरक्षा के एक ऐसे परिदृश्य को उजागर करता है जिसे केवल एक राष्ट्रीय ‘ऐप’ अपनाने से हल नहीं किया जा सकता। ‘नियंत्रण’ बनाम ‘स्थानीयकरण’ की अवधारणा में ही इसका महत्वपूर्ण बिंदु निहित है।
CLOUD Act ने यह निर्धारित करके कानूनी प्रतिमान को मौलिक रूप से बदल दिया कि सर्वर का भौतिक स्थान मायने नहीं रखता। सेवा प्रदाता (यहां, AWS) का सहयोग करने का दायित्व केवल अमेरिका के साथ उसके अधिकार क्षेत्र के संबंध से उत्पन्न होता है।
कानूनी तौर पर, यह GDPR के साथ सीधा टकराव पैदा करता है। यूरोपीय संघ के न्यायालय ने पहले ही यह स्थापित कर दिया है कि अमेरिकी निगरानी कानून यूरोप के समतुल्य सुरक्षा का स्तर प्रदान नहीं करते हैं।
डिजिटल संप्रभुता सॉफ्टवेयर की विशेषता नहीं है, बल्कि यह डेटा की कस्टडी चेन की अखंडता का गुण है।
FISA का साया और एन्क्रिप्शन का झूठा वादा
इससे भी बुरी बात यह है कि अमेरिकी इंफ्रास्ट्रक्चर पर यह निर्भरता इन डेटा को Foreign Intelligence Surveillance Act (FISA) के साये में रखती है।
इन खतरों के सामने, Olvid का दावा है कि उसका एंड-टू-एंड एन्क्रिप्शन एक पर्याप्त ढाल है। गोपनीयता इंजीनियरिंग के नजरिए से, यह बचाव खतरनाक रूप से आंशिक है।
भले ही किसी संदेश की सामग्री एन्क्रिप्टेड हो, AWS का केंद्रीकृत इंफ्रास्ट्रक्चर मेटाडेटा को उजागर करता है। यह जानना कि कौन किससे, कब, कितनी बार और कहां से बात कर रहा है, विदेशी खुफिया एजेंसियों के लिए अक्सर संदेश की सामग्री से अधिक मूल्यवान होता है।
एन्क्रिप्शन पाठ की रक्षा करता है, लेकिन केंद्रीकृत सर्वर संपर्कों के नेटवर्क को उजागर कर देता है।
असली खतरा अभी आना बाकी है
जब तक यूरोपीय इंफ्रास्ट्रक्चर बाह्यक्षेत्रीय कानूनों के अधीन संस्थाओं पर निर्भर रहेगा, हमारे संचार की कानूनी सुरक्षा विशुद्ध रूप से अस्थायी और भ्रामक बनी रहेगी।
21वीं सदी में राष्ट्रीय सुरक्षा के लिए केवल अच्छे विधायी इरादों से कहीं अधिक की आवश्यकता है: इसके लिए पूर्ण इंफ्रास्ट्रक्चर और हार्डवेयर स्वतंत्रता की आवश्यकता है। क्योंकि जो आज हानिरहित लगता है, वह वास्तव में अगले दशक के सबसे विनाशकारी खतरे को बढ़ावा देता है: “अभी एकत्र करें, बाद में डिक्रिप्ट करें” की रणनीति।
आज इंटरसेप्ट किया गया कोई भी राज्य रहस्य केवल एक गणितीय टाइम बम है।
(हमारे विश्लेषण का बाकी हिस्सा भाग 2 में पढ़ें: टाइम बम और ज़ीरो-नॉलेज की अनिवार्यता)