एंड-टू-एंड एन्क्रिप्शन क्या है?
ऐतिहासिक पृष्ठभूमि
मुख्य प्रावधान
11 points- 1.
एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) का सबसे ज़रूरी नियम ये है कि एन्क्रिप्शन (encryption) की चाबियाँ सिर्फ बात करने वाले लोगों के पास होती हैं। किसी और के पास, यहाँ तक कि सर्विस (service) देने वाले के पास भी ये चाबियाँ नहीं होतीं। इससे ये पक्का होता है कि अगर कोई तीसरा आदमी बातचीत को बीच में रोक भी ले, तो भी वो मैसेज को डिक्रिप्ट (decrypt) करके पढ़ नहीं सकता।
- 2.
एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) डेटा (data) को पढ़ने लायक न बनाने के लिए क्रिप्टोग्राफिक एल्गोरिदम (cryptographic algorithms) का इस्तेमाल करता है। इसमें Advanced Encryption Standard (AES) और Elliptic-curve cryptography (ECC) जैसे एल्गोरिदम (algorithms) इस्तेमाल होते हैं। ये एल्गोरिदम (algorithms) गणितीय रूप से बहुत मुश्किल होते हैं और इन्हें बिना सही चाबी के तोड़ना बहुत मुश्किल होता है।
- 3.
'एंड-टू-एंड' का मतलब बहुत ज़रूरी है। इसका मतलब है कि एन्क्रिप्शन (encryption) मैसेज भेजने वाले के फ़ोन पर *भेजने से पहले* होता है और डिक्रिप्शन (decryption) मैसेज पाने वाले के फ़ोन पर *मिलने के बाद* होता है। इससे मैसेज रास्ते में या सर्विस (service) देने वाले के सर्वर (server) पर सुरक्षित रहता है।
- 4.
एक असली उदाहरण WhatsApp पर बातचीत है। जब आप एक मैसेज भेजते हैं, तो वो आपके फ़ोन पर एन्क्रिप्ट (encrypt) हो जाता है। वो एन्क्रिप्टेड (encrypted) रूप में WhatsApp के सर्वर (server) से जाता है, और सिर्फ आपके मैसेज पाने वाले का फ़ोन ही उसे डिक्रिप्ट (decrypt) कर सकता है। WhatsApp खुद भी आपके मैसेज को नहीं पढ़ सकता।
- 5.
एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) 'मैन-इन-द-मिडिल' हमलों (attacks) से बचाता है। इन हमलों (attacks) में, एक बुरा आदमी दो लोगों के बीच की बातचीत को बीच में रोक लेता है। एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) के साथ, अगर कोई हमलावर मैसेज को रोक भी लेता है, तो भी वो उसे डिक्रिप्शन (decryption) की चाबी के बिना नहीं पढ़ सकता।
- 6.
एक आम गलतफहमी ये है कि एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) बातचीत को पूरी तरह से गुमनाम बना देता है। जबकि ये मैसेज के *कंटेंट* को सुरक्षित रखता है, लेकिन ये *मेटाडेटा* को नहीं छुपाता, जैसे कि कौन किससे बात कर रहा है और कब। ये मेटाडेटा (metadata) भी निगरानी के लिए बहुत काम का हो सकता है।
- 7.
एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) की ताकत इस बात पर निर्भर करती है कि इसे कैसे लागू किया गया है और इसमें शामिल डिवाइस (device) कितने सुरक्षित हैं। अगर किसी यूज़र (user) का डिवाइस (device) खराब हो जाता है (जैसे, मैलवेयर (malware) के ज़रिए), तो एन्क्रिप्शन (encryption) की चाबियाँ चोरी हो सकती हैं, और बातचीत को डिक्रिप्ट (decrypt) किया जा सकता है।
- 8.
सरकारें अक्सर कहती हैं कि एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) से कानून (law) लागू करने वालों को अपराधों की जांच करने में मुश्किल होती है। वे 'बैकडोर' या 'की एस्क्रो' सिस्टम (key escrow system) का प्रस्ताव रखते हैं जो उन्हें कुछ खास हालातों में एन्क्रिप्टेड (encrypted) बातचीत तक पहुंचने की इजाजत देगा। लेकिन, सुरक्षा एक्सपर्ट्स (experts) चेतावनी देते हैं कि ऐसे बैकडोर (backdoor) का इस्तेमाल बुरे लोग भी कर सकते हैं।
- 9.
एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) पर बहस अक्सर प्राइवेसी (privacy) और सुरक्षा के बीच संतुलन के बारे में होती है। प्राइवेसी (privacy) के समर्थक कहते हैं कि एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) बोलने की आज़ादी की रक्षा करने और बड़े पैमाने पर निगरानी को रोकने के लिए ज़रूरी है। कानून (law) लागू करने वाली एजेंसियां (agencies) कहती हैं कि इससे अपराधियों को बिना किसी डर के काम करने की इजाजत मिल जाती है।
- 10.
भारत में, एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) की कानूनी स्थिति और नियम अभी भी बदल रहे हैं। डिजिटल पर्सनल डेटा प्रोटेक्शन (Digital Personal Data Protection) एक्ट, 2023 (Act, 2023) डेटा (data) प्राइवेसी (privacy) की चिंताओं को दूर करता है लेकिन एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) को साफ़ तौर पर अनिवार्य या प्रतिबंधित नहीं करता है। एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) पर सरकार का रुख राष्ट्रीय सुरक्षा और साइबर (cyber) अपराध से निपटने की ज़रूरत से प्रभावित होने की संभावना है।
- 11.
UPSC के एग्जामिनर (examiner) अक्सर एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) के संदर्भ में प्राइवेसी (privacy) और सुरक्षा के बीच के समझौते की आपकी समझ को टेस्ट (test) करते हैं। वे आपसे एन्क्रिप्टेड (encrypted) बातचीत तक सरकार की पहुंच के लिए और इसके खिलाफ तर्कों का विश्लेषण करने या कानून (law) लागू करने और राष्ट्रीय सुरक्षा के लिए एंड-टू-एंड एन्क्रिप्शन (End-to-end encryption) के नतीजों पर चर्चा करने के लिए कह सकते हैं।
दृश्य सामग्री
End-to-End Encryption: Key Aspects
Illustrates the key components and considerations related to end-to-end encryption.
End-to-End Encryption (E2EE)
- ●Functionality
- ●Benefits
- ●Challenges
- ●Legal & Regulatory Aspects
हालिया विकास
5 विकासIn 2023, the European Union's proposed Chat Control regulation sparked controversy over its potential impact on E2EE. The regulation aims to scan private messages for illegal content, which critics argue would require breaking E2EE.
In 2024, several countries, including the UK and Australia, have increased pressure on tech companies to provide access to encrypted communications for law enforcement purposes.
In 2023, the Indian government released the Digital Personal Data Protection (DPDP) Act, which aims to regulate the processing of digital personal data. The Act does not explicitly address E2EE but could have implications for data localization and cross-border data transfers.
In 2022, Apple delayed plans to introduce end-to-end encryption for iCloud backups after facing criticism from law enforcement agencies.
The debate over E2EE is ongoing, with tech companies, governments, and civil society organizations continuing to grapple with the balance between privacy, security, and law enforcement.
विभिन्न समाचारों में यह अवधारणा
1 विषयसामान्य प्रश्न
61. स्टेटमेंट वाले MCQ में, E2EE और मेटाडेटा को लेकर सबसे आम गलती क्या होती है?
सबसे आम गलती ये मानना है कि E2EE पूरी तरह से गुमनामी देता है. E2EE मैसेज के *अंदर* की बात को तो छुपाता है, लेकिन ये ज़रूरी नहीं कि मेटाडेटा (कौन किससे बात कर रहा है, कब, और कितनी देर तक) को भी छुपाए. एग्जाम में ऐसे स्टेटमेंट आ सकते हैं कि E2EE सारी जानकारी छुपाता है, जो कि गलत है. याद रखें, E2EE के बावजूद मेटाडेटा ट्रैक किया जा सकता है.
परीक्षा युक्ति
याद रखें: मैसेज का अंदरूनी हिस्सा छुप जाता है, लेकिन मेटाडेटा नहीं. सवाल में 'पूरी तरह गुमनामी' या 'सारी जानकारी छुपी हुई' जैसे कीवर्ड देखें.
2. E2EE मैसेज के अंदर की बात को तो बचाता है, लेकिन बड़े पैमाने पर निगरानी रोकने में इसकी क्या सीमाएं हैं?
E2EE मुख्य रूप से बातचीत के अंदर की बात को सुरक्षित करने पर ध्यान देता है. लेकिन, ये निगरानी के कई दूसरे पहलुओं को नहीं संभालता: answerPoints_hi: * एंडपॉइंट कमजोरियां: अगर किसी यूज़र का डिवाइस खतरे में है (जैसे, मैलवेयर), तो एन्क्रिप्शन की चोरी हो सकती है, जिससे E2EE बेकार हो जाएगा. * मेटाडेटा कलेक्शन: जैसा कि पहले बताया गया है, मेटाडेटा अक्सर एन्क्रिप्टेड नहीं होता है, जिससे बातचीत के पैटर्न को ट्रैक किया जा सकता है. * ट्रैफिक एनालिसिस: मैसेज के अंदर की बात के बिना भी, नेटवर्क ट्रैफिक का विश्लेषण करके यूज़र के व्यवहार और रिश्तों के बारे में जानकारी मिल सकती है. * सोशल इंजीनियरिंग: हमलावर सोशल इंजीनियरिंग का इस्तेमाल करके यूज़र्स को संवेदनशील जानकारी देने के लिए धोखा दे सकते हैं, भले ही E2EE हो.
3. सरकारें अक्सर E2EE में 'बैकडोर' क्यों चाहती हैं, और इसके खिलाफ क्या तर्क हैं?
सरकारों का तर्क है कि E2EE कानून प्रवर्तन की अपराधों, खासकर आतंकवाद और बाल शोषण की जांच करने की क्षमता को रोकता है. वे खास वारंट के तहत एन्क्रिप्टेड बातचीत तक पहुंचने के लिए 'बैकडोर' या 'की एस्क्रो' सिस्टम का प्रस्ताव करते हैं. हालांकि, सुरक्षा विशेषज्ञों का तर्क है कि: answerPoints_hi: * बैकडोर कमजोर होते हैं: कानून प्रवर्तन के लिए बनाया गया कोई भी बैकडोर दुर्भावनापूर्ण लोगों द्वारा इस्तेमाल किया जा सकता है, जिससे समग्र सुरक्षा कमजोर हो जाएगी. * गोपनीयता पर प्रभाव: बैकडोर सिर्फ अपराधियों की नहीं, बल्कि सभी यूज़र्स की गोपनीयता को कमजोर करते हैं. * तकनीकी चुनौतियां: सुरक्षित बैकडोर लागू करना तकनीकी रूप से जटिल है और संभव नहीं हो सकता है. * अंतर्राष्ट्रीय निहितार्थ: अगर एक देश बैकडोर की मांग करता है, तो दूसरे भी ऐसा करेंगे, जिससे E2EE का वैश्विक स्तर पर क्षरण हो सकता है.
4. डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) एक्ट, 2023 भारत में E2EE को कैसे प्रभावित कर सकता है, भले ही इसमें सीधे तौर पर इसका उल्लेख न हो?
हालांकि DPDP एक्ट, 2023 सीधे तौर पर E2EE के बारे में बात नहीं करता, लेकिन डेटा के भारत में रहने और दूसरे देशों में डेटा ट्रांसफर करने के नियमों से E2EE पर असर पड़ सकता है. उदाहरण के लिए, अगर सरकार ये ज़रूरी कर देती है कि कुछ तरह के एन्क्रिप्टेड डेटा को भारत में ही स्टोर किया जाए, तो इससे उन कंपनियों के लिए दिक्कतें खड़ी हो सकती हैं जो E2EE सर्विस देती हैं और जिनका इंफ्रास्ट्रक्चर पूरी दुनिया में फैला हुआ है. साथ ही, 'पर्सनल डेटा' की व्यापक परिभाषा से एन्क्रिप्टेड बातचीत से जुड़े मेटाडेटा को संभालने पर भी असर पड़ सकता है.
5. E2EE और TLS/SSL एन्क्रिप्शन में क्या अंतर है, और UPSC के लिए ये अंतर क्यों ज़रूरी है?
E2EE डेटा को इस तरह एन्क्रिप्ट करता है कि सिर्फ भेजने वाला और पाने वाला ही उसे डिक्रिप्ट कर सकते हैं; सर्विस देने वाला नहीं. TLS/SSL, जो HTTPS में इस्तेमाल होता है, आपके डिवाइस और सर्विस देने वाले के सर्वर के *बीच* डेटा को एन्क्रिप्ट करता है. सर्विस देने वाला अपने सर्वर पर डेटा को डिक्रिप्ट कर सकता है. ये अंतर इसलिए ज़रूरी है क्योंकि: answerPoints_hi: * गोपनीयता: E2EE ज़्यादा गोपनीयता देता है क्योंकि सर्विस देने वाला भी कंटेंट तक नहीं पहुंच सकता. * नियंत्रण: E2EE के साथ, यूज़र्स का अपने डेटा पर ज़्यादा कंट्रोल होता है क्योंकि उनके पास एन्क्रिप्शन की होती है. * सुरक्षा: TLS/SSL ट्रांसमिशन के दौरान ताक-झांक से बचाता है, लेकिन सर्विस देने वाले से नहीं. UPSC के लिए, इस अंतर को समझना डेटा गोपनीयता, साइबर सुरक्षा और ऑनलाइन प्लेटफॉर्म के सरकारी विनियमन से जुड़े सवालों के जवाब देने के लिए ज़रूरी है.
6. EU के प्रस्तावित चैट कंट्रोल रेगुलेशन से विवाद खड़ा हो गया. E2EE को लेकर मुख्य चिंता क्या थी, और अभी क्या स्थिति है?
मुख्य चिंता ये थी कि चैट कंट्रोल रेगुलेशन का मकसद गैरकानूनी कंटेंट के लिए प्राइवेट मैसेज को स्कैन करना था, जिसके लिए E2EE को तोड़ना ज़रूरी होगा. इसमें या तो बैकडोर बनाना होगा या क्लाइंट-साइड स्कैनिंग का इस्तेमाल करना होगा, दोनों के ही गोपनीयता और सुरक्षा पर गंभीर असर पड़ेंगे. अभी स्थिति ये है कि रेगुलेशन पर अभी भी बहस चल रही है, और यूरोपीय संसद और यूरोपीय संघ परिषद के बीच बातचीत जारी है. रेगुलेशन का सही रूप और कार्यान्वयन अभी भी अनिश्चित है.