T01-016--- English Transcript ---
The way PhotoDNA and perceptual
or robust hashing works is you upload a piece
of content to a Facebook.
And like every piece of content that you upload
to an online service, it gets scanned for all types
of harmful things: malware, spam, viruses,
and of course child sexual abuse.
And the way it does that is it unpacks the image,
analyzes it using the hashing algorithm,
compares it to a database,
if it's not in the database, it goes on its way.
If it is, then the policy kicks in, okay?
And in order for that to work, everything has
to be accessible to the Facebooks of the world.
So that is, they have to be able to unpack the image.
Now, there's of course encryption that is happening
on the internet and there's sort of two types
of encryption we should talk about.
There's the type of encryption
that you share with your bank.
So for example, when you connect with HTTPS - S being
for security - everything
that is on my device will be encrypted, sent to my bank,
my bank will decrypt it,
and then we have a secure connection.
And all that means is I can see the content,
my bank can see the content,
but anybody in between cannot see the content.
So our communication is secure. Okay? So that's encryption.
There's also what is called end-to-end encryption,
which is slightly different than just straight encryption.
And so the way end-to-end encryption works is I wanna send
you a message and I wanna do that on say,
an end-to-end encrypted messaging service.
So on my device I type, that's - of course I can see
that - it gets encrypted on my device.
Now I need to send it to you.
It goes to the central server of WhatsApp, Telegram,
Signal, whatever it is.
And then they route it to you,
and then your device decrypts it.
Now there's still the two endpoints can read the content,
but nobody in the middle, including the service
that is allowing us to communicate, can read that.
And so the only two people who can read these contents is
the receiver and the sender.
Okay? Very good for privacy. Also very good for bad guys.
By the way, we shouldn't over
romanticize end-to-end encryption.
All of the metadata associated with messaging is available.
They may not know that what we are saying to each other,
but they know that we are talking to each other.
So let's not romanticize end-to-end encryption, pretending
somehow that it's this ultimate, privacy-respecting -
it's not. There's lots of information you are giving up.
But, here's the problem for things like PhotoDNA and
and hashing is that when the server receives,
if I'm sending an image that is known
to be child sexual abuse, the service that is transmitting
that can't read it because it's fully encrypted.
Okay? So what do you do within those platforms?
You can say, we don't want end-to-end encryption.
That's probably not a very viable solution
because there are actual benefits to end-to-end encryption.
So there's a couple of options you can have here.
So one is what's called client-side hashing.
So instead of waiting for the content to be uploaded,
hashed, and then policy decision, when a piece
of content is attached, it will be scanned by the device
and it will say, we know what the bad stuff is,
we are going to look for it.
And if it is harmful, then we will flag it
for the the sender.
Perfectly reasonable thing to do.
The only difference between that technology
and the way photo DNA works and is that millisecond before
or after you send when it's scanned. In one case you send
and scan and the other case you scan and send.
That's the only difference between the two. Okay?
The other approach is what's called a secure enclave,
which is what I call end-to-end-to-end encryption.
So here what you do is you encrypt on the device,
you send it to the server, the server -
in what's called the secure enclave - opens that up
and can do one thing and one thing only:
PhotoDNA hashing. It hashes the content.
If it passes, it gets re-encrypt and sent on its way.
And if it can't, if it doesn't,
then it gets pulled out.
And so the benefit of this is you can still do all the work
up in the server, nothing is happening on the client
or on the receiver.
And you still have pretty good privacy,
because if it's not a PhotoDNA hash match,
nobody gets to see that content.
I like both of the technologies.
I think they're both quite reasonable.
I prefer the secure enclave approach a little bit
because it's easier to implement,
because you don't have to deploy this
onto billions of devices.
You simply change the way you do things here.
Last thing I'll say about this is that I think
that there's some reasonable tension between privacy
and security, but this tension is not new.
The tension exists in the physical world.
When I go to the airport, I subject myself
to all kinds of searches.
I go through a metal detector, I go through X-ray,
my bags get searched, my bags can get opened,
my person can be searched.
When I'm driving down the street, there are checkpoints
for drunk drivers.
If there is a lawful warrant,
you can come and search my house,
you can search my person, you can search my
car, you can search my bank.
So we in the physical world have found a balance
between personal privacy
and a responsibility for those around us.
Somehow the technology sector has been very
slow to recognize that
we have to find that balance.
And there seems to be those on one side of the argument
that says privacy is the single most
important thing and nothing else matters.
And I reject that. And first of all,
we are talking about privacy when we're
talking about protecting kids.
So let's not pretend that somehow your privacy
is more important than their privacy.
--- French Transcript ---
PhotoDNA et le hachage perceptuel
ou robuste, consistent à téléverser un morceau
de contenu sur Facebook.
Et comme tout contenu que vous téléversez
sur un service en ligne, il est analysé pour détecter tous les types
d'éléments nuisibles : logiciels malveillants, spams, virus,
et bien sûr les abus sexuels d'enfants.
Pour ce faire, l'image est décompressée,
analysée à l'aide de l'algorithme de hachage,
et comparée à une base de données.
Si elle n'est pas dans la base de données, elle poursuit son chemin.
Si elle s'y trouve, alors la politique s'applique. C'est clair ?
Et pour que cela fonctionne, il faut que tout
soit accessible à tous les Facebook du monde entier.
Ils doivent donc être en mesure de décompresser l'image.
Il y a bien sûr le chiffrement qui se produit
sur Internet et il y a en quelque sorte deux types
de chiffrement dont nous devons parler.
Il y a le type de chiffrement
que vous partagez avec votre banque.
Par exemple, lorsque je me connecte avec HTTPS - S étant
pour sécurité - tout
ce qui se trouve sur mon appareil sera chiffré, envoyé à ma banque,
ma banque le déchiffrera,
et nous avons alors une connexion sécurisée.
Ce que cela signifie, c'est que je peux voir le contenu,
ma banque peut voir le contenu,
mais personne entre nous deux ne peut voir le contenu.
Notre communication est donc sécurisée. D'accord ? Voilà pour le chiffrement.
Il y a aussi ce qu'on appelle le chiffrement de bout en bout,
qui est légèrement différent du simple chiffrement.
La façon dont le chiffrement de bout en bout fonctionne est la suivante : je veux vous
envoyer un message et je veux le faire sur, disons,
un service de messagerie chiffrée de bout en bout.
Sur mon appareil, je tape un message - bien sûr, je peux le
voir - il est chiffré sur mon appareil.
Je dois maintenant vous l'envoyer.
Il est envoyé au serveur central de WhatsApp, Telegram,
Signal, peu importe.
Ensuite, ils vous le transfère,
et votre appareil le déchiffre.
Les deux points d'extrémité peuvent toujours lire le contenu,
mais personne au milieu, y compris le service
qui nous permet de communiquer, ne peut le lire.
Les deux seules personnes qui peuvent lire ces contenus sont donc
le récepteur et l'expéditeur
D'accord ? C'est très bien pour la vie privée. Très bien aussi pour les méchants.
D'ailleurs, nous ne devrions pas trop
exagérer l'importance du chiffrement de bout en bout.
Toutes les métadonnées associées à la messagerie sont accessibles.
Ils ne savent peut-être pas ce que nous nous disons,
mais ils savent que nous communiquons.
Ne glorifions donc pas le chiffrement de bout en bout, en prétendant
que c'est le nec plus ultra en matière de respect de la vie privée.
Ce n'est pas le cas. Vous divulguez un grand nombre d'informations.
Mais voici le problème pour des domaines comme PhotoDNA et
et le hachage : lorsque le serveur reçoit,
si que j'envoie une image dont on sait qu'il s'agit
d'abus sexuels d'enfants, le service qui transmet l'image
ne peut pas la lire parce qu'elle est entièrement chiffrée.
D'accord ? Que fait-on alors avec ces plateformes ?
Vous pouvez dire que vous ne voulez pas de chiffrement de bout en bout.
Ce n'est probablement pas une solution très viable,
car le chiffrement de bout en bout présente des avantages réels.
Deux options alors se présentent à nous, ici.
L'une correspond à ce que l'on appelle le hachage du côté client.
Au lieu d'attendre que le contenu soit téléversé,
haché, puis la décision politique, lorsqu'un morceau
de contenu est attaché, il sera scanné par l’appareil
et il dira, nous savons ce qu'il y a de mauvais,
nous allons le rechercher.
Et s'il est nuisible, nous le signalons
à l'expéditeur.
C'est tout à fait sensé.
La seule différence entre cette technologie
et la manière dont PhotoDNA fonctionne, c'est la milliseconde qui précède
ou suit l'envoi, lorsque le contenu est scanné. Dans un cas, vous envoyez
et vous scannez, et dans l'autre cas, vous scannez et vous envoyez.
C'est la seule différence entre les deux. D'accord ?
L'autre approche est ce qu'on appelle une enclave sécurisée,
c'est ce que j'appelle le chiffrement de bout en bout.
Dans ce cas-là, ce que vous faites, c'est que vous chiffrez le contenu sur l'appareil,
et vous l'envoyez au serveur. Le serveur,
dans ce qu'on appelle l'enclave sécurisée, l'ouvre
et peut faire une chose et une seule :
le hachage PhotoDNA. Il hache le contenu.
S'il est accepté, il est de nouveau chiffré et il continu son chemin.
Et, s'il ne l'est pas,
il est retiré.
L'avantage de cette méthode est que vous pouvez toujours faire tout le travail
en amont, sur le serveur, et rien ne se passe du côté du client
ou du récepteur.
Et votre vie privée est toujours bien protégée,
parce que s'il ne s'agit pas d'une correspondance de hachage PhotoDNA,
personne ne peut accéder à ce contenu.
Les deux technologies me plaisent.
Je pense qu'elles ont toutes les deux du sens.
Je préfère un peu l'approche de l'enclave sécurisée
parce qu'elle est plus facile à mettre en œuvre,
parce que vous n'avez pas à déployer cela
sur des milliards d'appareils.
Vous changez simplement la façon dont vous faites les choses ici.
La dernière chose que je dirai à ce sujet est que je pense
qu'il existe une tension raisonnable entre la vie privée et la
et la sécurité, mais cette tension n'est pas nouvelle.
Cette tension existe dans le monde physique.
Lorsque je vais à l'aéroport, je me soumets
à toutes sortes de fouilles.
Je passe par un détecteur de métaux, je passe aux rayons X,
mes bagages sont fouillés,ils peuvent être ouverts,
je peux être fouillé.
Lorsque je conduis en ville, il y a des points de contrôle
pour les conducteurs en état d'ébriété.
Si vous disposez d'un mandat légal,
vous pouvez venir fouiller ma maison,
vous pouvez me fouiller, vous pouvez fouiller
ma voiture, vous pouvez fouiller mon compte bancaire.
En somme, dans le monde physique, nous avons trouvé un équilibre
entre la protection de la vie privée
et la responsabilité à l'égard de ceux qui nous entourent.
D'une certaine manière, le secteur technologique a été très
lent à reconnaître que
que nous devions trouver cet équilibre.
Et il semble que l'on trouve des gens d'un côté de l'argument
qui prône que la protection de la vie privée est ce qu'il y a de plus
important et que rien d'autre ne compte.
Et je ne suis pas d'accord avec cette idée. Et bien avant toute chose,
nous parlons de vie privée quand nous
parlons de la protection des enfants.
En conséquence, ne prétendons pas que votre vie privée
est plus importante que la leur.
--- Spanish Transcript ---
La manera en la que PhotoDNA y hashing
perceptual o robusto funciona es que cargas
contenido en Facebook.
Y, como todo el contenido que cargas
en un servicio en línea, se escanea en busca
de todo tipo de cosas perjudiciales: malware, spam,
virus y, por supuesto, abuso sexual infantil.
La manera en que se hace es desempaquetar la imagen,
analizarla con un algoritmo de hashing,
compararla con una base de datos,
si no está en la base de datos, sigue su camino.
Si está, se aplica la política.
Para que eso funcione, todo tiene que
estar accesible a los Facebook del mundo.
Eso es todo, tienen que poder desempaquetar la imagen.
Ahora bien, por supuesto existe codificación
en Internet y hay dos tipos de
de codificación de los que deberíamos hablar.
Está el tipo de codificación
que compartes con tu banco.
Por ejemplo, cuando te conectas con HTTPS -
S de seguridad - todo
lo que está en mi dispositivo se codificará, enviará al
banco, el banco lo decodificará y
tenemos una conexión segura.
Eso significa que puedo ver el contenido,
mi banco puede ver el contenido,
pero nadie entre nosotros puede ver el contenido.
Así la comunicación es segura. Muy bien. Eso es codificación.
También existe lo que se llama codificación extremo a extremo,
que es ligeramente distinta de la codificación directa.
La manera en la que funciona es quiero enviar
un mensaje y quiero hacerlo, digamos, en un
servicio de mensajería codificado extremo a extremo.
En mi dispositivo escribo - por supuesto puedo verlo-
y se codifica en mi dispositivo.
Ahora debo enviarlo.
Va al servidor central de WhatsApp, Telegram,
Signal, el que fuera.
Y de allí se enruta hacia ti
y tu dispositivo lo decodifica.
Aún los dos puntos pueden leer el contenido,
pero nadie en el medio, incluido el servicio
que nos permite comunicarnos, puede leerlo.
Las dos personas que pueden leer este contenido
son el destinatario y el emisor.
Muy bien. Muy bueno para privacidad. También es muy bueno para los tipos malos.
De hecho, no deberíamos
sobrerromantizar la codificación extremo a extremo.
Todos los metadatos asociados con el mensaje están disponibles.
Pueden no saber cuál es el mensaje entre nosotros,
pero saben qué estamos hablando entre nosotros.
No romanticemos la codificación extremo a extremo, suponiendo
que, de alguna manera, es el máximo respeto a la privacidad,
no lo es. Hay mucha información que estás revelando.
Pero, aquí está el problema para cosas como PhotoDNA y
hashing: cuando el servidor recibe,
si envío una imagen que se sabe
es de abuso sexual infantil, el servicio que transmite
no puede leerla porque está totalmente codificada.
Muy bien. ¿Qué se hace con estas plataformas?
Podrías decir, no queremos la codificación extremo a extremo.
Probablemente no sea una solución muy viable
porque existen beneficios reales con esta codificación.
Aquí tenemos un par de opciones.
Una es lo que se conoce como hashing del lado del cliente.
En lugar de esperar a que el contenido se cargue,
se etiquete y, después, la decisión de política, cuando se
adjunta contenido, el dispositivo lo escaneará
y dirá: sabemos qué es esa cosa mala,
la analizaremos.
Si es perjudicial, la marcaremos
para el emisor.
Algo perfectamente razonable.
La única diferencia entre esta tecnología
y la manera en la que funciona PhotoDNA es ese milisegundo
antes o después del envío cuando se escanea. En un caso se envía y
escanea; en el otro, se escanea y se envía.
Esa es la única diferencia entre los dos. Muy bien.
El otro enfoque es lo que se llama un enclave seguro,
que es como yo llamo a la codificación extremo a extremo.
Aquí lo que se hace es codificar en el dispositivo,
enviar al servidor, el servidor - en lo que
se llama enclave seguro - lo abre
y puede hacer una cosa y solo una:
PhotoDNA hashing. Aplica un hash al contenido.
Si pasa, vuelve a codificarse y sigue su camino.
Si no puede, si no sigue,
se lo separa.
El beneficio es que todo el trabajo se hace
en el servidor, no ocurre nada en el cliente
ni en el destinatario.
Aún tienes una privacidad bastante buena,
porque, si no es una coincidencia de hash de PhotoDNA,
nadie ve el contenido.
Me gustan ambas tecnologías.
Considero que ambas son bastante razonables.
Prefiero un poco más el enfoque de enclave seguro
porque es más sencillo de implementar,
porque no hay que implementarlo
en miles de millones de dispositivos.
Simplemente cambias la manera de hacer las cosas aquí.
Lo último que diré es que considero
que existe algo de tensión razonable entre privacidad
y seguridad, pero no es nueva.
La tensión existe en el mundo físico.
Cuando voy al aeropuerto, me someto
a todo tipo de búsquedas.
Paso por un detector de metales, por rayos X,
revisan mi equipaje, pueden abrirlo,
pueden registrar mi persona.
Cuando conduzco por la calle, hay puntos de control
para conductores ebrios.
Si cuentan con una orden legal,
puedes allanar mi casa,
pueden registrar mi persona, pueden registrar mi
coche, pueden registrar mi banco.
En el mundo físico hemos encontrado un
equilibrio entre privacidad personal
y la responsabilidad frente a quienes nos rodean.
De alguna manera, el sector tecnológico ha sido
muy lento en reconocer que
debemos encontrar un equilibrio.
Y hay quienes en uno de los lados del debate
dicen que la privacidad es lo único más
importante y nada más importa.
No estoy de acuerdo. Y, ante todo,
hablamos de privacidad cuando
hablamos de proteger a los niños.
No pretendamos que, de alguna manera,
tu privacidad es más importante que la de ellos.
Report online child sexual exploitation.
Help remove online nude, partially nude, or sexually explicit photos and videos taken before you were 18.
Subscribe for Updates
Change Language
We use cookies to analyze our traffic and enhance your experience on our website.
By continuing to use this site, you acknowledge and accept our use of cookies for these purposes, as outlined in our Privacy Policy.
Necessary for certain website features such as login to function properly. Switching off may impact the user experience.
These cookies are used for analyzing traffic to our site and how users are using the site.