EU’s resolution on encryption foreshadows likely anti-encryption push

An illustration of the EU anti-encryption proposal.

On Dec. 14, 2020, the Council of the European Union, which is made up of government ministers from the 27 EU member countries, released a vague, five-page resolution that calls for new rules to govern the use of encryption in Europe.

The resolution, titled “The Council Resolution on Encryption,” is non-binding and does not provide any specifics for new laws or regulations and, on the surface, seems fairly innocuous. But it represents a significant shift in tone and puts pressure on the European Commission to propose anti-encryption legislation in the near future.  

This resolution justifies the need for new rules on encryption by stating, “law enforcement is increasingly dependent on access to electronic evidence to effectively fight terrorism, organized crime, child sexual abuse (particularly its online aspects).” It calls on tech companies to find technical ways to bypass encryption so that police and security agencies can quickly access a suspect’s messages or device.

Something must be done to address the blight of pedophiles and terrorists coordinating online, but weakening encryption is not the solution. Pressuring widely used services, like WhatsApp or ProtonMail, to have a backdoor in their encryption would not prevent criminals from creating their own encryption services, as happened in 2019 when it was discovered that drug traffickers had started their own company adding aftermarket encryption to Android smartphones. Tackling these issues requires increased funding for law enforcement agencies and the adoption of more effective policing policies. 

Not only does weakening encryption fail to address these issues, it is counterproductive. The “technical solutions” this resolution calls for would instead put citizens’ private data at risk, reduce the overall security of the internet, and enable potential government mass surveillance.

What does the resolution say?

This resolution may be non-binding and diplomatically worded, but it is still an attack on encryption. This is not the first time the EU has considered anti-encryption legislation, but previous attempts in 2015 and 2016 floundered in the face of protests by tech companies, academics, and everyday people. This time, the Council of the EU appears to be taking a more subtle approach. There are no clear proposals for how encryption should be treated in this proposal. Instead, it calls for a new legal framework and technical solutions to allow competent authorities to access data in a lawful manner. 

While the resolution does not once mention the word “backdoor,” the “technical and operational solutions” it calls for to provide access to encrypted data are backdoors in all but name. According to the resolution, any technical solution would have to preserve encryption’s security and uphold fundamental human rights. Unfortunately, as appealing as it might sound in theory, there’s simply no way to have it both ways in practice. Once a vulnerability has been built into an encryption system, it is no longer secure. We have made this argument many times, but it continues to be true: There is no such thing as a backdoor that only lets the good guys in

This inconvenient fact also undermines the resolution’s promise that EU authorities will transparently cooperate with tech companies to develop these technical solutions. Security and privacy companies would never accept willingly weakening their technology; Proton certainly wouldn’t. Therefore, it seems more likely that cooperation will someday become coercion. 

If the EU does force tech companies to develop ways to break through their encryption, hackers will not rest until they have discovered and exploited these new vulnerabilities. This has already happened: a group known as the Shadow Brokers stole zero-day (previously undiscovered) hacks for Windows and the SWIFT international banking system from the NSA. More recently, the cybersecurity firm FireEye was breached, and its tools have been used in hacks.

Therefore, if implemented, this resolution poses a substantial risk to privacy and security, endangers human rights around the world, sets a dangerous precedent, and fundamentally undermines many core European values. 

Does this resolution affect Proton?

This resolution is non-binding. On its own, it does not change the current EU framework but rather points the direction the EU may take in the future. ProtonMail is also protected by Swiss jurisdiction (Switzerland is not a member of the EU). Any request for us to develop a backdoor to ProtonMail under this hypothetical anti-encryption law would need to pass the scrutiny of Switzerland’s strict criminal procedure and data protection laws.

However, as an organization dedicated to protecting the fundamental human right of privacy, we condemn this resolution and the direction the EU seems to be taking. Encryption is a powerful tool to protect privacy, but for the right to privacy to be safe, it must be enshrined in strong privacy laws.

Encryption makes us all safer

The fact the EU seems likely to consider legislation that will backdoor end-to-end encryption is a distressing development for the global state of privacy. Until recently, the EU had been a leader in promoting services, tools, and legislation that protect the privacy of its citizens, but it now risks losing its reputation as a jurisdiction that takes privacy seriously. If the EU continues to go down the path laid out by this proposal, it will be the latest democratic institution to try to undermine its citizens’ privacy, joining Australia, the UK, and the US.

After this past year, policymakers should be pushing for stronger encryption, not backdoors. The Covid-19 pandemic accelerated our society’s shift online, meaning billions of people worldwide now rely on the internet for work, entertainment, and communication. If the internet’s encryption is weakened, it will become easier for hackers to monitor private conversations or steal financial information, which could bring the internet — and the global economy — to a halt.

Encryption helps ordinary citizens preserve their right to privacy in the face of surveillance capitalism, governmental intrusion, and cybercrime. Given that privacy is a requirement for democratic self-government, strong encryption is also essential to a functioning democracy, especially in an age when so much business and communications are conducted online.

As the Council of the EU itself admits in this resolution, “Encryption is a necessary means of protecting fundamental rights and the digital security of governments, industry, and society.” We call on the EU to halt its move toward anti-encryption legislation and return to providing strong legal privacy protections. 

What you can do

If this resolution concerns you, you can sign up for a free email account with ProtonMail, which is outside the jurisdiction of any potential EU law. This account will also give you access to the free version of ProtonVPN, which you can use to encrypt your online browsing.

You can also help by sharing this article in order to raise awareness about this issue. If you are a European who is worried about your right to privacy, you should call or write to your MEP and tell them you are against the Council Resolution on Encryption. By voicing your support for strong encryption, you are fighting for an internet that is secure, private, and free.

UPDATE Jan. 27, 2021: We were not the only European-based end-to-end encrypted service that was alarmed by the EU’s sudden shift against privacy. Along with Threema, Tresorit, and Tutanota, we released a joint statement calling on the EU to rethink any attacks on end-to-end encryption.

About the Author

Richie Koch

Prior to joining Proton, Richie spent several years working on tech solutions in the developing world. He joined the Proton team to advance the rights of online privacy and freedom.


Comments are closed.

17 comments on “EU’s resolution on encryption foreshadows likely anti-encryption push

  • Rules that consolidate power in the political class, but claim to help the public, were first seen in ancient Rome around 200 B.C.

    This trickery for the benefit of politicians is now thousands of years old.

    • Hi Richard,
      I think there is a misunderstanding. There is a ProtonVPN Free plan, which gives you access to servers in three countries and has no data limits, no ads, and no logs. The free seven-day trial refers to giving you a week of ProtonVPN Plus, our premium plan, for free. With ProtonVPN Plus, you can stream films, use P2P file-sharing programs like BitTorrent, and connect to our special Secure Core servers. However, once this free trial is over, you will still have access to the free version of ProtonVPN.
      Hope this clears things up.

  • I have had proton mail for a few years really happy with it service
    hope everyone at proton mail has great Christmas season with there families and wish you all a Successful 2021

  • I suppose it’s not beyond the bounds of possibility that the hacking of certain service providers was done by a State organisation wishing to monitor cash transfers and private communications.

  • Here the portuguese tanslation:

    A resolução da UE sobre criptografia prenuncia provável impulso anti-criptografia

    Na segunda-feira, o Conselho da União Europeia, composto por ministros dos 27 países membros da UE, divulgou uma resolução vaga de cinco páginas que pede novas regras para governar o uso de criptografia na Europa.

    A resolução, intitulada “A Resolução do Conselho sobre Criptografia”, não é vinculativa e não fornece detalhes sobre novas leis ou regulamentos e, à primeira vista, parece bastante inócua. Mas representa uma mudança significativa no tom e pressiona a Comissão Europeia a propor uma legislação anti-criptografia em um futuro próximo.

    Esta resolução justifica a necessidade de novas regras sobre criptografia, afirmando que “a aplicação da lei está cada vez mais dependente do acesso a evidências eletrônicas para combater eficazmente o terrorismo, o crime organizado, o abuso sexual infantil (particularmente seus aspectos online).” Ele apela às empresas de tecnologia para encontrar maneiras técnicas de contornar a criptografia para que a polícia e agências de segurança possam acessar rapidamente as mensagens ou o dispositivo de um suspeito.

    Algo deve ser feito para lidar com a praga de pedófilos e terroristas que se coordenam online, mas enfraquecer a criptografia não é a solução. Pressionar serviços amplamente usados, como WhatsApp ou ProtonMail, para ter um backdoor em sua criptografia não impediria que os criminosos criassem seus próprios serviços de criptografia, como aconteceu em 2019 quando foi descoberto que traficantes de drogas haviam iniciado sua própria empresa adicionando criptografia pós-venda a smartphones Android . O enfrentamento dessas questões requer mais financiamento para as agências de aplicação da lei e a adoção de políticas de policiamento mais eficazes.

    O enfraquecimento da criptografia não apenas falha em resolver esses problemas, mas também é contraproducente. As “soluções técnicas” que esta resolução exige colocariam em risco os dados privados dos cidadãos, reduziriam a segurança geral da Internet e permitiriam a vigilância em massa do governo em potencial.

    O que diz a resolução?
    Esta resolução pode ser não vinculativa e redigida diplomaticamente, mas ainda é um ataque à criptografia. Esta não é a primeira vez que a UE considera uma legislação anti-criptografia, mas as tentativas anteriores em 2015 e 2016 fracassaram em face dos protestos de empresas de tecnologia, acadêmicos e pessoas comuns. Desta vez, o Conselho da UE parece estar adotando uma abordagem mais sutil. Não há propostas claras de como a criptografia deve ser tratada nesta proposta. Em vez disso, apela a um novo quadro jurídico e soluções técnicas que permitam às autoridades competentes aceder aos dados de forma legal.

    Embora a resolução não mencione uma única vez a palavra “backdoor”, as “soluções técnicas e operacionais” que ela exige para fornecer acesso a dados criptografados são backdoors em tudo, exceto no nome. De acordo com a resolução, qualquer solução técnica teria que preservar a segurança da criptografia e defender os direitos humanos fundamentais. Infelizmente, por mais atraente que possa parecer na teoria, simplesmente não há como ter as duas coisas na prática. Uma vez que uma vulnerabilidade foi construída em um sistema de criptografia, ele não é mais seguro. Já argumentamos várias vezes, mas continua verdadeiro: não existe backdoor que só permite a entrada de mocinhos.

    Este fato inconveniente também mina a promessa da resolução de que as autoridades da UE cooperarão de forma transparente com as empresas de tecnologia para desenvolver essas soluções técnicas. As empresas de segurança e privacidade nunca aceitariam enfraquecer voluntariamente sua tecnologia; Próton certamente não. Portanto, parece mais provável que a cooperação um dia se torne coerção.

    Se a UE forçar as empresas de tecnologia a desenvolver maneiras de quebrar sua criptografia, os hackers não vão descansar até que tenham descoberto e explorado essas novas vulnerabilidades. Isso já aconteceu: um grupo conhecido como Shadow Brokers roubou da NSA um zeroday (anteriormente não descobertos) para o Windows e o sistema bancário internacional SWIFT. Mais recentemente, a firma de segurança cibernética FireEye foi violada e suas ferramentas foram usadas em hacks.

    Portanto, se implementada, esta resolução representa um risco substancial para a privacidade e a segurança, põe em perigo os direitos humanos em todo o mundo, cria um precedente perigoso e, fundamentalmente, mina muitos valores europeus fundamentais.

    Esta resolução afeta a Próton?
    Esta resolução não é vinculativa. Por si só, não altera o atual quadro da UE, mas antes aponta a direção que a UE pode tomar no futuro. ProtonMail também é protegido pela jurisdição suíça (a Suíça não é membro da UE). Qualquer solicitação para desenvolvermos um backdoor para o ProtonMail sob esta hipotética lei anti-criptografia precisaria passar pelo escrutínio dos procedimentos criminais estritos e leis de proteção de dados da Suíça.

    No entanto, como organização dedicada à proteção do direito humano fundamental à privacidade, condenamos esta resolução e a direção que a UE parece estar tomando. A criptografia é uma ferramenta poderosa para proteger a privacidade, mas para que o direito à privacidade seja seguro, ela deve estar consagrada em fortes leis de privacidade.

    A criptografia nos torna mais seguros
    O fato de a UE provavelmente considerar uma legislação que imponha backdoors à criptografia de ponta a ponta é um desenvolvimento preocupante para o estado global de privacidade. Até recentemente, a UE era líder na promoção de serviços, ferramentas e legislação que protegem a privacidade de seus cidadãos, mas agora corre o risco de perder sua reputação como uma jurisdição que leva a privacidade a sério. Se a UE continuar a trilhar o caminho traçado por esta proposta, será a última instituição democrática a tentar minar a privacidade de seus cidadãos, juntando-se à Austrália, ao Reino Unido e aos EUA.

    Depois do ano passado, os formuladores de políticas deveriam estar pressionando por criptografia mais forte, não backdoors. A pandemia Covid-19 acelerou a mudança de nossa sociedade online, o que significa que bilhões de pessoas em todo o mundo agora dependem da Internet para trabalho, entretenimento e comunicação. Se a criptografia da Internet for enfraquecida, será mais fácil para os hackers monitorarem conversas privadas ou roubar informações financeiras, o que poderia interromper a Internet – e a economia global.

    A criptografia ajuda os cidadãos comuns a preservar seu direito à privacidade em face do capitalismo de vigilância, da intrusão governamental e do crime cibernético. Visto que a privacidade é um requisito para o autogoverno democrático, a criptografia forte também é essencial para o funcionamento da democracia, especialmente em uma época em que tantos negócios e comunicações são realizados online.

    Como o próprio Conselho da UE admite nesta resolução, “a criptografia é um meio necessário para proteger os direitos fundamentais e a segurança digital dos governos, da indústria e da sociedade”. Instamos a UE a interromper seu movimento em direção a uma legislação anti-criptografia e voltar a fornecer fortes proteções legais à privacidade.

    O que você pode fazer?
    Se esta resolução o preocupa, você pode se inscrever para uma conta de e-mail gratuita com ProtonMail, que está fora da jurisdição de qualquer potencial lei da UE. Esta conta também lhe dará acesso à versão gratuita do ProtonVPN, que você pode usar para criptografar sua navegação online.

    Você também pode ajudar compartilhando este artigo para aumentar a conscientização sobre esse problema. Se for um europeu que está preocupado com o seu direito à privacidade, deve telefonar ou escrever para o seu deputado europeu e dizer-lhe que é contra a Resolução do Conselho sobre a Encriptação. Ao expressar seu apoio à criptografia forte, você está lutando por uma Internet segura, privada e gratuita.

  • you should call or write to your MEP and tell them you are against the Council Resolution on Encryption

    Great article! However, what is an MEP for those out of the loop?

    • Ah, this is a good question. MEP stands for Member of the European Parliament, who are representatives to the EU that are directly elected.

  • “Any request for us to develop a backdoor to ProtonMail under this hypothetical anti-encryption law would need to pass the scrutiny of Switzerland’s strict criminal procedure and data protection laws.”

    Seriously, this argument is really hard to accept.
    Remember the Crypto AG scandal (also Omnisec AG by the way). Swiss government were perfectly aware of it.

    Even if you publish all source code, it’s not possible to check what code is actually running on your server side.
    No solution here with your model, only the trust.
    This type of law is killing the trust.

  • An ultimate personal and societal issue for 21st Century is the definition and scope of individual PRIVACY and how to incorporate it as a Basic Human Right // the Ethical debate must be engaged at every level as soon as possible. The handwriting was on the wall years ago in the detailed articles referenced below:

    SEE Ref. => from LE MONDE diplomatique “Once we searched Google. Now it searches us”

    SEE Ref. => from MIT Technology Review “Soaring Surveillance” Technical, not legal, constraints determine the scope of U.S. government surveillance. by Ashkan Soltani July 1, 2013

  • Since when is any government ‘the good guys’, lol
    Their one and only goal is to enslave populations. Of course they want mass surveillance. Hence always playing on the poor child abuse melody. Human rights terrorism.

    Do you know that the EU is a subdivision, in essence, of the UN? The UN has the WHO under it’s medical wings.
    The WHO came out not so long ago with ‘guidance’ to kindergartens and schools to brainwash toddlers as young as 1yo with Gender politics, sexual confusion, and lo and behold – pedophilia. Who’s that” Via sexual education of our babes and toddlers and school kids, WANKING classes, no less, with dear indoctrination camp teachers ‘helping’ the kids to masturbate in class. Then they have the audacity to claim they care about protecting kids from pedophiles.

    Terrorism!? Why import lowlife scum migrants to kill working class and middle class and the social/welfare system, need to have violence and danger everywhere?

    To kill free speech under the guise of ‘preventing hate speech’ [aka, saying what you think, speaking out the truth], destroy national populations and substitute them with Muslims and Africans [UN Population Replacement Agenda] with especially the lowlife version from those places, the most violent, primitive, radical and mujahidin types they import into the EU and EN countries.
    So then there’s a need to put massive budgets into arming the police and endless security costs.
    Just get rid of these undesirable and you get rid of terror instantly.
    No, it serves them perfectly well as the excuse to kill our liberties in the fight against ‘terror’

    Of course, they WILL kill encryption. Because it is the game plan to control the population worldwide.

    This is also happening in the US. In 2020 they put forth a Bill [a few] that will likely be passed quietly, when no one notices [since some Comedia del Arte will be staged, even without a Trump to obsess about in a hate cult].
    When all eyes are fixated on a trivial annoyance of some kind.

    That bill effectively takes away encryption via deep state backdoors.
    It would also basically kill crypto.

    When they decide to pull the rug. Like when their central bank global currency is rolled out and swaps out physical cash and populations get used to it, they then will not want competition. Not allow options. Want total power and control. And kill crypto with laws they put into place when no one noticed and fake propaganda MSM media of course won’t make notice of it. Or mention in a positive way and play down the negative, attributing it to ‘conspiracy theories’.

  • thank you for keeping up the fight. I appreciate everything ProtonMail is doing to resist this encroachment on our rights.