A unidade de criptografia E2E legislativa da UE e sua privacidade

Se você é um dos 1,6 bilhão de usuários do WhatsApp, já está usando criptografia ponta a ponta (E2EE). Esta forma segura de comunicação significa que qualquer mensagem que você enviar a alguém só pode ser lida pelo destinatários; tais mensagens de bate-papo não podem ser interceptadas por terceiros, incluindo governos e criminosos.

Infelizmente, os criminosos também usam criptografia para esconder seus rastros ao fazer coisas maliciosas, tornando os aplicativos de mensagens seguras um alvo principal para a regulamentação do governo. No notícias recentes, o Conselho da Europa redigiu uma resolução para regulamentar o E2EE, que se dirige à Comissão Europeia para sua forma final.

A questão é: estamos prestes a perder nossa privacidade nos aplicativos de mensagens?

Terror Spike coloca as engrenagens da UE em movimento

Na sequência dos recentes ataques na França e na Áustria, os primeiros-ministros de ambos os países, Emmanuel Macron e Sebastian Kurz respectivamente, introduziram um Conselho da União Europeia (CoEU)

rascunho de resolução em 6 de novembro, com o objetivo de regulamentar as práticas de criptografia de ponta a ponta.

O CoEU é o órgão de propostas que define a direção das políticas, enquanto a Comissão Europeia elaborará legislação aplicável a partir dele. Felizmente, como uma abertura legislativa, o projeto de resolução não é tão problemático para a privacidade como seria de se esperar:

• A resolução não faz nenhuma proposta específica para a proibição de E2EE.
• Ele não propõe a implementação de backdoors para protocolos de criptografia.
• Afirma a adesão da UE a fortes direitos de criptografia e privacidade.
• Ele serve como um convite aos especialistas para explorar completamente as medidas de segurança sob a estrutura "segurança apesar da criptografia".

No entanto, a resolução propõe uma abordagem direcionada:

“As autoridades competentes devem ser capazes de acessar os dados de maneira lícita e direcionada, no pleno respeito dos direitos fundamentais e do regime de proteção de dados, ao mesmo tempo em que preservam a segurança cibernética.”

Dada a tendência de os governos expandirem a gama de alvos válidos, isso poderia incluir protestos legais também. No caso da França, pode ser o movimento Yellow Vests, que foi forçado a sair do Facebook para um aplicativo seguro do Telegram.

Curiosamente, o Telegram foi o mesmo aplicativo que a Rússia baniu porque a equipe de desenvolvimento se recusou a criar uma porta dos fundos para o governo. O Tribunal Europeu dos Direitos do Homem (CEDH) da UE considerou tal proibição uma violação clara da liberdade de expressão. A decisão rendeu frutos como a Rússia suspendeu a proibição de dois anos do Telegram.

A decisão do telegrama da CEDH serve como uma salvaguarda futura?

Infelizmente, não parece ser o caso. Em 2019, a CEDH decidiu que a liberdade de expressão em torno do tema do Holocausto não constitui um direito humano. Ao mesmo tempo, o tribunal decidiu que a mesma liberdade de expressão sobre o tema do genocídio armênio constitui um direito humano à liberdade de expressão. Essas decisões incoerentes revelam que a CEDH não segue os padrões universais.

O projeto de resolução da UE afeta você?

Se você está preocupado que WhatsApp, Telegram, Viber e outros aplicativos E2EE irão repentinamente expô-lo a hackers e mineradores de dados, não se preocupe. Na UE, provavelmente estamos lidando com uma solução híbrida, na qual as agências de aplicação da lei devem fornecer aos tribunais raciocínio suficiente para invadir a privacidade.

Por outro lado, dentro da esfera dos Cinco Olhos, parece haver uma enorme empurre para legislar backdoors em aplicativos de mensageiro E2EE. A resistência da cidadania e de ONGs como a Electronic Frontier Foundation será crítica para evitar essa legislação restritiva sobre criptografia.

Relacionado: O que é vigilância "Five Eyes"?

O que é vigilância "Five Eyes"? Usuários VPN, cuidado!

Se você acha que as VPNs protegem você da vigilância do governo, pode estar enganado. Na verdade, depende de onde sua VPN está hospedada.

A ladeira escorregadia dos governos que regulamentam a criptografia

Não é segredo que as nações em todo o mundo estão ansiosas para minar a privacidade dos cidadãos em prol da suposta segurança nacional. Esta cobrança é geralmente liderado pelos Cinco Olhos aliança de inteligência. Eles procuram implementar a abordagem mais ampla exigindo que os desenvolvedores de software integrar backdoors em seus aplicativos. Isso permitiria que governos e empresas de tecnologia acessassem quaisquer dados privados à vontade.

Embora os governos afirmem retoricamente que têm salvaguardas em vigor contra abusos, seu histórico é menos do que estelar. Como Vazamentos de Snowden revelados, eles parecem ser inescrupulosos na forma como percebem o direito dos cidadãos à privacidade e à prevenção de abusos. Além disso, backdoors são facilmente explorados por cibercriminosos, incorrendo em grandes danos econômicos e erosão da confiança.

Backdoors obrigatórios ainda não são uma realidade, mas os governos podem empregar um poderoso arsenal de persuasão a qualquer momento em que um ato criminoso / terrorista aconteça. Portanto, os governos têm um ímpeto constante para erodir as proteções de privacidade, argumentando que:

• Terroristas / criminosos têm o mesmo acesso aos protocolos de comunicação criptografados que os cidadãos cumpridores da lei.
• Portanto, os protocolos de comunicação criptografados devem ser prejudicados para o bem dos cidadãos que cumprem a lei.

Tentar alcançar o equilíbrio entre os dois é um processo contínuo, mais recentemente colocado sob os holofotes públicos pelos estados membros da UE.

Por que a criptografia E2E é importante?

Quando as pessoas não querem pensar sobre as consequências do estado de vigilância, muitas vezes recorrem ao argumento básico:

"Não tenho nada a esconder."

Infelizmente, a adesão a tal ingenuidade não torna sua vida protegida de abusos. Enquanto o Escândalo de dados Facebook-Cambridge Analytica demonstrado, deve-se tratar seus dados pessoais com tanto rigor como se fosse proteger a propriedade em sua casa. Quando você perde os protocolos de criptografia E2E, cria um ambiente que nutre:

• Autocensura como mentalidade.
• Hacking e chantagem.
• Incapacidade de ser um dissidente político ou jornalista eficaz.
• Corporações e governos usando seu perfil psicológico contra você.
• Tornar os governos menos responsáveis ​​por suas políticas negativas.
• Incapacidade de proteger com eficácia a propriedade intelectual.

Assim como os criminosos têm fácil acesso às armas de fogo, apesar de sua proibição e rígido controle em todo o mundo, os criminosos também teriam acesso a outros métodos de comunicação. Simultaneamente, minar o E2EE tornaria as empresas e os cidadãos vulneráveis ​​a uma ampla gama de abusos.

Quais opções E2EE você tem ao seu dispor?

Backdoors em aplicativos de mensagens podem acontecer de três maneiras:

1. Acidentalmente, por codificação inadequada, que é corrigida posteriormente quando a vulnerabilidade é descoberta.
2. Intencionalmente por agências governamentais exercendo pressão interna sobre as empresas.
3. Intencionalmente e abertamente pela legislação.

Ainda não chegamos ao terceiro cenário. Enquanto isso, tente seguir estas diretrizes de segurança ao escolher um aplicativo de mensagens seguro:

• Escolha aplicativos que tenham um bom histórico de resistência à pressão e sejam bem avaliados pelos usuários.
• Se tiver uma opção, escolha um software de código aberto gratuito - aplicativos FOSS. Esses são aplicativos voltados para a comunidade, então a implementação backdoor seria rapidamente revelada. Às vezes, você também encontrará esses aplicativos sob a sigla FLOSS - software de código aberto gratuito / libre.
• Ao usar e-mail, tente usar plataformas de e-mail com protocolos de criptografia PGP ou GPG.

Levando esses fatores em consideração, aqui estão alguns bons aplicativos de mensageiro E2EE de código aberto:

Sinal

O Signal se tornou o favorito entre muitos usuários preocupados com a privacidade, e por boas razões. Ele emprega Perfect Forward Secrecy (PFS) para todos os tipos de mensagens: texto, áudio e vídeo. O sinal também não registra seu endereço IP, mas oferece a opção de enviar mensagens autodestrutivas. Em dispositivos Android, você pode até torná-lo um aplicativo padrão para mensagens de texto SMS.

No entanto, o Signal exige a inscrição de um número de telefone, além de não fornecer autenticação de dois fatores (2FA). No geral, este aplicativo de mensagens compatível com GDPR disponível para todas as plataformas ainda não foi superado.

Download: Sinal para Android | iOS | janelas (Livre)

Sessão

Um desdobramento do Signal (um fork), o Session pretende ter recursos de segurança ainda mais formidáveis ​​do que o Signal. Para tanto, integrou todos os recursos do Signal, mas deixou de fora a exigência de um número de telefone ou e-mail para inscrição. Ele não registra nenhum metadado ou endereço IP, mas ainda não oferece suporte a 2FA.

Seu desenvolvimento de código aberto ainda está em andamento, então você pode encontrar bugs. Além disso, seu protocolo de roteamento Onion, em uso pelo navegador Tor, também está em desenvolvimento.

Download: Sessão para Android | iOS | Mac | janelas | Linux (Livre)

Briar

Completamente descentralizado Briar é um dos aplicativos FOSS mais recentes com protocolos de mensageiro E2EE. Exclusivo para a plataforma Android, o Briar é a solução ideal para quem se preocupa com um servidor que armazena suas mensagens. Briar torna isso impossível empregando protocolos ponto a ponto (P2P). Ou seja, apenas você e o receptor podem armazenar as mensagens.

Além disso, Briar adiciona uma camada adicional de proteção usando o protocolo Onion (Tor). Você não precisa fornecer nenhuma informação para começar a usar Briar, exceto o nome do destinatário. No entanto, se você alterar o dispositivo, todas as suas mensagens se tornarão impossíveis de obter.

Download: Briar para Android (Livre)

Escuta

Embora ainda permaneça com o código aberto, o Wire é voltado para mensagens em grupo e compartilhamento, tornando-o ideal para ambientes de negócios. Não é gratuito, exceto para contas pessoais. Junto com os protocolos E2EE, Wire emprega Proteus e WebRTC com PFS, além de mensagens de apagamento automático.

A transferência requer um número de telefone / e-mail para se inscrever, além de registrar alguns dados pessoais. Também não suporta 2FA. No entanto, sua conformidade com o GDPR, natureza de código aberto e algoritmos de criptografia de primeira linha o tornam excelente para organizações corporativas.

Download: Fio para Android | iOS | Mac | Rede | Linux (Livre)

Você não está indefeso contra a mudança da maré

No final das contas, mesmo que os governos banissem completamente o E2EE ou determinassem backdoors, os criminosos encontrariam outros métodos. Por outro lado, os cidadãos menos engajados simplesmente aceitariam o novo estado de coisas: vigilância em massa. É por isso que devemos errar por excesso de cautela e sempre recuar para preservar nosso direito humano básico à privacidade.

Por que você deve se preocupar com os rastros deixados por sua pegada digital

Você deixa muitas informações online, mesmo sem saber. Esta pegada digital é um risco para a sua privacidade?

Sobre o autor