Por que o requisito de interoperabilidade da UE ameaça a segurança da criptografia

Uma nova lei na União Europeia exigiria que as grandes empresas de tecnologia redesenhassem seus aplicativos de mensagens para funcionar perfeitamente com todos os outros no mercado.

Em teoria, a lei facilitará o bate-papo com seus amigos e familiares, sejam eles iMessage, WhatsApp ou Signal. No entanto, essa interoperabilidade forçada na rede pode causar problemas de segurança significativos.

O que é criptografia em mensagens e por que é importante?

A maioria das mensagens que você envia usando um aplicativo de mensagens não será criptografada. Isso significa que terceiros podem lê-los enquanto viajam entre seu telefone e a pessoa para quem você está escrevendo.

Se você quiser manter o conteúdo de suas mensagens em segredo, precisará usar um aplicativo que ofereça criptografia de ponta a ponta (ou E2E). Isso cria uma espécie de comunicação segura que garante somente você e seus parceiros de conversa podem ler o que você envia um ao outro.

A criptografia de ponta a ponta garante que todas as mensagens que você e seu parceiro de conversa enviam permaneçam seguras enquanto viajam entre seus telefones, protegendo-as de serem lidas ou modificadas por terceiros. Esses terceiros incluem provedores de serviços de internet, empresas de telefonia e até mesmo o próprio aplicativo de mensagens.

Como resultado, a equipe de desenvolvimento do aplicativo não pode entregar suas mensagens a anunciantes, autoridades policiais ou qualquer outra pessoa que queira lê-las. Essa criptografia também impede que terceiros modifiquem mensagens em trânsito.

A maioria dos principais aplicativos de mensagens oferece algum tipo de criptografia. No entanto, os recursos específicos de criptografia oferecidos podem variar de aplicativo para aplicativo.

Como a Lei de Mercados Digitais pode ameaçar a criptografia

Em 24 de março de 2022, os órgãos governamentais da UE anunciaram que haviam chegado a um acordo sobre uma nova legislação para governar a Big Tech na Europa. Chama-se o Lei de Mercados Digitais (ou DMA). Uma das mudanças mais significativas na nova lei é a exigência de que todas as grandes empresas de tecnologia criem produtos que sejam interoperáveis ​​com plataformas menores.

Isso significa que todos os aplicativos de mensagens das grandes empresas de tecnologia precisarão enviar mensagens, trocar arquivos e fazer chamadas de vídeo com todos os outros aplicativos de mensagens, o que é bom de várias maneiras. A interoperabilidade significa que empresas de grande tecnologia como Meta, Google e Apple precisam considerar as menores ao criar novos aplicativos ou plataformas.

Em 2021, Meta sofreu uma interrupção global quando seu Border Gateway Protocol (BGP) teve um erro de configuração, deixando todos os seus ativos offline por mais de 6 horas. Quando empresas como a Meta cometem erros, bilhões de usuários podem sentir o impacto.

No entanto, o tamanho desses negócios pode isolá-los das consequências até mesmo de grandes erros. Os requisitos de interoperabilidade podem manter a Big Tech responsável perante os consumidores e o mundo da tecnologia em geral.

Além disso, o requisito de interoperabilidade do Digital Markets Act pode causar problemas para aplicativos que oferecem criptografia E2E.

Por que a interoperabilidade pode dificultar a implementação da criptografia

Os aplicativos de mensagens implementam a criptografia de diferentes maneiras ou usam vários padrões de criptografia. Infelizmente, é quase impossível fazer todas essas estratégias funcionarem juntas.

Os desenvolvedores de aplicativos terão que se comprometer para garantir a interoperabilidade. Uma abordagem de “menor denominador comum” pode surgir, onde os aplicativos implementam o sistema de criptografia mais simples possível. Por exemplo, imagine um aplicativo de mensagens que suporte criptografia para bate-papos em grupo, mas outro que só o faça para conversas individuais.

A interoperabilidade total pode significar que os desenvolvedores optam por implementar o sistema mais simples que funcionará com outros aplicativos do mercado. Isso provavelmente exigiria que eles abandonassem recursos mais complexos, como criptografia de bate-papo em grupo.

Na prática, isso pode tornar os usuários muito mais vulneráveis. Sistemas de criptografia menos sofisticados podem ser mais fáceis de derrotar ou não fornecer proteção completa contra terceiros bisbilhoteiros.

Os desenvolvedores de aplicativos também podem criar novos padrões que lhes permitam harmonizar suas práticas de criptografia. Por exemplo, o Secure Communications Interoperability Protocol (SCIP) é um padrão dos EUA para comunicação segura de voz e dados. Um padrão semelhante para criptografia de mensagens E2E pode ajudar os desenvolvedores a garantir a interoperabilidade sem sacrificar a funcionalidade.

Alguns aplicativos de mensagens populares—como sinal– são pequenos o suficiente para que os requisitos de DMA não os afetem. No entanto, isso não é verdade para as principais plataformas como o WhatsApp, que usa o protocolo Signal para sua criptografia. O DMA pode significar que os recursos de criptografia do WhatsApp serão enfraquecidos ou removidos completamente, tornando mais difícil para os usuários manter suas comunicações privadas.

Requisitos de interoperabilidade podem enfraquecer a criptografia

Existem benefícios para os requisitos de interoperabilidade, como os da nova Lei de Mercados Digitais da UE. No entanto, exigir isso também pode incentivar os desenvolvedores a enfraquecer os recursos de criptografia de aplicativos.

Em breve, os usuários podem precisar mudar para aplicativos desenvolvidos por empresas não-Big Tech se quiserem a melhor tecnologia de criptografia possível.

O que significa criptografado e meus dados estão seguros?

Leia a seguir

Sobre o autor