Cosa significa lunità di crittografia E2E legislativa dellUE per le app di messaggistica crittografate?

Se sei uno degli 1,6 miliardi di utenti WhatsApp, stai già utilizzando la crittografia end-to-end (E2EE). Questa forma di comunicazione sicura significa che qualsiasi messaggio inviato a qualcuno può essere letto solo dal destinatario: tali messaggi di chat non possono essere intercettati da terze parti, inclusi governi e criminali.

Sfortunatamente, i criminali usano anche la crittografia per nascondere le loro tracce quando fanno cose dannose, rendendo le app di messaggistica sicure un obiettivo primario per la regolamentazione del governo. Nelle ultime notizie , il Consiglio d'Europa ha redatto una risoluzione per regolamentare E2EE, mentre si dirige alla Commissione Europea per la sua forma finale.

La domanda è: siamo sul punto di perdere la nostra privacy sulle app di messaggistica?

Terror Spike spinge gli ingranaggi dell'UE in movimento

Sulla scia dei recenti attacchi in Francia e Austria, i primi ministri di entrambi i paesi, rispettivamente Emmanuel Macron e Sebastian Kurz, hanno presentato il 6 novembre una bozza di risoluzione del Consiglio dell'Unione europea (CoUE) volta a regolamentare la crittografia end-to-end pratiche.

Il CoEU è l'organo di proposta che definisce la direzione delle politiche, mentre la Commissione europea elaborerà una legislazione attuabile da esso. Fortunatamente, come apertura legislativa, il progetto di risoluzione non è così problematico per la privacy come ci si aspetterebbe:

• La risoluzione non fa alcuna proposta specifica per un divieto E2EE.
• Non propone l'implementazione di backdoor ai protocolli di crittografia.
• Afferma l'adesione dell'UE a una crittografia forte e ai diritti alla privacy.
• Serve come invito agli esperti per esplorare a fondo le misure di sicurezza nell'ambito del quadro "sicurezza nonostante la crittografia".

Tuttavia, la risoluzione propone un approccio mirato:

“Competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the data protection regime, while upholding cybersecurity.”

Data la tendenza dei governi ad ampliare la gamma di obiettivi validi, ciò potrebbe includere anche proteste legali. Nel caso della Francia, questo potrebbe essere il movimento dei Gilet Gialli, che è stato costretto a lasciare Facebook su un'app Telegram sicura.

È interessante notare che Telegram era la stessa app che la Russia ha vietato poiché il team di sviluppo si è rifiutato di creare una backdoor per il governo. La Corte europea dei diritti dell'uomo (CEDU) dell'UE ha giudicato tale divieto una chiara violazione della libertà di espressione. La sentenza ha dato i suoi frutti quando la Russia ha revocato il divieto di Telegram di due anni .

La sentenza Telegram della CEDU funge da futura salvaguardia?

Sfortunatamente, questo non sembra essere il caso. Nel 2019, la CEDU ha stabilito che la libera espressione sul tema dell'Olocausto non costituisce un diritto umano. Allo stesso tempo, la corte ha stabilito che la stessa libertà di espressione sul tema del genocidio armeno costituisce un diritto umano alla libertà di parola. Queste sentenze incoerenti rivelano che la CEDU non sostiene gli standard universali.

Il progetto di risoluzione dell'UE ti riguarda?

Se sei preoccupato che WhatsApp, Telegram, Viber e altre app E2EE ti espongano improvvisamente ad hacker e minatori di dati, non esserlo. All'interno dell'UE, abbiamo probabilmente a che fare con una soluzione ibrida, in cui le forze dell'ordine devono fornire ai tribunali una motivazione sufficiente per invadere la privacy.

D'altra parte, all'interno della sfera Five Eyes, sembra esserci una spinta enorme per legiferare sulle backdoor nelle app di messaggistica E2EE. Il rifiuto da parte dei cittadini e delle ONG come Electronic Frontier Foundation sarà fondamentale per evitare una legislazione così restrittiva sulla crittografia.

Correlati: che cos'è la sorveglianza "Five Eyes"?

Il pendio scivoloso dei governi che regolano la crittografia

Non è un segreto che le nazioni di tutto il mondo siano desiderose di minare la privacy dei cittadini per il bene della presunta sicurezza nazionale. Questa carica è di solito guidata dall'alleanza di intelligence Five Eyes . Cercano di implementare l'approccio più ampio --- obbligando gli sviluppatori di software a integrare le backdoor nelle loro app . Ciò consentirebbe ai governi e alle aziende tecnologiche di accedere a qualsiasi dato privato a piacimento.

Sebbene i governi affermino retoricamente di disporre di salvaguardie contro gli abusi, il loro track record è tutt'altro che stellare. Come rivelato dalle fughe di notizie di Snowden , sembrano essere senza scrupoli nel modo in cui percepiscono il diritto dei cittadini alla privacy e all'elusione degli abusi. Inoltre, le backdoor vengono facilmente sfruttate dai criminali informatici, incorrendo in grandi danni economici e nell'erosione della fiducia.

Le backdoor obbligatorie non sono ancora una realtà, ma i governi possono impiegare un potente arsenale di persuasione in qualsiasi momento si verifichi un atto criminale/terroristico. Pertanto, i governi hanno uno slancio costante per erodere le protezioni della privacy, sostenendo che:

• I terroristi/criminali hanno lo stesso accesso ai protocolli di comunicazione crittografati dei cittadini rispettosi della legge.
• Pertanto, i protocolli di comunicazione crittografati devono essere compromessi per il bene della cittadinanza rispettosa della legge.

Il tentativo di raggiungere l'equilibrio tra i due è un processo in corso, recentemente messo sotto i riflettori pubblici dagli Stati membri dell'UE.

Perché la crittografia E2E è importante?

Quando le persone non vogliono pensare alle conseguenze dello stato di sorveglianza, spesso ricorrono all'argomento di base:

“I have nothing to hide.”

Sfortunatamente, l'adesione a tale ingenuità non rende la tua vita al sicuro dagli abusi. Come ha dimostrato lo scandalo dei dati Facebook-Cambridge Analytica , si dovrebbe trattare i propri dati personali con lo stesso rigore con cui si salvaguarderebbe la proprietà della propria casa. Quando sei spogliato dei protocolli di crittografia E2E, crei un ambiente che nutre:

• L'autocensura come mentalità.
• Hacking e ricatti.
• Incapacità di essere un dissidente politico efficace o un giornalista.
• Aziende e governi che usano il tuo profilo psicologico contro di te.
• Rendere i governi meno responsabili delle loro politiche negative.
• Incapacità di proteggere efficacemente la proprietà intellettuale.

Proprio come i criminali hanno facile accesso alle armi da fuoco, nonostante il divieto e lo stretto controllo in tutto il mondo, anche i criminali si procurano altri metodi di comunicazione. Allo stesso tempo, minare E2EE renderebbe le imprese e i singoli cittadini vulnerabili a un'ampia gamma di abusi.

Quali opzioni E2EE hai a tua disposizione?

Le backdoor nelle app di messaggistica possono verificarsi in tre modi:

1. Accidentalmente a causa di una codifica scadente, che viene successivamente corretta quando viene scoperta la vulnerabilità.
2. Intenzionalmente da agenzie governative che esercitano pressioni interne sulle aziende.
3. Intenzionalmente e apertamente per legge.

Dobbiamo ancora arrivare al terzo scenario. Nel frattempo, prova a seguire queste linee guida di sicurezza quando scegli un'app di messaggistica sicura:

• Scegli app che hanno una buona esperienza di resistenza alla pressione e sono molto apprezzate dagli utenti.
• Se ti viene data un'opzione, scegli un software open source gratuito: le app FOSS. Queste sono app guidate dalla comunità, quindi l'implementazione backdoor verrebbe rivelata rapidamente. A volte, troverai anche queste app sotto l'acronimo FLOSS: software open source gratuito/libero.
• Quando si utilizza la posta elettronica, provare a utilizzare piattaforme di posta elettronica con protocolli di crittografia PGP o GPG.

Tenendo conto di questi fattori, ecco alcune buone app di messaggistica E2EE open source:

Segnale

Signal è diventato uno dei preferiti tra molti utenti attenti alla privacy e per buoni motivi. Impiega Perfect Forward Secrecy (PFS) per tutti i tipi di messaggi: testo, audio e video. Signal inoltre non registra il tuo indirizzo IP, offrendoti un'opzione per inviare messaggi che si autodistruggono. Sui dispositivi Android, puoi persino renderla un'app predefinita per i tuoi SMS.

Tuttavia, Signal richiede la registrazione di un numero di telefono, oltre a non fornire l'autenticazione a due fattori (2FA). Nel complesso, questa app di messaggistica conforme al GDPR disponibile per tutte le piattaforme deve ancora essere completata.

Scarica : Signal per  Android | iOS  | Windows  (gratuito)

Sessione

Una propaggine di Signal (un fork), Session mira ad avere funzionalità di sicurezza ancora più formidabili di Signal. A tal fine, ha integrato tutte le funzionalità di Signal ma ha escluso il requisito di avere un numero di telefono o un'e-mail per l'iscrizione. Non registra alcun metadato o indirizzo IP, ma continua a non supportare 2FA.

Il suo sviluppo open source è ancora in corso, quindi potresti riscontrare bug. Inoltre, è in fase di sviluppo anche il suo protocollo Onion Routing, utilizzato dal browser Tor.

Scarica : Sessione per Android | iOS | Mac | Finestre | Linux  (gratuito)

radica

Briar completamente decentralizzato è una delle ultime app FOSS con protocolli di messaggistica E2EE. In esclusiva per la piattaforma Android, Briar è la soluzione ideale per coloro che si preoccupano di un server che memorizza i propri messaggi. Briar rende questo impossibile impiegando protocolli peer-to-peer (P2P). Significa che solo tu e il destinatario potete memorizzare i messaggi.

Inoltre, Briar aggiunge un ulteriore livello di protezione utilizzando il protocollo Onion (Tor). Non è necessario fornire alcuna informazione per iniziare a utilizzare Briar, tranne il nome del destinatario. Tuttavia, se cambi dispositivo, tutti i tuoi messaggi diventeranno irraggiungibili.

Scarica : Briar per Android  (gratuito)

Filo

Pur rimanendo open source, Wire è finalizzato alla messaggistica e alla condivisione di gruppo, rendendolo ideale per gli ambienti aziendali. Non è gratuito tranne che per gli account personali. Oltre ai protocolli E2EE, Wire utilizza Proteus e WebRTC con PFS, oltre alla messaggistica a cancellazione automatica.

Wire richiede un numero di telefono/e-mail per registrarsi, oltre a registrare alcuni dati personali. Inoltre non supporta 2FA. Tuttavia, la sua conformità al GDPR, la natura open source e gli algoritmi di crittografia all'avanguardia lo rendono ottimo per le organizzazioni aziendali.

Scarica : Wire per Android | iOS | Mac | Web  | Linux  (gratuito)

Non sei indifeso contro la marea che cambia

Alla fine, anche se i governi vietassero completamente l'E2EE o imponessero backdoor, i criminali troverebbero altri metodi. D'altra parte, la cittadinanza meno impegnata accetterebbe semplicemente il nuovo stato di cose: la sorveglianza di massa. Questo è il motivo per cui dobbiamo peccare per eccesso di cautela e respingere sempre per preservare il nostro diritto umano fondamentale alla privacy.