O que a unidade de criptografia E2E legislativa da UE significa para aplicativos de mensagens criptografadas

Se você é um dos 1,6 bilhão de usuários do WhatsApp, já está usando criptografia ponta a ponta (E2EE). Essa forma segura de comunicação significa que qualquer mensagem enviada a alguém só pode ser lida pelo destinatário --- essas mensagens de bate-papo não podem ser interceptadas por terceiros, incluindo governos e criminosos.

Infelizmente, os criminosos também usam criptografia para esconder seus rastros ao fazer coisas maliciosas, tornando os aplicativos de mensagens seguras um alvo principal para regulamentação governamental. Em notícias recentes , o Conselho da Europa elaborou uma resolução para regulamentar o E2EE, que se dirige à Comissão Europeia para sua forma final.

A questão é: estamos prestes a perder nossa privacidade nos aplicativos de mensagens?

Terror Spike coloca as engrenagens da UE em movimento

Na esteira dos recentes ataques na França e na Áustria, os primeiros-ministros de ambos os países, Emmanuel Macron e Sebastian Kurz, respectivamente, apresentaram um projeto de resolução do Conselho da União Europeia (CoEU) em 6 de novembro, com o objetivo de regulamentar a criptografia de ponta a ponta práticas.

O CoEU é o órgão de propostas que define a direção das políticas, enquanto a Comissão Europeia elaborará legislação aplicável a partir dele. Felizmente, como uma abertura legislativa, o projeto de resolução não é tão problemático para a privacidade como seria de se esperar:

• A resolução não faz nenhuma proposta específica para a proibição de E2EE.
• Ele não propõe a implementação de backdoors para protocolos de criptografia.
• Afirma a adesão da UE a fortes direitos de encriptação e privacidade.
• Ele serve como um convite aos especialistas para explorar completamente as medidas de segurança sob a estrutura "segurança apesar da criptografia".

No entanto, a resolução propõe uma abordagem direcionada:

“Competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the data protection regime, while upholding cybersecurity.”

Dada a tendência de os governos expandirem a gama de alvos válidos, isso poderia incluir protestos legais também. No caso da França, pode ser o movimento Yellow Vests, que foi forçado a sair do Facebook para um aplicativo seguro do Telegram.

Curiosamente, o Telegram foi o mesmo aplicativo que a Rússia baniu porque a equipe de desenvolvimento se recusou a criar uma porta dos fundos para o governo. O Tribunal Europeu dos Direitos do Homem (CEDH) da UE considerou tal proibição uma violação clara da liberdade de expressão. A decisão deu frutos quando a Rússia suspendeu a proibição de dois anos do Telegram .

A decisão do telegrama da CEDH serve como uma salvaguarda futura?

Infelizmente, não parece ser o caso. Em 2019, a CEDH decidiu que a liberdade de expressão em torno do tema do Holocausto não constitui um direito humano. Ao mesmo tempo, o tribunal decidiu que a mesma liberdade de expressão sobre o tema do genocídio armênio constitui um direito humano à liberdade de expressão. Essas decisões incoerentes revelam que a CEDH não respeita os padrões universais.

O projeto de resolução da UE afeta você?

Se você está preocupado com o fato de o WhatsApp, Telegram, Viber e outros aplicativos E2EE o exporem repentinamente a hackers e mineradores de dados, não se preocupe. Dentro da UE, provavelmente estamos lidando com uma solução híbrida, na qual as agências de aplicação da lei devem fornecer aos tribunais raciocínio suficiente para invadir a privacidade.

Por outro lado, dentro da esfera Five Eyes, parece haver um grande impulso para legislar backdoors em aplicativos de mensageiro E2EE. A resistência dos cidadãos e de ONGs como a Electronic Frontier Foundation será crítica para evitar essa legislação restritiva sobre criptografia.

Relacionado: O que é vigilância "Five Eyes"?

A ladeira escorregadia dos governos que regulamentam a criptografia

Não é segredo que as nações em todo o mundo estão ansiosas para minar a privacidade dos cidadãos em prol da suposta segurança nacional. Essa carga geralmente é liderada pela aliança de inteligência Five Eyes . Eles buscam implementar a abordagem mais ampla --- obrigando os desenvolvedores de software a integrar backdoors em seus aplicativos . Isso permitiria que governos e empresas de tecnologia acessassem quaisquer dados privados à vontade.

Embora os governos afirmem retoricamente que têm salvaguardas em vigor contra abusos, seu histórico é menos do que estelar. Conforme revelado pelos vazamentos de Snowden , eles parecem não ter escrúpulos em como percebem o direito dos cidadãos à privacidade e à prevenção de abusos. Além disso, backdoors são facilmente explorados por cibercriminosos, causando grandes danos econômicos e erosão da confiança.

Backdoors obrigatórios ainda não são uma realidade, mas os governos podem empregar um poderoso arsenal de persuasão a qualquer momento que um ato criminoso / terrorista aconteça. Portanto, os governos têm um ímpeto constante para erodir as proteções de privacidade, argumentando que:

• Terroristas / criminosos têm o mesmo acesso aos protocolos de comunicação criptografados que os cidadãos cumpridores da lei.
• Portanto, os protocolos de comunicação criptografados devem ser prejudicados para o bem dos cidadãos que cumprem a lei.

Tentar alcançar o equilíbrio entre os dois é um processo contínuo, mais recentemente colocado sob os holofotes públicos pelos Estados membros da UE.

Por que a criptografia E2E é importante?

Quando as pessoas não querem pensar sobre as consequências do estado de vigilância, muitas vezes recorrem ao argumento básico:

“I have nothing to hide.”

Infelizmente, a adesão a tal ingenuidade não torna sua vida protegida de abusos. Como o escândalo de dados Facebook-Cambridge Analytica demonstrou, deve-se tratar seus dados pessoais com tanto rigor quanto se protegeria a propriedade em sua casa. Quando você perde os protocolos de criptografia E2E, cria um ambiente que nutre:

• Autocensura como mentalidade.
• Hacking e chantagem.
• Incapacidade de ser um dissidente político ou jornalista eficaz.
• Corporações e governos usando seu perfil psicológico contra você.
• Tornar os governos menos responsáveis ​​por suas políticas negativas.
• Incapacidade de proteger com eficácia a propriedade intelectual.

Assim como os criminosos têm fácil acesso às armas de fogo, apesar de sua proibição e controle rígido em todo o mundo, os criminosos também conseguiriam outros métodos de comunicação. Simultaneamente, minar o E2EE tornaria as empresas e os cidadãos vulneráveis ​​a uma ampla variedade de abusos.

Quais opções E2EE você tem ao seu dispor?

Backdoors em aplicativos de mensagens podem acontecer de três maneiras:

1. Acidentalmente, por codificação inadequada, que é corrigida posteriormente quando a vulnerabilidade é descoberta.
2. Intencionalmente por agências governamentais exercendo pressão interna sobre as empresas.
3. Intencionalmente e abertamente pela legislação.

Ainda não chegamos ao terceiro cenário. Enquanto isso, tente seguir estas diretrizes de segurança ao escolher um aplicativo de mensagens seguro:

• Escolha aplicativos que tenham um bom histórico de resistência à pressão e sejam bem avaliados pelos usuários.
• Se tiver uma opção, escolha um software de código aberto gratuito - aplicativos FOSS. Esses são aplicativos voltados para a comunidade, então a implementação backdoor seria rapidamente revelada. Às vezes, você também encontrará esses aplicativos na sigla FLOSS - software de código aberto gratuito / libre.
• Ao usar e-mail, tente usar plataformas de e-mail com protocolos de criptografia PGP ou GPG.

Levando esses fatores em consideração, aqui estão alguns bons aplicativos de mensageiro E2EE de código aberto:

Sinal

O Signal se tornou o favorito entre muitos usuários preocupados com a privacidade, e por boas razões. Ele emprega Perfect Forward Secrecy (PFS) para todos os tipos de mensagens: texto, áudio e vídeo. O Signal também não registra seu endereço IP, ao mesmo tempo que oferece a opção de enviar mensagens autodestrutivas. Em dispositivos Android, você pode até torná-lo um aplicativo padrão para mensagens de texto SMS.

No entanto, o Signal exige a inscrição de um número de telefone, além de não fornecer autenticação de dois fatores (2FA). No geral, este aplicativo de mensagens compatível com GDPR disponível para todas as plataformas ainda não foi superado.

Download : Signal para  Android | iOS  | Windows  (grátis)

Sessão

Um desdobramento do Signal (um fork), o Session pretende ter recursos de segurança ainda mais formidáveis ​​do que o Signal. Para tanto, integrou todos os recursos do Signal, mas deixou de fora a exigência de um número de telefone ou e-mail para inscrição. Ele não registra nenhum metadado ou endereço IP, mas ainda não oferece suporte a 2FA.

Seu desenvolvimento de código aberto ainda está em andamento, então você pode encontrar bugs. Além disso, seu protocolo de roteamento Onion, em uso pelo navegador Tor, também está em desenvolvimento.

Baixar : Sessão para Android | iOS | Mac | Windows | Linux  (grátis)

Briar

Completamente descentralizado Briar é um dos aplicativos FOSS mais recentes com protocolos de mensageiro E2EE. Exclusivo para a plataforma Android, o Briar é a solução ideal para quem se preocupa com um servidor que armazena suas mensagens. Briar torna isso impossível empregando protocolos ponto a ponto (P2P). Ou seja, apenas você e o receptor podem armazenar as mensagens.

Além disso, Briar adiciona uma camada adicional de proteção usando o protocolo Onion (Tor). Você não precisa fornecer nenhuma informação para começar a usar Briar, exceto o nome do destinatário. No entanto, se você alterar o dispositivo, todas as suas mensagens se tornarão impossíveis de obter.

Baixar : Briar para Android  (grátis)

Arame

Embora ainda permaneça com o código aberto, o Wire é voltado para mensagens em grupo e compartilhamento, tornando-o ideal para ambientes de negócios. Não é gratuito, exceto para contas pessoais. Junto com os protocolos E2EE, Wire emprega Proteus e WebRTC com PFS, além de mensagens de apagamento automático.

Wire requer um número de telefone / e-mail para se inscrever, além de registrar alguns dados pessoais. Também não oferece suporte a 2FA. No entanto, sua conformidade com o GDPR, natureza de código aberto e algoritmos de criptografia de primeira linha o tornam excelente para organizações corporativas.

Download : Wire para Android | iOS | Mac | Web  | Linux  (grátis)

Você não está indefeso contra a mudança da maré

No final, mesmo que os governos banissem completamente o E2EE ou determinassem backdoors, os criminosos encontrariam outros métodos. Por outro lado, os cidadãos menos engajados simplesmente aceitariam o novo estado de coisas: vigilância em massa. É por isso que devemos errar por excesso de cautela e sempre recuar para preservar nosso direito humano básico à privacidade.