Uma controversa proposta legislativa da União Europeia para digitalizar as mensagens privadas dos cidadãos numa tentativa de detectar material de agravo sexual infantil (CSAM) é um risco para o porvir da segurança na web, alertou Meredith Whittaker em um post público na segunda-feira. Ela é presidente da instalação sem fins lucrativos por trás do aplicativo de mensagens criptografadas de ponta a ponta (E2EE), Signal.
“Não há forma de implementar tais propostas no contexto de comunicações encriptadas de ponta a ponta sem minar fundamentalmente a encriptação e produzir uma vulnerabilidade perigosa na infraestrutura principal que teria implicações globais muito além da Europa”, escreveu ela.
A Percentagem Europeia apresentou a proposta original de verificação em volume de aplicações de mensagens privadas para combater a propagação de CSAM online em maio de 2022. Desde portanto, os membros do Parlamento Europeu uniram-se na repudiação da abordagem. Eles também sugeriram uma rota escolha no outono pretérito, que teria excluído os aplicativos E2EE da verificação. No entanto, o Recomendação Europeu, o órgão legislativo formado por representantes dos governos dos Estados-Membros, continua a pressionar para que as plataformas fortemente encriptadas permaneçam no contexto da lei de digitalização.
A proposta mais recente do Recomendação, apresentada em maio sob a presidência belga, inclui a exigência de que “provedores de serviços de comunicações interpessoais” (também conhecidos uma vez que aplicativos de mensagens) instalem e operem o que o texto prévio descreve uma vez que “tecnologias para moderação de upload”, por um texto publicado pela Netzpolitik.
O Cláusula 10a, que contém o projecto de moderação de upload, afirma que se espera que estas tecnologias “detectem, antes da transmissão, a disseminação de material divulgado de agravo sexual infantil ou de novo material de agravo sexual infantil”.
No mês pretérito, a Euractiv informou que a proposta revisada exigiria que os usuários de aplicativos de mensagens E2EE consentissem na digitalização para detectar CSAM. Os usuários que não consentissem seriam impedidos de usar recursos que envolvessem o envio de teor visual ou URLs também relatados – essencialmente rebaixando sua experiência de mensagens para texto e áudio básicos.
A enunciação de Whittaker distorce o projecto do Recomendação uma vez que uma tentativa de usar “jogos retóricos” para tentar reformular a digitalização do lado do cliente, a tecnologia controversa que os especialistas em segurança e privacidade argumentam ser incompatível com a potente encriptação que suporta comunicações confidenciais.
“[M]apressar a verificação em volume de comunicações privadas prejudica fundamentalmente a criptografia. Ponto final”, enfatizou ela. “Seja isso acontecendo por meio de adulteração, por exemplo, da geração de números aleatórios de um algoritmo de criptografia, ou pela implementação de um sistema de garantia de chave, ou forçando as comunicações a passarem por um sistema de vigilância antes de serem criptografadas.”
“Podemos invocar isso de backdoor, front door ou ‘moderação de upload’. Mas seja qual for o nome que lhe dermos, cada uma destas abordagens cria uma vulnerabilidade que pode ser explorada por hackers e Estados-nação hostis, removendo a proteção da matemática inquebrável e colocando no seu lugar uma vulnerabilidade de elevado valor.”
Também criticando a proposta revista do Recomendação numa enunciação no mês pretérito, o eurodeputado do Partido Pirata, Patrick Breyer – que se opôs ao questionável projecto de digitalização de mensagens da Percentagem desde o início – advertiu: “A proposta belga significa que a origem da atitude extrema e proposta inicial sem precedentes de controle de bate-papo seria implementada inalterada. Usar serviços de mensagens somente para enviar mensagens de texto não é uma opção no século 21.”
O próprio supervisor de proteção de dados da UE também manifestou preocupação. No ano pretérito, alertou que o projecto representa uma ameaço direta aos valores democráticos numa sociedade livre e ocasião.
Enquanto isso, a pressão sobre os governos para forçar os aplicativos E2EE a verificar mensagens privadas provavelmente vem das autoridades policiais.
Em Abril, os chefes da polícia europeia emitiram uma enunciação conjunta apelando às plataformas para conceberem sistemas de segurança de tal forma que ainda possam identificar actividades ilegais e enviar relatórios sobre o teor das mensagens às autoridades. O seu apelo por “soluções técnicas” para prometer o “aproximação lítico” aos dados encriptados não especificou uma vez que as plataformas deveriam realizar levante truque. Mas, uma vez que informamos na idade, o lobby era por alguma forma de varredura do lado do cliente. Não parece por contingência, portanto, que somente algumas semanas depois o Recomendação tenha produzido a sua proposta de “moderação de uploads”.
O projeto de texto contém algumas declarações que procuram lançar uma folha de figueira proverbial sobre o gigantesco buraco preto de segurança e privacidade que a “moderação de upload” implica – incluindo uma traço que afirma “sem prejuízo do Cláusula 10-A, o presente Regulamento não proibirá ou tornará impossível criptografia ponta a ponta”; muito uma vez que uma argumento de que os prestadores de serviços não serão obrigados a descriptografar ou fornecer aproximação aos dados E2EE; uma cláusula que diz que não devem introduzir riscos de cibersegurança “para os quais não seja verosímil tomar quaisquer medidas eficazes para mitigar tal risco”; e outra traço afirmando que os prestadores de serviços não devem ser capazes de “descontar a substância do teor das comunicações”.
“Todos esses sentimentos são bons e fazem da proposta um paradoxo autonegativo”, disse Whittaker ao TechCrunch quando buscamos sua resposta a essas ressalvas. “Porque o que é proposto – reunir a verificação obrigatória às comunicações criptografadas de ponta a ponta – prejudicaria a criptografia e criaria uma vulnerabilidade significativa.”
A Percentagem e a Presidência belga do Recomendação foram contactadas para responder às suas preocupações, mas até ao momento nenhuma delas tinha fornecido resposta.
A legislação da UE é tipicamente um tópico tripartido – por isso resta saber onde o conjunto finalmente terminará na digitalização CSAM. Mal o Recomendação definir a sua posição, iniciam-se as chamadas conversações trílogas com o Parlamento e a Percentagem para procurar um compromisso final. Mas também vale a pena notar que a constituição do parlamento mudou desde que os eurodeputados acordaram o seu procuração de negociação no ano pretérito, posteriormente as recentes eleições na UE.