2 pontos por GN⁺ 2023-07-29 | 1 comentários | Compartilhar no WhatsApp
  • O Online Safety Bill do Parlamento britânico está em sua etapa final antes de ser aprovado pela House of Lords e pode afetar a privacidade de usuários no mundo todo ao forçar backdoors em serviços de mensagens
  • O principal ponto de conflito do projeto é que a exigência de escaneamento de mensagens para detectar conteúdos relacionados a abuso infantil e terrorismo é difícil de conciliar com a criptografia de ponta a ponta
  • WhatsApp, Signal, Element e outros alertaram, em uma carta aberta de abril de 2023, que isso poderia levar à vigilância rotineira, geral e indiscriminada de mensagens privadas; a Apple também se juntou à oposição em junho
  • O governo britânico afirma que é possível proteger segurança e privacidade ao mesmo tempo com escaneamento do lado do cliente, mas a EFF rebate que backdoors em criptografia não podem ser usados apenas para fins bem-intencionados
  • Sem uma emenda que proteja a criptografia de ponta a ponta, pessoas que dependem de mensagens privadas, como ativistas de direitos humanos, jornalistas e usuários LGBTQ+ que atuam em ambientes hostis, assumirão riscos diretos

A pressão do Online Safety Bill sobre a criptografia

  • O Parlamento britânico está avançando com o Online Safety Bill, uma ampla lei de regulação da internet, atualmente na etapa final antes da aprovação pela House of Lords
  • O projeto pode derrubar a criptografia de ponta a ponta ao conceder ao governo britânico poder para obrigar serviços de mensagens a implementar backdoors
  • Emendas que mitigariam os aspectos mais perigosos do projeto ainda não foram aceitas
  • A EFF alerta que a lei não ficaria restrita ao Reino Unido e poderia representar um retrocesso para a privacidade e a democracia no mundo todo

Escopo da regulação da internet e questões centrais

  • O Online Safety Bill teve origem em um white paper sobre “online harms” de mais de quatro anos atrás e é tratado como uma regulação extremamente ampla da internet
  • As exigências incluem filtragem de conteúdo, verificação de idade para acesso a conteúdo adulto e relatórios detalhados de atividades online enviados ao governo
  • Entre elas, a autoridade para escanear mensagens, que pode quebrar a criptografia de ponta a ponta, é considerada o ponto mais crítico

Escaneamento de mensagens entra em conflito com a criptografia de ponta a ponta

  • Conversas privadas são um direito humano básico, e o meio técnico mais forte para concretizá-lo no ambiente digital é a criptografia de ponta a ponta
  • Forçar tecnologias de escaneamento de mensagens aprovadas pelo governo entra em conflito com o modelo de criptografia que permite que apenas remetente e destinatário leiam as mensagens
  • O principal argumento da EFF é que não existe uma forma de um backdoor de criptografia ser usado apenas por “pessoas boas”
    • Proibir a criptografia
    • Pressionar empresas a recuarem na criptografia
    • Exigir escaneamento do lado do cliente — todas essas abordagens podem beneficiar agentes mal-intencionados e Estados autoritários

Alertas de empresas e da sociedade civil

  • O governo britânico afirma que quer o poder de escanear todas as mensagens online para encontrar conteúdos relacionados a abuso infantil ou terrorismo, ao mesmo tempo em que conseguiria proteger a privacidade dos usuários
  • A EFF rebate que é impossível satisfazer esses dois objetivos simultaneamente
  • Organizações da sociedade civil britânica, especialistas em tecnologia e entidades de direitos humanos do mundo todo também criticam o projeto
  • Provedores de mensagens criptografadas, como WhatsApp, Signal e a britânica Element, alertaram sobre os riscos do OSB em uma carta aberta de abril de 2023
    • O projeto pode quebrar a criptografia de ponta a ponta
    • Mensagens privadas de amigos, familiares, funcionários, executivos, jornalistas, ativistas de direitos humanos e políticos podem se tornar alvo de vigilância rotineira, geral e indiscriminada
  • Em junho de 2023, a Apple juntou-se ao movimento de oposição e declarou publicamente que o projeto ameaça a criptografia e pode colocar cidadãos britânicos em maior risco

A lógica técnica defendida pelo governo britânico

  • Em resposta enviada à House of Lords, a secretária britânica de Cultura, Mídia e Esporte reiterou a posição de que é possível escanear mensagens em plataformas com criptografia de ponta a ponta mantendo a privacidade
  • A resposta afirma que empresas já desenvolveram soluções para plataformas com criptografia de ponta a ponta no passado e que a Ofcom deve poder exigir o uso dessas tecnologias
  • Também inclui a posição de que, quando não houver uma solução pronta para uso imediato, é correto que o governo conduza a busca tecnológica
  • Safety Tech Challenge Fund

    • Programa em que o governo britânico concedeu pequenas bolsas para o desenvolvimento de software que supostamente escaneia arquivos protegendo a privacidade dos usuários
    • As descrições dos protótipos vencedores incluem várias formas de escaneamento do lado do cliente, nas quais arquivos são analisados por IA antes de serem enviados por um canal criptografado
    • A EFF vê nisso a repetição do erro de tratar a questão como se bastasse as empresas de tecnologia se esforçarem mais para desenvolver um “backdoor mágico” que proteja os usuários

Emendas ainda possíveis e pessoas afetadas

  • Parlamentares britânicos ainda têm a oportunidade de impedir decisões que podem levar à vigilância em massa
  • A criptografia de ponta a ponta não foi suficientemente examinada nem votada nas fases de comitê ou de relatório da House of Lords
  • Os Lords podem acrescentar uma emenda simples que proteja mensagens privadas e deixe explícito que a criptografia de ponta a ponta não deve ser enfraquecida nem removida
  • A EFF, junto com organizações da sociedade civil britânica, enviou em julho de 2023 um briefing à House of Lords
    • Explica os problemas relacionados à criptografia no projeto atual
    • Propõe a adoção de uma emenda que proteja a criptografia de ponta a ponta
  • Se a emenda não for adotada, ativistas de direitos humanos e jornalistas que dependem de mensagens privadas para trabalhar em ambientes hostis, assim como usuários LGBTQ+ que dependem da privacidade para se expressar livremente, pagarão o preço

Opinião pública e documentos de referência

1 comentários

 
GN⁺ 2023-07-29
Opiniões do Hacker News
  • O governo do Reino Unido repetidamente não consegue entender que a internet não tem fronteiras e que não é possível criá-las sem restrições extremas no nível de regimes totalitários.
    Se forçar medidas sem uma ampla cooperação internacional, vai empurrar um número enorme de pessoas para os cantos mais obscuros da internet, não só destruindo completamente o objetivo como também piorando o problema.
    Só a Meta já tem poder para transformar essa lei em um fracasso desastroso. As pessoas querem usar o WhatsApp, e os próprios governos também o usam amplamente. Se a Meta se recusar, há muito pouco que o governo possa fazer. O Facebook pode continuar operando sem um único funcionário no Reino Unido; haveria algum impacto nos negócios, mas é perfeitamente viável.
    O governo poderia pressionar Apple e Google para remover o WhatsApp das lojas de apps do Reino Unido, mas essas restrições regionais são fáceis de contornar, e o WhatsApp é popular o bastante para as pessoas tentarem. Isso normalizaria práticas como sideloading, jailbreak e contorno de restrições regionais; os cibercriminosos esfregariam as mãos ao ver a oportunidade, e os pedófilos e terroristas que se tentava deter também entrariam nessa onda.

    • A Apple chegou a ameaçar retirar seus sistemas do Reino Unido em vez de cumprir essa lei.
      https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
    • Você já esteve na China? A internet claramente tem fronteiras e limites. Às vezes é possível atravessá-los às escondidas ou conseguir um visto, mas países individuais criam suas próprias regras, e a maioria das pessoas as segue ou nem fica sabendo. Grandes multinacionais também são bons alvos, então normalmente obedecem às leis locais.
      As empresas que se opõem a essa lei no Reino Unido estão ameaçando sair do mercado. Isso não significa ajudar usuários britânicos a encontrar formas de violar a lei; significa bloquear usuários britânicos em seus próprios serviços.
    • Mesmo um regime totalitário não consegue impedir que o resto do mundo use criptografia. Empresas podem sair do Reino Unido, e o Reino Unido não tem jurisdição fora de suas fronteiras.
      Se eu criasse um app de mensagens com criptografia de ponta a ponta, não teria absolutamente nenhuma obrigação de ouvir o Reino Unido. Assim como a China não pode me dar ordens, o Reino Unido também não pode. Se a China quiser, pode bloquear meu app, mas o bloqueio é responsabilidade deles, não minha. O Reino Unido também pode erguer um firewall se quiser. Mas, se eu não pisar no Reino Unido, não preciso mudar meu app.
    • Por que restrições extremas os impediriam? Eles parecem não ver problema algum em impor esse tipo de restrição.
      Também dá para ficar menos preocupado com a falta de ampla cooperação internacional. Outros governos são igualmente péssimos e querem a mesma bobagem.
    • O governo do Reino Unido nunca se importou muito antes em forçar coisas inexequíveis. Como britânico, às vezes me deparo com o resultado de ISPs bloquearem sites de pirataria: aparece algo como “este site foi bloqueado”, e basta apertar um ou dois botões para mudar para outra conexão ou ligar uma VPN.
      A proibição de criptografia provavelmente será igualmente “difícil” de contornar. Parece mais uma tentativa de parecer virtuoso para os eleitores do que de realmente alcançar algo.
  • Se você mora no Reino Unido, seria bom assinar esta petição no site do governo e do Parlamento britânico: https://petition.parliament.uk/petitions/634725
    Atualmente há 6.327 assinaturas; faltam mais 3.673 para obter uma resposta do governo e, depois disso, mais 90.000 para chegar à consideração de um debate.

    • Escrever diretamente ao seu deputado é mais eficaz. É melhor não usar modelos prontos. Ainda não vi esse tipo de petição produzir mais do que ser ignorada, e o mesmo aconteceu com petições muito mais populares.
      Cartas a deputados quase sempre terminam em respostas padronizadas, mas pelo menos eles prestam alguma atenção. Muito raramente, você recebe uma resposta que não é de modelo.
    • 6 mil assinaturas é um número curiosamente baixo, e parece ainda menor se, ao pesquisar, houver apenas uma petição sem duplicatas. Parece que este assunto ainda não chegou muito ao circuito de compartilhamento em massa do Facebook, que costuma levar esse tipo de petição a números grandes.
  • Eu realmente detesto o governo britânico atual.
    Depois que os tribunais confirmarem que a realidade dá a última martelada, espero que esses projetos de lei malfeitos desmoronem nos tribunais.
    Provavelmente deve haver ali dentro alguma cláusula determinando que, daqui em diante, pi será 4.

    • Como os tribunais poderiam derrubar isso? Pelo que eu sabia, os tribunais britânicos não podem invalidar leis do Parlamento e, ao contrário dos EUA, o Judiciário fica abaixo do Parlamento nessa estrutura.
    • Não é um problema só do governo atual. O Parlamento como um todo e vários comitês parecem dispostos a seguir tudo o que os órgãos de inteligência e segurança disserem quando afirmam que criptografia é ruim.
    • O Labour também não é a favor disso? Então já estamos ferrados de qualquer jeito.
    • Você diz governo “atual”, mas eles já estão no poder há mais de 10 anos.
  • Também detesto nosso governo, mas a imprensa tem um papel enorme em sustentá-lo.
    Todas as empresas de tecnologia precisam se posicionar juntas e estar prontas até para bloquear o acesso aos serviços. Imagine o que aconteceria se, no Reino Unido, não fosse possível usar nem mesmo o WhatsApp, quanto mais o iMessage. Isso não é irresponsável nem inseguro. O SMS, que o governo pode controlar completamente, sempre continuará disponível.
    Também não acho que essas empresas precisem temer concorrentes. Esses serviços estão tão profundamente entranhados que algumas semanas, ou no máximo alguns meses, de protestos não mudariam nada. Se o governo acabasse cedendo, restaurar tudo seria fácil, e os números voltariam rapidamente ao normal.

    • Vi recentemente uma entrevista com David Yelland, ex-editor do Sun, na qual ele disse que a mídia noticiosa britânica é, em grande parte, comandada pela mesma pequena elite que trabalha como spads[1]. Isso combina bem com a ideia de que a imprensa sustenta o governo. Agora, imprensa e política se tornaram uma comunidade homogênea e muito fechada.
      [1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
    • Exato. Um Reino Unido sem WhatsApp entraria em estado de revolta. De adolescentes a idosos, todos que conheço organizam a vida pelo WhatsApp. Só a ausência do WhatsApp já seria suficiente para levar às ruas até pessoas apáticas, preguiçosas e pouco propensas a protestar como nós.
  • Isso é realmente absurdamente estúpido. Vai criar uma internet muito mais fragmentada, todos os países começarão a se afastar ainda mais, e a confiança em produtos do Ocidente/Reino Unido/EUA também será perdida
    Então por que o resto do mundo continuaria usando iPhone, MacBook, Google, Amazon etc.? Isso terá um custo enorme em termos de receita perdida por todas as grandes empresas
    Por outro lado, existem maneiras mais inteligentes de fazer o que precisa ser feito respeitando a privacidade e sem causar prejuízos econômicos desnecessários às empresas. Só que isso exigiria pessoas inteligentes no governo, e o governo está cheio de gente que não é assim
    Outro aspecto é que, para a maioria dos indivíduos, isso é impossível de fiscalizar. Há formas de contornar por toda parte, e várias empresas começarão a abrir companhias em regiões não afetadas ou offshore para oferecer alternativas ao Viber, Skype, Google etc. Algumas já existem

    • Acho que uma internet mais fragmentada é o futuro daqui para frente
  • Ao mesmo tempo em que isso acontece, o Reino Unido está instalando fibra óptica em todas as casas. Várias pessoas que moram em estradas rurais bem remotas estão vendo cabos de entrada 36x fibre COF215 pendurados entre árvores ou enterrados ao lado de caminhos lamacentos
    A EE liderou o LTE Cat16 em cidades de primeira e segunda linha no fim da década passada, coincidindo com o lançamento do iPhone X com suporte a tráfego gigabit. Em breve isso também será possível em um campo perto de você. Largura de banda abundante e de baixa latência está prestes a estar disponível para todos
    Com esse tipo de conectividade, é possível separar de forma muito mais criativa quem fornece a transmissão e quem fornece a conectividade IP. VPNs já estão virando mainstream. Parece um rumo positivo. A internet roteia em torno dos danos, e leis que limitam o que se pode ou não fazer também podem ser “roteadas ao redor” se o tráfego terminar em Dublin ou Amsterdam
    O problema é que, quanto mais se normalizar para os britânicos mandar o tráfego para fora do país, mais o caminho da política do governo britânico acaba parecendo não ter outra saída além de uma guerra total contra a criptografia

  • Estou operando um servidor XMPP criptografado usado por cerca de 12 pessoas. Ele é totalmente efêmero, no sentido de que o servidor não armazena mensagens. Se você estiver offline, perde as mensagens, parecido com IRC
    Essa lei se aplica a mim também? Preciso garantir que não haja usuários do Reino Unido no meu servidor?
    Quando criei o servidor, nunca imaginei algo assim. Eu achava que implementar medidas fortes de segurança e privacidade era uma responsabilidade a ser levada a sério
    Se eu tiver que comprometer a privacidade das pessoas, não tenho interesse em operar o servidor. Sem privacidade, não há diferença em relação a estar em um serviço de uma big tech

    • Se você não estiver no Reino Unido, não está sob jurisdição britânica
  • Vejo alguns comentários dizendo que uma troca de governo ajudaria, mas o governo Labour anterior (1997–2010) introduziu o Regulation of Investigatory Powers Act 2000: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
    Ele também inclui regras de divulgação de chaves: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... Na divulgação de chaves, o ônus da prova é invertido, e o réu precisa provar que não possui a chave ou que não consegue descriptografar, o que foi bastante controverso entre as pessoas interessadas na época. O uso efetivo das disposições da RIPA III começou em 2007
    O mesmo governo Labour também promoveu o Interception Modernisation Programme: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Talvez você se lembre disso como “mastering the internet”, das revelações de Snowden, mas o IMP em si não era secreto. Também apresentaram um projeto para transformar parte disso em lei: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... Esse não virou lei
    Acho que o Labour também concorda com essa direção. E a camada de altos funcionários públicos que trabalha diretamente com ministros ou próxima deles não muda como ocorre no governo dos EUA. É possível que este projeto de lei fique sem tempo no Parlamento atual, seja descartado e o próximo governo não o retome, mas isso também poderia acontecer mesmo que o mesmo partido continuasse no poder. Porém essa ideia voltará de alguma forma e, no fim, acho que virará lei

    • O Labour também não prometeu reverter o projeto de lei de restrições a protestos introduzido por Suella Braverman, e quando a vice-líder da oposição foi perguntada diretamente sobre isso, respondeu algo no sentido de que “agora não é hora de revisar”; então não tenho muita expectativa de que tomem medidas progressistas nessa questão
  • Para implementar isso por completo, seria preciso desmontar uma quantidade enorme de softwares e protocolos, incluindo VPN, SSL/TLS, SSH, WebRTC
    Outros países não vão querer que esses protocolos sejam enfraquecidos só por causa do Reino Unido. No fim, o Reino Unido terá uma “grande firewall” e criará, na prática, sua própria internetzinha, enquanto pessoas com conhecimento técnico ficarão abrindo buracos, como na China

  • Fico imaginando quantas empresas vão bloquear o Reino Unido em vez de cumprir a lei. Certamente não serão zero

    • Há WhatsApp (Meta), Signal e Apple
      https://www.politico.eu/article/uk-ministers-lock-horns-with...
    • É mesmo necessário bloquear usuários do Reino Unido?
      Para escapar de possíveis problemas legais, não bastaria remover qualquer presença comercial dentro do Reino Unido?
    • Tudo isso fracassará no momento em que perceberem como é impossível implementar