Tribunal Europeu de Direitos Humanos decide proibir o enfraquecimento da criptografia de ponta a ponta segura
(eureporter.co)- O Tribunal Europeu de Direitos Humanos proibiu o enfraquecimento geral da criptografia de ponta a ponta (end-to-end encryption), o que também pode frear os planos de vigilância em massa do CSAR de chat control da UE
- A decisão entende que a criptografia protege cidadãos e empresas contra hacking, roubo de identidade e de dados pessoais, fraude e vazamento de informações confidenciais, e que backdoors podem ser explorados por redes criminosas
- O tribunal afirmou que existem formas de monitorar comunicações criptografadas sem reduzir a proteção de todos os usuários, citando como exemplo o uso de vulnerabilidades do software alvo ou o envio de implantes ao dispositivo
- O eurodeputado Patrick Breyer avaliou que o escaneamento no lado do cliente da Comissão Europeia é claramente ilegal à luz desta decisão, por vigiar todos os smartphones e destruir a proteção da criptografia
- O Parlamento Europeu rejeitou a destruição da criptografia segura e o chat control indiscriminado, mas as negociações podem começar quando a posição do Conselho da UE for definida, e os ministros do Interior da UE devem voltar a discutir o projeto no início de março
O enfraquecimento da criptografia proibido pela decisão
- O Tribunal Europeu de Direitos Humanos proibiu medidas que enfraqueçam de forma geral a criptografia de ponta a ponta segura
- A criptografia foi reconhecida como um meio de proteger cidadãos e empresas contra várias ameaças
- hacking
- roubo de identidade e de dados pessoais
- fraude
- divulgação não autorizada de informações confidenciais
- Backdoors podem ser explorados por redes criminosas e colocar seriamente em risco a segurança das comunicações eletrônicas de todos os usuários
- O tribunal entendeu que também são possíveis métodos de vigilância que não reduzam a proteção de todos os usuários
- uso de vulnerabilidades do software alvo
- envio de implantes ao dispositivo alvo
- Como base da decisão, foi citado o documento da ECHR em para. 76 ff.
Avaliação de Breyer sobre o projeto de chat control da UE
- Patrick Breyer, eurodeputado do Pirate Party, classificou a decisão como uma landmark judgement
- Breyer considera claramente ilegal a vigilância por escaneamento no lado do cliente em todos os smartphones incluída no projeto de chat control da Comissão Europeia
- Segundo sua avaliação, esse método derruba a proteção criptográfica de todos, em vez de mirar suspeitos
- Breyer exigiu que os governos da UE removam do projeto a destruição da criptografia segura e a vigilância indiscriminada das comunicações privadas de toda a população
Criptografia e preocupações com a continuidade dos serviços
- Breyer enfatizou que a criptografia segura salva vidas
- Sem criptografia, não há como ter certeza de que mensagens ou fotos não serão expostas a pessoas não confiáveis
- O chamado escaneamento no lado do cliente foi avaliado como algo que levaria a um de dois resultados
- tornaria as comunicações fundamentalmente inseguras
- faria com que cidadãos europeus não pudessem mais usar Whatsapp ou Signal
- Breyer afirmou que esses provedores já consideraram encerrar seus serviços na Europa
- O rascunho mais recente da posição do Conselho da UE ainda é criticado por prever a destruição da criptografia segura
Estrutura da proposta da Comissão Europeia
- A Comissão Europeia e a rede industrial das autoridades de vigilância exigem uma forma de vasculhar de maneira geral as comunicações privadas
- O alvo da busca inclui também mensageiros com criptografia de ponta a ponta
- O objetivo é encontrar sinais de conteúdo ilegal
- Essa abordagem depende de uma tecnologia propensa a erros
- Ela só pode ser implementada com o enfraquecimento da criptografia de ponta a ponta segura
Posição atual de cada instituição da UE
- A maioria dos governos da UE apoia essa iniciativa
- No entanto, uma blocking minority está impedindo a decisão
- Os ministros do Interior da UE devem voltar a discutir o projeto no início de março
- O Parlamento Europeu, sob pressão dos Pirates e da sociedade civil, rejeitou o seguinte
- destruição da criptografia segura
- chat control indiscriminado
- A posição do Parlamento se torna o ponto de partida para possíveis negociações depois que o Conselho da UE definir sua posição
Meta e o chat control voluntário
- A Meta anunciou que começará a criptografar as direct messages de Facebook e Instagram ao longo de 2024
- Também informou que interromperá o atual monitoramento voluntário de chat control dessas mensagens
- A UE está conduzindo o processo para estender a autorização do chat control voluntário
- A página informativa de Breyer sobre chat control é chatcontrol.eu
1 comentários
Comentários do Hacker News
Neste caso, o tribunal entendeu que a obrigação de descriptografar comunicações com criptografia de ponta a ponta constitui uma interferência desproporcional no direito à privacidade
A lei em questão exigia que mensageiros como o Telegram entregassem, junto com o conteúdo das comunicações, também as “informações necessárias para descriptografar mensagens eletrônicas” quando elas estivessem criptografadas
O tribunal considerou que enfraquecer a criptografia de ponta a ponta com um backdoor teria efeitos amplos e citou também a exigência de buscar, por meio de legislação e de avanços tecnológicos contínuos, “alternativas de descriptografia que não enfraqueçam os mecanismos de proteção”. Isso inclui investigação tradicional, operações infiltradas, análise de metadados, cooperação policial internacional, live forensics em dispositivos apreendidos, adivinhação ou obtenção de chaves privadas em posse das partes da comunicação, uso direcionado de vulnerabilidades de software ou envio de implantes
Embora seja uma decisão sobre um caso e uma lei específicos, o tribunal parece bastante cético, de forma geral, em relação a abordagens que exijam de provedores de serviço o enfraquecimento dos mecanismos de criptografia de todos os usuários. Se eu fosse o governo britânico, ficaria preocupado com a possibilidade de o Online Safety Bill ser derrubado com base nessa decisão por tribunais nacionais ou europeus
Ainda assim, mesmo que um backdoor em criptografia de ponta a ponta tenha sido considerado além do limite de uma restrição legítima ao direito à privacidade, esse direito é passível de derrogação, então, se o governo declarar uma emergência que “ameace a vida da nação”, pode suspendê-lo na medida necessária nos termos do Artigo 15 da ECHR
Os parágrafos relevantes são 76 a 80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
O melhor que podem fazer é emitir uma declaração de incompatibilidade, e então os ministros podem corrigir o defeito por legislação secundária sem precisar aprovar uma nova lei. Claro, isso depende de haver vontade política para fazê-lo
Ainda assim, como o Online Safety Act pretende tratar boa parte disso por meio de legislação secundária, códigos estatutários e orientações, essas coisas podem ser anuladas pelos tribunais. A menos que a própria lei obrigue inevitavelmente à criação de medidas intrusivas, será interessante ver como isso vai se desenrolar
Infelizmente, não dá para simplesmente dizer que é totalmente incompatível. Pelo teor desta decisão, o problema existe apenas quando não há boas salvaguardas, e o texto da decisão usa “adequate” em um ponto e “suitable” em outro, mas não deixa claro o que isso significa concretamente
https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
Em resposta à exigência de fornecer as informações de descriptografia, o Lavabit entregou a chave privada, mas enviada datilografada em papel. Talvez houvesse algum erro de digitação ali pela página 6 ou 12
https://thenextweb.com/news/you-wont-believe-what-email-prov...
Fiquei meio confuso. O artigo em si parece bastante político e, embora cite texto promocional do Pirate Party, não explica qual caso foi ao tribunal nem exatamente o que a decisão proibiu, então cliquei na decisão real linkada no final
Este caso não parece ter relação direta com o Pirate Party nem com o Chat Control. Pelo resumo dos fatos, parece ser um caso movido por um indivíduo contra o governo russo depois que o Telegram foi multado por não entregar mensagens de chat em texto plano. A palavra “Russia” nem aparece no artigo inteiro. Não entendo o que esse artigo está noticiando, nem por que o retrata como se tivesse relação com a legislação recente de Chat Control
Os parágrafos 80 a 81 da decisão dizem que “a retenção das comunicações de internet de todos os usuários, o acesso direto por agências de segurança sem salvaguardas contra abuso e a exigência de descriptografar comunicações criptografadas aplicável a comunicações com criptografia de ponta a ponta” não pode ser considerada necessária em uma sociedade democrática e, portanto, configura violação do direito à privacidade do Artigo 8 da ECHR
Dá para estender essa lógica a outras leis que contornem criptografia, como o Chat Control, mas isso pode não ser preciso sem considerar as circunstâncias específicas da lei russa. Por exemplo, a expressão “sem salvaguardas suficientes contra abuso” no parágrafo 80 é importante, e, se o Chat Control fosse levado à mesma câmara, talvez ela entendesse que essas salvaguardas existem
É bom que isso ainda se aplique ao Reino Unido mesmo após o Brexit. O Reino Unido continua sendo membro da ECHR
Ultimamente, a Europa tem dado um bom exemplo de como implementar uma regulação tecnológica razoável
Já teve coisa demais que termina com “daqui a dois anos eles voltam e tentam de novo”, então dá um certo alívio ver surgir um obstáculo de longo prazo para esse tipo de proposta anti-criptografia de ponta a ponta
A Europa realmente fez uma coisa de que gostei
Eu estava preocupado que a narrativa de “pensem nas crianças” fosse dominar, mas, pelo menos na Europa, parece que o valor da criptografia ainda tem futuro
Há um certo cabo de guerra entre governo e indústria em torno da criptografia. O governo não deveria inserir vulnerabilidades nos algoritmos, mas também quer algum meio de ler mensagens de criminosos e terroristas. A indústria quer uma forma de fazer os clientes sentirem que podem usar produtos de mensageria com segurança para fins legítimos
Sem pressão em nível regional, a comercialização da criptografia acaba ficando com os EUA. A academia vai continuar gostando de algoritmos novos, mas eles ficam presos em artigos até que alguém consiga ganhar dinheiro com isso, e no fim só fica tudo pronto para algum desenvolvedor americano empreendedor transformar isso no próximo grande app de chat criptografado, mais seguro que o Signal
Ótimo. Não vou citar nomes, mas alguns ISPs provavelmente não estão muito felizes agora. Esta decisão realmente freia alguns modelos de proxy
Satisfatório
A matéria é meio lixo. Independentemente da posição política, foi mal escrita e é tendenciosa
É melhor ler a decisão
https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
CASE OF PODCHASOV v. RUSSIA
Application no. 33696/19
A própria decisão também é bem legível e, dando uma passada rápida, o conteúdo da matéria parece em grande parte correto
Ele era usuário do Telegram, que a Rússia designou como “organizador de disseminação de informação na internet”, e, pela lei, o Telegram tinha de armazenar todos os metadados das comunicações por um ano e o conteúdo das comunicações por seis meses, além de entregar esses dados e as informações necessárias para descriptografar mensagens eletrônicas cifradas a órgãos de segurança ou de aplicação da lei nas situações previstas em lei
Podchasov contestou, com base nos artigos 8 e 13 da ECHR, as exigências de armazenamento, entrega e descriptografia dos dados, bem como a ausência de um recurso efetivo, e o tribunal reconheceu violação do artigo 8. Quanto ao dano não pecuniário, entendeu que o simples reconhecimento da violação já constituía satisfação equitativa suficiente
O link da fonte está quebrado: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
Esse site é horrível porque torna links permanentes quase impossíveis. É um péssimo design para uma instituição que toma decisões importantes que as pessoas precisam citar
Quanto à alegação com base no artigo 13, decidiu por 5 a 2 que não era necessário exame separado; por 6 a 1, entendeu que o reconhecimento da violação já constituía satisfação suficiente pelo dano não pecuniário; e, por 6 a 1, rejeitou o pedido de satisfação equitativa do requerente
A decisão foi redigida em inglês e comunicada por escrito em 13 de fevereiro de 2024
Também afirmou que a criptografia protege cidadãos e empresas contra abusos de tecnologia da informação, como hacking, roubo de identidade e de dados pessoais, fraude e divulgação indevida de informações confidenciais, e que isso deve ser devidamente considerado ao avaliar medidas que possam enfraquecê-la
Para descriptografar comunicações protegidas por criptografia de ponta a ponta, como os “secret chats” do Telegram, aparentemente seria necessário enfraquecer a criptografia de todos os usuários, e tal medida não poderia ser limitada a indivíduos específicos, afetando indiscriminadamente até pessoas que não representam ameaça a interesses legítimos do governo
O tribunal entendeu que criar um backdoor tornaria tecnicamente possível uma vigilância rotineira, geral e indiscriminada das comunicações eletrônicas privadas e também poderia ser explorado por organizações criminosas, comprometendo gravemente a segurança das comunicações eletrônicas de todos os usuários
O tribunal reconheceu que criminosos também podem usar criptografia, o que pode dificultar investigações, mas aceitou a exigência de buscar alternativas de descriptografia e outros métodos investigativos que não enfraqueçam os mecanismos de proteção
Em conclusão, neste caso, a obrigação de descriptografar comunicações protegidas por criptografia de ponta a ponta cria o risco de levar o provedor de serviço a enfraquecer os mecanismos de criptografia de todos os usuários, não sendo proporcional ao objetivo legítimo, e a lei em questão não pode ser considerada necessária em uma sociedade democrática, configurando violação do artigo 8
Excelente notícia
A Corte Europeia de Direitos Humanos é justamente o tribunal que o governo idiota do Reino Unido quer atacar de forma generalizada, como faz com a UE