1 pontos por GN⁺ 2024-02-15 | 1 comentários | Compartilhar no WhatsApp
  • O Tribunal Europeu de Direitos Humanos proibiu o enfraquecimento geral da criptografia de ponta a ponta (end-to-end encryption), o que também pode frear os planos de vigilância em massa do CSAR de chat control da UE
  • A decisão entende que a criptografia protege cidadãos e empresas contra hacking, roubo de identidade e de dados pessoais, fraude e vazamento de informações confidenciais, e que backdoors podem ser explorados por redes criminosas
  • O tribunal afirmou que existem formas de monitorar comunicações criptografadas sem reduzir a proteção de todos os usuários, citando como exemplo o uso de vulnerabilidades do software alvo ou o envio de implantes ao dispositivo
  • O eurodeputado Patrick Breyer avaliou que o escaneamento no lado do cliente da Comissão Europeia é claramente ilegal à luz desta decisão, por vigiar todos os smartphones e destruir a proteção da criptografia
  • O Parlamento Europeu rejeitou a destruição da criptografia segura e o chat control indiscriminado, mas as negociações podem começar quando a posição do Conselho da UE for definida, e os ministros do Interior da UE devem voltar a discutir o projeto no início de março

O enfraquecimento da criptografia proibido pela decisão

  • O Tribunal Europeu de Direitos Humanos proibiu medidas que enfraqueçam de forma geral a criptografia de ponta a ponta segura
  • A criptografia foi reconhecida como um meio de proteger cidadãos e empresas contra várias ameaças
    • hacking
    • roubo de identidade e de dados pessoais
    • fraude
    • divulgação não autorizada de informações confidenciais
  • Backdoors podem ser explorados por redes criminosas e colocar seriamente em risco a segurança das comunicações eletrônicas de todos os usuários
  • O tribunal entendeu que também são possíveis métodos de vigilância que não reduzam a proteção de todos os usuários
    • uso de vulnerabilidades do software alvo
    • envio de implantes ao dispositivo alvo
  • Como base da decisão, foi citado o documento da ECHR em para. 76 ff.

Avaliação de Breyer sobre o projeto de chat control da UE

  • Patrick Breyer, eurodeputado do Pirate Party, classificou a decisão como uma landmark judgement
  • Breyer considera claramente ilegal a vigilância por escaneamento no lado do cliente em todos os smartphones incluída no projeto de chat control da Comissão Europeia
  • Segundo sua avaliação, esse método derruba a proteção criptográfica de todos, em vez de mirar suspeitos
  • Breyer exigiu que os governos da UE removam do projeto a destruição da criptografia segura e a vigilância indiscriminada das comunicações privadas de toda a população

Criptografia e preocupações com a continuidade dos serviços

  • Breyer enfatizou que a criptografia segura salva vidas
  • Sem criptografia, não há como ter certeza de que mensagens ou fotos não serão expostas a pessoas não confiáveis
  • O chamado escaneamento no lado do cliente foi avaliado como algo que levaria a um de dois resultados
    • tornaria as comunicações fundamentalmente inseguras
    • faria com que cidadãos europeus não pudessem mais usar Whatsapp ou Signal
  • Breyer afirmou que esses provedores já consideraram encerrar seus serviços na Europa
  • O rascunho mais recente da posição do Conselho da UE ainda é criticado por prever a destruição da criptografia segura

Estrutura da proposta da Comissão Europeia

  • A Comissão Europeia e a rede industrial das autoridades de vigilância exigem uma forma de vasculhar de maneira geral as comunicações privadas
  • O alvo da busca inclui também mensageiros com criptografia de ponta a ponta
  • O objetivo é encontrar sinais de conteúdo ilegal
  • Essa abordagem depende de uma tecnologia propensa a erros
  • Ela só pode ser implementada com o enfraquecimento da criptografia de ponta a ponta segura

Posição atual de cada instituição da UE

  • A maioria dos governos da UE apoia essa iniciativa
  • No entanto, uma blocking minority está impedindo a decisão
  • Os ministros do Interior da UE devem voltar a discutir o projeto no início de março
  • O Parlamento Europeu, sob pressão dos Pirates e da sociedade civil, rejeitou o seguinte
    • destruição da criptografia segura
    • chat control indiscriminado
  • A posição do Parlamento se torna o ponto de partida para possíveis negociações depois que o Conselho da UE definir sua posição

Meta e o chat control voluntário

  • A Meta anunciou que começará a criptografar as direct messages de Facebook e Instagram ao longo de 2024
  • Também informou que interromperá o atual monitoramento voluntário de chat control dessas mensagens
  • A UE está conduzindo o processo para estender a autorização do chat control voluntário
  • A página informativa de Breyer sobre chat control é chatcontrol.eu

1 comentários

 
GN⁺ 2024-02-15
Comentários do Hacker News
  • Neste caso, o tribunal entendeu que a obrigação de descriptografar comunicações com criptografia de ponta a ponta constitui uma interferência desproporcional no direito à privacidade
    A lei em questão exigia que mensageiros como o Telegram entregassem, junto com o conteúdo das comunicações, também as “informações necessárias para descriptografar mensagens eletrônicas” quando elas estivessem criptografadas
    O tribunal considerou que enfraquecer a criptografia de ponta a ponta com um backdoor teria efeitos amplos e citou também a exigência de buscar, por meio de legislação e de avanços tecnológicos contínuos, “alternativas de descriptografia que não enfraqueçam os mecanismos de proteção”. Isso inclui investigação tradicional, operações infiltradas, análise de metadados, cooperação policial internacional, live forensics em dispositivos apreendidos, adivinhação ou obtenção de chaves privadas em posse das partes da comunicação, uso direcionado de vulnerabilidades de software ou envio de implantes
    Embora seja uma decisão sobre um caso e uma lei específicos, o tribunal parece bastante cético, de forma geral, em relação a abordagens que exijam de provedores de serviço o enfraquecimento dos mecanismos de criptografia de todos os usuários. Se eu fosse o governo britânico, ficaria preocupado com a possibilidade de o Online Safety Bill ser derrubado com base nessa decisão por tribunais nacionais ou europeus
    Ainda assim, mesmo que um backdoor em criptografia de ponta a ponta tenha sido considerado além do limite de uma restrição legítima ao direito à privacidade, esse direito é passível de derrogação, então, se o governo declarar uma emergência que “ameace a vida da nação”, pode suspendê-lo na medida necessária nos termos do Artigo 15 da ECHR
    Os parágrafos relevantes são 76 a 80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • Também é importante notar que os tribunais do Reino Unido não podem derrubar leis aprovadas pelo Parlamento
      O melhor que podem fazer é emitir uma declaração de incompatibilidade, e então os ministros podem corrigir o defeito por legislação secundária sem precisar aprovar uma nova lei. Claro, isso depende de haver vontade política para fazê-lo
      Ainda assim, como o Online Safety Act pretende tratar boa parte disso por meio de legislação secundária, códigos estatutários e orientações, essas coisas podem ser anuladas pelos tribunais. A menos que a própria lei obrigue inevitavelmente à criação de medidas intrusivas, será interessante ver como isso vai se desenrolar
    • A conclusão de que “a obrigação de descriptografar comunicações com criptografia de ponta a ponta viola o direito à privacidade” vem com a condição de que não existam salvaguardas contra abuso
      Infelizmente, não dá para simplesmente dizer que é totalmente incompatível. Pelo teor desta decisão, o problema existe apenas quando não há boas salvaguardas, e o texto da decisão usa “adequate” em um ponto e “suitable” em outro, mas não deixa claro o que isso significa concretamente
    • O Reino Unido quer deixar a ECHR, então, infelizmente, pode acabar contornando esta decisão
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • Esse trecho sobre “as informações necessárias para descriptografar mensagens eletrônicas”, quando criptografadas, me lembra o Lavabit, que eu costumava usar como e-mail principal
      Em resposta à exigência de fornecer as informações de descriptografia, o Lavabit entregou a chave privada, mas enviada datilografada em papel. Talvez houvesse algum erro de digitação ali pela página 6 ou 12
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • Talvez seja uma pergunta idiota, mas como o Reino Unido não é mais membro da UE, fico curioso por que um tribunal da UE poderia derrubar uma lei britânica
  • Fiquei meio confuso. O artigo em si parece bastante político e, embora cite texto promocional do Pirate Party, não explica qual caso foi ao tribunal nem exatamente o que a decisão proibiu, então cliquei na decisão real linkada no final
    Este caso não parece ter relação direta com o Pirate Party nem com o Chat Control. Pelo resumo dos fatos, parece ser um caso movido por um indivíduo contra o governo russo depois que o Telegram foi multado por não entregar mensagens de chat em texto plano. A palavra “Russia” nem aparece no artigo inteiro. Não entendo o que esse artigo está noticiando, nem por que o retrata como se tivesse relação com a legislação recente de Chat Control
    Os parágrafos 80 a 81 da decisão dizem que “a retenção das comunicações de internet de todos os usuários, o acesso direto por agências de segurança sem salvaguardas contra abuso e a exigência de descriptografar comunicações criptografadas aplicável a comunicações com criptografia de ponta a ponta” não pode ser considerada necessária em uma sociedade democrática e, portanto, configura violação do direito à privacidade do Artigo 8 da ECHR
    Dá para estender essa lógica a outras leis que contornem criptografia, como o Chat Control, mas isso pode não ser preciso sem considerar as circunstâncias específicas da lei russa. Por exemplo, a expressão “sem salvaguardas suficientes contra abuso” no parágrafo 80 é importante, e, se o Chat Control fosse levado à mesma câmara, talvez ela entendesse que essas salvaguardas existem

    • Esta decisão servirá de precedente. O comentário do eurodeputado do Pirate Party aconteceu porque esse tema é uma pauta central do partido. Não há razão para o Pirate Party aparecer no texto da decisão
    • Esse artigo não é a fonte original. A original está aqui: https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • É bom que isso ainda se aplique ao Reino Unido mesmo após o Brexit. O Reino Unido continua sendo membro da ECHR

    • Os conservadores falam há anos em deixar a ECHR
    • O Azerbaijão também é membro da ECHR, mas isso não impede que prenda opositores políticos, use trabalho escravo, cometa crimes de guerra, ataque outros membros da ECHR e faça limpeza étnica
  • Ultimamente, a Europa tem dado um bom exemplo de como implementar uma regulação tecnológica razoável

    • Esta decisão foi necessária porque a UE estava caminhando para uma proibição da criptografia de ponta a ponta. Quem proferiu a decisão foi o tribunal, não a EU Commission, e, até onde eu sei, a Commission ainda pode simplesmente ignorar isso
    • Agora só falta também desenvolverem bem a tecnologia em si
  • Já teve coisa demais que termina com “daqui a dois anos eles voltam e tentam de novo”, então dá um certo alívio ver surgir um obstáculo de longo prazo para esse tipo de proposta anti-criptografia de ponta a ponta

    • Se possível, eu queria que isso fosse empurrado para algo como a comissão de agricultura e pesca
  • A Europa realmente fez uma coisa de que gostei
    Eu estava preocupado que a narrativa de “pensem nas crianças” fosse dominar, mas, pelo menos na Europa, parece que o valor da criptografia ainda tem futuro

    • Apesar do nome, não é a UE
  • Há um certo cabo de guerra entre governo e indústria em torno da criptografia. O governo não deveria inserir vulnerabilidades nos algoritmos, mas também quer algum meio de ler mensagens de criminosos e terroristas. A indústria quer uma forma de fazer os clientes sentirem que podem usar produtos de mensageria com segurança para fins legítimos
    Sem pressão em nível regional, a comercialização da criptografia acaba ficando com os EUA. A academia vai continuar gostando de algoritmos novos, mas eles ficam presos em artigos até que alguém consiga ganhar dinheiro com isso, e no fim só fica tudo pronto para algum desenvolvedor americano empreendedor transformar isso no próximo grande app de chat criptografado, mais seguro que o Signal

  • Ótimo. Não vou citar nomes, mas alguns ISPs provavelmente não estão muito felizes agora. Esta decisão realmente freia alguns modelos de proxy
    Satisfatório

    • Eu queria que citassem os nomes para expor mesmo. Isso ajuda todo mundo
  • A matéria é meio lixo. Independentemente da posição política, foi mal escrita e é tendenciosa
    É melhor ler a decisão
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • Ainda assim, em defesa da matéria, ela colocou o link da decisão. Só esse fato já a coloca mais ou menos no top 20% das matérias sobre temas políticos
      A própria decisão também é bem legível e, dando uma passada rápida, o conteúdo da matéria parece em grande parte correto
    • Pelo texto original em inglês do comunicado do tribunal, o requerente Anton Valeryevich Podchasov é um cidadão russo nascido em 1981 e residente em Barnaul
      Ele era usuário do Telegram, que a Rússia designou como “organizador de disseminação de informação na internet”, e, pela lei, o Telegram tinha de armazenar todos os metadados das comunicações por um ano e o conteúdo das comunicações por seis meses, além de entregar esses dados e as informações necessárias para descriptografar mensagens eletrônicas cifradas a órgãos de segurança ou de aplicação da lei nas situações previstas em lei
      Podchasov contestou, com base nos artigos 8 e 13 da ECHR, as exigências de armazenamento, entrega e descriptografia dos dados, bem como a ausência de um recurso efetivo, e o tribunal reconheceu violação do artigo 8. Quanto ao dano não pecuniário, entendeu que o simples reconhecimento da violação já constituía satisfação equitativa suficiente
      O link da fonte está quebrado: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      Esse site é horrível porque torna links permanentes quase impossíveis. É um péssimo design para uma instituição que toma decisões importantes que as pessoas precisam citar
    • Parece que a marcação do HN está quebrando o link, então aqui vai uma alternativa: https://hudoc.echr.coe.int/eng/?i=001-230854
    • O resumo da decisão é que o tribunal entendeu por unanimidade que tinha jurisdição para tratar das alegações do requerente relativas a fatos anteriores a 16 de setembro de 2022, declarou admissível a queixa sobre violação do direito ao respeito pela vida privada e pela correspondência e reconheceu por unanimidade a violação do artigo 8 da ECHR
      Quanto à alegação com base no artigo 13, decidiu por 5 a 2 que não era necessário exame separado; por 6 a 1, entendeu que o reconhecimento da violação já constituía satisfação suficiente pelo dano não pecuniário; e, por 6 a 1, rejeitou o pedido de satisfação equitativa do requerente
      A decisão foi redigida em inglês e comunicada por escrito em 13 de fevereiro de 2024
    • Os parágrafos relevantes são os 76 a 81. O tribunal entendeu que a criptografia é uma forte salvaguarda técnica contra acesso ilícito ao conteúdo das comunicações e que contribui não só para a privacidade online e o sigilo das comunicações, mas também para a garantia de direitos fundamentais como a liberdade de expressão
      Também afirmou que a criptografia protege cidadãos e empresas contra abusos de tecnologia da informação, como hacking, roubo de identidade e de dados pessoais, fraude e divulgação indevida de informações confidenciais, e que isso deve ser devidamente considerado ao avaliar medidas que possam enfraquecê-la
      Para descriptografar comunicações protegidas por criptografia de ponta a ponta, como os “secret chats” do Telegram, aparentemente seria necessário enfraquecer a criptografia de todos os usuários, e tal medida não poderia ser limitada a indivíduos específicos, afetando indiscriminadamente até pessoas que não representam ameaça a interesses legítimos do governo
      O tribunal entendeu que criar um backdoor tornaria tecnicamente possível uma vigilância rotineira, geral e indiscriminada das comunicações eletrônicas privadas e também poderia ser explorado por organizações criminosas, comprometendo gravemente a segurança das comunicações eletrônicas de todos os usuários
      O tribunal reconheceu que criminosos também podem usar criptografia, o que pode dificultar investigações, mas aceitou a exigência de buscar alternativas de descriptografia e outros métodos investigativos que não enfraqueçam os mecanismos de proteção
      Em conclusão, neste caso, a obrigação de descriptografar comunicações protegidas por criptografia de ponta a ponta cria o risco de levar o provedor de serviço a enfraquecer os mecanismos de criptografia de todos os usuários, não sendo proporcional ao objetivo legítimo, e a lei em questão não pode ser considerada necessária em uma sociedade democrática, configurando violação do artigo 8
  • Excelente notícia
    A Corte Europeia de Direitos Humanos é justamente o tribunal que o governo idiota do Reino Unido quer atacar de forma generalizada, como faz com a UE