- Se o Online Safety Bill do Reino Unido exigir varredura de mensagens antes da criptografia ou um backdoor, o Signal afirma que se recusará a implementar isso e aceitará até sair do mercado britânico
- Meredith Whittaker considera que não é possível criar um “backdoor que só deixa passar pessoas boas” e vê essas exigências como algo que enfraquece a segurança das comunicações e da infraestrutura
- O projeto de lei foi redigido pela primeira vez em maio de 2021 e busca dar ao governo o poder de exigir acesso por backdoor a todos os sistemas com criptografia de ponta a ponta
- O governo britânico diz que a medida visa remover conteúdo ilegal, como pornografia de vingança e discurso de ódio, mas empresas de tecnologia, especialistas em segurança e defensores da privacidade têm reagido fortemente
- O Signal tem 125 milhões de downloads, menor que os 2 bilhões de usuários do WhatsApp, mas as duas empresas já indicaram que deixariam o Reino Unido se a lei entrar em vigor
Posição de recusa do Signal e possibilidade de saída
- A presidente do Signal, Meredith Whittaker, voltou a criticar o proposto Fortune Brainstorm Tech e o Online Safety Bill do Reino Unido
- A posição da empresa é que não obedecerá caso a lei exija um backdoor especial para acessar mensagens criptografadas
- Ela disse que “eles vão nos ordenar a implementar isso”, mas “nós não vamos fazer isso”
- Também mantém a posição de que deixará o mercado britânico se a lei for aplicada
- Whittaker afirma que a abordagem exigida pelo governo é “matematicamente impossível” e que um backdoor enfraquece a segurança das comunicações e da infraestrutura
Criptografia de ponta a ponta e crítica à vigilância
- A missão central do Signal é priorizar a privacidade e a segurança dos usuários
- O protocolo de criptografia de ponta a ponta do Signal garante que as mensagens só possam ser acessadas por destinatários confiáveis
- Whittaker considera que, com a entrada do modelo de negócios baseado em vigilância na infraestrutura central, a vigilância se espalhou em um nível que as pessoas muitas vezes nem percebem
- Ela trata como uma de suas principais missões conter a expansão socialmente aceita da vigilância
Exigências do Online Safety Bill do Reino Unido
- O Online Safety Bill do Reino Unido foi redigido pela primeira vez em maio de 2021
- O projeto busca dar ao governo o poder de exigir acesso por backdoor a todos os sistemas de criptografia de ponta a ponta
- O governo britânico apresenta isso sob a justificativa de reforçar a segurança online
- A lógica é garantir que plataformas de mídia social removam conteúdo ilegal, como pornografia de vingança e discurso de ódio
- Grandes empresas de tecnologia, especialistas em segurança e defensores da privacidade têm reagido fortemente contra o projeto
- O TechCrunch avalia que pode haver uma saída de serviços criptografados do Reino Unido
Conflito entre o argumento de segurança e o potencial de abuso
- Mensageiros criptografados como Signal, Telegram e WhatsApp são usados para comunicações seguras legítimas, mas também podem ser usados por agentes mal-intencionados
- Vendedores de drogas, traficantes de armas e hackers que distribuem malware também podem querer privacidade para atividades ilegais
- O Reino Unido entende que backdoors seriam necessários para impedir esse tipo de atividade ilegal
- Whittaker rebate que não é possível criar um “backdoor que só deixa passar pessoas boas”
- Ela descreve isso como matematicamente impossível
- E considera que backdoors enfraquecem a segurança das comunicações centrais e da infraestrutura crítica
Casos de acesso a mensagens privadas e preocupações
- Whittaker citou, como exemplo dos riscos do acesso governamental a mensagens privadas de usuários, um caso envolvendo mãe e filha em Nebraska
- Nesse caso, uma mãe, junto com a filha de 18 anos, enfrenta até 2 anos de prisão por supostamente ter fornecido medicamento para aborto à filha
- Investigadores apresentaram um mandado de busca ao Facebook e obtiveram acesso às DMs das duas, e a Vice informou que isso ajudou na acusação
- Whittaker considera que não se deve permitir que uma única grande empresa, com quase nenhuma supervisão, coopere com o governo para definir a sociedade de vigilância em que as pessoas vivem
Pressão conjunta de Signal e WhatsApp
- O Signal tem 125 milhões de downloads, muito menos que os 2 bilhões de usuários do WhatsApp
- Ainda assim, as duas empresas já avisaram que sairão do Reino Unido se o Online Safety Bill entrar em vigor
- Whittaker disse que uma “agenda regulatória anti-criptografia” começou a aparecer por volta de 2018, e foi então que ela passou a encarar o tema com senso de urgência
- Ela entrou no Signal em 2022, já tendo atuado como consultora de IA da FTC dos EUA e sido uma das líderes da greve do Google em 2018
1 comentários
Opiniões do Hacker News
O governo parece querer ter os dois lados. Quando surge uma nova tecnologia, ele acha que os poderes investigativos e as práticas que eram possíveis com uma tecnologia anterior semelhante devem ser mantidos, mas não tenta preservar da mesma forma os interesses públicos ou direitos ligados à tecnologia que está sendo substituída
Por exemplo, escutas telefônicas levam ao enfraquecimento da criptografia, mas quando transações anônimas em dinheiro desaparecem, não fica claro o que garante esse anonimato. Também há uma tendência de trazer de volta até batalhas já perdidas, e o Reino Unido provavelmente também teve precedentes de grandes fracassos ao tentar enfraquecer a criptografia por lei ou inserir backdoors, como nas guerras da criptografia dos anos 1990 nos EUA. É lamentável que os precedentes se acumulem só a favor de um lado
Já os legados consuetudinários como a possibilidade de fazer transações anônimas com dinheiro não têm uma memória institucional tão clara sobre a intenção por trás do sistema. Quem usava moedas de ouro como meio comum de troca em escambo não estava pensando em anonimato, então fica difícil julgar se o anonimato deve ser preservado como essência das transações em dinheiro em novos sistemas, ou se era apenas um detalhe de implementação decorrente da tecnologia da época
Os direitos que temos são direitos inerentes, que possuímos automaticamente por sermos humanos, não algo concedido pelo governo ou por outra pessoa; e, se o governo não consegue ajudar a preservá-los, ele deixa de ser legítimo. Jefferson expressou isso muito melhor: “Consideramos estas verdades autoevidentes: que todos os homens são criados iguais, que são dotados por seu Criador de certos direitos inalienáveis, entre eles a Vida, a Liberdade e a busca da Felicidade…”
Às vezes, e de forma imperfeita. Você pode ter acesso a parte das imagens apresentadas pela promotoria como prova, mas o Estado tem acesso ao conjunto completo de imagens de várias fontes. Se houvesse o mesmo direito de acesso, talvez eu pudesse encontrar prova de que estava em outro lugar naquele momento, de que o objeto filmado veio de outro lugar e não da minha casa, de que a pessoa trocou de roupa pouco antes do crime, ou até de que poderia ter sido o próprio policial que fez a denúncia, e até o contexto de que eu avancei o sinal vermelho porque já tinha esperado 10 minutos e o semáforo estava quebrado
Agora é completamente diferente. Formuladores de políticas estão exigindo a capacidade de escanear mensagens em tempo real sem mandado. Isso é totalmente diferente do ponto de vista técnico e também no impacto que terá sobre a privacidade no futuro
A entrevista de TV com o ex-ministro responsável por essa lei terrível foi urgente e necessária. Os legisladores sabem o que estão fazendo e também sabem que isso é antiético
O Signal pode sair do mercado britânico. Se as pessoas querem liberdade, precisam tomá-la por conta própria. Parece que não existe mais nenhuma nova frase capaz de subitamente iluminar burocratas do governo e fazê-los abandonar esse caminho de atomizar completamente os cidadãos. O maior serviço que o Signal poderia prestar ao povo britânico talvez fosse encerrar preventivamente suas operações no Reino Unido. O totalitarismo cria raízes mais profundas quanto mais tempo as pessoas acreditam que estão seguras
https://www.youtube.com/watch?v=E--bVV_eQR0
Esse parlamentar, Damian Collins, é uma pessoa que “foi ministro júnior para tecnologia e economia digital no Department for Digital, Culture, Media and Sport”:
https://en.wikipedia.org/wiki/Damian_Collins
Referência:
https://en.wikipedia.org/wiki/Four_Horsemen_of_the_Infocalyp...
É difícil entender o que o Reino Unido pretende alcançar com a vigilância constante atual. O crime é generalizado em Londres, e em algumas áreas o furto está quase descriminalizado, mas agora querem vigiar até o que as pessoas fazem na internet
Qual poderia ser o alvo além de contribuintes dóceis? Os serviços públicos pioram continuamente, o custo de vida está fora de controle e a qualidade de vida também está caindo. Será que só querem uma população obediente e apática?
A população do Reino Unido é de 67 milhões, menos de 1% do mundo. Entre cumprir uma lei antiética dessas e abrir mão de 1% dos clientes, o que sai mais barato? Se você fosse abrir uma filial, escolheria um lugar onde várias ferramentas não funcionam e é preciso passar por inúmeros procedimentos, ou escolheria a França do outro lado do Canal, os EUA do outro lado do Pacífico, ou até mesmo lugares como a Czechia? Como muitos regimes isolacionistas, a England é um dos países mais odiados do mundo e parece estar se isolando por conta própria de antigos amigos. Se essa tendência seguir como previsto, é triste pela Scotland. Ela tem 0% de culpa, mas vai arcar integralmente com as consequências junto
O que o Reino Unido quer alcançar é manter o máximo possível um poder estatal controlador. Não há liberdade de expressão, quase não há direitos humanos significativos, o povo está à mercê do governo, e o governo quer manter esse estado de coisas. Aplicativos como o Signal dão às pessoas um pouco de liberdade de expressão. Talvez você não possa dizer publicamente o que quer, mas pelo menos pode dizer isso a outras pessoas sem ser cancelado ou preso por uma opinião de que o governo não gosta
Este é o legado de longo prazo da polêmica da varredura de fotos CSAM da Apple. A Apple colocou esse conceito no mainstream, demonstrou uma ferramenta distópica e legitimou a discussão dessa loucura distópica
Os executivos da Apple deveriam se envergonhar do papel direto que desempenharam
Leis parecidas estão sendo propostas no Reino Unido, na UE, na Australia e no Canada. Não tenho certeza sobre os dois últimos
Você não vê a diferença? Uma empresa que se apresenta como defensora da privacidade tentou fazer, de forma preservando a privacidade, algo que todos já faziam. Publicou um comunicado à imprensa e todo mundo ficou furioso. Enquanto isso, as mesmas pessoas usam sem problema Google e Microsoft, que fazem varredura ativa dos dados delas atrás do mesmo tipo de imagem. Realmente não entendo essa lógica
Parece que os britânicos não se importam tanto assim com privacidade
Quem convence os políticos de que é uma boa ideia deixar agências de segurança escanearem todas as suas mensagens? Tenho certeza de que os políticos não fazem a menor ideia do que estão sendo pressionados a implementar
Na lei francesa que permite ao governo hackear celulares, há tantas exceções que acaba não sendo legal o governo hackear o celular de pessoas importantes
Aquele parlamentar da entrevista é o que acontece quando você dá a alguém que gosta de discutir ética na seção de comentários de sites de notícias o poder de arrombar portas e prender pessoas
Petição para cidadãos britânicos: https://petition.parliament.uk/petitions/634725
Parece que só ação direta no nível de ser tratado como vilão pela imprensa faz os políticos realmente ouvirem. E mesmo isso é uma subida íngreme enorme. A sensação é realmente de não ser representado
É bom que Whittaker esteja enfrentando isso, mas seria ainda melhor se não precisássemos depender apenas da palavra dela. Builds reproduzíveis ajudariam, mas isso ainda parece não existir no iOS:
https://community.signalusers.org/t/add-reproducible-builds-...
Na frase “o modelo de negócios de vigilância foi interpolado na infraestrutura central ao longo de décadas, a ponto de nem termos mais noção do quanto somos vigiados...”, ele quis mesmo dizer infiltrated? Ou existe algum uso válido de interpolated que eu desconheça? Eu esperava um [sic] ou uma correção na matéria
Já se passaram 20 anos por debaixo dessa ponte. Parece que toda essa discussão está acontecendo na década errada, talvez com 10 anos de atraso
O problema agora é que dá para coletar com facilidade demais as informações contextuais que vazam o tempo todo de apps de GPS, buscas, pagamentos com cartão, cliques, dados de torres de celular etc., a ponto de o governo nem precisar mais do conteúdo real das mensagens. Ainda assim, é bom que o Signal exista, mas ele é só uma parte do complicado mundo da privacidade, não uma armadura mágica
Ainda tenho esperança de que a incompetência do governo para lidar com outros problemas se transfira para este também e atrase tudo o bastante até que alguém minimamente sensato chegue ao poder e revogue isso. Pelo menos dá para esperar que tratem primeiro da crise do custo de vida e da guerra na Ucrânia
Mas o Labour e quase todos os principais partidos de oposição estão calados sobre isso e não estão fazendo direito o papel de oposição. Então, mesmo que atrase, não sei o quanto isso realmente vai mudar