4 pontos por GN⁺ 2023-07-16 | 1 comentários | Compartilhar no WhatsApp
  • Se o Online Safety Bill do Reino Unido exigir varredura de mensagens antes da criptografia ou um backdoor, o Signal afirma que se recusará a implementar isso e aceitará até sair do mercado britânico
  • Meredith Whittaker considera que não é possível criar um “backdoor que só deixa passar pessoas boas” e vê essas exigências como algo que enfraquece a segurança das comunicações e da infraestrutura
  • O projeto de lei foi redigido pela primeira vez em maio de 2021 e busca dar ao governo o poder de exigir acesso por backdoor a todos os sistemas com criptografia de ponta a ponta
  • O governo britânico diz que a medida visa remover conteúdo ilegal, como pornografia de vingança e discurso de ódio, mas empresas de tecnologia, especialistas em segurança e defensores da privacidade têm reagido fortemente
  • O Signal tem 125 milhões de downloads, menor que os 2 bilhões de usuários do WhatsApp, mas as duas empresas já indicaram que deixariam o Reino Unido se a lei entrar em vigor

Posição de recusa do Signal e possibilidade de saída

  • A presidente do Signal, Meredith Whittaker, voltou a criticar o proposto Fortune Brainstorm Tech e o Online Safety Bill do Reino Unido
  • A posição da empresa é que não obedecerá caso a lei exija um backdoor especial para acessar mensagens criptografadas
    • Ela disse que “eles vão nos ordenar a implementar isso”, mas “nós não vamos fazer isso”
    • Também mantém a posição de que deixará o mercado britânico se a lei for aplicada
  • Whittaker afirma que a abordagem exigida pelo governo é “matematicamente impossível” e que um backdoor enfraquece a segurança das comunicações e da infraestrutura

Criptografia de ponta a ponta e crítica à vigilância

  • A missão central do Signal é priorizar a privacidade e a segurança dos usuários
  • O protocolo de criptografia de ponta a ponta do Signal garante que as mensagens só possam ser acessadas por destinatários confiáveis
  • Whittaker considera que, com a entrada do modelo de negócios baseado em vigilância na infraestrutura central, a vigilância se espalhou em um nível que as pessoas muitas vezes nem percebem
  • Ela trata como uma de suas principais missões conter a expansão socialmente aceita da vigilância

Exigências do Online Safety Bill do Reino Unido

  • O Online Safety Bill do Reino Unido foi redigido pela primeira vez em maio de 2021
  • O projeto busca dar ao governo o poder de exigir acesso por backdoor a todos os sistemas de criptografia de ponta a ponta
  • O governo britânico apresenta isso sob a justificativa de reforçar a segurança online
    • A lógica é garantir que plataformas de mídia social removam conteúdo ilegal, como pornografia de vingança e discurso de ódio
  • Grandes empresas de tecnologia, especialistas em segurança e defensores da privacidade têm reagido fortemente contra o projeto
    • O TechCrunch avalia que pode haver uma saída de serviços criptografados do Reino Unido

Conflito entre o argumento de segurança e o potencial de abuso

  • Mensageiros criptografados como Signal, Telegram e WhatsApp são usados para comunicações seguras legítimas, mas também podem ser usados por agentes mal-intencionados
  • Vendedores de drogas, traficantes de armas e hackers que distribuem malware também podem querer privacidade para atividades ilegais
  • O Reino Unido entende que backdoors seriam necessários para impedir esse tipo de atividade ilegal
  • Whittaker rebate que não é possível criar um “backdoor que só deixa passar pessoas boas”
    • Ela descreve isso como matematicamente impossível
    • E considera que backdoors enfraquecem a segurança das comunicações centrais e da infraestrutura crítica

Casos de acesso a mensagens privadas e preocupações

  • Whittaker citou, como exemplo dos riscos do acesso governamental a mensagens privadas de usuários, um caso envolvendo mãe e filha em Nebraska
  • Nesse caso, uma mãe, junto com a filha de 18 anos, enfrenta até 2 anos de prisão por supostamente ter fornecido medicamento para aborto à filha
  • Investigadores apresentaram um mandado de busca ao Facebook e obtiveram acesso às DMs das duas, e a Vice informou que isso ajudou na acusação
  • Whittaker considera que não se deve permitir que uma única grande empresa, com quase nenhuma supervisão, coopere com o governo para definir a sociedade de vigilância em que as pessoas vivem

Pressão conjunta de Signal e WhatsApp

  • O Signal tem 125 milhões de downloads, muito menos que os 2 bilhões de usuários do WhatsApp
  • Ainda assim, as duas empresas já avisaram que sairão do Reino Unido se o Online Safety Bill entrar em vigor
  • Whittaker disse que uma “agenda regulatória anti-criptografia” começou a aparecer por volta de 2018, e foi então que ela passou a encarar o tema com senso de urgência
  • Ela entrou no Signal em 2022, já tendo atuado como consultora de IA da FTC dos EUA e sido uma das líderes da greve do Google em 2018

1 comentários

 
GN⁺ 2023-07-16
Opiniões do Hacker News
  • O governo parece querer ter os dois lados. Quando surge uma nova tecnologia, ele acha que os poderes investigativos e as práticas que eram possíveis com uma tecnologia anterior semelhante devem ser mantidos, mas não tenta preservar da mesma forma os interesses públicos ou direitos ligados à tecnologia que está sendo substituída
    Por exemplo, escutas telefônicas levam ao enfraquecimento da criptografia, mas quando transações anônimas em dinheiro desaparecem, não fica claro o que garante esse anonimato. Também há uma tendência de trazer de volta até batalhas já perdidas, e o Reino Unido provavelmente também teve precedentes de grandes fracassos ao tentar enfraquecer a criptografia por lei ou inserir backdoors, como nas guerras da criptografia dos anos 1990 nos EUA. É lamentável que os precedentes se acumulem só a favor de um lado

    • Quando governos, dentro da história registrada, criam leis como as de interceptação, a intenção legislativa dessa lei costuma ser relativamente clara. Em geral, a ideia é conceder explicitamente ao governo certos poderes, em situações específicas, em nome do interesse público; por isso, mesmo quando a tecnologia muda, os tribunais tentam preservar essa intenção ao aplicar a lei a casos fora do escopo original
      Já os legados consuetudinários como a possibilidade de fazer transações anônimas com dinheiro não têm uma memória institucional tão clara sobre a intenção por trás do sistema. Quem usava moedas de ouro como meio comum de troca em escambo não estava pensando em anonimato, então fica difícil julgar se o anonimato deve ser preservado como essência das transações em dinheiro em novos sistemas, ou se era apenas um detalhe de implementação decorrente da tecnologia da época
    • Esses governos parecem ter esquecido que existem com a permissão dos cidadãos. O governo existe para proteger direitos, não para ampliar o próprio poder
      Os direitos que temos são direitos inerentes, que possuímos automaticamente por sermos humanos, não algo concedido pelo governo ou por outra pessoa; e, se o governo não consegue ajudar a preservá-los, ele deixa de ser legítimo. Jefferson expressou isso muito melhor: “Consideramos estas verdades autoevidentes: que todos os homens são criados iguais, que são dotados por seu Criador de certos direitos inalienáveis, entre eles a Vida, a Liberdade e a busca da Felicidade…”
    • As vantagens sempre vão só para um lado. Seria possível acoplar vigilância automática a policiais e políticos em todo o sistema de câmeras de trânsito, leitores de placas e reconhecimento facial para pegá-los quando violam a lei, ou rastrear seus deslocamentos e relações do mesmo modo que eles rastreiam os de todos? Será que o mesmo acesso às imagens de câmera que o Estado usa para alegar culpa também poderia ser usado igualmente para provar inocência?
      Às vezes, e de forma imperfeita. Você pode ter acesso a parte das imagens apresentadas pela promotoria como prova, mas o Estado tem acesso ao conjunto completo de imagens de várias fontes. Se houvesse o mesmo direito de acesso, talvez eu pudesse encontrar prova de que estava em outro lugar naquele momento, de que o objeto filmado veio de outro lugar e não da minha casa, de que a pessoa trocou de roupa pouco antes do crime, ou até de que poderia ter sido o próprio policial que fez a denúncia, e até o contexto de que eu avancei o sinal vermelho porque já tinha esperado 10 minutos e o semáforo estava quebrado
    • O que está acontecendo agora é muito pior do que a primeira guerra da criptografia. Naquela época, o governo em geral queria, com mandado, acessar ocasionalmente as comunicações de suspeitos de crimes, e sistemas como o Clipper chip até especificavam mecanismos para limitar esse acesso
      Agora é completamente diferente. Formuladores de políticas estão exigindo a capacidade de escanear mensagens em tempo real sem mandado. Isso é totalmente diferente do ponto de vista técnico e também no impacto que terá sobre a privacidade no futuro
    • Claro. Isto é guerra de classes. Pouca gente, ao ouvir a expressão “guerra de classes”, pensa na semelhança estrutural com uma guerra real, mas ela claramente existe. O governo não vai lançar bombas sobre Londres, mas o destino é o mesmo
  • A entrevista de TV com o ex-ministro responsável por essa lei terrível foi urgente e necessária. Os legisladores sabem o que estão fazendo e também sabem que isso é antiético
    O Signal pode sair do mercado britânico. Se as pessoas querem liberdade, precisam tomá-la por conta própria. Parece que não existe mais nenhuma nova frase capaz de subitamente iluminar burocratas do governo e fazê-los abandonar esse caminho de atomizar completamente os cidadãos. O maior serviço que o Signal poderia prestar ao povo britânico talvez fosse encerrar preventivamente suas operações no Reino Unido. O totalitarismo cria raízes mais profundas quanto mais tempo as pessoas acreditam que estão seguras

    • A insinuação de que o Reino Unido implementaria conscrição para a guerra na Ucrânia para empurrar uma agenda totalitária é estranha, desnecessariamente conspiratória e atrapalha o argumento principal. Seria melhor desenvolver bem uma única tese
    • Clipe da Channel 4 News:
      https://www.youtube.com/watch?v=E--bVV_eQR0
      Esse parlamentar, Damian Collins, é uma pessoa que “foi ministro júnior para tecnologia e economia digital no Department for Digital, Culture, Media and Sport”:
      https://en.wikipedia.org/wiki/Damian_Collins
      Referência:
      https://en.wikipedia.org/wiki/Four_Horsemen_of_the_Infocalyp...
    • Eu não sabia que o exército russo estava recrutando no Reino Unido
    • Dadas as mudanças recentes no conselho do Signal, especialmente Katherine Maher e pessoas muito próximas do governo dos EUA, é razoável considerar que ele tenha sido comprometido de algum modo. O Reino Unido pode ter percebido isso e estar tentando tornar um pouco mais difícil para diplomatas americanos evitarem interceptação. Enquanto isso, França e Alemanha provavelmente usariam o Element Matrix
  • É difícil entender o que o Reino Unido pretende alcançar com a vigilância constante atual. O crime é generalizado em Londres, e em algumas áreas o furto está quase descriminalizado, mas agora querem vigiar até o que as pessoas fazem na internet
    Qual poderia ser o alvo além de contribuintes dóceis? Os serviços públicos pioram continuamente, o custo de vida está fora de controle e a qualidade de vida também está caindo. Será que só querem uma população obediente e apática?

    • O resultado visível agora é o isolacionismo. Com o Brexit, fazer negócios com o Reino Unido de repente ficou muito mais complicado e caro, e backdoors obrigatórias vão quebrar muitos produtos e os produtos que dependem deles
      A população do Reino Unido é de 67 milhões, menos de 1% do mundo. Entre cumprir uma lei antiética dessas e abrir mão de 1% dos clientes, o que sai mais barato? Se você fosse abrir uma filial, escolheria um lugar onde várias ferramentas não funcionam e é preciso passar por inúmeros procedimentos, ou escolheria a França do outro lado do Canal, os EUA do outro lado do Pacífico, ou até mesmo lugares como a Czechia? Como muitos regimes isolacionistas, a England é um dos países mais odiados do mundo e parece estar se isolando por conta própria de antigos amigos. Se essa tendência seguir como previsto, é triste pela Scotland. Ela tem 0% de culpa, mas vai arcar integralmente com as consequências junto
    • Quando se descreve a situação do Reino Unido assim, normalmente a pessoa é cancelada, recebe uma enxurrada de downvotes e é chamada de extremista de direita. Na verdade, é até surpreendente eu não ter sido downvotado nem denunciado
      O que o Reino Unido quer alcançar é manter o máximo possível um poder estatal controlador. Não há liberdade de expressão, quase não há direitos humanos significativos, o povo está à mercê do governo, e o governo quer manter esse estado de coisas. Aplicativos como o Signal dão às pessoas um pouco de liberdade de expressão. Talvez você não possa dizer publicamente o que quer, mas pelo menos pode dizer isso a outras pessoas sem ser cancelado ou preso por uma opinião de que o governo não gosta
  • Este é o legado de longo prazo da polêmica da varredura de fotos CSAM da Apple. A Apple colocou esse conceito no mainstream, demonstrou uma ferramenta distópica e legitimou a discussão dessa loucura distópica
    Os executivos da Apple deveriam se envergonhar do papel direto que desempenharam

    • Não. Isso já vinha acontecendo desde que empresas de tecnologia começaram a adotar mensagens com criptografia de ponta a ponta após as revelações de Snowden, e na prática era inevitável
      Leis parecidas estão sendo propostas no Reino Unido, na UE, na Australia e no Canada. Não tenho certeza sobre os dois últimos
    • Essas leis já estavam em preparação muito antes de a Apple propor a ferramenta de varredura de CSAM. A tentativa da Apple era uma resposta preventiva para aliviar a pressão por esse tipo de lei, mas a reação contrária foi tão grande que a estratégia fracassou
    • Isso não tem absolutamente nada a ver com aquilo. Dropbox, Google, Meta e Microsoft já fazem varredura de imagens CSAM na nuvem. A Apple não fazia varredura de CSAM na nuvem, e ainda não faz
      Você não vê a diferença? Uma empresa que se apresenta como defensora da privacidade tentou fazer, de forma preservando a privacidade, algo que todos já faziam. Publicou um comunicado à imprensa e todo mundo ficou furioso. Enquanto isso, as mesmas pessoas usam sem problema Google e Microsoft, que fazem varredura ativa dos dados delas atrás do mesmo tipo de imagem. Realmente não entendo essa lógica
    • Os pervertidos que distribuem esse tipo de conteúdo vão criptografá-lo antes e distribuí-lo nessa ou em outras plataformas, e tudo o que vai sobrar para nós é vigilância em massa e controle estatal. É triste que tanta gente ainda não entenda que esse tipo de vigilância não resolve nada e é uma perda líquida para todos. Em breve, o Ocidente também pode se tornar um Estado totalitário como a China
    • Essa luta remonta aos anos 90, quando os consumidores colocaram as mãos em criptografia forte pela primeira vez e o governo dos EUA tentou inserir backdoors. A tentativa falhou, e continua falhando toda vez que as agências de inteligência voltam a tirá-la da gaveta
      Parece que os britânicos não se importam tanto assim com privacidade
  • Quem convence os políticos de que é uma boa ideia deixar agências de segurança escanearem todas as suas mensagens? Tenho certeza de que os políticos não fazem a menor ideia do que estão sendo pressionados a implementar

    • Essa lei não se aplica a políticos. Na verdade, eles estão explicitamente excluídos
    • As mensagens dos políticos não serão escaneadas. Eles certamente vão garantir isso, e só as mensagens da plebe serão escaneadas
      Na lei francesa que permite ao governo hackear celulares, há tantas exceções que acaba não sendo legal o governo hackear o celular de pessoas importantes
    • A maioria deles são pessoas que, aos olhos da maioria dos não políticos, estão bem perto do “mal”. Quem entra nessa profissão quer controlar os outros por meio do monopólio da violência que o governo detém
      Aquele parlamentar da entrevista é o que acontece quando você dá a alguém que gosta de discutir ética na seção de comentários de sites de notícias o poder de arrombar portas e prender pessoas
    • Alguém com dinheiro ou capital político, e que quer enfraquecer a criptografia
    • Pelo menos isso faria com que você não perdesse acesso a todas as mensagens quando esquecesse o PIN do celular
  • Petição para cidadãos britânicos: https://petition.parliament.uk/petitions/634725

    • Não gosto de ser esse tipo de pessoa, mas essas petições já ajudaram de fato alguma vez? Entre as que acompanhei até o debate, não consigo lembrar de nenhum caso de sucesso além de receberem um firme “não” do governo atual
      Parece que só ação direta no nível de ser tratado como vilão pela imprensa faz os políticos realmente ouvirem. E mesmo isso é uma subida íngreme enorme. A sensação é realmente de não ser representado
    • cidadãos e residentes
  • É bom que Whittaker esteja enfrentando isso, mas seria ainda melhor se não precisássemos depender apenas da palavra dela. Builds reproduzíveis ajudariam, mas isso ainda parece não existir no iOS:
    https://community.signalusers.org/t/add-reproducible-builds-...

    • A Apple precisaria decidir fornecer os pacotes em forma não criptografada para que todos pudessem acessá-los e verificá-los. Nesse caso, seria possível
  • Na frase “o modelo de negócios de vigilância foi interpolado na infraestrutura central ao longo de décadas, a ponto de nem termos mais noção do quanto somos vigiados...”, ele quis mesmo dizer infiltrated? Ou existe algum uso válido de interpolated que eu desconheça? Eu esperava um [sic] ou uma correção na matéria

    • Interpolate pode significar inserir material externo de forma a alterar ou corromper algo. Só que eu só tinha visto esse uso em textos
    • Há um significado menos comum de interpolated, no sentido de algo ter sido alterado, geralmente com nuance de corrupção. Normalmente vejo isso para descrever textos, mas aqui também funciona
    • Com certeza era infiltrated
  • Já se passaram 20 anos por debaixo dessa ponte. Parece que toda essa discussão está acontecendo na década errada, talvez com 10 anos de atraso
    O problema agora é que dá para coletar com facilidade demais as informações contextuais que vazam o tempo todo de apps de GPS, buscas, pagamentos com cartão, cliques, dados de torres de celular etc., a ponto de o governo nem precisar mais do conteúdo real das mensagens. Ainda assim, é bom que o Signal exista, mas ele é só uma parte do complicado mundo da privacidade, não uma armadura mágica

    • Eu usava uma camiseta com a frase “esta camiseta é um artefato militar”. Daqui a 25 anos, talvez olhemos para trás e vejamos a criptografia como ferramenta de privacidade não como solução, mas como sedativo. Fico pensando se ela não impediu as pessoas mais inteligentes de enxergar o quão ruim a situação estava e de gastar coragem nesses problemas
  • Ainda tenho esperança de que a incompetência do governo para lidar com outros problemas se transfira para este também e atrase tudo o bastante até que alguém minimamente sensato chegue ao poder e revogue isso. Pelo menos dá para esperar que tratem primeiro da crise do custo de vida e da guerra na Ucrânia
    Mas o Labour e quase todos os principais partidos de oposição estão calados sobre isso e não estão fazendo direito o papel de oposição. Então, mesmo que atrase, não sei o quanto isso realmente vai mudar