O debate sobre o papel e a ação das plataformas como intermediários de nossa ação na rede precisa ser feito, mas talvez valha-se bem de um olhar reflexivo, que pode parecer ultrapassado, mas que recorre a conceitos básicos. Houve (e ainda há!) uma categoria de intermediários que deveria seguir imune e, penso, devia ser estimulada: a dos que se limitam ao clássico papel de apenas carregar a mensagem, ignorando seu conteúdo. Na velha telefonia e no correio em papel é vedado ao portador o conteúdo do que carrega.
Com o poder da tecnológia e com o atrativo valor de dados e meta-dados, essa categoria de intermediários clássicos mirrou. E, estranhamento, ao invés de estimulos, a categoria pode até sofrer reveses a partir de “boas intenções” de governos.Se em seu início a Internet nunca se preocupou com o monitoramento/captura de mensagens, com o crescimento do número de usuários e sua concentração em plataformas, essa preocupação voltou forte: basta relembrar o caso Snowden e implicações. Assim, uma ferramente antiga algo esquecida reaparece como possível solução para a privacidade de conteúdos: o uso de criptografia forte. Sem dúvida, esse “forte” pode até ser redefinido com tecnologias novas, mas fica claro que o usuário quer se proteger. Mais que isso, aplicativos de mensageria que buscam atrair esses usuários cautelosos, anunciam criptografia forte ponta-a-ponta como proteção, e que nem eles (os aplicativos) podem ter acesso ao conteúdo.
Se do lado brasileiro a LGPD vem como uma forma muito importante de proteger dados, mesmo que o conteúdo em si da comunicação não esteja muito em pauta, à guisa do combate ao crime há governos que passaram leis obrigando os intermediários a criar uma “porta dos fundos” que permita a leitura do que estiver criptografado. Sem entrar no mérito moral da decisão (certamente, a muitos ela parece eticamente descabida), há restrições técnicas bastante claras. Ora, se há um subterfúgio para acessar conteúdo criptografado, seria no mínimo ingênuo achar que essa “porta” não será usada também por outros atores menos nobres…
Nesta semana soube-se de efeito colateral de tais leis: na Inglaterra, onde uma lei que existe desde 2016 obriga um fornecedor de mensageria com criptografia forte a criar uma “porta” de acesso ao governo. Um operador (Apple) que fornece esse tipo de proteção ao usuário decidiu-se por desabilitar criptografia para os usuários ingleses. Afinal seria uma desonestidade anunciar uma criptografia forte, ao mesmo tempo em que se cria uma brecha de acesso. Mesmo que hoje a “porta dos fundos” esteja apenas nas mãos do governo inglês, não demorá muito até ela ser descoberta pelos que vão querer usá-la para o mal. Afinal, se há uma brecha de segurança, alguém a explorará. Com isso o tiro sai pela culatra e parte dos usuários perde a possibilidade de usar criptografia forte, dado que, com a criação obrigatória da brecha, não há como garantir que ela continue “forte”. Como reza o velho adágio, “o caminho do inferno está atapetado de boas intenções”.
===
UK Is Ordering Apple to Break Its Own Encryption
The Washington Post is reporting[1] that the UK government has
served Apple with a "technical capability notice" as defined by the
2016 Investigatory Powers Act, requiring it to break the Advanced
Data Protection encryption in iCloud for the benefit of law
enforcement.
This is a big deal, and something we in the security community have
worried was coming for a while now. The law, known by critics as the Snoopers' Charter, makes it a
criminal offense to reveal that the government has even made such a
demand. An Apple spokesman declined to comment.
Apple can appeal the U.K. capability notice to a secret technical
panel, which would consider arguments about the expense of the
requirement, and to a judge who would weigh whether the request was
in proportion to the government's needs. But the law does not permit
Apple to delay complying during an appeal.
In March, when the company was on notice that such a requirement
might be coming, it told Parliament: "There is no reason why the
U.K. [government] should have the authority to decide for citizens
of the world whether they can avail themselves of the proven
security benefits that flow from end-to-end encryption."
Apple is likely to turn the feature off for UK users rather than break
it for everyone worldwide. Of course, UK users will be able to spoof
their location. But this might not be enough. According to the law,
Apple would not be able to offer the feature to anyone who is in the UK
at any point: for example, a visitor from the US.
And what happens next? Australia has a law enabling it to ask for the
same thing. Will it? Will even more countries follow?
This is madness.
===
"The road to hell is paved with good intentions"
https://en.wikipedia.org/wiki/The_road_to_hell_is_paved_with_good_intentions
