L'unità di crittografia E2E legislativa dell'UE e la tua privacy

Se sei uno degli 1,6 miliardi di utenti WhatsApp, stai già utilizzando la crittografia end-to-end (E2EE). Questa forma di comunicazione sicura significa che qualsiasi messaggio inviato a qualcuno può essere letto solo dal destinatari, tali messaggi di chat non possono essere intercettati da terze parti, inclusi governi e criminali.

Sfortunatamente, i criminali usano anche la crittografia per nascondere le loro tracce quando fanno cose dannose, rendendo le app di messaggistica sicure un obiettivo primario per la regolamentazione del governo. Nel Notizie recenti, il Consiglio d'Europa ha redatto una risoluzione per regolamentare l'E2EE, in quanto si dirige alla Commissione Europea per la sua forma definitiva.

La domanda è: siamo sul punto di perdere la nostra privacy sulle app di messaggistica?

Terror Spike mette in moto gli ingranaggi dell'UE

Sulla scia dei recenti attacchi in Francia e Austria, i primi ministri di entrambi i paesi, rispettivamente Emmanuel Macron e Sebastian Kurz, hanno introdotto un Consiglio dell'Unione europea (CoEU)

progetto di risoluzione il 6 novembre, volto a regolamentare le pratiche di crittografia end-to-end.

Il CoEU è l'organo di proposta che definisce la direzione delle politiche, mentre la Commissione europea elaborerà una legislazione attuabile da esso. Fortunatamente, in quanto apertura legislativa, il progetto di risoluzione non è così problematico per la privacy come ci si aspetterebbe:

• La risoluzione non fa alcuna proposta specifica per un divieto E2EE.
• Non propone l'implementazione di backdoor ai protocolli di crittografia.
• Afferma l'adesione dell'UE a una crittografia forte e ai diritti alla privacy.
• Serve come un invito agli esperti a esplorare appieno le misure di sicurezza nell'ambito della struttura "sicurezza nonostante la crittografia".

Tuttavia, la risoluzione propone un approccio mirato:

"Le autorità competenti devono poter accedere ai dati in modo lecito e mirato, nel pieno rispetto dei diritti fondamentali e del regime di protezione dei dati, pur sostenendo la sicurezza informatica".

Data la tendenza dei governi ad espandere la gamma di obiettivi validi, ciò potrebbe includere anche proteste legali. Nel caso della Francia, questo potrebbe essere il movimento dei gilet gialli, che è stato costretto a lasciare Facebook su un'app Telegram sicura.

È interessante notare che Telegram era la stessa app che la Russia aveva vietato poiché il team di sviluppo si rifiutava di creare una backdoor per il governo. La Corte europea dei diritti dell'uomo (CEDU) dell'UE ha stabilito tale divieto come una chiara violazione della libertà di espressione. La sentenza ha dato i suoi frutti come la Russia ha revocato il divieto di due anni di Telegram.

La sentenza Telegram della CEDU serve da salvaguardia futura?

Purtroppo, non sembra essere così. Nel 2019, la CEDU ha stabilito che la libertà di espressione sul tema dell'Olocausto non costituisce un diritto umano. Allo stesso tempo, la corte ha stabilito che la stessa libertà di espressione sul tema del genocidio armeno costituisce un diritto umano di libertà di parola. Queste decisioni incoerenti rivelano che la CEDU non sostiene gli standard universali.

Il progetto di risoluzione dell'UE ti interessa?

Se sei preoccupato che WhatsApp, Telegram, Viber e altre app E2EE ti espongano improvvisamente ad hacker e minatori di dati, non esserlo. All'interno dell'UE, probabilmente abbiamo a che fare con una soluzione ibrida, in cui le forze dell'ordine devono fornire ai tribunali una motivazione sufficiente per invadere la privacy.

D'altra parte, all'interno della sfera dei Cinque Occhi, sembra esserci un massiccio spingere a legiferare backdoor nelle app di messaggistica E2EE. Il respingimento della cittadinanza e delle ONG come la Electronic Frontier Foundation sarà fondamentale per evitare una legislazione così restrittiva sulla crittografia.

Relazionato: Che cos'è la sorveglianza "Five Eyes"?

Che cos'è la sorveglianza "Five Eyes"? Utenti VPN, attenzione!

Se pensi che le VPN ti proteggano dalla sorveglianza del governo, potresti sbagliarti. In realtà dipende da dove è ospitata la tua VPN.

Il pendio scivoloso dei governi che regolano la crittografia

Non è un segreto che le nazioni di tutto il mondo siano desiderose di minare la privacy dei cittadini per il bene della presunta sicurezza nazionale. Questa carica è di solito guidato dai Cinque Occhi alleanza dell'intelligence. Cercano di implementare l'approccio più ampio che impone agli sviluppatori di software integrare le backdoor nelle loro app. Ciò consentirebbe ai governi e alle società tecnologiche di accedere a qualsiasi dato privato a piacimento.

Sebbene i governi affermino retoricamente di avere misure di salvaguardia contro gli abusi, il loro curriculum è tutt'altro che eccezionale. Come Furono rivelate le perdite di Snowden, sembrano essere senza scrupoli nel modo in cui percepiscono il diritto dei cittadini alla privacy e all'evitamento degli abusi. Inoltre, le backdoor sono facilmente sfruttate dai criminali informatici, causando gravi danni economici ed erosione della fiducia.

Le backdoor obbligatorie non sono ancora una realtà, ma i governi possono utilizzare un potente arsenale di persuasione in qualsiasi momento in cui si verifica un atto criminale / terroristico. Pertanto, i governi hanno un impulso costante per erodere le protezioni della privacy, sostenendo che:

• I terroristi / criminali hanno lo stesso accesso ai protocolli di comunicazione crittografati dei cittadini rispettosi della legge.
• Pertanto, i protocolli di comunicazione crittografati devono essere indeboliti per il bene dei cittadini rispettosi della legge.

Cercare di raggiungere l'equilibrio tra i due è un processo in corso, recentemente messo sotto i riflettori pubblici dagli Stati membri dell'UE.

Perché è importante la crittografia E2E?

Quando le persone non vogliono pensare alle conseguenze dello stato di sorveglianza, spesso ricorrono all'argomento di base:

"Non ho nulla da nascondere."

Sfortunatamente, l'adesione a tale ingenuità non protegge la tua vita dagli abusi. Come il Scandalo sui dati di Facebook-Cambridge Analytica dimostrato, si dovrebbero trattare i propri dati personali con tanto rigore quanto si salvaguarderebbe la proprietà nella propria casa. Quando si viene privati ​​dei protocolli di crittografia E2E, si crea un ambiente che nutre:

• Autocensura come mentalità.
• Hacking e ricatto.
• Incapacità di essere un dissidente politico efficace o un giornalista.
• Aziende e governi che usano il tuo profilo psicologico contro di te.
• Rendere i governi meno responsabili delle loro politiche negative.
• Incapacità di proteggere efficacemente la proprietà intellettuale.

Proprio come i criminali hanno un facile accesso alle armi da fuoco, nonostante il loro divieto e lo stretto controllo in tutto il mondo, così anche i criminali si procurerebbero altri metodi di comunicazione. Allo stesso tempo, indebolire l'E2EE renderebbe le imprese e i singoli cittadini vulnerabili a un'ampia gamma di abusi.

Quali opzioni E2EE hai a disposizione?

Le backdoor nelle app di messaggistica possono essere eseguite in tre modi:

1. Accidentalmente da una cattiva codifica, che viene successivamente corretta quando viene scoperta la vulnerabilità.
2. Intenzionalmente da parte di agenzie governative che esercitano pressioni interne sulle aziende.
3. Intenzionalmente e apertamente per legge.

Dobbiamo ancora raggiungere il terzo scenario. Nel frattempo, prova a seguire queste linee guida sulla sicurezza quando scegli un'app di messaggistica sicura:

• Scegli app che hanno una buona esperienza di resistenza alla pressione e sono molto apprezzate dagli utenti.
• Se viene data un'opzione, scegli un software open source gratuito: app FOSS. Si tratta di app gestite dalla community, quindi l'implementazione backdoor verrebbe rapidamente rivelata. A volte, troverai anche queste app sotto l'acronimo FLOSS - software open source gratuito / libero.
• Quando si utilizza la posta elettronica, provare a utilizzare piattaforme di posta elettronica con protocolli di crittografia PGP o GPG.

Tenendo conto di questi fattori, ecco alcune buone app di messaggistica E2EE open source:

Segnale

Signal è diventato uno dei preferiti tra molti utenti attenti alla privacy e per buone ragioni. Utilizza Perfect Forward Secrecy (PFS) per tutti i tipi di messaggi: testo, audio e video. Signal inoltre non registra il tuo indirizzo IP, dandoti la possibilità di inviare messaggi autodistruggenti. Sui dispositivi Android, puoi persino renderla un'app predefinita per i tuoi messaggi SMS.

Tuttavia, Signal richiede la registrazione di un numero di telefono, oltre a non fornire l'autenticazione a due fattori (2FA). Nel complesso, questa app di messaggistica conforme al GDPR disponibile per tutte le piattaforme deve ancora essere superata.

Scarica: Segnale per Android | iOS | finestre (Gratuito)

Sessione

Derivato da Signal (un fork), Session mira ad avere funzionalità di sicurezza ancora più formidabili di Signal. A tal fine, ha integrato tutte le funzionalità di Signal ma ha escluso l'obbligo di avere un numero di telefono o un'e-mail per l'iscrizione. Non registra alcun metadato o indirizzo IP, ma non supporta ancora 2FA.

Il suo sviluppo open source è ancora in corso, quindi potresti riscontrare bug. Inoltre, è in fase di sviluppo anche il suo protocollo Onion Routing, utilizzato dal browser Tor.

Scarica: Sessione per Android | iOS | Mac | finestre | Linux (Gratuito)

Briar

Briar completamente decentralizzata è una delle ultime app FOSS con protocolli di messaggistica E2EE. In esclusiva per la piattaforma Android, Briar è la soluzione ideale per coloro che si preoccupano che un server memorizzi i propri messaggi. Briar rende questo impossibile impiegando protocolli peer-to-peer (P2P). Significa che solo tu e il destinatario potete memorizzare i messaggi.

Inoltre, Briar aggiunge un ulteriore livello di protezione utilizzando il protocollo Onion (Tor). Non è necessario offrire alcuna informazione per iniziare a utilizzare Briar tranne il nome del destinatario. Tuttavia, se cambi dispositivo, tutti i tuoi messaggi diventeranno irraggiungibili.

Scarica: Radica per Android (Gratuito)

Filo

Pur rimanendo open source, Wire è pensato per la messaggistica e la condivisione di gruppo, rendendolo ideale per gli ambienti aziendali. Non è gratuito tranne che per gli account personali. Oltre ai protocolli E2EE, Wire utilizza Proteus e WebRTC con PFS, oltre alla messaggistica a cancellazione automatica.

Wire richiede un numero di telefono / e-mail per registrarsi, oltre alla registrazione di alcuni dati personali. Inoltre non supporta 2FA. Tuttavia, la sua conformità al GDPR, la natura open source e gli algoritmi di crittografia all'avanguardia lo rendono ottimo per le organizzazioni aziendali.

Scarica: Filo per Android | iOS | Mac | ragnatela | Linux (Gratuito)

Non sei indifeso contro la marea che cambia

Alla fine, anche se i governi vietassero completamente l'E2EE o imponessero backdoor, i criminali troverebbero altri metodi. D'altra parte, la cittadinanza meno impegnata accetterebbe semplicemente il nuovo stato di cose: la sorveglianza di massa. Questo è il motivo per cui dobbiamo sbagliare dalla parte della cautela e respingere sempre per preservare il nostro diritto umano fondamentale alla privacy.

Perché dovresti preoccuparti delle tracce lasciate dalla tua impronta digitale

Lasci molte informazioni online senza nemmeno saperlo. Questa impronta digitale è un rischio per la tua privacy?

Circa l'autore