Perché il requisito di interoperabilità dell'UE minaccia la sicurezza della crittografia

Una nuova legge nell'Unione Europea richiederebbe alle aziende Big Tech di riprogettare le proprie app di messaggistica per funzionare perfettamente con tutte le altre sul mercato.

In teoria, la legge renderà più facile chattare con i tuoi amici e familiari, indipendentemente dal fatto che utilizzino iMessage, WhatsApp o Signal. Tuttavia, questa interoperabilità forzata nella rete potrebbe causare problemi di sicurezza significativi.

Che cos'è la crittografia nella messaggistica e perché è importante?

La maggior parte dei messaggi che invii utilizzando un'app di messaggistica non saranno crittografati. Ciò significa che terze parti possono leggerli mentre viaggiano tra il tuo telefono e la persona a cui stai scrivendo.

Se vuoi mantenere segreto il contenuto dei tuoi messaggi, dovrai utilizzare un'app che offra la crittografia end-to-end (o E2E). Questo crea una specie di comunicazione sicura che assicura solo tu e i tuoi interlocutori potete leggere ciò che vi inviate.

La crittografia end-to-end garantisce che tutti i messaggi che tu e il tuo interlocutore inviate rimangano al sicuro mentre viaggiate tra i vostri telefoni, proteggendoli dall'essere letti o modificati da terzi. Queste terze parti includono fornitori di servizi Internet, compagnie telefoniche e persino l'app di messaggistica stessa.

Di conseguenza, il team di sviluppo dell'app non può consegnare i tuoi messaggi a inserzionisti, forze dell'ordine o chiunque altro voglia leggerli. Questa crittografia impedisce inoltre a terzi di modificare i messaggi in transito.

La maggior parte delle principali app di messaggistica offre una sorta di crittografia. Tuttavia, le funzionalità di crittografia specifiche offerte possono variare da app a app.

In che modo il Digital Markets Act potrebbe minacciare la crittografia

Il 24 marzo 2022, gli organi di governo dell'UE hanno annunciato di aver raggiunto un accordo su una nuova legislazione per governare la Big Tech in Europa. Si chiama il Legge sui mercati digitali (o DMA). Uno dei cambiamenti più significativi nella nuova legge è il requisito che tutte le grandi aziende tecnologiche creino prodotti interoperabili con piattaforme più piccole.

Ciò significa che tutte le app di messaggistica delle aziende Big Tech dovranno essere in grado di inviare messaggi, scambiare file ed effettuare videochiamate con tutte le altre app di messaggistica, il che è positivo in molti modi. L'interoperabilità significa che le aziende Big Tech come Meta, Google e Apple devono considerare quelle più piccole quando creano nuove app o piattaforme.

Nel 2021, Meta ha subito un'interruzione globale quando il suo Border Gateway Protocol (BGP) ha avuto un errore di configurazione, lasciando tutte le sue risorse offline per oltre 6 ore. Quando aziende come Meta commettono errori, miliardi di utenti potrebbero risentirne.

Tuttavia, le dimensioni di queste attività possono isolarle dalle conseguenze di passi falsi anche gravi. I requisiti di interoperabilità potrebbero mantenere Big Tech responsabile nei confronti dei consumatori e del mondo tecnologico in generale.

Inoltre, il requisito di interoperabilità del Digital Markets Act potrebbe porre problemi alle app che offrono la crittografia E2E.

Perché l'interoperabilità può rendere la crittografia più difficile da implementare

Le app di messaggistica implementano la crittografia in modi diversi o utilizzano vari standard di crittografia. Sfortunatamente, è quasi impossibile far funzionare tutte queste strategie insieme.

Gli sviluppatori di app dovranno scendere a compromessi per garantire l'interoperabilità. Potrebbe emergere un approccio di "denominatore comune più basso", in cui le app implementano il sistema di crittografia più semplice possibile. Ad esempio, immagina un'app di messaggistica che supporta la crittografia per le chat di gruppo ma un'altra che lo fa solo per le conversazioni individuali.

La piena interoperabilità può significare che gli sviluppatori scelgono di implementare il sistema più semplice che funzionerà con altre app sul mercato. Ciò probabilmente richiederebbe loro di abbandonare funzionalità più complesse, come la crittografia della chat di gruppo.

In pratica, questo potrebbe rendere gli utenti molto più vulnerabili. I sistemi di crittografia meno sofisticati possono essere più facili da sconfiggere o non fornire una protezione completa da ficcanaso di terze parti.

Gli sviluppatori di app possono anche creare nuovi standard che glielo consentano armonizzare le loro pratiche di crittografia. Ad esempio, il protocollo SCIP (Secure Communications Interoperability Protocol) è uno standard statunitense per la comunicazione sicura di voce e dati. Uno standard simile per la crittografia della messaggistica E2E potrebbe aiutare gli sviluppatori a garantire l'interoperabilità senza sacrificare la funzionalità.

Alcune app di messaggistica popolari:come Segnale—sono abbastanza piccoli da non avere alcun impatto sui requisiti DMA. Tuttavia, questo non è vero per le migliori piattaforme come WhatsApp, che utilizza il protocollo Signal per la sua crittografia. Il DMA potrebbe significare che le funzionalità di crittografia di WhatsApp saranno indebolite o rimosse del tutto, rendendo più difficile per gli utenti mantenere private le proprie comunicazioni.

I requisiti di interoperabilità potrebbero indebolire la crittografia

Ci sono vantaggi per i requisiti di interoperabilità, come quelli del nuovo atto dell'UE sui mercati digitali. Tuttavia, richiederlo potrebbe anche incoraggiare gli sviluppatori a indebolire le funzionalità di crittografia delle app.

A breve, gli utenti potrebbero dover passare ad app sviluppate da società non Big Tech se desiderano la migliore tecnologia di crittografia possibile.

Cosa significa crittografato e i miei dati sono al sicuro?

Leggi Avanti

Circa l'autore