CEO di Signal: "Non parteciperemo al 1000%" alla legge del Regno Unito per indebolire la crittografia
#25Febbraio #BizIT #e2ee #endtoendencryption #signal
Contenuto originale di Ars Technica - All content
L'organizzazione no profit responsabile dell'app di messaggistica Signal è pronta a lasciare il Regno Unito se il paese richiede ai fornitori di comunicazioni crittografate di modificare i propri prodotti per garantire che i messaggi degli utenti siano privi di materiale dannoso per i bambini.
"Usciremmo assolutamente da qualsiasi paese se la scelta fosse tra rimanere nel paese e minare le rigide promesse sulla privacy che facciamo alle persone che si affidano a noi", ha detto ad Ars Meredith Whittaker, CEO di Signal. "Il Regno Unito non fa eccezione".
I commenti di Whittaker sono arrivati mentre il parlamento del Regno Unito stava elaborando una legislazione nota come disegno di legge sulla sicurezza online. Il disegno di legge, introdotto dall'ex primo ministro Boris Johnson, è un ampio atto legislativo che richiede praticamente a qualsiasi fornitore di contenuti generati dagli utenti di bloccare il materiale pedopornografico, spesso abbreviato in CSAM o CSA. I fornitori devono inoltre garantire che qualsiasi contenuto legale a cui possono accedere i minori, inclusi gli argomenti relativi all'autolesionismo, sia appropriato all'età.
E2EE nel mirino
Le disposizioni del disegno di legge mirano specificamente alla crittografia end-to-end, che è una forma di crittografia che consente solo ai mittenti e ai destinatari di un messaggio di accedere alla forma leggibile del contenuto. Tipicamente abbreviato in E2EE, utilizza un meccanismo che impedisce anche al fornitore di servizi di decrittografare i messaggi crittografati. Il robusto E2EE abilitato per impostazione predefinita è il principale punto di forza di Signal per i suoi oltre 100 milioni di utenti. Altri servizi che offrono E2EE includono Apple iMessage, WhatsApp, Telegram e Meta's Messenger, sebbene non tutti lo forniscano per impostazione predefinita.
Annuncio
In base a una disposizione della legge sulla sicurezza online, ai fornitori di servizi è vietato fornire informazioni che sono "crittografate in modo tale che non sia possibile per [l'autorità di regolamentazione delle telecomunicazioni del Regno Unito] Ofcom, o produrre un documento che sia crittografato in modo tale che non sia possibile per Ofcom per comprendere le informazioni che contiene", e quando l'intenzione è quella di impedire all'agenzia di vigilanza britannica di comprendere tali informazioni.
Una valutazione d'impatto redatta dal Dipartimento per il digitale, la cultura, i media e lo sport del Regno Unito afferma esplicitamente che l'E2EE rientra nell'ambito di applicazione della legislazione. Una sezione della valutazione afferma:
Il governo sostiene una crittografia forte per proteggere la privacy degli utenti, tuttavia, vi sono preoccupazioni che il passaggio a sistemi crittografati end-to-end, quando i problemi di sicurezza pubblica non vengono presi in considerazione, stia erodendo una serie di metodologie di sicurezza online esistenti. Ciò potrebbe avere conseguenze significative per la capacità delle aziende tecnologiche di affrontare il grooming, la condivisione di materiale CSA e altri comportamenti dannosi o illegali sulle loro piattaforme. Le aziende dovranno valutare regolarmente il rischio di danni ai loro servizi, compresi i rischi legati alla crittografia end-to-end. Avrebbero anche bisogno di valutare i rischi prima di qualsiasi modifica significativa del design, come il passaggio alla crittografia end-to-end. I fornitori di servizi dovranno quindi adottare misure ragionevolmente praticabili per mitigare i rischi che identificano.
Il disegno di legge non fornisce un modo specifico per i fornitori di servizi E2EE di conformarsi. Invece, finanzia cinque organizzazioni per sviluppare "modi innovativi in cui immagini o video sessualmente espliciti di bambini possono essere rilevati e indirizzati all'interno di ambienti crittografati end-to-end, garantendo nel contempo il rispetto della privacy degli utenti".