Cosa significa l’unità di crittografia E2E legislativa dell’UE per la tua privacy
Se sei uno degli 1,6 miliardi di utenti WhatsApp, stai già utilizzando la crittografia end-to-end (E2EE). Questa forma di comunicazione sicura significa che qualsiasi messaggio inviato a qualcuno può essere letto solo dal destinatario — tali messaggi di chat non possono essere intercettati da terze parti, inclusi governi e criminali.
Sfortunatamente, i criminali usano anche la crittografia per nascondere le loro tracce quando fanno cose dannose, rendendo le app di messaggistica sicure un obiettivo primario per la regolamentazione del governo. Nelle ultime notizie , il Consiglio d'Europa ha redatto una risoluzione per regolamentare l'E2EE, in quanto si dirige alla Commissione Europea per la sua forma definitiva.
La domanda è: siamo sul punto di perdere la nostra privacy sulle app di messaggistica?
Terror Spike mette in moto gli ingranaggi dell'UE
Sulla scia dei recenti attacchi in Francia e Austria, i primi ministri di entrambi i paesi, rispettivamente Emmanuel Macron e Sebastian Kurz, hanno presentato il 6 novembre una bozza di risoluzione del Consiglio dell'Unione europea (CoEU), volta a regolamentare la crittografia end-to-end pratiche.
Il CoEU è l'organo di proposta che definisce la direzione delle politiche, mentre la Commissione europea elaborerà una legislazione attuabile da esso. Fortunatamente, in quanto apertura legislativa, il progetto di risoluzione non è così problematico per la privacy come ci si aspetterebbe:
- La risoluzione non fa alcuna proposta specifica per un divieto E2EE.
- Non propone l'implementazione di backdoor ai protocolli di crittografia.
- Afferma l'adesione dell'UE a forti diritti di crittografia e privacy.
- Serve come un invito agli esperti a esplorare completamente le misure di sicurezza nell'ambito della struttura "sicurezza nonostante la crittografia".
Tuttavia, la risoluzione propone un approccio mirato:
"Le autorità competenti devono poter accedere ai dati in modo lecito e mirato, nel pieno rispetto dei diritti fondamentali e del regime di protezione dei dati, pur salvaguardando la sicurezza informatica".
Data la tendenza dei governi ad espandere la gamma di obiettivi validi, ciò potrebbe includere anche proteste legali. Nel caso della Francia, questo potrebbe essere il movimento dei Gilet Gialli, che è stato costretto a lasciare Facebook su un'app Telegram sicura.
È interessante notare che Telegram era la stessa app che la Russia aveva vietato poiché il team di sviluppo si rifiutava di creare una backdoor per il governo. La Corte europea dei diritti dell'uomo (CEDU) ha stabilito tale divieto come una chiara violazione della libertà di espressione. La sentenza ha dato i suoi frutti quando la Russia ha revocato il divieto di Telegram di due anni .
La sentenza Telegram della CEDU serve da salvaguardia futura?
Purtroppo, questo non sembra essere il caso. Nel 2019, la CEDU ha stabilito che la libertà di espressione sul tema dell'Olocausto non costituisce un diritto umano. Allo stesso tempo, la corte ha stabilito che la stessa libertà di espressione sul tema del genocidio armeno costituisce un diritto umano di libertà di parola. Queste decisioni incoerenti rivelano che la CEDU non sostiene gli standard universali.
Il progetto di risoluzione dell'UE ti riguarda?
Se sei preoccupato che WhatsApp, Telegram, Viber e altre app E2EE ti espongano improvvisamente ad hacker e minatori di dati, non esserlo. All'interno dell'UE, probabilmente abbiamo a che fare con una soluzione ibrida, in cui le forze dell'ordine devono fornire ai tribunali una motivazione sufficiente per invadere la privacy.
D'altra parte, all'interno della sfera dei Cinque Occhi, sembra esserci una massiccia spinta a legiferare le backdoor nelle app di messaggistica E2EE. Il respingimento della cittadinanza e delle ONG come la Electronic Frontier Foundation sarà fondamentale per evitare una legislazione così restrittiva sulla crittografia.
Il pendio scivoloso dei governi che regolano la crittografia
Non è un segreto che le nazioni di tutto il mondo siano desiderose di minare la privacy dei cittadini per il bene della presunta sicurezza nazionale. Questa carica è solitamente guidata dall'alleanza dell'intelligence Five Eyes . Cercano di implementare l'approccio più ampio, obbligando gli sviluppatori di software a integrare le backdoor nelle loro app . Ciò consentirebbe ai governi e alle società tecnologiche di accedere a qualsiasi dato privato a piacimento.
Sebbene i governi affermino retoricamente di avere misure di salvaguardia contro gli abusi, il loro curriculum è tutt'altro che eccezionale. Come hanno rivelato le perdite di Snowden , sembrano essere senza scrupoli nel modo in cui percepiscono il diritto dei cittadini alla privacy e all'evitamento degli abusi. Inoltre, le backdoor sono facilmente sfruttate dai criminali informatici, causando gravi danni economici ed erosione della fiducia.
Le backdoor obbligatorie non sono ancora una realtà, ma i governi possono utilizzare un potente arsenale di persuasione in qualsiasi momento in cui si verifica un atto criminale / terroristico. Pertanto, i governi hanno un impulso costante per erodere le protezioni della privacy, sostenendo che:
- I terroristi / criminali hanno lo stesso accesso ai protocolli di comunicazione crittografati dei cittadini rispettosi della legge.
- Pertanto, i protocolli di comunicazione crittografati devono essere compromessi per il bene dei cittadini rispettosi della legge.
Cercare di raggiungere l'equilibrio tra i due è un processo in corso, recentemente messo sotto i riflettori pubblici dagli Stati membri dell'UE.
Perché è importante la crittografia E2E?
Quando le persone non vogliono pensare alle conseguenze dello stato di sorveglianza, spesso ricorrono all'argomento di base:
"Non ho nulla da nascondere."
Sfortunatamente, l'adesione a tale ingenuità non protegge la tua vita dagli abusi. Comeha dimostrato loscandalo dei dati di Facebook-Cambridge Analytica , si dovrebbero trattare i propri dati personali con tanto rigore quanto si salvaguarderebbe la proprietà nella propria casa. Quando si viene privati dei protocolli di crittografia E2E, si crea un ambiente che nutre:
- Autocensura come mentalità.
- Hacking e ricatto.
- Incapacità di essere un dissidente politico efficace o un giornalista.
- Aziende e governi che usano il tuo profilo psicologico contro di te.
- Rendere i governi meno responsabili delle loro politiche negative.
- Incapacità di proteggere efficacemente la proprietà intellettuale.
Proprio come i criminali hanno facile accesso alle armi da fuoco, nonostante il loro divieto e lo stretto controllo in tutto il mondo, così anche i criminali si procurerebbero altri metodi di comunicazione. Allo stesso tempo, indebolire l'E2EE renderebbe le imprese e i singoli cittadini vulnerabili a un'ampia gamma di abusi.
Quali opzioni E2EE hai a disposizione?
Le backdoor nelle app di messaggistica possono essere eseguite in tre modi:
- Accidentalmente da una cattiva codifica, che viene successivamente corretta quando viene scoperta la vulnerabilità.
- Intenzionalmente da parte di agenzie governative che esercitano pressioni interne sulle aziende.
- Intenzionalmente e apertamente per legge.
Dobbiamo ancora raggiungere il terzo scenario. Nel frattempo, prova a seguire queste linee guida sulla sicurezza quando scegli un'app di messaggistica sicura:
- Scegli app che hanno un buon track record di resistenza alla pressione e sono molto apprezzate dagli utenti.
- Se viene data un'opzione, scegli un software open source gratuito: app FOSS. Queste sono app guidate dalla community, quindi l'implementazione backdoor verrebbe rapidamente rivelata. A volte, troverai anche queste app sotto l'acronimo FLOSS – software open source gratuito / libero.
- Quando si utilizza la posta elettronica, provare a utilizzare piattaforme di posta elettronica con protocolli di crittografia PGP o GPG.
Tenendo conto di questi fattori, ecco alcune buone app di messaggistica E2EE open source:
Segnale
Signal è diventato uno dei preferiti tra molti utenti attenti alla privacy e per buone ragioni. Utilizza Perfect Forward Secrecy (PFS) per tutti i tipi di messaggi: testo, audio e video. Signal inoltre non registra il tuo indirizzo IP, dandoti la possibilità di inviare messaggi autodistruggenti. Sui dispositivi Android, puoi persino renderla un'app predefinita per i tuoi messaggi SMS.
Tuttavia, Signal richiede la registrazione di un numero di telefono, oltre a non fornire l'autenticazione a due fattori (2FA). Nel complesso, questa app di messaggistica conforme al GDPR disponibile per tutte le piattaforme deve ancora essere superata.
Scarica : Signal per Android | iOS | Windows (gratuito)
Sessione
Derivato da Signal (un fork), Session mira ad avere funzionalità di sicurezza ancora più formidabili di Signal. A tal fine, ha integrato tutte le funzionalità di Signal ma ha escluso il requisito di avere un numero di telefono o un'e-mail per l'iscrizione. Non registra metadati o indirizzi IP, ma ancora non supporta 2FA.
Il suo sviluppo open source è ancora in corso, quindi potresti riscontrare bug. Inoltre, è in fase di sviluppo anche il suo protocollo Onion Routing, utilizzato dal browser Tor.
Scarica : Session per Android | iOS | Mac | Windows | Linux (gratuito)
Briar
Briar completamente decentralizzata è una delle ultime app FOSS con protocolli di messaggistica E2EE. In esclusiva per la piattaforma Android, Briar è la soluzione ideale per coloro che si preoccupano che un server memorizzi i propri messaggi. Briar lo rende impossibile impiegando protocolli peer-to-peer (P2P). Significa che solo tu e il destinatario potete memorizzare i messaggi.
Inoltre, Briar aggiunge un ulteriore livello di protezione utilizzando il protocollo Onion (Tor). Non è necessario offrire alcuna informazione per iniziare a utilizzare Briar tranne il nome del destinatario. Tuttavia, se cambi il dispositivo, tutti i tuoi messaggi diventeranno irraggiungibili.
Scarica : Briar per Android (gratuito)
Filo
Pur rimanendo open source, Wire è pensato per la messaggistica e la condivisione di gruppo, rendendolo ideale per gli ambienti aziendali. Non è gratuito tranne che per gli account personali. Oltre ai protocolli E2EE, Wire utilizza Proteus e WebRTC con PFS, oltre alla messaggistica con cancellazione automatica.
Wire richiede un numero di telefono / e-mail per registrarsi, oltre alla registrazione di alcuni dati personali. Inoltre non supporta 2FA. Tuttavia, la sua conformità al GDPR, la natura open source e gli algoritmi di crittografia all'avanguardia lo rendono ottimo per le organizzazioni aziendali.
Scarica : Wire per Android | iOS | Mac | Web | Linux (gratuito)
Non sei indifeso contro la marea che cambia
Alla fine, anche se i governi vietassero completamente l'E2EE o imponessero backdoor, i criminali troverebbero altri metodi. D'altra parte, i cittadini meno impegnati accetterebbero semplicemente il nuovo stato di cose: la sorveglianza di massa. Questo è il motivo per cui dobbiamo sbagliare dalla parte della cautela e spingerci sempre indietro per preservare il nostro diritto umano fondamentale alla privacy.