La Gran Bretagna ammette la sconfitta nella controversa lotta per rompere la crittografia
UK admits defeat in controversial encryption battle
Le aziende tecnologiche e gli attivisti per la privacy stanno reclamando la vittoria dopo l’ultima concessione del governo britannico in una lunga battaglia sull’end-to-end encryption.
La cosiddetta “clausola spia” nella Legge sulla sicurezza online del Regno Unito, che gli esperti sostenevano avrebbe reso l’end-to-end encryption praticamente impossibile nel Paese, non verrà più applicata dopo che il governo ha ammesso che la tecnologia per esaminare in modo sicuro i messaggi crittografati alla ricerca di segni di materiale di abuso sessuale minorile, o CSAM, senza compromettere la privacy degli utenti, non esiste ancora. I servizi di messaggistica sicura, tra cui WhatsApp e Signal, avevano minacciato di abbandonare il Regno Unito se la legge fosse stata approvata.
È assolutamente una vittoria”, afferma Meredith Whittaker, presidente della Signal Foundation, che gestisce il servizio di messaggistica Signal. Whittaker è stata un’accanita oppositrice della legge e si è riunita con attivisti e ha fatto pressioni affinché la legislazione fosse modificata. “Si impegna a non utilizzare tecnologie o tecniche difettose per compromettere l’end-to-end encryption.”
Il Dipartimento per il Digitale, la Cultura, i Media e lo Sport del Regno Unito non ha risposto a una richiesta di commento.
Il governo britannico non aveva specificato la tecnologia che le piattaforme dovrebbero utilizzare per identificare il CSAM inviato su servizi crittografati, ma la soluzione più comunemente citata era qualcosa chiamata client-side scanning. Nei servizi che utilizzano l’end-to-end encryption, solo il mittente e il destinatario di un messaggio possono vedere il suo contenuto; nemmeno il fornitore di servizi può accedere ai dati non crittografati.
- Sonos Move 2 ha un suono stereo e una batteria per tutta la giornata
- L’UE nomina Apple, Meta, Microsoft tra i sei ‘gatekeepe...
- Musk ha preso in prestito 1 miliardo di dollari da SpaceX nello ste...
Il client-side scanning significherebbe esaminare il contenuto del messaggio prima che venga inviato, cioè sul dispositivo dell’utente, e confrontarlo con un database di CSAM conservato su un server altrove. Questo, secondo Alan Woodward, professore ospite di sicurezza informatica presso l’Università di Surrey, equivale a “spyware autorizzato dal governo che analizza le tue immagini e possibilmente i tuoi testi”.
Ad un certo punto, Apple ha abbandonato i piani di sviluppo della tecnologia di client-side scanning per iCloud, affermando in seguito che non poteva far funzionare il sistema senza violare la privacy degli utenti.
I detrattori della legge sostengono che l’inserimento di backdoor nei dispositivi delle persone per cercare immagini CSAM probabilmente aprirà la strada a una sorveglianza più ampia da parte dei governi. “Rendi quasi inevitabile la sorveglianza di massa mettendo [questi strumenti] nelle loro mani”, afferma Woodward. “Ci saranno sempre delle ‘circostanze eccezionali’ che le forze di sicurezza riterranno giustificate per cercare qualcos’altro”.
Sebbene il governo britannico abbia affermato che ora non imporrà tecnologie non provate alle aziende tecnologiche e che, in sostanza, non utilizzerà i poteri previsti dalla legge, le clausole controverse rimangono all’interno della legislazione, che è ancora probabile che venga promulgata come legge. “Non è scomparso, ma è un passo nella giusta direzione”, dice Woodward.
James Baker, responsabile della campagna per l’Open Rights Group, un’organizzazione no-profit che si è battuta contro l’approvazione di questa legge, afferma che la persistenza dei poteri all’interno della legge significa che la sorveglianza che rompe l’encryption potrebbe comunque essere introdotta in futuro. “Sarebbe meglio se questi poteri venissero completamente rimossi dalla legge”, aggiunge.
Ma alcuni sono meno positivi riguardo al presunto cambio di rotta. “Nulla è cambiato”, afferma Matthew Hodgson, CEO di Element, con sede nel Regno Unito, che fornisce messaggistica end-to-end criptata alle forze militari e ai governi. “Conta solo ciò che è effettivamente scritto nella legge. La scansione è fondamentalmente incompatibile con le app di messaggistica end-to-end criptate. La scansione aggira la crittografia per effettuare la scansione, esponendo i tuoi messaggi agli attacchi. Quindi, tutto ciò che significa ‘finché tecnicamente fattibile’ è aprire la porta alla scansione in futuro anziché oggi. Non è un cambiamento, è rimandare il problema”.
Whittaker riconosce che “non è sufficiente” che la legge semplicemente non venga applicata in modo aggressivo. “Ma è importante. Possiamo riconoscere una vittoria senza pretendere che questa sia la vittoria definitiva”, afferma.
Le implicazioni del ritiro del governo britannico, anche parziale, avranno ripercussioni ben oltre il Regno Unito, afferma Whittaker. I servizi di sicurezza di tutto il mondo hanno cercato misure per indebolire l’end-to-end encryption e in Europa si sta combattendo una battaglia simile riguardo al CSAM, dove la commissaria dell’Unione Europea responsabile degli affari interni, Ylva Johannson, ha sostenuto tecnologie simili non provate.
“È enorme in termini di arrestare il tipo di precedente internazionale che questa legge permissiva avrebbe stabilito”, afferma Whittaker. “Il Regno Unito è stato la prima giurisdizione a promuovere questo tipo di sorveglianza di massa. Ferma questo slancio. Ed è enorme per il mondo”.
