Ekspertët e sigurisë thonë se rregullat e reja të BE-së do të dëmtojnë enkriptimin e WhatsApp
Më 24 mars, organet qeverisëse të BE-së njoftuan se kishin arritur një marrëveshje për legjislacionin më gjithëpërfshirës për të synuar Big Tech në Evropë, i njohur si Akti i Tregjeve Dixhitale (DMA). I parë si një ligj ambicioz me implikime të gjera, masa më tërheqëse në projektligj do të kërkonte që çdo kompani e madhe teknologjike – e përcaktuar si me një kapitalizim tregu prej më shumë se 75 miliardë euro ose një bazë përdoruesish prej më shumë se 45 milionë njerëz në BE — krijoni produkte që janë të ndërveprueshme me platforma më të vogla. Për aplikacionet e mesazheve, kjo do të thotë që shërbimet e enkriptuara nga fundi në fund si WhatsApp të përzihen me protokolle më pak të sigurta si SMS, për të cilat ekspertët e sigurisë shqetësohen se do të minojnë përfitimet e fituara me vështirësi në fushën e kriptimit të mesazheve.
Fokusi kryesor i DMA është një klasë e kompanive të mëdha teknologjike të quajtura “portierë”, e përcaktuar nga madhësia e audiencës ose të ardhurave të tyre dhe, si rrjedhojë, fuqia strukturore që ata janë në gjendje të përdorin kundër konkurrentëve më të vegjël. Nëpërmjet rregulloreve të reja, qeveria shpreson të “hapë hapur” disa nga shërbimet e ofruara nga kompani të tilla për të lejuar bizneset më të vogla të konkurrojnë. Kjo mund të nënkuptojë lejimin e përdoruesve të instalojnë aplikacione të palëve të treta jashtë App Store, lejimin e shitësve të jashtëm të renditen më lart në kërkimet në Amazon ose të kërkojnë që aplikacionet e mesazheve të dërgojnë tekste nëpër protokolle të shumta.
Por kjo mund të përbëjë një problem të vërtetë për shërbimet që premtojnë kriptim nga fundi në fund: konsensusi midis kriptografëve është se do të jetë e vështirë, nëse jo e pamundur, të ruhet kriptimi midis aplikacioneve, me implikime potencialisht të mëdha për përdoruesit. Sinjali është mjaft i vogël saqë nuk do të ndikohej nga dispozitat DMA, por WhatsApp – i cili përdor protokollin e Sinjalit dhe është në pronësi të Meta – sigurisht që do të ndikohej. Rezultati mund të jetë që disa, nëse jo të gjitha, nga enkriptimi i mesazheve nga fundi në fund të WhatsApp të dobësohen ose hiqen, duke i grabitur një miliard përdoruesve mbrojtjen e mesazheve private.
Duke pasur parasysh nevojën për zbatimin e saktë të standardeve kriptografike, ekspertët thonë se nuk ka asnjë zgjidhje të thjeshtë që mund të pajtojë sigurinë dhe ndërveprueshmërinë për shërbimet e mesazheve të koduara. Në mënyrë efektive, nuk do të kishte asnjë mënyrë për të bashkuar forma të ndryshme të kriptimit nëpër aplikacione me veçori të ndryshme dizajni, tha Steven Bellovin, një studiues i njohur i sigurisë në internet dhe profesor i shkencave kompjuterike në Universitetin e Kolumbisë.
“Përpjekja për të pajtuar dy arkitektura të ndryshme kriptografike thjesht nuk mund të bëhet; njëra palë ose tjetra do të duhet të bëjë ndryshime të mëdha, “tha Bellovin. “Një dizajn që funksionon vetëm kur të dyja palët janë në linjë do të duket shumë i ndryshëm nga ai që funksionon me mesazhe të ruajtura …. Si i bëni këto dy sisteme të ndërveprojnë?”
Bërja e shërbimeve të ndryshme të mesazheve të pajtueshme mund të çojë në një qasje me emërues më të ulët të përbashkët në dizajn, thotë Bellovin, në të cilën veçoritë unike që i bënë disa aplikacione të vlefshme për përdoruesit hiqen derisa të arrihet një nivel i përbashkët përputhshmërie. Për shembull, nëse një aplikacion mbështet komunikimin e koduar me shumë palë dhe një tjetër jo, mbajtja e komunikimeve ndërmjet tyre zakonisht kërkon që të hiqet enkriptimi.
Përndryshe, DMA sugjeron një qasje tjetër – po aq e pakënaqshme për mbrojtësit e privatësisë – në të cilën mesazhet e dërguara midis dy platformave me skema të papajtueshme të enkriptimit deshifrohen dhe rikriptohen kur kalohen ndërmjet tyre, duke thyer zinxhirin e kriptimit “nga fundi në fund” dhe duke krijuar një pikë cenueshmërie për përgjimin nga një aktor i keq.
Alec Muffett, një ekspert i sigurisë së internetit dhe ish-inxhinier i Facebook-ut, i cili kohët e fundit ndihmoi Twitter-in të lansonte një shërbim të koduar Tor, i tha The Verge se do të ishte gabim të mendohej se Apple, Google, Facebook dhe kompani të tjera të teknologjisë po prodhonin produkte identike dhe të këmbyeshme. mund të kombinohen lehtësisht.
“Nëse hyni në një McDonald’s dhe thoni: “Në interes të thyerjes së monopoleve të korporatave, unë kërkoj që të përfshini një pjatë sushi nga ndonjë restorant tjetër me porosinë time”, ata me të drejtë thjesht do t’ju ngulin sytë,” tha Muffett. “Çfarë ndodh kur sushi i kërkuar mbërrin me korrier në McDonald’s nga restoranti sushi i kërkuar në dukje? A mundet dhe a duhet t’i shërbejë McDonald’s atë sushi klientit? A ishte i ligjshëm korrieri? A ishte përgatitur në mënyrë të sigurtë?”
Aktualisht, çdo shërbim i mesazheve merr përgjegjësinë për sigurinë e tij – dhe Muffett dhe të tjerët kanë argumentuar se duke kërkuar ndërveprueshmëri, përdoruesit e një shërbimi janë të ekspozuar ndaj dobësive që mund të jenë paraqitur nga një tjetër. Në fund, siguria e përgjithshme është po aq e fortë sa hallka më e dobët.
Një pikë tjetër shqetësuese e ngritur nga ekspertët e sigurisë është problemi i mbajtjes së një “hapësire emri” koherente, grupi i identifikuesve që përdoren për të përcaktuar pajisje të ndryshme në çdo sistem të rrjetit. Një parim bazë i enkriptimit është që mesazhet janë të koduara në një mënyrë që është unike për një identitet të njohur kriptografik, kështu që të bësh një punë të mirë të menaxhimit të identitetit është thelbësor për ruajtjen e sigurisë.
“Si i tregoni telefonit tuaj me kë dëshironi të flisni dhe si e gjen telefoni atë person?” tha Alex Stamos, drejtor i Observatorit të Internetit në Stanford dhe ish-shefi i sigurisë në Facebook. “Nuk ka asnjë mënyrë për të lejuar kriptim nga fundi në fund pa i besuar çdo ofruesi për të trajtuar menaxhimin e identitetit… Nëse qëllimi është që të gjitha sistemet e mesazheve të trajtojnë përdoruesit e njëri-tjetrit saktësisht njësoj, atëherë kjo është një privatësi. dhe makth sigurie.”