Empresas de tecnologia e ativistas da privacidade estão reivindicando vitória após uma concessão de última hora do governo britânico em uma longa batalha pela criptografia de ponta a ponta.
A chamada “cláusula de espionagem” na Lei de Segurança Online do Reino Unido, que os especialistas argumentaram que teria tornado a criptografia de ponta a ponta praticamente impossível no país, não será mais aplicada depois que o governo admitiu a tecnologia para verificar com segurança mensagens criptografadas para sinais de material de abuso sexual infantil, ou CSAM, sem comprometer a privacidade dos usuários, ainda não existe. Serviços de mensagens seguras, incluindo WhatsApp e Signal, ameaçaram sair do Reino Unido se o projeto fosse aprovado.
“É absolutamente uma vitória”, diz Meredith Whittaker, presidente da Signal Foundation, que opera o serviço de mensagens Signal. Whittaker tem sido um forte oponente do projeto de lei e tem se reunido com ativistas e feito lobby para que a legislação seja alterada. “Ele se compromete a não usar tecnologia ou técnicas quebradas para minar a criptografia de ponta a ponta.”
O Departamento de Digital, Cultura, Mídia e Esporte do Reino Unido não respondeu a um pedido de comentário.
O governo do Reino Unido não especificou a tecnologia que as plataformas deveriam usar para identificar CSAM enviados em serviços criptografados, mas a solução mais citada foi algo chamado varredura do lado do cliente. Em serviços que utilizam criptografia ponta a ponta, apenas o remetente e o destinatário de uma mensagem podem ver seu conteúdo; mesmo o provedor de serviços não consegue acessar os dados não criptografados.
A varredura do lado do cliente significaria examinar o conteúdo da mensagem antes de ela ser enviada – ou seja, no dispositivo do usuário – e compará-la com um banco de dados de CSAM mantido em um servidor em outro lugar. Isso, de acordo com Alan Woodward, professor visitante de segurança cibernética na Universidade de Surrey, equivale a “spyware sancionado pelo governo que escaneia suas imagens e possivelmente seus (textos)”.
Em dezembro, a Apple arquivou seus planos de desenvolver tecnologia de digitalização do lado do cliente para o iCloud, dizendo mais tarde que não conseguiria fazer o sistema funcionar sem infringir a privacidade dos usuários.
Os oponentes do projeto de lei dizem que colocar backdoors nos dispositivos das pessoas para procurar imagens CSAM quase certamente abriria caminho para uma vigilância mais ampla por parte dos governos. “Você faz com que a vigilância em massa se torne quase uma inevitabilidade ao colocar (essas ferramentas) nas mãos deles”, diz Woodward. “Haverá sempre algumas ‘circunstâncias excepcionais’ que (as forças de segurança) pensam que as justificam a procurar outra coisa.”
Embora o governo do Reino Unido tenha afirmado que agora não irá impor tecnologia não comprovada às empresas de tecnologia, e que essencialmente não utilizará os poderes previstos no projeto de lei, as cláusulas controversas permanecem dentro da legislação, que ainda provavelmente será transformada em lei. “Isso não desapareceu, mas é um passo na direção certa”, diz Woodward.
James Baker, gestor de campanha do Open Rights Group, uma organização sem fins lucrativos que fez campanha contra a aprovação da lei, diz que a existência continuada dos poderes dentro da lei significa que a vigilância para quebrar a encriptação ainda poderá ser introduzida no futuro. “Seria melhor se esses poderes fossem completamente removidos do projeto de lei”, acrescenta.
Mas alguns são menos positivos quanto à aparente reviravolta. “Nada mudou”, diz Matthew Hodgson, CEO da Element, com sede no Reino Unido, que fornece mensagens criptografadas de ponta a ponta para militares e governos. “É apenas o que está realmente escrito no projeto de lei que importa. A verificação é fundamentalmente incompatível com aplicativos de mensagens criptografadas de ponta a ponta. A varredura ignora a criptografia para poder fazer a varredura, expondo suas mensagens a invasores. Portanto, tudo o que significa “até que seja tecnicamente viável” é abrir a porta para a digitalização no futuro, em vez de digitalizar hoje. Não é uma mudança, é um chute no caminho.”
Whittaker reconhece que “não é suficiente” que a lei simplesmente não seja aplicada de forma agressiva. “Mas é importante. Podemos reconhecer uma vitória sem afirmar que esta é a vitória final”, diz ela.
As implicações do recuo do governo britânico, mesmo que parcialmente, repercutirão muito além do Reino Unido, diz Whittaker. Os serviços de segurança em todo o mundo têm pressionado por medidas para enfraquecer a criptografia de ponta a ponta, e há uma batalha semelhante acontecendo na Europa sobre o CSAM, onde a comissária da União Europeia responsável pelos assuntos internos, Ylva Johannson, tem pressionado de forma semelhante. , tecnologias não comprovadas.
“É enorme em termos de impedir o tipo de precedente internacional permissivo que isto estabeleceria”, diz Whittaker. “O Reino Unido foi a primeira jurisdição a promover este tipo de vigilância em massa. Isso interrompe esse impulso. E isso é enorme para o mundo.”