Ciò che è ancora più scioccante è che la mossa di Apple non è riuscita ad andare abbastanza lontano: La richiesta inoltrata ad Apple in base all’Investigatory Powers Act richiede che Apple consenta l’accesso ai dati cloud di tutti i suoi utenti globali. L’attuale modifica riguarda solo i nuovi utenti del Regno Unito. Gli utenti esistenti nel Regno Unito riceveranno un avviso che li avvertirà della necessità di disabilitare la crittografia Ende-zu-Ende, altrimenti perderanno l’accesso ai loro account. Poiché Apple non dispone di una chiave backdoor, l’utente deve disattivare da solo la crittografia Ende-zu-Ende.

Sebbene Apple continui a sostenere che non si tratta di una backdoor, gli utenti del Regno Unito devono sentirsi terribilmente ingannati. I loro dati nel cloud Apple non possono più essere crittografati Ende-zu-Ende, il che li espone a un rischio maggiore di violazione dei dati, di attacchi maligni e di accesso governativo.

Tuttavia - e questo va detto a favore di Apple - l’azienda di Big Tech non ha fatto un backdoor del proprio servizio in segreto, dando al Ministero dell’Interno britannico pieno accesso senza che nessuno ne fosse a conoscenza. Poiché il codice sorgente di Apple non è pubblicato come open source, sarebbe stato possibile per l’azienda modificare segretamente il codice e non comunicarlo a nessuno. Il fatto che Apple abbia parzialmente soddisfatto la richiesta di backdoor del Regno Unito in modo aperto, ci lascia un filo di speranza. Il Ministero degli Interni britannico non ha ottenuto ciò che voleva: poter monitorare tutti in segreto.

Mentre Apple ha combattuto con successo una richiesta simile da parte del governo statunitense dieci anni fa, ora ha dovuto cedere alle pressioni politiche creando un terribile precedente. La crittografia Ende-zu-Ende è l’unico strumento che abbiamo per proteggere i nostri dati. Sappiamo tutti che non è possibile creare una backdoor solo per i buoni.

Noi di Tuta ci impegniamo a lottare per il vostro diritto alla privacy. Uniamoci e mostriamo ai politici che non va bene invadere i nostri dati privati!

Cosa è successo - un’analisi

Il governo britannico ha nuovamente spinto per la sorveglianza di massa chiedendo segretamente ad Apple di creare una backdoor nei suoi backup cloud crittografati Ende-zu-Ende. Questa richiesta, riportata da una fuga di notizie al Washington Post, ha conseguenze devastanti per la privacy digitale in tutto il mondo. La richiesta è arrivata tramite una Technical Capability Notice ai sensi del controverso Investigatory Powers Act 2016, noto anche come Snoopers’ Charter. Se Apple si fosse conformata completamente, avrebbe minato le protezioni della crittografia e della privacy per tutti gli utenti Apple, non solo per quelli del Regno Unito.

Five Eyes: chi ottiene i dati per primo?

Non è la prima volta che un governo cerca di indebolire la crittografia con il pretesto della sicurezza nazionale. Infatti, l’alleanza Five Eyes, composta da Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, è nota per la sua volontà di aprire le porte alla crittografia.

Nelle guerre di crittografia in corso - iniziate nel momento in cui il PGP è diventato disponibile per tutti all’inizio degli anni ‘90 - i governi di tutto il mondo hanno cercato di costringere le aziende tecnologiche a costruire servizi di comunicazione meno sicuri, in modo che le autorità di polizia potessero trasformare le aziende nei loro piccoli (o grandi) aiutanti quando si tratta di perseguire i criminali. Il problema è che una volta che un metodo di comunicazione è meno sicuro, è meno sicuro per tutti, non solo per i criminali. Comunque sia, i cinque occhi si alternano nel tentativo di costringere le aziende a minare la crittografia Ende-zu-Ende. Sembra che chi si impossessa per primo dei dati aiuterà gli altri Paesi a ottenere lo stesso risultato.

Fumetto che mostra il CEO di Apple Tim Cook che sblocca l’iPhone mentre l’FBI, gli hacker, i regimi repressivi e altri ancora fanno la fila per avere accesso ai dati decriptati. In una versione aggiornata di questo fumetto, il Regno Unito dovrebbe mettersi tra Apple e l’FBI.

La protesta dell’opinione pubblica ha fermato la sorveglianza a tappeto

Anche l’UE ha tentato più volte di introdurre la scansione lato client, ma finora non l’ha portata avanti, soprattutto a causa dell’opposizione, anche da parte della Germania, che ha notoriamente affermato : “Non c’è processo ad ogni costo” e l’UE non deve introdurre la scansione lato client.

Per quanto riguarda Apple, anche gli Stati Uniti hanno cercato di costringerla a indebolire la sua crittografia nel 2015/2016. All’epoca, Apple si rifiutò di introdurre la scansione lato client a causa delle proteste dell’opinione pubblica.

Dobbiamo tenere presente che una volta compromessa la crittografia, diventa possibile la sorveglianza a tappeto, ovvero il monitoraggio di ogni cittadino. Qualsiasi backdoor per le forze dell’ordine diventerebbe inevitabilmente una backdoor per attori malintenzionati e regimi autoritari.

Il Regno Unito può decidere della vostra sicurezza?

Quando ad Apple è stata presentata la notizia che il Regno Unito ha intenzione di richiedere l’accesso alla backdoor, Apple ha dichiarato, secondo il Washington Post:

“Non c’è motivo per cui il [governo] britannico debba avere l’autorità di decidere per i cittadini di tutto il mondo se possono avvalersi dei comprovati vantaggi in termini di sicurezza che derivano dalla crittografia Ende-zu-Ende”.

Ma il Regno Unito ha questo potere?

Una fonte sconosciuta ha riferito al Washington Post che il governo britannico chiede ad Apple di fornire alle forze dell’ordine britanniche l’accesso ai backup criptati su cloud degli utenti di tutto il mondo, indipendentemente dal fatto che siano cittadini britannici o meno. Ciò è avvenuto tramite un avviso di idoneità tecnica notificato ai sensi dell’U.K. Investigatory Powers Act del 2016, noto anche come Snoopers’ Charter - la legge sulla sorveglianza più estrema in una democrazia. Questo meccanismo legale obbliga le aziende ad assistere le forze dell’ordine fornendo l’accesso alle comunicazioni criptate, rendendo inoltre illegale la divulgazione di tali richieste al pubblico.

L’ordine del Regno Unito va oltre l’individuazione di account specifici. Richiede una capacità generale di modificare il codice di Apple in modo tale che non sia più solo l’utente a decifrare i propri dati, ma che Apple abbia il potere di decifrare tutti i dati dell’utente e di trasmetterli alle autorità su richiesta, creando un pericoloso precedente per la privacy digitale globale.

Il potere di cui dispone il Regno Unito sembra illimitato. Il WaPo riporta che

”Una delle persone informate sulla situazione, un consulente che consiglia gli Stati Uniti in materia di crittografia, ha detto che Apple non potrà avvertire i suoi utenti che la sua crittografia più avanzata non garantisce più la piena sicurezza. La persona ha ritenuto scioccante che il governo britannico chiedesse l’aiuto di Apple per spiare utenti non britannici all’insaputa dei loro governi”.

Questo è ancora più problematico perché il codice di Apple è proprietario e non è pubblicato come open source. Ciò significa che un cambiamento nel modo in cui la crittografia viene eseguita sui client Apple potrebbe passare inosservato al pubblico per molto tempo.

Precedenti per la sorveglianza di massa

La parziale adesione di Apple alla richiesta del Regno Unito di aprire una porta sul suo sistema di crittografia ha creato un pericoloso precedente per le aziende tecnologiche di tutto il mondo. Il Regno Unito è stato forse il primo a emettere un ordine così ampio, ma di certo non sarà l’ultimo. Una volta che esiste una backdoor, altri governi si metteranno in fila per chiedere lo stesso accesso. Cina, Russia e altri regimi con un passato discutibile in materia di diritti umani seguiranno senza dubbio l’esempio.

Inoltre, all’interno della cosiddetta alleanza di intelligence “Five Eyes”, esiste una lunga storia di accordi di condivisione delle informazioni. Ciò significa che il Regno Unito può condividere con gli altri Paesi a cinque occhi qualsiasi dato ricevuto da Apple, ma significa anche che è molto probabile che gli altri membri di questa alleanza richiedano le stesse capacità di monitoraggio. Di conseguenza, ciò potrebbe erodere la privacy digitale ovunque.

L’opposizione

Nel momento in cui è stata diffusa la notizia della richiesta del Regno Unito di aprire un backdoor nella crittografia di Apple, l’opposizione ha iniziato a lanciare l’allarme, anche negli Stati Uniti: il senatore Ron Wyden (Oregon), un democratico della Commissione Intelligence del Senato, ha dichiarato al Washington Post:

“Trump e le aziende tecnologiche americane che permettono a governi stranieri di spiare segretamente gli americani sarebbe inconcepibile e un disastro senza precedenti per la privacy degli americani e la nostra sicurezza nazionale”.

Le sue preoccupazioni sono giustificate, dato che i Paesi Five Eyes hanno spesso collaborato ai programmi di sorveglianza, come dimostrato dalle rivelazioni di Edward Snowden. La backdoor voluta dal Regno Unito non sarà limitata alle autorità britanniche, ma sarà presto sfruttata dai servizi di intelligence di tutte le nazioni alleate.

Meredith Whittaker di Signal, una delle migliori alternative a WhatsApp, ha dichiarato a WaPo:

“L’uso delle Technical Capability Notices per indebolire la crittografia in tutto il mondo è una mossa scioccante che posizionerà il Regno Unito come un paria della tecnologia, piuttosto che un leader della tecnologia”. Se attuata, la direttiva creerà una pericolosa vulnerabilità della sicurezza informatica nel sistema nervoso della nostra economia globale”.

Matthias Pfau, CEO di Tuta Mail, aggiunge:

“Abbiamo assistito a richieste di dati criptati ancora e ancora. Abbiamo anche visto che queste richieste sono state sempre respinte. Insieme alla comunità della privacy ci uniamo e difendiamo il nostro diritto alla privacy. I governi non devono costringere le aziende tecnologiche a indebolire la sicurezza da cui tutti dipendiamo, soprattutto ora che le minacce informatiche sono in continuo aumento. Noi lottiamo per il diritto alla privacy dei nostri utenti con la crittografia Ende-zu-Ende e continueremo a farlo, indipendentemente da ciò che i governi potrebbero chiedere”.

È interessante notare che l’agenzia statunitense CISA ha appena emesso il suo più forte endorsement a favore della crittografia a causa dell’hacking cinese dei provider di telecomunicazioni americani che consente alla Cina di monitorare le chiamate e i messaggi non crittografati di molti cittadini statunitensi, compresi i politici. Questo attacco agli Stati Uniti dimostra perché la crittografia Ende-zu-Ende è più che mai necessaria nel mondo online di oggi.

Solo la crittografia Ende-zu-Ende può proteggerci dal furto di dati e dagli attacchi malevoli.

Interessante tempismo della mossa del Regno Unito

Anche il tempismo della richiesta del Regno Unito merita di essere analizzato nel contesto di sviluppi geopolitici più ampi. È da notare che Apple ha tentato di introdurre la funzione di crittografia Ende-zu-Ende per il suo cloud storage già durante il primo mandato del presidente Donald Trump, ma si è tirata indietro a causa delle lamentele per il fatto che l’azienda non avrebbe aiutato le forze dell’ordine a perseguire criminali come assassini o spacciatori. La crittografia cloud opzionale è stata poi introdotta da Apple nel 2022 - e ora è di nuovo sotto pressione, poco dopo che Trump è diventato nuovamente presidente degli Stati Uniti.

Potrebbe trattarsi di uno sforzo coordinato tra il Regno Unito e l’amministrazione statunitense? È possibile che gli Stati Uniti stiano tacitamente appoggiando questa mossa, utilizzando il Regno Unito come terreno di prova per vedere se i giganti tecnologici si conformeranno agli ordini di sorveglianza a tappeto. Dato che le agenzie di intelligence statunitensi, in particolare l’FBI, cercano da tempo di accedere alle comunicazioni criptate, non sarebbe sorprendente se Washington incoraggiasse silenziosamente questo passo dietro le quinte. I funzionari dell’amministrazione Trump hanno rifiutato di commentare quando sono stati interpellati dal Washington Post.

La guerra delle criptovalute continua, ma la privacy deve vincere

Questa è solo l’ultima battaglia della guerra della crittografia, la lotta decennale tra governi e sostenitori della privacy sul futuro della crittografia. Fin dagli anni ‘90, le forze dell’ordine hanno spinto per ottenere backdoor nelle comunicazioni criptate, adducendo come giustificazione il terrorismo e lo sfruttamento minorile. Tuttavia, gli esperti di sicurezza hanno dimostrato più volte che indebolire la crittografia per uno scopo la indebolisce per tutti gli scopi. Una vulnerabilità creata per uso governativo sarà inevitabilmente sfruttata dai cattivi attori, compresi i criminali informatici e i regimi stranieri ostili.

Noi di Tuta abbiamo sempre messo in guardia da questi pericoli. Le nostre precedenti discussioni sulla sorveglianza governativa, come il modo in cui i governi sfruttano le leggi sulla sorveglianza e perché la crittografia è importante, dimostrano quanto sia fondamentale una crittografia forte per proteggere i dati sensibili di cittadini e aziende. Se permettiamo a un governo di forzare una backdoor nelle comunicazioni sicure, sarà solo questione di tempo prima che altri seguano l’esempio.

È in gioco la privacy di miliardi di utenti.

La lotta per la crittografia non è affatto finita. I governi continueranno a spingere per ottenere maggiori poteri di sorveglianza, ma il pubblico deve reagire. La privacy è un diritto umano fondamentale e la crittografia è lo strumento più forte che abbiamo per proteggerla. La crittografia è essenziale quando vogliamo proteggere il nostro diritto alla privacy e il nostro diritto alla libertà di parola.

Noi di Tuta continuiamo a lottare per il vostro diritto alla privacy con la crittografia Ende-zu-Ende - senza alcuna backdoor, è una garanzia.