O Reino Unido precisa de atualizar o seu "manual para ditadores"! O projeto de lei sobre segurança em linha acaba de ser aprovado - com a possibilidade de quebrar a encriptação em qualquer altura.

O projeto de lei sobre segurança em linha do Reino Unido contém uma cláusula que permite aos políticos minar a encriptação - agora ou no futuro.

Online Safety Bill: Will the UK break encryption?

O projeto de lei sobre segurança em linha foi aprovado esta semana na Câmara dos Deputados e, muito provavelmente, tornar-se-á lei no outono. Apesar das recentes declarações dos políticos de que o projeto de lei não obrigará as empresas de tecnologia a procurar material de abuso encriptado até que esteja disponível uma tecnologia "viável" para o fazer, a cláusula que dá ao governo o poder de quebrar a encriptação no futuro ainda está incluída na versão final do projeto de lei.


Após vários anos de debate, o muito criticado projeto de lei sobre segurança em linha será aprovado nas próximas semanas, com enormes consequências para a forma como as pessoas na Grã-Bretanha acedem aos serviços em linha.

Durante uma das suas últimas leituras na Câmara dos Lordes, o governo de Sunak recuou, confirmando que não tenciona quebrar a encriptação e que só exigirá que as aplicações de mensagens procurem conteúdos ilegais quando tal for “tecnicamente viável”.

Esta declaração foi saudada como uma “vitória” pelos defensores da privacidade. Houve um minuto de esperança de que a Grã-Bretanha reescrevesse o chamado “playbook” dos ditadores. Por exemplo, o especialista em segurança Alec Muffett tweetou:

“AQUI MESMO, AGORA MESMO, EM TERMOS DE POLÍTICA, VAMOS RECONHECER UMA COISA: depois de anos - especialmente depois da fanfarronice dos últimos 6 meses - o facto de o governo reconhecer a intratabilidade da verificação do lado do cliente é uma GRANDE VITÓRIA”.

E Meredith Whittaker, da Signal, tweetou:

“UAU. Estou muito comovida, um pouco atordoada e, acima de tudo, sinceramente grata àqueles que se uniram para garantir a luz do sol sobre a perigosa cláusula de espionagem OSB e àqueles no governo do Reino Unido que sintetizaram os fatos e agiram de acordo com eles.

”Eu sabia que tínhamos de lutar. Não sabia que íamos win❤️🙏“

No entanto, Meredith também acrescenta:

“É claro que isto não é uma vitória total. Teríamos adorado ver isto no texto da própria lei. Mas isso não deixa de ser enorme e, na medida em que a orientação para a implementação terá a força de moldar a estrutura de implementação do Ofcom, isso é, novamente, muito grande e muito bom.”

Porque, crucialmente, embora o governo tenha dito que não iria forçar as empresas de tecnologia a quebrar a encriptação, essa frase não foi incluída na legislação alterada. O que é pior, os representantes do governo apenas disseram que não iriam disparar até que fosse “tecnicamente viável”.

Stephen Parkinson, subsecretário de Estado para as Artes e o Património, disse à Câmara dos Lordes As empresas não serão obrigadas a analisar as mensagens encriptadas até que seja “tecnicamente viável e quando a tecnologia tiver sido acreditada como satisfazendo as normas mínimas de precisão na deteção exclusiva de conteúdos de abuso e exploração sexual de crianças.” Também mencionou diretamente a controversa cláusula 122 da Lei da Segurança Online:

“Se não existir tecnologia adequada que cumpra esses requisitos, a Ofcom não poderá utilizar a cláusula 122 para exigir a sua utilização”.

Que tecnologia pode detetar o CSAM?

Embora o governo britânico tenha admitido que atualmente não existe tecnologia para procurar material de abuso sexual de crianças que não viole o direito humano à privacidade, continua a procurar essa tecnologia. Quando se discutem as opções, a maior parte das vezes os políticos falam de scanning do lado do cliente, que também é olhado de perto pela UE como o “santo graal” para a aplicação da lei.

Os serviços que utilizam a encriptação de ponta a ponta garantem que apenas o remetente e o destinatário podem ver o conteúdo das mensagens. Para poder decidir se as mensagens contêm material CSA, seria necessário digitalizar os dados localmente nos dispositivos das pessoas, de modo a que possam ser enviados com cifragem de ponta a ponta. Os dados digitalizados teriam de ser comparados com um conjunto de dados noutro servidor, o que, de facto, quebraria a cifragem de extremo a extremo e violaria a privacidade das pessoas.

Uma vez que a digitalização e o respeito pelo direito à privacidade das pessoas é essencialmente impossível, a Apple cancelou os seus planos de desenvolver a digitalização do lado do cliente para o iCloud, afirmando que não conseguia fazer com que o processo de digitalização funcionasse sem violar a privacidade dos utilizadores.

Em última análise, atualmente não existe qualquer tecnologia viável para procurar material abusivo em dados encriptados.

Vitória para a privacidade?

No entanto, os activistas da privacidade estão a reclamar uma vitória. Por exemplo, a Wired escreveu:

“A Grã-Bretanha admite a derrota na controversa luta para quebrar a encriptação: O governo do Reino Unido admitiu que a tecnologia necessária para digitalizar com segurança as mensagens encriptadas enviadas no Signal e no WhatsApp não existe, enfraquecendo a sua controversa Lei de Segurança Online”.

Em parte, é uma vitória, porque - pelo menos por agora - a chamada “cláusula de espionagem” na Lei de Segurança Online do Reino Unido, que teria exigido que as aplicações de mensagens quebrassem a encriptação de ponta a ponta para poderem procurar material de abuso, já não será aplicada.

Finalmente, depois de meses a ser convencido por especialistas em segurança e privacidade, o governo admitiu que a tecnologia para analisar com segurança as mensagens encriptadas em busca de sinais de material de abuso sexual de crianças (CSAM) sem comprometer a privacidade dos utilizadores, ainda não existe.

No entanto, outros especialistas em privacidade não estão tão optimistas. Matthew Hodgson, diretor executivo e cofundador da Element, uma aplicação de mensagens descentralizada sediada no Reino Unido, afirmou:

Isto “não é uma mudança, é um chutar a lata pela estrada”.

”É apenas o que está realmente escrito no projeto de lei que importa. A digitalização é fundamentalmente incompatível com as aplicações de mensagens encriptadas de ponta a ponta. O scanning contorna a encriptação para fazer o scanning, expondo as suas mensagens aos atacantes. Por isso, tudo o que ‘até que seja tecnicamente viável’ significa é abrir a porta ao scanning no futuro, em vez de o fazer hoje”.

Um porta-voz da organização de campanha Index on Censorship disse:

“O projeto de lei sobre segurança em linha, tal como está redigido, continua a ser uma ameaça à encriptação e, como tal, põe em risco todas as pessoas, desde jornalistas que trabalham com denunciantes a cidadãos comuns que falam em privado. Precisamos de ver alterações urgentes para proteger o nosso direito à liberdade de expressão em linha”.

Outro especialista, Martin Albrecht, professor de cibersegurança no King’s College de Londres e crítico da cláusula 122 do projeto de lei sobre segurança em linha, afirmou que não vê qualquer possibilidade de uma tecnologia de scanner de mensagens ser “viável”. Como é que uma tecnologia deste tipo seria capaz de detetar com exatidão apenas material abusivo e, ao mesmo tempo, proteger a privacidade das pessoas?

Albrecht disse ao Guardian:

“Estou aliviado por ver o governo aceitar o consenso científico de que não existe tecnologia para analisar mensagens encriptadas sem violar a privacidade dos utilizadores. No entanto, não é claro qual o teste que o governo planeia aplicar para decidir se a tecnologia é viável no futuro”.

Uma vez que o governo não alterou a redação do projeto de lei, continua a existir a opção de obrigar as empresas a digital izar mais tarde. O regulador dos meios de comunicação social, Ofcom, continua a ter o poder de declarar qualquer tecnologia suficientemente boa para a tarefa de procurar conteúdos abusivos, respeitando o direito à privacidade das pessoas - não importa se a tecnologia consegue ou não atingir este objetivo.

O projeto de lei sobre segurança em linha vai quebrar a encriptação?

Ouvindo atentamente os políticos e as suas declarações sobre o projeto de lei sobre segurança em linha, o plano atual é não quebrar a encriptação, mas isto pode não passar de conversa fiada.

O ministro da tecnologia e da economia digital, o deputado Paul Scully, afirmou:

“A nossa posição sobre este assunto não mudou e é errado sugerir o contrário. A nossa posição sobre o combate ao abuso sexual de crianças em linha continua firme e sempre fomos claros quanto ao facto de o projeto de lei adotar uma abordagem ponderada e baseada em provas para o fazer”.

Isto significa que: O governo britânico continua a querer analisar todas as mensagens e todos os textos que envia, independentemente de estarem ou não encriptados de ponta a ponta.

Se o projeto de lei sobre segurança em linha for aprovado na sua forma atual, o Ofcom poderá “dar instruções às empresas para utilizarem, ou envidarem os melhores esforços para desenvolverem ou obterem, tecnologia para identificar e remover conteúdos ilegais de abuso sexual de crianças - que sabemos que pode ser desenvolvida”, disse Scully.

No final, tudo o que temos é uma promessa. O governo britânico diz que não vai obrigar as aplicações de mensagens a utilizar tecnologia não comprovada para procurar material pedopornográfico, ou CSAM, mas os poderes para o fazer ainda estão no projeto de lei. O governo pode mudar de ideias a qualquer momento.

Pressão das empresas de tecnologia

O novo tom do governo britânico surgiu devido à forte pressão das empresas de tecnologia. Por exemplo, o WhatsApp e o Signal ameaçaram deixar o Reino Unido se a Lei de Segurança Online fosse aprovada, pois não iriam enfraquecer ou quebrar a sua encriptação de ponta a ponta para cumprir a legislação do Reino Unido.

Nós, em Tutanota, não aceitaremos a Lei de Segurança Online.

Nós do Tutanota adotamos uma abordagem diferente, afirmando que não deixaríamos o Reino Unido, mas que o Reino Unido precisaria bloquear o acesso ao Tutanota, assim como a Rússia e o Irã.

Concentramo-nos na segurança e privacidade dos nossos utilizadores, agora e no futuro. Em vez de pensarmos em como quebrar ou contornar a encriptação, tornamos a encriptação mais forte, investindo já em encriptação segura pós-quântica.

Como especialistas em tecnologia, compreendemos a necessidade de encriptação de ponta a ponta e, como defensores da liberdade, preferimos lutar contra a Lei da Segurança Online em tribunal do que mexer na nossa encriptação integrada que protege os dados de milhões de utilizadores em todo o mundo. Não cedemos à China ou ao Irão, que já bloqueiam o acesso ao Tutanota, e não o faremos no Reino Unido.

A nossa paixão é lutar pelo seu direito à privacidade.


Resumo da Lei de Segurança Online

O que é a Lei de Segurança Online?

A Lei de Segurança Online tem como objetivo tornar o Reino Unido o espaço mais seguro online. O projeto de lei obriga as plataformas a remover conteúdos ilegais, como material de abuso sexual de crianças, bem como a remover conteúdos proibidos de acordo com os seus próprios termos.

O projeto de lei contém um conjunto de novas leis com o objetivo de proteger crianças e adultos em linha. As empresas de redes sociais devem assumir maior responsabilidade pelos conteúdos publicados nos seus sítios e remover mais rapidamente os conteúdos ilegais.

O primeiro projeto de lei sobre segurança em linha foi publicado em maio de 2021 e é muito provável que a versão atual do projeto seja aprovada no outono de 2023.