Cinco Olhos: quem recebe os dados primeiro?

Esta não é a primeira vez que um governo tenta enfraquecer a encriptação sob o pretexto da segurança nacional. De facto, a aliança “Five Eyes”, constituída pelos EUA, Reino Unido, Canadá, Austrália e Nova Zelândia, é conhecida por querer fazer backdoor à encriptação.

Nas guerras criptográficas em curso - que começaram no momento em que o PGP se tornou disponível para todos no início dos anos 90 - os governos de todo o mundo tentaram forçar as empresas de tecnologia a criar serviços de comunicação menos seguros para que as autoridades policiais pudessem transformar as empresas em seus pequenos (ou grandes) ajudantes quando se trata de processar criminosos. O problema é que, uma vez que um método de comunicação é menos seguro, é menos seguro para toda a gente - não apenas para os criminosos. Seja como for, os cinco olhos revezam-se na tentativa de forçar as empresas a minar a encriptação de ponta a ponta. Parece que quem conseguir obter os dados primeiro ajudará os outros países a conseguir o mesmo.

Banda desenhada que mostra o diretor executivo da Apple, Tim Cook, a desbloquear o iPhone enquanto o FBI, os piratas informáticos, os regimes repressivos e outros fazem fila para ter acesso aos dados desencriptados. Numa versão actualizada desta banda desenhada, o Reino Unido deveria colocar-se entre a Apple e o FBI.

O clamor público impediu a vigilância geral

Até a UE tentou introduzir a verificação do lado do cliente várias vezes, mas até agora não avançou com ela, nomeadamente devido à oposição, também da Alemanha, que disse a famosa frase “Não há ação penal a qualquer custo” e que a UE não deve introduzir a verificação do lado do cliente.

Em relação à Apple, os EUA também tentaram forçar a Apple a enfraquecer a sua encriptação em 2015/2015. Nessa altura, a Apple recusou-se a introduzir a digitalização do lado do cliente devido aos protestos do público.

Temos de ter em mente que, uma vez que a encriptação é minada, a vigilância geral - o controlo de todos os cidadãos - torna-se possível. Qualquer porta traseira para a aplicação da lei tornar-se-á inevitavelmente uma porta traseira para agentes maliciosos e regimes autoritários.

Pode o Reino Unido decidir sobre a sua segurança?

Quando a Apple recebeu pela primeira vez a notícia de que o Reino Unido estava a planear pedir acesso à backdoor, a Apple disse, de acordo com o Washington Post:

“Não há razão para que o Reino Unido [governo] tenha autoridade para decidir pelos cidadãos de todo o mundo se podem aproveitar os benefícios de segurança comprovados que decorrem da encriptação de ponta a ponta”.

Mas será que o Reino Unido tem esse poder?

Uma fonte desconhecida disse ao Washington Post que o governo britânico está a exigir que a Apple forneça à polícia britânica acesso às cópias de segurança encriptadas na nuvem dos utilizadores de todo o mundo - independentemente de serem ou não cidadãos britânicos. Esta exigência foi feita através de um aviso de capacidade técnica apresentado ao abrigo da Lei de Poderes de Investigação do Reino Unido de 2016, também conhecida como a Carta dos Bisbilhoteiros - a lei de vigilância mais extrema numa democracia. Este mecanismo legal obriga as empresas a ajudarem as autoridades policiais, fornecendo acesso a comunicações encriptadas, e também torna ilegal a divulgação de tais pedidos ao público.

A ordem do Reino Unido vai para além de visar contas específicas. Exige uma capacidade geral para alterar o código da Apple de forma a que já não seja apenas o utilizador a desencriptar os seus dados, mas que a Apple tenha o poder de desencriptar todos os dados do utilizador e de os enviar às autoridades a pedido destas, criando um precedente perigoso para a privacidade digital global.

O poder do Reino Unido parece não ter limites. O WaPo refere que

”Uma das pessoas informadas sobre a situação, um consultor que aconselha os Estados Unidos em matéria de encriptação, disse que a Apple seria impedida de avisar os seus utilizadores de que a sua encriptação mais avançada já não oferecia segurança total. A pessoa considerou chocante que o governo do Reino Unido estivesse a pedir a ajuda da Apple para espiar utilizadores não britânicos sem o conhecimento dos seus governos.”

Isto é ainda mais problemático porque o código da Apple é proprietário e não é publicado como código aberto. Isto significa que uma alteração na forma como a encriptação é feita nos clientes da Apple pode passar despercebida ao público durante muito tempo.

Precedente para a vigilância em massa

Se a Apple ceder a esta exigência, estará a criar um precedente perigoso para as empresas de tecnologia de todo o mundo. O Reino Unido pode ser o primeiro a emitir uma ordem tão abrangente, mas não será certamente o último. Quando existir uma porta dos fundos, outros governos farão fila para exigir o mesmo acesso. A China, a Rússia e outros regimes com registos questionáveis em matéria de direitos humanos seguirão, sem dúvida, o exemplo.

Além disso, no âmbito da chamada aliança de serviços secretos “Cinco Olhos”, existe uma longa história de acordos de partilha de informação. Se o Reino Unido conseguir obrigar a Apple a introduzir uma backdoor, é muito provável que os outros membros desta aliança exijam as mesmas capacidades de monitorização. Na situação atual, as exigências do Reino Unido são um impulso generalizado das agências de informação para corroer a privacidade digital em todo o lado.

Enfrentar a oposição

No momento em que a notícia sobre a exigência do Reino Unido de colocar uma porta traseira na encriptação da Apple, a oposição começou a soar o alarme, mesmo nos EUA: o senador Ron Wyden (Oregon), um democrata do Comité de Inteligência do Senado, disse ao Washington Post:

“Trump e as empresas tecnológicas americanas deixarem que governos estrangeiros espiem secretamente os americanos seria inaceitável e um desastre absoluto para a privacidade dos americanos e para a nossa segurança nacional”.

As suas preocupações são justificadas, dado que os países dos Cinco Olhos têm frequentemente cooperado em programas de vigilância, como se pode ver nas revelações de Edward Snowden. Uma backdoor mandatada pelo Reino Unido não se limitará às autoridades britânicas - em breve será explorada pelos serviços secretos de todas as nações aliadas.

Meredith Whittaker, do Signal, uma das melhores alternativas ao WhatsApp, disse ao WaPo:

“Usar avisos de capacidade técnica para enfraquecer a criptografia em todo o mundo é uma medida chocante que posicionará o Reino Unido como um pária tecnológico, em vez de um líder tecnológico. Se implementada, a diretiva criará uma perigosa vulnerabilidade de cibersegurança no sistema nervoso da nossa economia global”.

Matthias Pfau, Diretor Executivo da Tuta Mail, acrescenta:

“Já vimos pedidos de dados encriptados repetidas vezes. Também vimos essas exigências serem derrotadas vezes sem conta. Juntamente com a comunidade de proteção da privacidade, unimo-nos e defendemos o nosso direito à privacidade. Os governos não devem forçar as empresas tecnológicas a enfraquecer a segurança de que todos dependemos - especialmente agora que as ciberameaças estão a aumentar continuamente. Lutamos pelo direito dos nossos utilizadores à privacidade com encriptação de ponta a ponta e continuaremos a fazê-lo, independentemente do que os governos possam pedir.”

Curiosamente, a agência norte-americana CISA acaba de emitir o seu mais forte apoio à encriptação, devido à pirataria chinesa de fornecedores de telecomunicações americanos que permite à China monitorizar chamadas e mensagens não encriptadas de muitos cidadãos dos EUA, incluindo políticos. Este ataque aos EUA mostra por que razão a cifragem de ponta a ponta é mais necessária do que nunca no mundo em linha de hoje.

Só a encriptação de ponta a ponta nos pode proteger do roubo de dados e de ataques maliciosos.

Momento interessante da ação do Reino Unido

Vale a pena analisar o momento em que o Reino Unido fez a exigência no contexto de desenvolvimentos geopolíticos mais amplos. É de salientar que a Apple tentou introduzir a função de encriptação de ponta a ponta para o seu armazenamento na nuvem já durante o primeiro mandato do Presidente Donald Trump - mas recuou devido a queixas de que a empresa não ajudaria as autoridades policiais a processar criminosos como assassinos ou traficantes de droga. A encriptação opcional na nuvem foi então introduzida pela Apple em 2022 - e agora está novamente sob pressão, pouco depois de Trump se ter tornado novamente presidente dos EUA.

Poderá tratar-se de um esforço coordenado entre o Reino Unido e a administração dos EUA? É possível que os EUA estejam a apoiar tacitamente esta medida, utilizando o Reino Unido como um campo de testes para ver se os gigantes da tecnologia cumprem as ordens de vigilância generalizada. Dado que as agências de informação dos EUA, em particular o FBI, há muito que procuram aceder às comunicações encriptadas, não seria surpreendente se Washington estivesse a encorajar discretamente este passo nos bastidores. Os funcionários da administração Trump recusaram-se a comentar quando questionados pelo Washington Post.

A guerra das criptomoedas continua - mas a privacidade tem de ganhar

Esta é apenas a mais recente batalha nas guerras criptográficas em curso, a luta de décadas entre governos e defensores da privacidade sobre o futuro da encriptação. Desde a década de 1990, as agências de aplicação da lei têm vindo a insistir na introdução de backdoors nas comunicações encriptadas, utilizando como justificação o terrorismo e a exploração infantil. No entanto, os peritos em segurança demonstraram repetidamente que enfraquecer a encriptação para um fim enfraquece-a para todos os fins. Uma vulnerabilidade criada para uso governamental será inevitavelmente explorada por maus actores, incluindo cibercriminosos e regimes estrangeiros hostis.

Na Tuta, temos alertado constantemente para estes perigos. As nossas discussões anteriores sobre a vigilância governamental, tais como a forma como os governos exploram as leis de vigilância e a razão pela qual a encriptação é importante, mostram como a encriptação forte é fundamental para proteger os dados sensíveis dos cidadãos e das empresas. Se permitirmos que um governo force uma porta de entrada nas comunicações seguras, será apenas uma questão de tempo até que outros sigam o exemplo.

A luta pela encriptação está longe de terminar

A Apple tem uma escolha a fazer. Ela pode lutar contra essa exigência, como fez quando o FBI tentou forçá-la a enfraquecer a segurança do iPhone em 2016. Ou pode cumprir, abrindo um precedente de que nenhum serviço encriptado é verdadeiramente seguro. A Apple também pode deixar de oferecer cópias de segurança encriptadas na nuvem aos utilizadores baseados no Reino Unido - mas isso não satisfaria o pedido feito à Apple, uma vez que as autoridades britânicas pediram especificamente dados de potencialmente todos os utilizadores, independentemente de viverem no Reino Unido ou não. Se a Apple ceder, a Google, a Meta e outras empresas serão as próximas a ser contactadas.

A privacidade de milhares de milhões de utilizadores está em jogo.

A luta pela encriptação está longe de ter terminado. Os governos continuarão a insistir em mais poderes de vigilância, mas o público tem de resistir. A privacidade é um direito humano fundamental e a encriptação é a ferramenta mais forte de que dispomos para a proteger. A encriptação é essencial quando queremos proteger o nosso direito à privacidade e o nosso direito à liberdade de expressão.

Na Tuta, continuamos a lutar pelo seu direito à privacidade através da encriptação.