O que é ainda mais chocante é o facto de a iniciativa da Apple não ter ido suficientemente longe: O pedido feito à Apple ao abrigo da lei Investigatory Powers Act exige que a Apple permita o acesso aos dados na nuvem de todos os seus utilizadores globais. A atual alteração apenas afecta os novos utilizadores do Reino Unido. Os utilizadores existentes no Reino Unido receberão um aviso de que têm de desativar a encriptação de ponta a ponta ou perderão o acesso às suas contas. Uma vez que a Apple não dispõe de uma chave backdoor, o utilizador tem de ser ele próprio a desativar a encriptação de ponta a ponta.

Assim, embora a Apple continue a afirmar que não se trata de uma backdoor, os utilizadores do Reino Unido devem sentir-se terrivelmente enganados. Os seus dados na nuvem da Apple já não podem ser encriptados de ponta a ponta, o que aumenta o risco de violações de dados, ataques maliciosos e acesso governamental.

No entanto - e isto tem de ser dito a favor da Apple - a grande empresa de tecnologia não fez backdoor do seu serviço em segredo, dando ao Ministério do Interior do Reino Unido acesso total sem que ninguém soubesse. Uma vez que o código-fonte da Apple não é publicado como código aberto, teria sido possível à empresa alterar secretamente o código e não informar ninguém desse facto. O facto de a Apple ter cumprido parcialmente a exigência de backdoor do Reino Unido abertamente, deixa-nos com um grão de esperança. O Ministério do Interior do Reino Unido não conseguiu o que queria: Poder monitorizar toda a gente em segredo.

Embora a Apple tenha lutado com sucesso contra um pedido semelhante do governo dos EUA há dez anos, agora teve de ceder à pressão política, criando um precedente terrível. A encriptação de ponta a ponta é a única ferramenta de que dispomos para proteger os nossos dados. Todos sabemos que não é possível criar uma porta das traseiras apenas para os bons da fita.

Na Tuta, continuamos empenhados em lutar pelo seu direito à privacidade. Vamos unir-nos e mostrar aos políticos que não é correto invadir os nossos dados privados!

O que aconteceu - uma análise

O governo do Reino Unido estava mais uma vez a insistir na vigilância em massa, exigindo secretamente que a Apple criasse uma porta traseira para as suas cópias de segurança encriptadas de ponta a ponta na nuvem. Esta exigência, comunicada por uma fuga de informação ao The Washington Post, tem consequências devastadoras para a privacidade digital em todo o mundo. A exigência foi feita através de uma notificação de capacidade técnica ao abrigo da controversa Lei dos Poderes de Investigação de 2016, também conhecida como a Carta dos Bisbilhoteiros. Se a Apple tivesse cumprido a exigência na íntegra, teria posto em causa as protecções de encriptação e de privacidade de todos os utilizadores da Apple, e não apenas os do Reino Unido.

Cinco Olhos: quem recebe os dados primeiro?

Esta não é a primeira vez que um governo tenta enfraquecer a encriptação sob o pretexto da segurança nacional. De facto, a aliança “Five Eyes”, constituída pelos EUA, Reino Unido, Canadá, Austrália e Nova Zelândia, é conhecida por querer enfraquecer a encriptação.

Nas guerras criptográficas em curso - que começaram no momento em que o PGP se tornou disponível para todos no início dos anos 90 - os governos de todo o mundo tentaram forçar as empresas de tecnologia a criar serviços de comunicação menos seguros para que as autoridades policiais pudessem transformar as empresas em seus pequenos (ou grandes) ajudantes quando se trata de processar criminosos. O problema é que, uma vez que um método de comunicação é menos seguro, é menos seguro para toda a gente - não apenas para os criminosos. Seja como for, os cinco olhos revezam-se na tentativa de forçar as empresas a minar a encriptação de ponta a ponta. Parece que quem conseguir obter os dados primeiro ajudará os outros países a conseguir o mesmo.

Banda desenhada que mostra o diretor executivo da Apple, Tim Cook, a desbloquear o iPhone enquanto o FBI, os piratas informáticos, os regimes repressivos e outros fazem fila para ter acesso aos dados desencriptados. Numa versão actualizada desta banda desenhada, o Reino Unido deveria colocar-se entre a Apple e o FBI.

O clamor público impediu a vigilância geral

Até a UE tentou introduzir a verificação do lado do cliente várias vezes, mas até agora não avançou com ela, nomeadamente devido à oposição, também da Alemanha, que disse a famosa frase “Não há ação penal a qualquer custo” e que a UE não deve introduzir a verificação do lado do cliente.

Em relação à Apple, os EUA também tentaram forçar a Apple a enfraquecer a sua encriptação em 2015/2016. Nessa altura, a Apple recusou-se a introduzir a digitalização do lado do cliente devido aos protestos do público.

Temos de ter em mente que, uma vez que a encriptação é minada, a vigilância geral - o controlo de todos os cidadãos - torna-se possível. Qualquer porta traseira para a aplicação da lei tornar-se-á inevitavelmente uma porta traseira para agentes maliciosos e regimes autoritários.

Pode o Reino Unido decidir sobre a sua segurança?

Quando a Apple recebeu pela primeira vez a notícia de que o Reino Unido estava a planear pedir acesso à backdoor, a Apple disse, de acordo com o Washington Post:

“Não há razão para que o Reino Unido [governo] tenha autoridade para decidir pelos cidadãos de todo o mundo se podem aproveitar os benefícios de segurança comprovados que decorrem da encriptação de ponta a ponta”.

Mas será que o Reino Unido tem esse poder?

Uma fonte desconhecida disse ao Washington Post que o governo britânico está a exigir que a Apple forneça à polícia britânica acesso às cópias de segurança encriptadas na nuvem dos utilizadores de todo o mundo - independentemente de serem ou não cidadãos britânicos. Esta exigência foi feita através de um aviso de capacidade técnica apresentado ao abrigo da Lei de Poderes de Investigação do Reino Unido de 2016, também conhecida como a Carta dos Bisbilhoteiros - a lei de vigilância mais extrema numa democracia. Este mecanismo legal obriga as empresas a ajudarem as autoridades policiais, fornecendo acesso a comunicações encriptadas, e também torna ilegal a divulgação de tais pedidos ao público.

A ordem do Reino Unido vai para além de visar contas específicas. Exige uma capacidade geral para alterar o código da Apple de forma a que já não seja apenas o utilizador a desencriptar os seus dados, mas que a Apple tenha o poder de desencriptar todos os dados do utilizador e de os enviar às autoridades a pedido destas, criando um precedente perigoso para a privacidade digital global.

O poder do Reino Unido parece não ter limites. O WaPo refere que

”Uma das pessoas informadas sobre a situação, um consultor que aconselha os Estados Unidos em matéria de encriptação, disse que a Apple seria impedida de avisar os seus utilizadores de que a sua encriptação mais avançada já não oferecia segurança total. A pessoa considerou chocante que o governo do Reino Unido estivesse a pedir a ajuda da Apple para espiar utilizadores não britânicos sem o conhecimento dos seus governos.”

Isto é ainda mais problemático porque o código da Apple é proprietário e não é publicado como código aberto. Isto significa que uma mudança na forma como a encriptação é feita nos clientes da Apple pode passar despercebida ao público durante muito tempo.

Precedente para a vigilância em massa

O facto de a Apple ter acedido parcialmente ao pedido do Reino Unido para que a sua encriptação fosse feita pela porta das traseiras abriu um precedente perigoso para as empresas de tecnologia de todo o mundo. O Reino Unido pode ter sido o primeiro a emitir uma ordem tão abrangente, mas certamente não será o último. Assim que houver uma porta dos fundos, outros governos farão fila para exigir o mesmo acesso. A China, a Rússia e outros regimes com registos questionáveis em matéria de direitos humanos seguirão, sem dúvida, o exemplo.

Além disso, no âmbito da chamada aliança de serviços secretos “Cinco Olhos”, há uma longa história de acordos de partilha de informação. Isto significa que o Reino Unido pode partilhar quaisquer dados que receba da Apple com os outros países dos cinco olhos, mas também significa que é altamente provável que os outros membros desta aliança exijam as mesmas capacidades de monitorização. Consequentemente, a privacidade digital poderá ser afetada em todo o lado.

Enfrentar a oposição

No momento em que a notícia sobre a exigência do Reino Unido de fazer backdoor à encriptação da Apple, a oposição começou a soar o alarme, mesmo nos EUA: o senador Ron Wyden (Oregon), um democrata do Comité de Inteligência do Senado, disse ao Washington Post:

“Trump e as empresas tecnológicas americanas deixarem que governos estrangeiros espiem secretamente os americanos seria inaceitável e um desastre absoluto para a privacidade dos americanos e para a nossa segurança nacional”.

As suas preocupações são justificadas, dado que os países dos Cinco Olhos têm frequentemente cooperado em programas de vigilância, como se pode ver nas revelações de Edward Snowden. Uma backdoor mandatada pelo Reino Unido não se limitará às autoridades britânicas - em breve será explorada pelos serviços secretos de todas as nações aliadas.

Meredith Whittaker, do Signal, uma das melhores alternativas ao WhatsApp, disse ao WaPo:

“Usar avisos de capacidade técnica para enfraquecer a criptografia em todo o mundo é uma medida chocante que posicionará o Reino Unido como um pária tecnológico, em vez de um líder tecnológico. Se implementada, a diretiva criará uma perigosa vulnerabilidade de cibersegurança no sistema nervoso da nossa economia global”.

Matthias Pfau, Diretor Executivo da Tuta Mail, acrescenta:

“Já vimos pedidos de dados encriptados repetidas vezes. Também vimos essas exigências serem derrotadas vezes sem conta. Juntamente com a comunidade de proteção da privacidade, unimo-nos e defendemos o nosso direito à privacidade. Os governos não devem forçar as empresas tecnológicas a enfraquecer a segurança de que todos dependemos - especialmente agora que as ciberameaças estão a aumentar continuamente. Lutamos pelo direito dos nossos utilizadores à privacidade com encriptação de ponta a ponta e continuaremos a fazê-lo, independentemente do que os governos possam pedir.”

Curiosamente, a agência norte-americana CISA acaba de emitir o seu mais forte apoio à encriptação, devido à pirataria chinesa de fornecedores de telecomunicações americanos que permite à China monitorizar chamadas e mensagens não encriptadas de muitos cidadãos norte-americanos, incluindo políticos. Este ataque aos EUA mostra por que razão a cifragem de ponta a ponta é mais necessária do que nunca no mundo em linha de hoje.

Só a encriptação de ponta a ponta nos pode proteger do roubo de dados e de ataques maliciosos.

Momento interessante da ação do Reino Unido

Vale a pena analisar o momento em que o Reino Unido apresentou o pedido no contexto de desenvolvimentos geopolíticos mais alargados. É de salientar que a Apple tentou introduzir a função de encriptação de ponta a ponta para o seu armazenamento na nuvem já durante o primeiro mandato do Presidente Donald Trump - mas recuou devido a queixas de que a empresa não ajudaria as autoridades policiais a processar criminosos como assassinos ou traficantes de droga. A encriptação opcional na nuvem foi então introduzida pela Apple em 2022 - e agora está novamente sob pressão, pouco depois de Trump se ter tornado novamente presidente dos EUA.

Poderá tratar-se de um esforço coordenado entre o Reino Unido e a administração dos EUA? É possível que os EUA estejam a apoiar tacitamente esta medida, usando o Reino Unido como um campo de testes para ver se os gigantes da tecnologia cumprem as ordens de vigilância generalizada. Dado que as agências de informação dos EUA, em particular o FBI, há muito que procuram aceder às comunicações encriptadas, não seria surpreendente se Washington estivesse a encorajar discretamente este passo nos bastidores. Os funcionários da administração Trump recusaram-se a comentar quando questionados pelo Washington Post.

A guerra das criptomoedas continua - mas a privacidade tem de ganhar

Esta é apenas a mais recente batalha nas guerras criptográficas em curso, a luta de décadas entre governos e defensores da privacidade sobre o futuro da encriptação. Desde a década de 1990, as agências de aplicação da lei têm vindo a insistir na introdução de backdoors nas comunicações encriptadas, utilizando como justificação o terrorismo e a exploração infantil. No entanto, os peritos em segurança demonstraram repetidamente que enfraquecer a encriptação para um fim enfraquece-a para todos os fins. Uma vulnerabilidade criada para uso governamental será inevitavelmente explorada por maus actores, incluindo cibercriminosos e regimes estrangeiros hostis.

Na Tuta, temos alertado constantemente para estes perigos. As nossas discussões anteriores sobre a vigilância governamental, tais como a forma como os governos exploram as leis de vigilância e a razão pela qual a encriptação é importante, mostram como a encriptação forte é fundamental para proteger os dados sensíveis dos cidadãos e das empresas. Se permitirmos que um governo force uma porta de entrada nas comunicações seguras, será apenas uma questão de tempo até que outros sigam o exemplo.

A privacidade de milhares de milhões de utilizadores está em jogo.

A luta pela encriptação está longe de ter terminado. Os governos continuarão a insistir em mais poderes de vigilância, mas o público tem de resistir. A privacidade é um direito humano fundamental e a encriptação é a ferramenta mais forte de que dispomos para a proteger. A encriptação é essencial quando queremos proteger o nosso direito à privacidade e o nosso direito à liberdade de expressão.

Na Tuta, continuamos a lutar pelo seu direito à privacidade com encriptação de ponta a ponta - sem qualquer porta traseira, isso é uma garantia.