Em Defesa da Criptografia Forte: A Urgência de Bloquear a “Moderação de Upload” no Regulamento Europeu CSA

A discussão em torno do Regulamento da UE sobre Abuso Sexual de Crianças (CSA) trouxe à tona preocupações significativas sobre a privacidade e a segurança online

Por Susana Taboas

O texto atual do Conselho, que ainda exige a detecção de conteúdo para serviços de mensagens criptografadas por meio da “moderação de upload” (verificação do lado do cliente), ignora as questões levantadas pelo Serviço Jurídico do Conselho e as recomendações da Autoridade Europeia para a Proteção de Dados para proteger a criptografia forte.

Com a votação do Conselho marcada para 2 de outubro de 2024, é crucial que os ministros de países-chave, como França, Itália, República Tcheca e Holanda, sejam contatados para defender um bloqueio no texto atual.

A “moderação de upload” não é compatível com a criptografia de ponta a ponta (E2EE), e a verificação obrigatória expõe os usuários a novos riscos de segurança.

Incompatibilidade da “Moderação de Upload” com E2EE

Apesar das afirmações da Comissão Europeia e da Presidência húngara de que a proposta CSA é compatível com E2EE, atualmente não existem soluções técnicas viáveis que permitam aos provedores de serviços manter serviços criptografados de ponta a ponta para os usuários e, ao mesmo tempo, cumprir as responsabilidades de detecção da proposta.

A “moderação de upload” exige que os provedores de serviços verifiquem o conteúdo das mensagens antes que elas sejam criptografadas e enviadas, o que viola fundamentalmente o princípio da E2EE, que garante que apenas o remetente e o destinatário possam ler as mensagens.

Novos Riscos de Segurança com a Verificação Obrigatória

A proposta CSA, embora importante e bem-intencionada, ameaça desencadear involuntariamente uma avalanche de novos danos online. Ao pressionar os provedores a escolher entre eliminar a criptografia ou oferecer uma alternativa de criptografia comprometida a seus usuários, a proposta coloca em risco a segurança e a privacidade dos usuários europeus da Internet, incluindo as crianças.

O comprometimento de ferramentas de comunicação seguras, como o E2EE, introduz novas vulnerabilidades que podem ser exploradas por hackers e governos hostis. Essas vulnerabilidades não só põem em risco a segurança e a privacidade dos usuários, mas também lançam uma sombra sobre a integridade da própria Internet.

O Bloqueio do texto atual da proposta CSA

É essencial que o Conselho bloqueie o texto atual da proposta CSA e proteja a criptografia forte. A “moderação de upload” não é compatível com E2EE e a verificação obrigatória expõe os usuários a novos riscos de segurança. Em vez de enfraquecer a criptografia, os reguladores devem incentivar medidas que abordem o conteúdo de abuso sexual infantil e protejam a segurança das comunicações.

O monitoramento preventivo em sistemas E2EE é problemático e apresenta sérios riscos à privacidade, segurança e eficácia da aplicação da lei. Em vez de enfraquecer a criptografia, os legisladores devem buscar abordagens alternativas que protejam tanto as crianças quanto os direitos dos usuários.

Resumo do Monitoramento Preventivo em Serviços Criptografados de Ponta a Ponta: Avaliação de Viabilidade Técnica da Internet Society

O monitoramento preventivo de conteúdo em sistemas E2EE introduz riscos sistêmicos para provedores e usuários.

• Interfere na privacidade e segurança: Frustra a intenção dos usuários de se comunicarem privadamente e compromete a integridade de dispositivos e sistemas.
• Aumenta o risco de ataques: Abre portas para ataques em todo o sistema, acesso não autorizado a dados e exploração por criminosos.
• Impacto na aplicação da lei: Dificulta o alcance das metas do Online Safety Act (OSA) do Reino Unido.

Vulnerabilidades e riscos sistêmicos

• Ataques a dados pessoais: Maior exposição a ataques que visam dados sensíveis.
• Ataques DDoS: Potencial para ataques de negação de serviço distribuído, sobrecarregando servidores e redes.
• Manipulação de bancos de dados CSEA: Risco de comprometimento dos bancos de dados de material de abuso sexual infantil.
• Engenharia reversa: Possibilidade de criminosos entenderem e burlarem os mecanismos de detecção.
• Ataques a alertas: Interceptação e manipulação de alertas enviados para processamento.

Fatores que afetam a viabilidade técnica

• Taxas de erro: Falsos positivos e negativos podem sobrecarregar os recursos de aplicação da lei e levar a acusações falsas.
• Conteúdo “vinculado ao Reino Unido”: A definição vaga e subjetiva aumenta a complexidade e o risco de falsos positivos.
• Processamento de dados: Tanto no dispositivo quanto fora do dispositivo apresentam desafios e vulnerabilidades.
• Hashing perceptual: A natureza da tecnologia pode levar a falsos positivos e negativos.
• Proliferação de bancos de dados: Dificuldade em gerenciar a consistência e integridade de múltiplos bancos de dados.

Recomendações

• Cautela nas declarações políticas: Evitar expectativas irrealistas sobre a eficácia do monitoramento preventivo.
• Uso dos critérios REPHRAIN: Avaliar tecnologias candidatas com base em critérios abrangentes de privacidade, segurança e eficácia.
• Rejeição do CSS: Não credenciar tecnologias de varredura do lado do cliente devido às suas vulnerabilidades inerentes.

Sobre Susana Taboas

Susana Taboas | COO – Chief Operating Officer – CryptoID. Economista com MBA em Finanças pelo IBMEC-RJ e diversos cursos de extensão na FGV, INSEAD e Harvard University. Durante mais 25 anos atuou em posições no C-Level de empresas nacionais e internacionais acumulando ampla experiência na definição e implementação de projetos de médio e longo prazo nas áreas de Planejamento Estratégico, Structured Finance, Governança Corporativa e RH. Atualmente é Sócia fundadora do Portal Crypto ID e da Insania Publicidade.

Leia outros artigos escritos por Susana.

Acesse o Linkedin da Susana!

Mais informações sobre os riscos de segurança dessas propostas podem ser encontradas neste relatório de viabilidade técnica da Internet Society.

Criptografia forte é o padrão que mantém bilhões de pessoas seguras todos os dias

O Dia Mundial da Criptografia ocorre anualmente em 21 de outubro e nessa data a Global Encryption Coalition – Coalizão Global de Criptografia e seus associados promovem artigos para proteger e defender o uso da criptografia forte.

Quer participar dessa campanha com a gente? Escreva um artigo sobre criptografia e envie para nossa redação até dia 18 de outubro, mas quanto antes melhor! – redacao@cryptoid.com.br

Usar a internet sem criptografia é como compartilhar segredos com um papagaio de estimação: nada permanece em segredo por muito tempo. 

A criptografia é a maneira como você mantém sua vida privada, mesmo online.

#DiaGlobaldaCriptografia #Criptografia #SegurancaDigital #Privacidade #GlobalEncryptionCoalition #CryptoID #GlobalCryptoDay

Comemorando 5 anos da Coalizão Global de Criptografia 

Nos cinco anos desde seu lançamento em 14 de maio de 2020, a Global Encryption Coalition (GEC) e seus membros remodelaram o debate mundial em torno da criptografia.

A Coalizão surgiu em tempos de incerteza, enquanto o mundo enfrentava os primeiros meses de uma pandemia global. Com apenas 37 membros da sociedade civil em sua fundação, a Coalizão foi formada com o objetivo de promover e defender o uso de criptografia forte em todo o mundo. Desde então, a Coalizão cresceu e agora conta com 466 membros de 108 países, incluindo organizações da sociedade civil, empresas e especialistas em segurança cibernética que trabalharam juntos para informar e impactar efetivamente os debates políticos globais sobre criptografia.

Crypto ID é um dos membros do Global Encryption Coalition e mantém uma coluna com os principais artigos. Acesse aqui!