Dlaczego wymóg interoperacyjności UE zagraża bezpieczeństwu szyfrowania

Nowe prawo w Unii Europejskiej wymagałoby od dużych firm technologicznych przeprojektowania swoich aplikacji do przesyłania wiadomości, aby bezproblemowo współpracowały ze wszystkimi innymi na rynku.

Teoretycznie prawo ułatwi czatowanie ze znajomymi i rodziną, niezależnie od tego, czy korzystają z iMessage, WhatsApp czy Signal. Jednak ta wymuszona interoperacyjność w sieci może spowodować poważne problemy z bezpieczeństwem.

Co to jest szyfrowanie w wiadomościach i dlaczego jest ważne?

Większość wiadomości wysyłanych za pomocą aplikacji do przesyłania wiadomości będzie niezaszyfrowana. Oznacza to, że osoby trzecie mogą je czytać podczas podróży między Twoim telefonem a osobą, do której piszesz.

Jeśli chcesz zachować zawartość wiadomości w tajemnicy, musisz użyć aplikacji, która oferuje szyfrowanie typu end-to-end (lub E2E). Tworzy to rodzaj bezpieczną komunikację, która zapewnia tylko Ty i Twoi rozmówcy możecie czytać to, co sobie nawzajem wysyłacie.

Szyfrowanie typu end-to-end zapewnia, że ​​wszystkie wiadomości wysyłane przez Ciebie i Twojego rozmówcę pozostają bezpieczne podczas podróży między telefonami, chroniąc je przed odczytaniem lub modyfikacją przez osoby trzecie. Te strony trzecie obejmują dostawców usług internetowych, firmy telefoniczne, a nawet samą aplikację do przesyłania wiadomości.

W rezultacie zespół programistów aplikacji nie może przekazać Twoich wiadomości reklamodawcom, organom ścigania ani nikomu innemu, kto może chcieć je przeczytać. Szyfrowanie zapobiega również modyfikowaniu przesyłanych wiadomości przez osoby trzecie.

Większość głównych aplikacji do przesyłania wiadomości oferuje pewien rodzaj szyfrowania. Jednak oferowane funkcje szyfrowania mogą się różnić w zależności od aplikacji.

Jak ustawa o rynkach cyfrowych może zagrozić szyfrowaniu

24 marca 2022 r. organy zarządzające UE ogłosiły, że osiągnęły porozumienie w sprawie nowych przepisów regulujących Big Tech w Europie. Nazywa się to Ustawa o rynkach cyfrowych (lub DMA). Jedną z najważniejszych zmian w nowym prawie jest wymóg, aby wszystkie duże firmy technologiczne tworzyły produkty, które są interoperacyjne z mniejszymi platformami.

Oznacza to, że wszystkie aplikacje do przesyłania wiadomości firm Big Tech będą musiały być w stanie wysyłać wiadomości, wymieniać pliki i nawiązywać połączenia wideo ze wszystkimi innymi aplikacjami do przesyłania wiadomości, co jest dobre pod wieloma względami. Interoperacyjność oznacza, że ​​firmy Big Tech, takie jak Meta, Google i Apple, muszą brać pod uwagę mniejsze, tworząc nowe aplikacje lub platformy.

W 2021 r. Meta doświadczyła globalnej awarii gdy jego protokół Border Gateway Protocol (BGP) miał błąd konfiguracji, pozostawiając wszystkie zasoby w trybie offline na ponad 6 godzin. Kiedy firmy takie jak Meta popełniają błędy, miliardy użytkowników mogą odczuć ich skutki.

Jednak wielkość tych firm może ochronić je przed konsekwencjami nawet poważnych błędów. Wymogi dotyczące interoperacyjności mogą sprawić, że Big Tech będzie odpowiedzialny przed konsumentami i całym światem technologii.

Ponadto wymóg interoperacyjności ustawy Digital Markets Act może stwarzać problemy w przypadku aplikacji oferujących szyfrowanie E2E.

Dlaczego interoperacyjność może utrudnić wdrożenie szyfrowania

Aplikacje do przesyłania wiadomości implementują szyfrowanie na różne sposoby lub korzystają z różnych standardów szyfrowania. Niestety, prawie niemożliwe jest, aby wszystkie te strategie działały razem.

Twórcy aplikacji będą musieli pójść na kompromis, aby zapewnić interoperacyjność. Może pojawić się podejście „najniższego wspólnego mianownika”, w którym aplikacje wdrażają najprostszy możliwy system szyfrowania. Na przykład wyobraź sobie jedną aplikację do przesyłania wiadomości, która obsługuje szyfrowanie czatów grupowych, ale inną, która obsługuje tylko rozmowy jeden na jednego.

Pełna interoperacyjność może oznaczać, że programiści zdecydują się na wdrożenie najprostszego systemu, który będzie współpracował z innymi aplikacjami na rynku. Prawdopodobnie wymagałoby to od nich porzucenia bardziej złożonych funkcji, takich jak szyfrowanie czatu grupowego.

W praktyce może to narazić użytkowników na znacznie większe ryzyko. Mniej zaawansowane systemy szyfrowania mogą być łatwiejsze do pokonania lub nie zapewniać pełnej ochrony przed szpiegującymi stronami trzecimi.

Twórcy aplikacji mogą również tworzyć nowe standardy, które pozwolą im: zharmonizować swoje praktyki szyfrowania. Na przykład Secure Communications Interoperability Protocol (SCIP) to amerykański standard bezpiecznej komunikacji głosowej i danych. Podobny standard szyfrowania wiadomości E2E może pomóc programistom zapewnić interoperacyjność bez poświęcania funkcjonalności.

Niektóre popularne aplikacje do przesyłania wiadomości —jak sygnał— są na tyle małe, że wymagania DMA nie mają na nie wpływu. Nie dotyczy to jednak najlepszych platform, takich jak WhatsApp, które używają protokołu Signal do szyfrowania. DMA może oznaczać, że funkcje szyfrowania WhatsApp zostaną osłabione lub całkowicie usunięte, co utrudni użytkownikom zachowanie prywatności komunikacji.

Wymagania dotyczące współdziałania mogą osłabić szyfrowanie

Wymogi dotyczące interoperacyjności niosą ze sobą korzyści, takie jak te zawarte w nowej unijnej ustawie o rynkach cyfrowych. Jednak wymaganie tego może również zachęcić programistów do osłabienia funkcji szyfrowania aplikacji.

Wkrótce użytkownicy mogą być zmuszeni do przejścia na aplikacje opracowane przez firmy spoza Big Tech, jeśli chcą uzyskać najlepszą możliwą technologię szyfrowania.

Co oznacza szyfrowanie i czy moje dane są bezpieczne?

Czytaj dalej

O autorze