Casi 70 académicos de seguridad y privacidad informática se han sumado al clamor de alarma sobre el daño que el proyecto de ley de seguridad en línea del Reino Unido podría causar a la seguridad en línea a menos que se cambie para garantizar que no comprometa el cifrado fuerte.
escribir en un carta abierta68 Investigadores de seguridad y privacidad afiliados al Reino Unido han advertido que el proyecto de ley representa un riesgo significativo para las tecnologías de seguridad críticas que se usan comúnmente para mantener seguras las comunicaciones digitales.
“Como investigadores independientes de criptografía y seguridad de la información, desarrollamos tecnologías que mantienen a las personas seguras en línea. Es en esta capacidad que vemos la necesidad de resaltar que la seguridad proporcionada por estas tecnologías esenciales ahora está en riesgo en el proyecto de ley de seguridad en línea”, advierten los académicos, haciéndose eco de las preocupaciones ya expresadas por los servicios de seguridad. como WhatsApp, Signal y Element, que han dicho que optarían por retirar los servicios del mercado o ser bloqueados por las autoridades del Reino Unido en lugar de comprometer el nivel de seguridad proporcionado a sus usuarios.
La semana pasada, Apple también hizo una intervención pública, advirtiendo que el proyecto de ley representa «una amenaza grave» para el cifrado de extremo a extremo, que describe como «protección de capacidad crítica». Sin enmiendas para proteger un E2EE fuerte, Apple sugirió que el proyecto de ley corría el riesgo de poner a los ciudadanos del Reino Unido en mayor riesgo, contrario a la afirmación de «seguridad» en el título de la legislación.
Un análisis legal independiente del proyecto de ley también advirtió el año pasado que los poderes de vigilancia contenidos en el proyecto de ley corren el riesgo de comprometer la integridad de E2EE.
La legislación propuesta ya se consideró en la Cámara de los Comunes y actualmente se encuentra en la etapa de informe en la Cámara de los Lores, donde los pares tienen la oportunidad de proponer enmiendas. Por lo tanto, los expertos en seguridad esperan que su experiencia movilice a los legisladores de la segunda cámara para intervenir y defender el cifrado donde los parlamentarios han fallado.
«Nous comprenons qu’il s’agit d’un moment critique pour le projet de loi sur la sécurité en ligne, car il est en cours de discussion à la Chambre des lords avant d’être renvoyé aux Communes cet été», écrivent- ellos. “En resumen, nuestra preocupación es que las tecnologías de vigilancia se implementen con el espíritu de garantizar la seguridad en línea. Este acto socava las garantías de privacidad y, de hecho, la seguridad en línea.
Los académicos, que ocupan cátedras y otros cargos en universidades de todo el país, incluidas varias instituciones de investigación intensiva de Russell Group, como King’s College e Imperial College en Londres, Oxford y Cambridge, Edimburgo, Sheffield y Manchester, por nombrar algunos, dicen que su El objetivo de la carta es resaltar «malentendidos y conceptos erróneos alarmantes sobre el proyecto de ley de seguridad en línea y su interacción con las tecnologías de privacidad y seguridad que sustentan nuestras interacciones y comunicaciones en línea diarias».
Su principal preocupación es el impulso del proyecto de ley para el «monitoreo de rutina» de las comunicaciones de las personas, supuestamente en un esfuerzo por combatir la propagación del contenido de abuso y explotación sexual infantil (CSEA), pero que, dicen los académicos, es un martillo para romper un enfoque loco. eso causará un daño significativo al público y a la sociedad en general al socavar los protocolos de seguridad críticos en los que todos confiamos.
La vigilancia rutinaria de las comunicaciones privadas es «categóricamente incompatible con el mantenimiento de protocolos de comunicación en línea actuales (y adoptados internacionalmente) que ofrecen garantías de privacidad similares a las conversaciones cara a cara», dicen, advirtiendo contra «los intentos de eludir esta contradicción» mediante la aplicación de tecnologías adicionales. . – ya sea el análisis del lado del cliente o las llamadas puertas traseras criptográficas “nadie más que nosotros” – como “condenadas tecnológica y probablemente socialmente”.
“La tecnología no es una varita mágica”, apuntan, antes de resumir sucintamente por qué las dos posibles formas de acceder a los mensajes privados protegidos no pueden ser compatibles con el mantenimiento del derecho de las personas a la intimidad ya la seguridad de su información.
«No existe una solución tecnológica a la contradicción inherente tanto a la confidencialidad de la información frente a terceros como a la compartición de esta misma información con terceros», advierten los expertos, y agregan: «La historia de las puertas traseras criptográficas» nadie más que us» es una historia de fallas, desde el chip Clipper hasta el DualEC. Todas las soluciones tecnológicas propuestas tienen en común que dan acceso a un tercero a voz, mensajes e imágenes privadas de acuerdo con ciertos criterios definidos por este tercero.
Con respecto al análisis del lado del cliente, señalan que la aplicación sistemática de dicha tecnología a los mensajes de los usuarios móviles es desproporcionada en una sociedad democrática, lo que equivale a vigilancia por defecto, es decir, “colocar una intervención telefónica obligatoria y permanente en cada dispositivo para buscar por contenido prohibido”, como dice la carta.
La tecnología de análisis del lado del cliente tampoco es lo suficientemente robusta para lo que requiere el proyecto de ley en su análisis experto.
«Esta idea de un ‘oficial de policía en el bolsillo’ plantea el problema tecnológico inmediato de que debe ser capaz de detectar y revelar con precisión contenido dirigido y no detectar y revelar contenido que no está dirigido, incluso suponiendo un acuerdo preciso sobre lo que debe ser el objetivo”, escriben, advirtiendo que incluso la tecnología de escaneo del lado del cliente diseñada para detectar CSEA conocido tiene problemas de precisión.
También destacan búsqueda reciente que estos algoritmos pueden reutilizarse para agregar capacidades secundarias ocultas (como el reconocimiento facial) y utilizarse indebidamente para potenciar la vigilancia encubierta.
A los académicos también les preocupa que el proyecto de ley pueda usarse para impulsar a las plataformas a ejecutar rutinariamente modelos de IA aún más intrusivos que escanean las publicaciones de las personas en busca de contenido CSEA inédito pero prohibido. Tal tecnología no existe en una forma «suficientemente confiable», advierten, lo que significa que si el proyecto de ley impone tal implementación, el resultado probable será una masa de falsos positivos que causarán un daño generalizado, porque los usuarios inocentes de la aplicación de mensajería corren el riesgo de tener sus mensajes privados son ampliamente vistos sin motivo, e incluso podrían ser acusados falsamente de ver CSEA.
«Esta falta de confiabilidad aquí puede tener graves consecuencias porque un falso positivo potencialmente significa compartir mensajes o imágenes privadas, íntimas o confidenciales con terceros, como auditores de empresas privadas, fuerzas del orden y cualquier persona con acceso a la infraestructura de vigilancia. Esto en sí mismo puede significar a la explotación y abuso de aquellos cuyos mensajes se filtran”, advierten los expertos.
También señalan que tales modelos de inteligencia artificial de análisis del lado del cliente de «amplio alcance» requerirían un mayor nivel de flexibilidad que también facilitaría su redirección, «para ampliar su alcance, a través de compromisos o cambios de políticas», aumentando el espectro de derechos aterradores de el alcance de las tecnologías de escaneo CSEA integradas se está ampliando para detectar otros tipos de contenido y los ciudadanos del Reino Unido están sujetos de forma predeterminada a niveles cada vez más altos de vigilancia exigida por el estado.
Contactamos al Ministerio de Ciencia, Innovación y Tecnología para obtener la respuesta del gobierno a la carta abierta.