C'è un piano UE-USA contro la crittografia end-to-end
Esiste un piano UE-USA volto a indebolire la crittografia end-to-end allo lo scopo di concedere alle forze dell'ordine l'accesso a tutte le comunicazioni criptate. Questo è quanto emerge da un documento che sintetizza i risultati dei lavori della riunione di alti funzionari UE-USA sulla giustizia e gli affari interni tenutasi a Stoccolma nella seconda metà di marzo 2023.
Nel documento si fa riferimento alla volontà di imporre l'inserimento di backdoors fin dalla progettazione dei sistemi di comunicazione criptati, in modo da consentire l’accessibilità ai dati da parte delle forze dell’ordine:
The EU's conviction of the need to reinforce (also in public discourse) law enforcement's legitimacy to investigate was echoed by the US delegation, which concurred on the need to mirror privacy by design with lawful access by design.
La convinzione, portata avanti dall'UE, della necessità di rafforzare (anche nei discorsi pubblici) la legittimità delle forze dell'ordine a condurre investigazioni è stata fatta propria da parte della delegazione statunitense, che ha concordato sulla necessità di conciliare, fin dalla progettazione, la privacy con l'accesso legale.
Nel testo citato si evidenzia anche la volontà di stimolare un dibattito pubblico su questo tema, cercando però di orientare l'opinione pubblica verso la legittimità dell'indebolimento della crittografia.
Il documento riporta la critica della delegazione USA all'atteggiamento delle piattaforme web che si rifiutano di indebolire il livello di crittografia dei dati:
On end-to-end encryption, the US delegation noted a certain hypocrisy in the position of web platforms that resisted constructive engagement on lawful access with liberal democracies, while being liable to bow to pressure in more repressive jurisdictions.
La delegazione statunitense ha notato, in merito alla crittografia end-to-end, una certa ipocrisia nella posizione delle piattaforme web: esse hanno mostrato resistenza a un impegno costruttivo sull'accesso legale nele democrazie liberali, mentre si sono assoggettate a pressioni in giurisdizioni più repressive.
Il contenuto del testo citato trova eco in un documento, rivelato da Contexte, contenente i pareri di vari paesi UE sulla proposta di istituire un gruppo di esperti ad alto livello sull'accesso ai dati. I principali temi del documento sono la conservazione dei dati e l'accesso ai dati criptati da parte delle forze dell'ordine.
Di particolare interesse è il contenuto della dichiarazione della delegazione dell'Estonia rispetto al problema del going dark, espressione che indica l'impossibilità delle forze dell'ordine di accedere alle comunicazioni criptate con crittografia end-to-end. La dichiarazione minimizza l'impatto di un indebolimento della crittografia end-to-end:
But what is exactly meant by weakening the E2E? If the service provider, court or some other institution has the key, is the E2E weaker? Perhaps we are talking about the reluctance to technical weakening of the system? In other sense, is the door weaker if someone has the key?
Ma cosa si intende esattamente per indebolire l'E2E? Se il fornitore di servizi, il tribunale o qualche altra istituzione ha la chiave, l'E2E è più debole? Forse stiamo parlando della riluttanza all'indebolimento tecnico del sistema? In un altro senso, la porta è più debole se qualcuno ha la chiave?
Il testo dimostra quanto molti politici siano ancora lontani dalla comprensione di concetti fondamentali della sicurezza web, ormai di ampia divulgazione, come quello di crittografia end-to-end, che può essere definita tale solo e soltanto se il possesso delle chiavi per decifrare i dati sono presenti unicamente sul lato client, cioè sul dispositivo dell'utente, e non sul server.
In seguito alla rivelazione della sintesi dei risultati dei lavori della riunione di alti funzionari UE-USA sulla giustizia e gli affari interni, EDRi ha pubblicato una lettera aperta, indirizzata alla presidente della Commissione europea Ursula von der Leyen, alla vicepresidente Margrethe Vestager e al primo ministro svedese Ulf Kristersson, in cui si mette in evidenza l'importanza della crittografia per la protezione dei diritti umani, privacy, libertà di espressione e sicurezza online e si chiede di abbandonare iniziative volte a indebolirla. La lettera è firmata da varie associazioni non governative che difendono i diritti digitali in Europa.
Le informazioni contenute nei documenti qui menzionati mostrano il fatto che la proposta di regolamento della Commissione UE per prevenire gli abusi sui minori sul web, il cosiddetto Chatcontrol, è intesa come un apripista per un progetto di più ampia scala volto a privare i cittadini delle protezioni e delle garanzie in termini di sicurezza privacy e libertà di espressione garantite dalla crittografia end-to-end.