1 puntos por GN⁺ 2024-02-15 | 1 comentarios | Compartir por WhatsApp
  • El Tribunal Europeo de Derechos Humanos prohibió el debilitamiento general del cifrado de extremo a extremo (end-to-end encryption), lo que también podría frenar los planes de vigilancia masiva CSAR de control de chats de la UE
  • El fallo considera que el cifrado protege a ciudadanos y empresas del hackeo, robo de identidad y de datos personales, fraude y filtración de información confidencial, y que las puertas traseras pueden ser explotadas por redes criminales
  • El tribunal sostuvo que existen formas de vigilar comunicaciones cifradas sin reducir la protección de todos los usuarios, como el uso de vulnerabilidades en el software objetivo o el envío de implantes al dispositivo
  • El eurodiputado Patrick Breyer evaluó que el escaneo del lado del cliente de la Comisión Europea es claramente ilegal según este fallo, porque vigila todos los smartphones y destruye la protección del cifrado
  • El Parlamento Europeo rechazó destruir el cifrado seguro y el control indiscriminado de chats, pero una vez que se defina la postura del Consejo de la UE podrían comenzar las negociaciones, y los ministros del Interior de la UE volverán a debatir el proyecto a inicios de marzo

El debilitamiento del cifrado que prohíbe el fallo

  • El Tribunal Europeo de Derechos Humanos prohíbe medidas que debiliten de forma general el cifrado de extremo a extremo seguro
  • El cifrado es reconocido como un medio para proteger a ciudadanos y empresas de múltiples amenazas
    • hackeo
    • robo de identidad y robo de datos personales
    • fraude
    • divulgación no autorizada de información confidencial
  • Las puertas traseras pueden ser explotadas por redes criminales, por lo que pueden poner en grave riesgo la seguridad de las comunicaciones electrónicas de todos los usuarios
  • El tribunal considera que también son posibles métodos de vigilancia que no reduzcan la protección de todos los usuarios
    • uso de vulnerabilidades en el software objetivo
    • envío de implantes al dispositivo objetivo
  • Como fundamento del fallo se cita para. 76 ff. del documento de la sentencia del ECHR

Evaluación de Breyer sobre la ley de control de chats de la UE

  • Patrick Breyer, eurodiputado y miembro del Pirate Party, calificó este fallo como un landmark judgement
  • Breyer considera que la vigilancia mediante escaneo del lado del cliente incluida en el proyecto de control de chats de la Comisión Europea, dirigido a todos los smartphones, es claramente ilegal
  • Según su evaluación, este enfoque destruye la protección del cifrado de todas las personas en vez de apuntar a sospechosos
  • Breyer exige que los gobiernos de la UE eliminen del proyecto la destrucción del cifrado seguro y la vigilancia indiscriminada de las comunicaciones privadas de toda la población

Preocupaciones por el cifrado y la continuidad de los servicios

  • Breyer enfatiza que el cifrado seguro salva vidas
  • Sin cifrado, no se puede tener certeza de si mensajes o fotos serán expuestos a personas no confiables
  • El llamado escaneo del lado del cliente produciría uno de dos resultados
    • volvería las comunicaciones fundamentalmente inseguras
    • haría que los ciudadanos europeos ya no pudieran usar Whatsapp o Signal
  • Breyer señaló que esos proveedores ya han considerado suspender sus servicios en Europa
  • El borrador más reciente de la postura del Consejo de la UE sigue siendo criticado por prever todavía la destrucción del cifrado seguro

Estructura de la propuesta de la Comisión Europea

  • La Comisión Europea y la red industrial de autoridades de vigilancia exigen una forma de registrar de manera general las comunicaciones privadas
  • Entre lo que se busca registrar se incluyen los mensajeros con cifrado de extremo a extremo
  • El objetivo es encontrar indicios de contenido ilegal
  • Este enfoque depende de una tecnología propensa a errores
  • Solo puede implementarse debilitando el cifrado seguro de extremo a extremo

Situación actual en las instituciones de la UE

  • La mayoría de los gobiernos de la UE apoyan esta iniciativa
  • Sin embargo, una blocking minority está impidiendo la decisión
  • Los ministros del Interior de la UE volverán a debatir el proyecto a inicios de marzo
  • El Parlamento Europeo, bajo presión de los Pirates y de la sociedad civil, rechazó lo siguiente
    • destrucción del cifrado seguro
    • control indiscriminado de chats
  • La postura del Parlamento se convierte en el punto de partida para posibles negociaciones una vez que el Consejo de la UE defina su posición

Meta y el control voluntario de chats

  • Meta anunció que comenzará a cifrar los direct messages de Facebook e Instagram durante 2024
  • También indicó que suspenderá la vigilancia actual de control voluntario de chats sobre esos mensajes
  • La UE está llevando a cabo el proceso para extender la autorización del control voluntario de chats
  • La página informativa de Breyer sobre chat control es chatcontrol.eu

1 comentarios

 
GN⁺ 2024-02-15
Opiniones en Hacker News
  • En este caso, el tribunal consideró que la obligación de descifrar comunicaciones con cifrado de extremo a extremo era una intromisión desproporcionada en el derecho a la privacidad.
    La ley en cuestión exigía a mensajeros como Telegram entregar, junto con el contenido de las comunicaciones, “la información necesaria para descifrar mensajes electrónicos” cuando estuvieran cifrados.
    El tribunal consideró que debilitar el cifrado de extremo a extremo mediante backdoors tendría efectos amplios, y también citó la necesidad de encontrar, mediante legislación y desarrollo tecnológico continuo, “alternativas de descifrado que no debiliten los mecanismos de protección”. Esto incluye investigaciones tradicionales, operaciones encubiertas, análisis de metadatos, cooperación policial internacional, análisis forense en vivo de dispositivos incautados, adivinación u obtención de claves privadas en poder de las partes de la comunicación, uso de vulnerabilidades de software dirigidas o envío de implantes.
    Aunque es un fallo sobre un caso y una ley específicos, el tribunal parece bastante escéptico en general respecto de los métodos que exigen a los proveedores de servicios debilitar los mecanismos de cifrado de todos los usuarios. Si yo fuera el gobierno británico, me preocuparía que, con base en este fallo, el Online Safety Bill pudiera ser revocado por tribunales nacionales o europeos.
    Dicho eso, aunque se considere que los backdoors en el cifrado de extremo a extremo exceden los límites legítimos a la privacidad, el derecho a la privacidad es un derecho derogable, por lo que si un gobierno declara una emergencia que “amenaza la vida de la nación”, puede derogarlo en la medida necesaria conforme al artículo 15 del ECHR.
    Los párrafos relevantes son del 76 al 80: https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...

    • También es importante que los tribunales británicos no pueden revocar leyes aprobadas por el Parlamento.
      Lo mejor que pueden hacer es emitir una declaración de incompatibilidad, y entonces los ministros pueden corregir el defecto mediante legislación secundaria sin volver a aprobar una nueva ley. Claro, siempre que exista la voluntad política para hacerlo.
      Sin embargo, el Online Safety Act intenta resolver una parte considerable mediante legislación secundaria, códigos estatutarios y directrices, y eso sí puede ser anulado por los tribunales. Mientras la ley en sí no obligue a crear medidas intrusivas, será interesante ver cómo se desarrolla todo esto.
    • La conclusión de que “la obligación de descifrar comunicaciones con cifrado de extremo a extremo vulnera el derecho a la privacidad” está condicionada a que no existan salvaguardas contra abusos.
      Lamentablemente, no se puede decir simplemente que sea totalmente incompatible. Según este fallo, el problema existe solo cuando no hay buenas salvaguardas; la sentencia usa “adequate” en una parte y “suitable” en otra, pero no queda claro qué significa concretamente.
    • El Reino Unido quiere retirarse del ECHR, así que, por desgracia, también podría esquivar este fallo.
      https://www.chathamhouse.org/2023/03/uk-must-not-sleepwalk-l...
    • La parte sobre “la información necesaria para descifrar mensajes electrónicos en caso de estar cifrados” me recuerda a Lavabit, que solía usar como correo principal.
      En respuesta a la exigencia de información de descifrado, Lavabit entregó su clave privada, pero la presentó mecanografiada en papel. Tal vez había algún error de tipeo en alguna parte de la página 6 o 12.
      https://thenextweb.com/news/you-wont-believe-what-email-prov...
    • Quizá sea una pregunta tonta, pero me pregunto por qué un tribunal de la UE puede revocar leyes del Reino Unido si el Reino Unido ya no es miembro de la UE.
  • Estoy algo confundido. El artículo en sí parece bastante político y cita el material promocional del Pirate Party, pero no explica qué caso llegó al tribunal ni qué prohibió exactamente el fallo, así que abrí la sentencia real enlazada al final.
    Este caso no parece estar directamente relacionado con el Pirate Party ni con Chat Control. Si uno revisa por encima los hechos, se trata de un caso presentado por un particular contra el gobierno ruso después de que Telegram fuera multado por no entregar mensajes de chat en texto plano. En todo el artículo ni siquiera aparece la palabra “Russia”. No sé qué está informando este artículo ni por qué lo presenta como algo relacionado con la legislación reciente de Chat Control.
    En los párrafos 80 y 81 del fallo se dice que “el almacenamiento de las comunicaciones de Internet de todos los usuarios, el acceso directo de las agencias de seguridad sin salvaguardas contra abusos, y la exigencia de descifrado de comunicaciones cifradas aplicada a comunicaciones con cifrado de extremo a extremo” no pueden considerarse necesarios en una sociedad democrática, y por eso constituyen una violación del derecho a la privacidad del artículo 8 del ECHR.
    Esta lógica podría extenderse a otras leyes que buscan eludir el cifrado, como Chat Control, pero sin considerar las circunstancias concretas de la ley rusa podría no ser exacto. Por ejemplo, es importante la expresión del párrafo 80: “sin salvaguardas suficientes contra abusos”, y si Chat Control llegara ante el mismo tribunal, podrían decidir que sí existen tales mecanismos.

    • Este fallo sentará precedente. Un eurodiputado del Pirate Party comentó al respecto porque este tema es parte central de la agenda del partido. No hay razón para que el Pirate Party aparezca en la sentencia.
    • Ese artículo no es la fuente original. La fuente original está aquí: https://www.patrick-breyer.de/en/european-court-of-human-rig...
  • Me alegra que esto siga aplicándose al Reino Unido después del Brexit. El Reino Unido sigue siendo miembro del ECHR.

    • Los conservadores llevan años hablando de retirarse del ECHR.
    • Azerbaiyán también es miembro del ECHR, pero eso no ha impedido que encarcele opositores políticos, use trabajo esclavo, cometa crímenes de guerra, ataque a otros miembros del ECHR y lleve a cabo limpieza étnica.
  • Últimamente Europa está dando un ejemplo bastante bueno de cómo hacer regulación tecnológica razonable.

    • Esta decisión fue necesaria porque la UE iba rumbo a una prohibición del cifrado de extremo a extremo. Quien emitió el fallo fue un tribunal, no la Comisión Europea, y hasta donde sé la Comisión todavía podría ignorarlo.
    • Ahora solo falta que también desarrollen bien la tecnología en sí.
  • Demasiadas veces esto terminaba en “en dos años van a volver e intentarlo de nuevo”, así que da algo de tranquilidad que aparezca un obstáculo de largo plazo para estas propuestas contra el cifrado de extremo a extremo

    • Si se puede, ojalá se tramite a través de comités como los de agricultura o pesca
  • Europa hizo algo que de verdad me gusta
    Me preocupaba que la narrativa de “pensemos en los niños” se impusiera, pero al menos en Europa parece haber futuro para el valor del cifrado

    • A pesar del nombre, no es la UE
  • En torno al cifrado hay cierto tira y afloja entre el gobierno y la industria. El gobierno no debería introducir vulnerabilidades en los algoritmos, pero también necesita alguna forma de leer los mensajes de delincuentes y terroristas. La industria quiere una forma de hacer que sus clientes sientan que pueden usar sus productos de mensajería de manera segura para fines legítimos
    Sin presión a nivel regional, la comercialización del cifrado quedará en manos de Estados Unidos. La academia seguirá fascinada con algoritmos nuevos, pero hasta que alguien pueda ganar dinero con ellos, se quedarán en papers, y al final solo estarán listos para que algún desarrollador estadounidense ambicioso los convierta en la próxima gran app de chat cifrado más segura que Signal

  • Bien. No voy a dar nombres, pero supongo que algunos ISP no deben de estar muy contentos ahora mismo. Este fallo les pone un freno en serio a algunos modelos de proxy
    Qué satisfacción

    • Ojalá los nombraran para avergonzarlos. Sería útil para todos
  • El artículo es medio basura. Más allá de la postura política, está mal escrito y es sesgado
    Mejor leer la sentencia
    https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854...
    CASE OF PODCHASOV v. RUSSIA
    Application no. 33696/19

    • Aun así, en defensa del artículo, incluyó un enlace a la sentencia. Solo por eso ya queda casi en el 20% superior de los artículos sobre temas políticos
      La sentencia real también es bastante legible y, tras una lectura rápida, parecía coincidir en general con lo que decía el artículo
    • Según el texto en inglés del comunicado de prensa del tribunal, el demandante Anton Valeryevich Podchasov es un ciudadano ruso nacido en 1981 que vive en Barnaul
      Era usuario de Telegram, designado por Rusia como “organizador de comunicaciones por Internet”, y Telegram estaba obligado por ley a almacenar todos los datos de comunicaciones durante un año y el contenido de las comunicaciones durante seis meses, y a entregar esos datos, así como la información necesaria para descifrar mensajes electrónicos cifrados, a las agencias de seguridad o de aplicación de la ley en las circunstancias previstas por la ley
      Podchasov impugnó los requisitos de almacenamiento, entrega y descifrado de datos, así como la ausencia de recursos efectivos, con base en los artículos 8 y 13 del CEDH, y el tribunal reconoció una violación del artículo 8. En cuanto al daño moral, consideró que el reconocimiento de la violación constituía en sí mismo una satisfacción justa suficiente
      El enlace de la fuente está roto: https://hudoc.echr.coe.int/eng-press/#{%22fulltext%22:[%2233...
      Este sitio web es terrible porque hace casi imposible tener enlaces permanentes. Es un diseño realmente malo para una institución que emite decisiones importantes que la gente necesita citar
    • Parece que el marcado de HN rompe el enlace, así que dejo un enlace alternativo: https://hudoc.echr.coe.int/eng/?i=001-230854
    • El resumen del fallo es que el tribunal determinó por unanimidad que tenía jurisdicción para examinar las reclamaciones del demandante sobre hechos anteriores al 16 de septiembre de 2022, declaró admisible la queja por violación del derecho al respeto de la vida privada y de las comunicaciones, y reconoció por unanimidad una violación del artículo 8 del CEDH
      Por 5 votos contra 2 decidió que no hacía falta examinar por separado la reclamación basada en el artículo 13; por 6 votos contra 1 consideró que el reconocimiento de la violación era una satisfacción suficiente por el daño moral; y por 6 votos contra 1 rechazó la demanda de satisfacción justa del demandante
      La sentencia fue redactada en inglés y notificada por escrito el 13 de febrero de 2024
    • Los párrafos relevantes son del 76 al 81. El tribunal consideró que el cifrado es una fuerte salvaguarda técnica contra el acceso ilícito al contenido de las comunicaciones, y que contribuye no solo a la privacidad en línea y al secreto de las comunicaciones, sino también a garantizar derechos fundamentales como la libertad de expresión
      También señaló que el cifrado protege a ciudadanos y empresas contra abusos de las tecnologías de la información, como hackeos, robo de identidad y de datos personales, fraudes y divulgación indebida de información confidencial, por lo que esto debe tomarse debidamente en cuenta al evaluar medidas que puedan debilitar el cifrado
      Para descifrar comunicaciones cifradas de extremo a extremo, como los “secret chats” de Telegram, parece que habría que debilitar el cifrado de todos los usuarios, y el tribunal consideró que una medida así no puede limitarse a individuos específicos, por lo que afectaría indiscriminadamente incluso a personas que no representan ninguna amenaza para intereses gubernamentales legítimos
      Crear una puerta trasera haría técnicamente posible la vigilancia rutinaria, general e indiscriminada de las comunicaciones electrónicas privadas, y también podría ser explotada por organizaciones criminales, lo que perjudicaría gravemente la seguridad de las comunicaciones electrónicas de todos los usuarios
      El tribunal reconoció que los delincuentes también pueden usar cifrado y que eso puede dificultar las investigaciones, pero aceptó el argumento de que deben buscarse alternativas de descifrado y otros métodos de investigación que no debiliten los mecanismos de protección
      En conclusión, en este caso la obligación de descifrar comunicaciones cifradas de extremo a extremo corre el riesgo de obligar al proveedor del servicio a debilitar los mecanismos de cifrado de todos los usuarios, por lo que no es proporcional al objetivo legítimo perseguido; la ley cuestionada no puede considerarse necesaria en una sociedad democrática y, por tanto, constituye una violación del artículo 8
  • Excelente noticia
    El Tribunal Europeo de Derechos Humanos es precisamente el tribunal al que el estúpido gobierno del Reino Unido intenta atacar metiéndolo en la misma bolsa que la UE