1 puntos por GN⁺ 2023-07-21 | 1 comentarios | Compartir por WhatsApp
  • Ante la posibilidad de que el Online Safety Bill del Reino Unido exija una puerta trasera para el cifrado de extremo a extremo, Apple indicó que podría retirar iMessage y FaceTime del mercado británico
  • El gobierno británico quiere autoridad para escanear mensajes cifrados con el fin de detectar material de abuso sexual infantil y otro contenido ilegal, y considera que las leyes actuales no siguen el ritmo de las tecnologías modernas de seguridad
  • Apple, WhatsApp, Signal y otros sostienen que exigencias como puertas traseras, reportes anticipados sobre funciones de seguridad y la obligación de desactivar funciones antes de una apelación debilitan la seguridad de los usuarios
  • La postura de Apple es que no reducirá la seguridad de todos sus usuarios por la exigencia de un solo país, y que, si es necesario, puede optar por desactivar iMessage y FaceTime para los clientes del Reino Unido
  • El proyecto de ley atraviesa un proceso de consulta de 8 semanas, y Apple ya había retirado en el pasado su función de escaneo de CSAM para iCloud Photos tras las críticas de clientes y organizaciones de derechos humanos

Choque entre el Online Safety Bill del Reino Unido y el cifrado

  • El Online Safety Bill del Reino Unido está siendo evaluado como una ley que podría exigir a los servicios de mensajería ofrecer una puerta trasera para el cifrado de extremo a extremo
  • El gobierno quiere poder escanear mensajes cifrados de extremo a extremo
    • El objetivo es detectar material de abuso sexual infantil y otro contenido ilegal
    • Considera que la legislación actual lo permite, pero que ha quedado técnicamente rezagada por los mecanismos de seguridad de la tecnología moderna
  • Varios servicios como Apple, WhatsApp y Signal se oponen a esta propuesta

Las exigencias que Apple rechazó

  • Apple presentó un documento de oposición de 9 páginas sobre la ley propuesta
  • Entre los puntos rechazados están las siguientes exigencias
    • Una puerta trasera para el cifrado de extremo a extremo
    • La obligación de reportar cambios en las funciones de seguridad del producto antes de su lanzamiento
    • La obligación de desactivar funciones de seguridad antes de que concluya el proceso de apelación

Opciones en el mercado británico y antecedente previo

  • La postura de Apple es que no cumplirá si un cambio para un solo país debilita la seguridad de todos sus usuarios
    • En su lugar, dijo que podría desactivar iMessage y FaceTime para los clientes del Reino Unido
  • La ley propuesta está actualmente en un periodo de consulta de 8 semanas, y Apple y otros opositores esperan que el gobierno modifique el proyecto para reflejar las críticas
  • Apple ya había retirado antes su plan de escaneo de CSAM para iCloud Photos tras las críticas de clientes y organizaciones de derechos humanos
    • En ese momento, la solución de Apple preservaba más la privacidad que la propuesta actual del gobierno británico

1 comentarios

 
GN⁺ 2023-07-21
Opiniones de Hacker News
  • Se siente como si estuviéramos perdiendo colectivamente la batalla por proteger la privacidad de las conversaciones.
    Son pocas las personas que alzan la voz contra las leyes anti-cifrado, y la mayoría parece creer que, para empezar, la privacidad no existe y que el gobierno puede leer los mensajes si se lo propone. Si la gente considera que la batalla ya está perdida, e incluso acepta que siempre fue así, la pelea termina antes de empezar.
    No logran conectar la privacidad con la libertad, y la libertad se volvió tan obvia que no ven el riesgo de perderla hasta que aparece una amenaza brusca e inmediata. Los sistemas diseñados para proteger la libertad, en cambio, se están averiando y erosionan lentamente los derechos que disfrutaban las generaciones anteriores.
    También sorprende la miopía de los legisladores. Si el gobierno tiene toda la correspondencia y ese gobierno cae en las manos equivocadas, cualquiera que no esté del lado de los poderosos está acabado. Alguien presumirá que “creó una ley para detener a los malos”, pero el costo podría ser la libertad colectiva.

    • Es raro que se permita algo así. Que el gobierno no pueda vigilar las conversaciones que tenemos en secreto cara a cara no significa que pueda obligarnos a llevar encima un dispositivo de grabación del gobierno, ¿no?
      No entiendo por qué la gente no reacciona con la misma oposición ante las exigencias de cargarle peso al cifrado.
    • Gran parte del problema está en que cambió la naturaleza de las conversaciones. El correo y el teléfono nunca fueron perfectamente privados en ningún momento, y la idea de esperar privacidad total en ese tipo de conversaciones es relativamente nueva.
      La diferencia es que ahora esos medios de comunicación ya no representan una pequeña parte del total de las conversaciones, sino casi todas, y que el costo de romper la privacidad cayó muchísimo frente al dinero y el esfuerzo que habría hecho falta para vigilar a millones de personas en los años 50. Ya ni siquiera hace falta un Estado de seguridad al estilo de Alemania Oriental.
    • La razón más importante para proteger la privacidad es que no sabemos en qué puede convertirse el gobierno en los próximos años. Este argumento básico a favor del cifrado suele discutirse en relación con lugares que ya se consideran países no libres, pero recién durante el COVID sentí de verdad lo que significaba.
      No esperaba que la sociedad se deteriorara así, entre miedo, odio y cacerías de brujas impulsadas por los medios. Desde entonces, empecé a ver que el gobierno puede hacer cualquier cosa, y el argumento de que debemos poder cifrar nuestras comunicaciones se volvió más fuerte.
    • Estados Unidos todavía está bastante bien, pero el Reino Unido y la UE están muy en contra de la protección de la privacidad. Les va bastante bien con la privacidad del consumidor, pero parecen no creer que deba existir privacidad frente al gobierno.
    • Lo tramposo en esta discusión es la afirmación de que estas leyes no interfieren con el cifrado. Personalmente lo veo como una postura deshonesta, pero los defensores del proyecto siempre dicen que “no rompe el cifrado” o que “privacidad y seguridad son compatibles, y esta enmienda ofrece ambas”.
      En este plan, los mensajes se envían a un tercero para su análisis. Es posible que los mensajes enviados a ese tercero estén cifrados, pero la privacidad queda completamente vulnerada.
      https://techcrunch.com/2022/07/06/uk-osb-csam-scanning/
  • Me pregunto por qué los legisladores británicos no están preparando una nueva regulación que obligue a instalar un mecanismo de acceso alternativo para funcionarios del gobierno en todas las puertas y cajas fuertes.
    Detrás de cada puerta y dentro de cada espacio cerrado podría haber material de abuso sexual infantil y material ilegal escondido. Todas las casas y cajas fuertes de hotel son sospechosas.
    Si la lógica para exigir backdoors en los chats y conversaciones en línea es esa, debería aplicarse igual a las puertas de entrada de todas las viviendas y edificios, y a todos los espacios cerrados. Es lo mismo que querer acceder fácilmente al material sin ayuda ni conocimiento de las personas involucradas.

    • Haciendo de abogado del diablo, nadie comparte masivamente el material de abuso sexual infantil que tiene en su caja fuerte con miles de voyeurs de todo el mundo.
      El acceso universal de internet y los formatos de archivos de imágenes digitales cambiaron por completo el terreno para quienes combaten estos delitos atroces. Sí es un caso nuevo y especial, distinto de una caja fuerte cerrada.
    • Escuché el argumento de que, como la policía puede derribar puertas en una redada, debería tener el mismo poder sobre la tecnología.
    • Existe algo llamado orden de allanamiento.
    • Si pensamos en la posibilidad de inspeccionar conversaciones privadas de forma invisible y casi gratis, la analogía se parece más a “instalar cámaras a las que solo el gobierno pueda acceder en todos los hogares”. Claro que prometerán que estarán apagadas la mayor parte del tiempo.
    • La razón por la que no se exige un mecanismo de acceso alternativo del gobierno en todas las llaves de puertas es que casi cualquier puerta puede romperse por la fuerza. La policía puede hacerlo con una orden, y las fuerzas especiales pueden hacerlo en secreto.
      Pero la mayoría del cifrado no puede romperse por la fuerza.
  • El Reino Unido insiste en intentar demostrar su influencia, pero al final termina comprobando que no es tan grande. Pasó con el caso de la CMA sobre Xbox y pasa lo mismo con esto.
    El Reino Unido no es lo bastante grande como para que Apple y Microsoft hagan cambios masivos para adaptarse a un mercado relativamente pequeño.

    • El Reino Unido ha aprendido y olvidado esta lección una y otra vez al menos desde la crisis de Suez, quizá desde antes.
    • El antiguo imperio británico forma parte de su identidad cultural. Harán falta varias generaciones más para desprenderse de las expectativas del pasado.
      La época en que dos súbditos de la Corona se apoderaban solos de Kafiristán ya terminó.
    • Por el contrario, ¿realmente sufriría tanto el Reino Unido por no tener algunos juegos en su mercado? Ninguna de las partes es lo bastante grande como para aguantar sin la otra. No es solo un problema del Reino Unido.
  • ¿No es la misma Apple que permite que el PCCh opere toda la App Store en China?
    Es fácil criticar a un gobierno cuando sabes que no habrá represalias. Para ver la verdadera postura de una empresa sobre estos temas, hay que observar cómo actúa cuando existe la posibilidad real de perder dinero.

    • El Reino Unido y China no son comparables. China es actualmente el país más poblado del mundo, y la población del Reino Unido ni siquiera llega a 70 millones.
      China es un régimen totalitario, así que incluso una libertad incompleta es mejor que no tener ninguna; pero el Reino Unido es una democracia que debería proteger el derecho a la privacidad.
      Si Apple debilita el cifrado por el Reino Unido, eso también afectará a personas de otros países. En el Reino Unido, iMessage no es tan popular, así que se usa de forma desproporcionada para conversaciones transatlánticas más que WhatsApp. Si Apple cumple la ley, también estaría vulnerando la privacidad de los usuarios estadounidenses.
    • Esa lógica en blanco y negro es derrotista.
      China ya era una causa casi perdida desde antes de que existieran el iPhone y la mensajería. En cambio, el Reino Unido es un país importante de Occidente.
      La idea es intentar que los países occidentales no se vuelvan como China. El Reino Unido podría ser el dominó, y si cae, los autoritarios de otros países occidentales podrían intentar seguir el ejemplo.
    • Al final, la elección es simple: cumplir la ley local o retirar funciones y dispositivos.
      El cálculo cambia de un país a otro, pero no hay hipocresía en esto.
      Que el gobierno chino meta mano en servidores chinos afecta al mercado chino, y ese mercado da mucho dinero, así que hay un gran incentivo para quedarse. En cambio, si el Reino Unido obliga a poner una puerta trasera en FaceTime, se compromete FaceTime en todo el mundo y eso podría poner a Apple en riesgo en otras jurisdicciones con leyes de privacidad y protección de datos más fuertes. No vale la pena asumirlo por un mercado relativamente pequeño.
      Si el mismo problema aparece en la UE o en Estados Unidos, será algo mucho más grave y, por desgracia, es algo realista en los próximos años. Apple solo está diciendo que cumplirá si se aprueba una regulación. El gobierno británico muchas veces hace ruido con cosas así y luego se echa para atrás discretamente cuando queda claro que en la práctica no es tan simple.
      Una empresa no es un ser consciente, así que no existe algo como una “postura real”. Las políticas solo tienen sentido cuando las personas las deciden y las ejecutan. Hablar de las empresas como si fueran ideologías es peligroso; estas cosas pueden cambiar, y muchas veces el dinero le gana a las buenas intenciones. Al final, lo importante es qué tanto coinciden los intereses de la empresa con los nuestros. A largo plazo, la mejor manera de mover a una empresa es hacer que ese comportamiento tenga sentido para el negocio.
    • No existe algo como la verdadera postura de una empresa. Es solo una ficción que facilita criticarla.
    • ¿De verdad crees que no hay posibilidad de pérdida económica? Apple literalmente dijo que retiraría productos.
      Funciones de ecosistema como iMessage y FaceTime contribuyen mucho a la retención de la plataforma. Si cuesta creerlo desde el cinismo, basta pensar por qué Apple sigue pagando equipos de desarrollo y mantenimiento para iMessage y FaceTime. No lo hace por amabilidad.
  • Hubo una entrevista entre la CEO de Signal y un político del Partido Conservador británico[1]. Fue una entrevista bastante frustrante, porque ambas partes discutían sobre dos problemas completamente distintos.
    Meredith Whittaker, de Signal, intentaba hablar correctamente del problema de romper el cifrado y sus efectos colaterales, pero el político actuaba como si eso ya estuviera resuelto. Parecía que no querían romper el cifrado, sino que la app tomara los mensajes antes de cifrarlos y los enviara por una ruta separada a una agencia gubernamental.
    Quieren acceder a los mensajes dentro del dispositivo, y como la app ya tiene ese acceso, pretenden que busque, indexe y filtre esa información para enviársela a la policía. Es triste que los políticos no vean el problema. Puede que realmente no lo vean o no lo entiendan, o puede que lo entiendan perfectamente y que ese sea el objetivo, pero no puedan explicar por qué.
    [1] https://www.youtube.com/watch?v=E--bVV_eQR0

    • Sinceramente, Meredith Whittaker no quedó muy bien. Defendió bien un solo argumento, que no se puede crear una puerta trasera segura, pero después de que el político conservador dijo que no exigiría una puerta trasera en los servicios de mensajería cifrada, ella básicamente se negó a responder sobre el otro tema.
      Que Signal, WhatsApp e iMessage amenacen con irse del Reino Unido por este proyecto de ley parece una señal de que la ley es irrazonable. Pero en ese debate, Meredith Whittaker no logró demostrarlo de forma convincente.
    • Quien quiera controlar una red de computadoras tiene que elegir entre los conductos y las cajas. O rompe los conductos para interceptar el tráfico entre cajas opacas, o deja los conductos opacos y se mete dentro de las cajas.
      Si asumimos que las cajas son opacas, que Meredith Whittaker defienda conductos opacos equivale a renunciar por completo al control de la red. A los políticos no les gusta eso. Algunos porque, de buena fe, se ven a sí mismos como protectores y detectores de amenazas; otros porque, de mala fe, saben que implicaría renunciar a una parte considerable de su poder. Los líderes políticos reales están en algún punto entre ambos.
      En la práctica, probablemente iremos y vendremos entre perder y recuperar el control sobre las cajas. Porque cada vez será más claro que no existe una puerta trasera que solo esté permitida para ciertas personas y no para otras.
      Creo que la única solución posible es romper los conductos, es decir, ilegalizar el envío mismo de mensajes cifrados por la red. Así las cajas pueden seguir siendo invulnerables, opacas y seguras, pero ya no se podrá comunicarse en secreto con otras personas. En la práctica, aumentará el traslado de datos ilegales y secretos mediante “sneakernet”, y la esteganografía avanzará mucho. También se acabaría Internet tal como lo conocemos, en especial todo el comercio electrónico, pero qué pequeño precio por eliminar el CSAM, ¿no?
  • El gobierno ya puede acceder a las conversaciones incluso hoy. Basta con obtener una orden judicial y registrar el teléfono. Si no borraste los mensajes, el cifrado de extremo a extremo tampoco ayuda.
    Es como tocar a la puerta con una orden judicial. Pero el gobierno no quiere tratar con jueces. Lo que quiere es acceso ilimitado las 24 horas. Esa es la diferencia clave, y por eso es algo malo para todos los ciudadanos.

  • El gobierno conservador actual está en sus últimos momentos, a punto de ser expulsado por al menos 10 años. Ya está mirando con ganas a los sectores privados lucrativos, y parece dispuesto a arruinar el Reino Unido con casi nula preocupación por la reacción pública.

    • El Partido Laborista está aún más a favor de esto que los conservadores. Los Liberal Demócratas también. Entre los principales partidos del Reino Unido, ninguno valora la privacidad.
  • Primero apuntaron a las protestas y ahora quieren meterse con el cifrado.
    Parece que no les gusta la capacidad de la gente para compartir información no oficial y organizarse por su cuenta a gran escala[0].
    La gente también estaba compartiendo stickers contra la propaganda en Telegram[1]. En el minuto 2:40 se ve un autobús cubierto con ellos, y también he visto un video de una patrulla policial completamente cubierta.
    [0]. https://onevsp.com/watch/gqymHfesRd5sWJj
    [1]. https://onevsp.com/watch/3skDbBtB8sGwboa

  • Me recuerda a algo que dijo Steve Gibson en Security Now. Propuso que todos los sitios web con tráfico en el Reino Unido mostraran un banner rojo en la parte superior de la página con un texto como “El gobierno británico está obligando a vigilar el tráfico de este sitio web”.
    Entonces veríamos qué tan rápido se da vuelta la discusión.
    Los argumentos de los legisladores están construidos sobre un hombre de paja. Entiendo la urgencia de querer proteger a los niños, pero medidas como estas no van a impedir que los delincuentes usen herramientas que hoy son legales. Las van a seguir usando. Hacerlas “ilegales” no los detiene porque siguen estando disponibles.

  • Deberían hacer hoy mismo una beta con todos los miembros de la Cámara de los Comunes.

    • En el Reino Unido nadie usa iMessage. No sé FaceTime, pero definitivamente no es un servicio del que nadie dependa.
      Es una amenaza sin sentido.
    • Todos usan WhatsApp.