Miért fenyegeti az EU interoperabilitási követelménye a titkosítás biztonságát?

Egy új európai uniós jogszabály előírná a Big Tech cégeknek, hogy újratervezzék üzenetküldő alkalmazásaikat, hogy zökkenőmentesen működjenek együtt a piacon lévő többivel.

Elméletileg a törvény megkönnyíti a barátaival és családtagjaival való csevegést, függetlenül attól, hogy az iMessage-t, a WhatsApp-ot vagy a Signal-t használják. Ez a kényszerített interoperabilitás azonban a hálózatépítésben jelentős biztonsági problémákat okozhat.

Mi a titkosítás az üzenetkezelésben, és miért fontos?

Az üzenetküldő alkalmazással elküldött üzenetek többsége titkosítatlan lesz. Ez azt jelenti, hogy harmadik felek elolvashatják azokat, miközben az Ön telefonja és az Ön által írt személy között utaznak.

Ha titokban szeretné tartani az üzenetek tartalmát, olyan alkalmazást kell használnia, amely végpontok közötti (vagy E2E) titkosítást kínál. Ez létrehoz egyfajta biztonságos kommunikáció, amely biztosítja csak Ön és beszélgetőpartnerei olvashatják, amit küldenek egymásnak.

A végpontok közötti titkosítás biztosítja, hogy az Ön és beszélgetőpartnere által küldött üzenetek biztonságban maradjanak, miközben utazik a telefonok között, és megvédi őket attól, hogy harmadik felek elolvassák vagy módosítsák. E harmadik felek közé tartoznak az internetszolgáltatók, telefontársaságok és még maga az üzenetküldő alkalmazás is.

Ennek eredményeként az alkalmazás fejlesztőcsapata nem tudja átadni az üzeneteket a hirdetőknek, a bűnüldöző szerveknek vagy bárki másnak, aki esetleg szeretné elolvasni azokat. Ez a titkosítás azt is megakadályozza, hogy harmadik felek módosítsák az üzenetek továbbítását.

A legtöbb nagyobb üzenetküldő alkalmazás kínál valamilyen titkosítást. A kínált titkosítási funkciók azonban alkalmazásonként változhatnak.

Hogyan fenyegetheti a digitális piacokról szóló törvény a titkosítást?

2022. március 24-én az EU irányító testületei bejelentették, hogy megegyezésre jutottak a Big Tech európai szabályozására vonatkozó új jogszabályokról. Az úgynevezett A digitális piacokról szóló törvény (vagy DMA). Az új törvény egyik legjelentősebb változása az a követelmény, hogy minden nagy technológiai vállalat készítsen olyan termékeket, amelyek átjárhatók kisebb platformokkal.

Ez azt jelenti, hogy a Big Tech cégek összes üzenetküldő alkalmazásának képesnek kell lennie üzenetek küldésére, fájlcserére és videohívások kezdeményezésére az összes többi üzenetküldő alkalmazással, ami sok szempontból jó. Az interoperabilitás azt jelenti, hogy a nagy technológiai vállalatoknak, mint például a Meta, a Google és az Apple, a kisebbeket is figyelembe kell venniük új alkalmazások vagy platformok létrehozásakor.

2021-ben A Meta globális kiesést tapasztalt amikor a Border Gateway Protocol (BGP) konfigurációs hibát észlelt, és minden eszköze offline állapotban maradt több mint 6 órán keresztül. Amikor a Meta-hoz hasonló vállalatok hibáznak, felhasználók milliárdjai érezhetik a hatást.

Azonban ezeknek a vállalkozásoknak a mérete megvédheti őket még a nagyobb tévedések következményeitől is. Az interoperabilitási követelmények elszámoltathatják a Big Tech-t a fogyasztók és általában a technológiai világ felé.

Ezenkívül a digitális piacokról szóló törvény interoperabilitási követelménye problémákat okozhat az E2E titkosítást kínáló alkalmazások számára.

Miért nehezítheti az interoperabilitás a titkosítás megvalósítását?

Az üzenetküldő alkalmazások különböző módon valósítják meg a titkosítást, vagy különféle titkosítási szabványokat használnak. Sajnos szinte lehetetlen mindezeket a stratégiákat együtt dolgozni.

Az alkalmazásfejlesztőknek kompromisszumot kell kötniük az interoperabilitás biztosítása érdekében. Megjelenhet a „legalacsonyabb közös nevező” megközelítés, ahol az alkalmazások a lehető legegyszerűbb titkosítási rendszert valósítják meg. Képzeljünk el például egy üzenetküldő alkalmazást, amely támogatja a titkosítást a csoportos csevegéseknél, de egy másikat, amely csak a személyes beszélgetéseknél.

A teljes interoperabilitás azt jelentheti, hogy a fejlesztők a legegyszerűbb rendszer megvalósítását választják, amely együttműködik a piacon lévő többi alkalmazással. Ez valószínűleg megköveteli, hogy lemondjanak az összetettebb funkciókról, például a csoportos csevegés titkosításáról.

A gyakorlatban ez sokkal sebezhetőbbé teheti a felhasználókat. Előfordulhat, hogy a kevésbé kifinomult titkosítási rendszereket könnyebb legyőzni, vagy nem nyújtanak teljes védelmet a harmadik felekkel szemben.

Az alkalmazásfejlesztők új szabványokat is létrehozhatnak, amelyek lehetővé teszik számukra harmonizálják titkosítási gyakorlataikat. Például a Secure Communications Interoperability Protocol (SCIP) a biztonságos hang- és adatkommunikáció amerikai szabványa. Az E2E üzenetek titkosítására vonatkozó hasonló szabvány segíthet a fejlesztőknek az interoperabilitás biztosításában a funkcionalitás feláldozása nélkül.

Néhány népszerű üzenetküldő alkalmazás –mint a Signal– elég kicsik ahhoz, hogy a DMA-követelmények ne legyenek hatással rájuk. Ez azonban nem igaz az olyan legnépszerűbb platformokra, mint a WhatsApp, amely a Signal protokollt használja a titkosításhoz. A DMA azt jelentheti, hogy a WhatsApp titkosítási funkciói gyengülnek vagy teljesen eltávolíthatók, ami megnehezíti a felhasználók számára, hogy kommunikációjukat titokban tartsák.

Az együttműködési követelmények gyengíthetik a titkosítást

Vannak előnyei az interoperabilitási követelményeknek, például az EU új digitális piacokról szóló törvényében foglaltaknak. Ennek megkövetelése azonban arra is ösztönözheti a fejlesztőket, hogy gyengítsék az alkalmazások titkosítási funkcióit.

Hamarosan előfordulhat, hogy a felhasználóknak nem Big Tech cégek által fejlesztett alkalmazásokra kell váltaniuk, ha a lehető legjobb titkosítási technológiát akarják elérni.

Mit jelent a titkosított és biztonságosak-e az adataim?

Olvassa el a következőt

A szerzőről