In questo blog ospite di John Carr OBE, uno dei massimi esperti mondiali sulla sicurezza online dei bambini, apprendiamo alcuni punti chiave sulla questione della privacy e della crittografia.

Privacy e crittografia

Storicamente, se una questione era abbastanza importante o delicata, c'erano generalmente modi di organizzare le proprie attività in modo tale da garantire una grande sicurezza: nessuna entità indesiderata era o poteva origliare o spiare. Potrebbe essere una seccatura ma si potrebbe fare.

Sapevi che grazie a microfoni direzionali a lungo raggio, microspie nascoste o potenti telecamere, gli altri potevano sapere in ogni momento con chi eri, registrare parola per parola ciò che è stato discusso e fare un resoconto nota dettagliata di quanto accaduto. Le persone che lo fanno sarebbero invisibili e invisibili. Potrebbero lavorare per il tuo governo, per quello di qualcun altro, per un concorrente o per il marito o la moglie del tuo amante. Di conseguenza, procederesti con cautela. Se fosse abbastanza importante o delicato.

Sapresti che potenzialmente qualsiasi lettera o pacco inviato per posta potrebbe essere scansionato o annusato mentre passava attraverso il sistema di smistamento, forse è stato anche aperto ed esaminato se mostrava qualche segno che potesse contenere contrabbando o se veniva inviato a un indirizzo sensibile.

Idem per una lettera o un pacco che hai ricevuto. In determinate circostanze avrebbe potuto essere aperto ed esaminato prima di essere consegnato e non ti sarebbe mai stato detto né saresti stato in grado di dirlo. Sapevi anche che il telefono attaccato al muro di casa tua poteva essere intercettato.

Nessun sospetto o prova individuale

Ultimamente, quando ci si reca in un aeroporto o in un altro importante snodo dei trasporti, o si entra in una vasta gamma di edifici, indiscriminatamente, senza alcuna base o prova che giustifichi alcun tipo di sospetto individuale, la borsa, la valigetta o la valigia di tutti, persino il loro corpo potrebbero essere scansionati cercare qualsiasi cosa che possa rappresentare una minaccia per la sicurezza pubblica o la vita di qualcuno, ad esempio una pistola o una bomba. Siamo tutti d'accordo perché comprendiamo e accettiamo lo scopo alla base di questa condotta altrimenti altamente invasiva, spesso portata avanti da dipendenti o appaltatori governativi.

Mentre il mondo analogico svanisce…

Ma le cose stanno cambiando.

Nel mondo analogico di ieri si pianificavano ed eseguivano ancora attentati terroristici, crimini, frodi e truffe di vario genere. Se i malintenzionati prendessero le giuste precauzioni potrebbero farla franca. In alternativa, attraverso il faticoso lavoro della polizia, che potrebbe coinvolgere un sacco di cuoio delle scarpe, o attraverso mandati di comparizione in cause civili, si potrebbero ottenere prove per consentire alla giustizia di seguire il suo corso.

Non c'è modo di provarlo o smentirlo, ma mi piace pensare che la portata e la facilità con cui i criminali erano in grado di fare le cose fosse più limitata perché per cercare di garantire che le autorità non potessero trovarti dopo l'evento, c'era molto da fare. di attrito. Un sacco di problemi.

Il problema è però che, man mano che il mondo analogico svanisce, la tecnologia ci ha portato a un punto in cui, in molti modi materialmente importanti, forse non in teoria ma in pratica, su larga scala enormi fasce del comportamento umano vengono o potrebbero essere messe completamente al di fuori della possibilità di qualsiasi tipo di controllo da parte di chiunque.

Ciò viene fatto in nome della privacy ed è una reazione alla scoperta che le agenzie governative e le imprese private hanno oltrepassato i limiti e abusato gravemente delle nostre ragionevoli aspettative di privacy sfruttando ambiguità o lacune nella legge. Oggi ci riferiamo a questi fenomeni rispettivamente come Stato di sorveglianza ed Capitalismo di sorveglianza.

Un pendolo oscilla

La difficoltà, però, è che è stato messo in moto un pendolo che, se lasciato incontrollato, minerà lo Stato di diritto e con esso la possibilità di assicurare alla giustizia criminali, o individui che ci hanno commesso un torto civile perché le prove necessarie non possono essere fornite ottenuto, o ottenerlo richiederà una quantità eccessiva di tempo e risorse. Ciò potrebbe non preoccupare molte persone ricche o individui altamente esperti di tecnologia, ma potrebbe disturbare il resto di noi poiché l’impotenza del sistema giudiziario è scritta a nostre spese.

La giustizia ritardata è giustizia negata. La giustizia negata per sempre è ciò che chiamavamo oppressione.

Un problema moderno alla ricerca di una soluzione moderna

Nessuno nel mio mondo sta attaccando o cercando di indebolire la privacy. Quello che stiamo cercando di fare è trovare soluzioni moderne che tutelino la privacy senza gettare i bambini sotto l’autobus.

Parte del problema al momento è che le argomentazioni sulla privacy sono state confuse con questioni completamente distinte sulla crittografia in generale e sulla crittografia end-to-end (E2EE) in particolare. Nessuno con cui lavoro vuole violare la crittografia o proibirne l'uso, ma rifiuto e mi risento il modo in cui, nello specifico, la definizione di ciò che costituisce E2EE è stata ampliata per includere materiale che non è stato crittografato.

Pertanto, le persone che sostengono la scansione lato client vengono descritte come desiderose di indebolire o infrangere la crittografia. Questo è semplicemente uno sfacciato…….qual è la parola che sto cercando qui? In realtà ciò che sta accadendo è che alcune persone stanno cercando di spostare i paletti, assegnando al materiale non crittografato lo stesso status che assegnano al materiale crittografato. Ciò non è accettabile.

Non è forse vero che la scansione lato client è una tecnologia protettiva che può funzionare nell'interesse pubblico, affiancandosi e lavorando con la crittografia?

Gli enti privati ​​hanno preso decisioni...

I soggetti privati ​​hanno deciso di diffondere l'E2EE su scala di massa con il minimo attrito sia come parte di una strategia aziendale (in altre parole per fare soldi), sia per la loro visione del mondo, in altre parole perché hanno determinate convinzioni su come funziona il mondo o dovrebbe funzionare. Questa è un’agenda politica. Non c'è niente di sbagliato in questo, ma dovremmo sapere che è quello che è.

Non esiste alcuna legge che vieti a chiunque di diffondere E2EE. Ma dovremmo riconoscere che, come per tutto ciò che è connesso al mondo digitale in generale e a Internet in particolare, le nostre istituzioni legislative sono superate dalla velocità con cui la tecnologia si è sviluppata. Spero che non vivremo abbastanza per pentircene, ma in questo caso temo che potremmo farlo.

È impossibile credere che coloro che hanno scritto quello che oggi chiamiamo il corpo principale delle leggi sui diritti umani o le nostre leggi sulla privacy abbiano mai anticipato l’arrivo delle tecnologie digitali nel modo in cui si sono evolute negli ultimi trent’anni circa.

Nessun organismo legislativo ha mai adottato un'ordinanza che affermi che la privacy è un diritto assoluto o superiore che sta al di sopra o separato da tutti gli altri. È uno tra tanti. È necessario trovare un equilibrio. Nessun legislatore ha mai voluto che la privacy diventasse un ostacolo alla giustizia.

I cattivi governi non devono fare da apripista…

Uno degli argomenti più assurdi che si sentono riguardo a una serie di possibili soluzioni tecniche alle sfide che affrontiamo riguarda il modo in cui i malintenzionati potrebbero abusarne.

Non riesco a pensare a una singola tecnologia digitale che non sia stata o non possa essere utilizzata in modo improprio da un cattivo attore. Semplicemente non ha senso dirlo

So che se facessimo x o y aiuterebbe a mantenere i bambini più sicuri nel mio paese, ma il signor Dittatore nel paese z potrebbe usare la stessa tecnologia, magari stravolgendola un po' e facendone cose cattive, quindi mi rifiuto di usare x o y per proteggere i bambini nel mio paese.

Ciò pone il signor Dittatore responsabile della sicurezza dei bambini su Internet nel tuo paese e in ogni altro paese. Non ha per niente senso.

La risposta alle preoccupazioni sull’uso improprio della tecnologia è insistere su un quadro giuridico forte collegato a meccanismi di trasparenza forti, indipendenti e affidabili.

Nei paesi in cui lo Stato di diritto viene regolarmente rispettato, ciò funzionerà. Lo Stato di Sorveglianza è stato smascherato e il cattivo comportamento delle aziende è stato smascherato. Abbiamo cambiato le nostre leggi per cambiare le equazioni a favore del cittadino.

I bambini non possono essere pedine in una partita a scacchi geopolitica. Non possiamo risolvere i problemi in una giurisdizione insistendo che i bambini di un’altra ne paghino il prezzo.