Защо изискването за оперативна съвместимост на ЕС заплашва сигурността на криптирането

Нов закон в Европейския съюз ще изисква големите технологични компании да препроектират своите приложения за съобщения, за да работят безпроблемно с всички останали на пазара.

На теория законът ще улесни разговора с приятелите и семейството ви, независимо дали използват iMessage, WhatsApp или Signal. Въпреки това, тази наложена оперативна съвместимост в мрежата може да причини значителни проблеми със сигурността.

Какво е криптиране в съобщенията и защо е важно?

Повечето от съобщенията, които изпращате чрез приложение за съобщения, ще бъдат нешифровани. Това означава, че трети страни могат да ги четат, докато пътуват между вашия телефон и лицето, на което пишете.

Ако искате да запазите съдържанието на вашите съобщения в тайна, ще трябва да използвате приложение, което предлага криптиране от край до край (или E2E). Това създава един вид сигурна комуникация, която гарантира само вие и вашите събеседници можете да четете това, което изпращате един на друг.

Шифроването от край до край гарантира, че всички съобщения, изпращани от вас и вашия партньор за разговор, остават сигурни, докато пътувате между вашите телефони, като ги предпазва от четене или промяна от трети страни. Тези трети страни включват доставчици на интернет услуги, телефонни компании и дори самото приложение за съобщения.

В резултат на това екипът за разработка на приложението не може да предаде вашите съобщения на рекламодатели, правоприлагащи органи или някой друг, който може да иска да ги прочете. Това криптиране също така не позволява на трети страни да променят съобщенията по време на предаване.

Повечето основни приложения за съобщения предлагат някакъв вид криптиране. Въпреки това, предлаганите специфични функции за криптиране могат да варират от приложение до приложение.

Как Законът за цифровите пазари може да застраши криптирането

На 24 март 2022 г. управителните органи на ЕС обявиха, че са постигнали споразумение за ново законодателство за управление на големите технологии в Европа. Нарича се Закон за цифровите пазари (или DMA). Една от най-значимите промени в новия закон е изискването всички големи технологични компании да създават продукти, които са оперативно съвместими с по-малки платформи.

Това означава, че всички приложения за съобщения от големи технологични компании ще трябва да могат да изпращат съобщения, да обменят файлове и да извършват видео разговори с всички други приложения за съобщения, което е добре в много отношения. Оперативната съвместимост означава, че големи технологични компании като Meta, Google и Apple трябва да обмислят по-малки, когато създават нови приложения или платформи.

през 2021 г. Мета претърпя глобално прекъсване когато неговият протокол Border Gateway (BGP) имаше грешка в конфигурацията, оставяйки всичките му активи офлайн за повече от 6 часа. Когато компании като Meta правят грешки, милиарди потребители могат да усетят въздействието.

Въпреки това, размерът на тези предприятия може да ги изолира от последствията дори от големи грешки. Изискванията за оперативна съвместимост биха могли да поддържат големите технологии отговорни пред потребителите и технологичния свят като цяло.

Освен това изискването за оперативна съвместимост на Закона за цифровите пазари може да създаде проблеми за приложения, които предлагат E2E криптиране.

Защо оперативната съвместимост може да направи криптирането по-трудно за прилагане

Приложенията за съобщения прилагат криптиране по различни начини или използват различни стандарти за криптиране. За съжаление е почти невъзможно всички тези стратегии да работят заедно.

Разработчиците на приложения ще трябва да направят компромис, за да осигурят оперативна съвместимост. Може да се появи подход с „най-нисък общ знаменател“, при който приложенията прилагат възможно най-простата система за криптиране. Например, представете си едно приложение за съобщения, което поддържа криптиране за групови чатове, но друго, което го прави само за разговори един на един.

Пълната оперативна съвместимост може да означава, че разработчиците избират да внедрят най-простата система, която ще работи с други приложения на пазара. Това вероятно ще изисква от тях да се откажат от по-сложни функции, като криптиране на групов чат.

На практика това може да направи потребителите много по-уязвими. По-малко сложните системи за криптиране може да бъдат по-лесни за победа или да не осигурят пълна защита от подслушване на трети страни.

Разработчиците на приложения могат също да създадат нови стандарти, които им позволяват хармонизират своите практики за криптиране. Например протоколът за оперативна съвместимост на защитените комуникации (SCIP) е американски стандарт за сигурна комуникация на глас и данни. Подобен стандарт за E2E криптиране на съобщения може да помогне на разработчиците да осигурят оперативна съвместимост, без да жертват функционалността.

Някои популярни приложения за съобщения—като Сигнал— са достатъчно малки, така че изискванията за DMA да не ги повлияят. Това обаче не е вярно за топ платформи като WhatsApp, който използва протокола Signal за своето криптиране. DMA може да означава, че функциите за криптиране на WhatsApp ще бъдат отслабени или премахнати напълно, което ще затрудни потребителите да запазят комуникациите си поверителни.

Изискванията за оперативна съвместимост могат да отслабят криптирането

Има предимства за изискванията за оперативна съвместимост, като тези в новия Закон за цифровите пазари на ЕС. Изискването му обаче може също да насърчи разработчиците да отслабят функциите за криптиране на приложения.

Накратко потребителите може да се наложи да преминат към приложения, разработени от компании, които не са големи технологии, ако искат възможно най-добрата технология за криптиране.

Какво означава криптирано и защитени ли са моите данни?

Прочетете Следващото

За автора