Ron «The RR RSA» Rivest, Bruce Schneier, Whitfield Diffie y Rose Anderson son los autores de TI y otros diez autores no son inferiores a ellos en términos de popularidad. Un equipo eminente se ha unido para publicar un análisis de los riesgos del «escaneo del lado del cliente» (CSS). Sus resultados son claros:
«CSS, naturalmente, plantea serios riesgos de seguridad y privacidad para la sociedad en su conjunto, mientras que el apoyo que las agencias de aplicación de la ley pueden brindar es excelente».
El motivo del catastrófico análisis de expertos es el creciente llamado de los gobiernos para que las agencias de aplicación de la ley tengan más acceso a los datos para combatir el abuso infantil y el terrorismo. Esto se justifica repetidamente con el mayor uso del cifrado. En respuesta, Apple presentó recientemente la idea de cómo buscar fotos en iPhones en el futuro que documenten el abuso infantil. Después de una ola de críticas que probablemente no se esperaban con esta intensidad, Apple la pospuso por ahora.
Los expertos en torno a Rose Anderson llegaron a esta suspensión en una reevaluación. Analiza sistemáticamente el trabajo, los requisitos y las posibles funciones de los escaneos requeridos del lado del cliente. En particular, observaron la funcionalidad CSS para iOS específico de Apple y no ahorraron con aprecio: «Apple ha hecho todo lo posible y ha utilizado algunas de las mejores habilidades en el campo de la seguridad y la criptografía», sin llegar a una completa: «… pero no se ha creado el sistema seguro, confiable y eficiente».
Monitoreo masivo
Mover los escaneos de los servidores de los proveedores a los dispositivos de los clientes aumenta su superficie de ataque y permite muchos nuevos ataques a la seguridad y la privacidad, argumenta Anderson et al. Además, no cumple con los principios básicos de una buena ingeniería de seguridad, como la estricta separación de derechos o el acceso a concesiones mínimas.
Además, este cambio de escaneo de servidor a cliente cruza la línea entre compartido (nube) y privado (dispositivo de usuario). Esto hace que lo que es privado en el dispositivo del usuario sea accesible para las fuerzas del orden y los servicios de inteligencia, incluso en ausencia de una orden judicial. Esta es una tecnología de vigilancia masiva ya que la invasión de la privacidad ocurre a nivel de grupos de población enteros.
En particular, los expertos también rechazan el argumento citado por Apple de que, por un lado, hacer exactamente CSS significa que desea un cifrado sólido de extremo a extremo, pero por otro lado debe dárselo a las fuerzas del orden. Acceso a los datos:
«La sugerencia de buscar contenido específico de antemano en los dispositivos de todos los usuarios es más insidiosa que las sugerencias anteriores para almacenar claves y acceso especial».
En lugar de actividades específicas, como solicitar comunicaciones con aprobación judicial o investigaciones forenses de dispositivos confiscados, el progreso actual apunta a escanear masivamente todos los datos privados. En cualquier momento y sin orden de aprehensión ni sospecha. Cruza una línea roja. La tecnología actual debe diseñarse para proteger nuestra privacidad y seguridad. Los investigadores advierten que el escaneo del lado del cliente puede socavar esto seriamente y hacernos inseguros a todos.Errores en nuestros bolsillos: riesgos del escaneo del lado del cliente«.
(Ju)
«Amante de los viajes extremos. Fanático del tocino. Alborotador. Introvertido. Apasionado fanático de la música».
