24 Mart’ta AB yönetim organları, Dijital Piyasalar Yasası (DMA) olarak bilinen Avrupa’daki Big Tech’i hedef alan en kapsamlı mevzuat üzerinde bir anlaşmaya vardıklarını duyurdular. Kapsamlı etkileri olan iddialı bir yasa olarak görülen tasarıdaki en dikkat çekici önlem, her büyük teknoloji şirketinin – 75 milyar Euro’nun üzerinde bir piyasa değerine veya 45 milyondan fazla kişiden oluşan bir kullanıcı tabanına sahip olmasını gerektirecektir. AB’de — daha küçük platformlarla birlikte çalışabilen ürünler yaratın. Mesajlaşma uygulamaları için bu, WhatsApp gibi uçtan uca şifreli servislerin SMS gibi daha az güvenli protokollerle karıştırılmasına izin vermek anlamına gelir – güvenlik uzmanlarının endişe ettiği bu, mesaj şifreleme alanında zor kazanılan kazanımları baltalayacaktır.
DMA’nın ana odak noktası, hedef kitlelerinin veya gelirlerinin büyüklüğü ve buna bağlı olarak daha küçük rakiplere karşı kullanabilecekleri yapısal güç ile tanımlanan “kapı bekçileri” olarak adlandırılan bir büyük teknoloji şirketleri sınıfıdır. Yeni düzenlemelerle hükümet, küçük işletmelerin rekabet etmesine izin vermek için bu tür şirketler tarafından sağlanan hizmetlerden bazılarını “kırıp açmayı” umuyor. Bu, kullanıcıların App Store dışında üçüncü taraf uygulamaları yüklemesine izin vermek ve dışarıdaki satıcılara izin vermek anlamına gelebilir. Amazon aramalarında daha üst sıralarda yer alınveya mesajlaşma uygulamalarının birden çok protokol üzerinden metin göndermesini gerektirir.
Ancak bu, uçtan uca şifreleme vaat eden hizmetler için gerçek bir sorun oluşturabilir: Kriptograflar arasındaki fikir birliği, kullanıcılar için potansiyel olarak çok büyük etkileri olan uygulamalar arasında şifrelemeyi sürdürmenin imkansız olmasa da zor olacağıdır. Signal, DMA hükümlerinden etkilenmeyecek kadar küçüktür, ancak Signal protokolünü kullanan ve Meta’ya ait olan WhatsApp kesinlikle olacaktır. Sonuç, WhatsApp’ın uçtan uca mesajlaşma şifrelemesinin tamamı olmasa da bir kısmının zayıflatılması veya kaldırılması, bir milyar kullanıcıyı özel mesajlaşma korumasından mahrum bırakması olabilir.
Uzmanlar, kriptografik standartların hassas bir şekilde uygulanmasına duyulan ihtiyaç göz önüne alındığında, şifreli mesajlaşma servisleri için güvenlik ve birlikte çalışabilirliği uzlaştırabilecek basit bir düzeltme olmadığını söylüyor. Ünlü bir internet güvenliği araştırmacısı ve Columbia Üniversitesi’nde bilgisayar bilimi profesörü olan Steven Bellovin, farklı tasarım özelliklerine sahip uygulamalar arasında farklı şifreleme biçimlerini etkili bir şekilde birleştirmenin bir yolu olmayacağını söyledi.
“İki farklı kriptografik mimariyi uzlaştırmaya çalışmak kesinlikle yapılamaz; Bir taraf ya da diğerinin büyük değişiklikler yapması gerekecek,” dedi Bellovin. “Yalnızca her iki taraf da çevrimiçi olduğunda çalışan bir tasarım, saklanan mesajlarla çalışandan çok farklı görünecektir …. Bu iki sistemin birlikte çalışmasını nasıl sağlıyorsunuz?”
Farklı mesajlaşma servislerini uyumlu hale getirmenin, tasarımda en düşük ortak payda yaklaşımına yol açabileceğini söyleyen Bellovin, belirli uygulamaları kullanıcılar için değerli kılan benzersiz özelliklerin, paylaşılan bir uyumluluk düzeyine ulaşılana kadar ortadan kaldırıldığını söylüyor. Örneğin, bir uygulama şifreli çok taraflı iletişimi desteklerken diğeri desteklemiyorsa, aralarındaki iletişimi sürdürmek genellikle şifrelemenin kaldırılmasını gerektirir.
Alternatif olarak, DMA, uyumsuz şifreleme şemalarına sahip iki platform arasında gönderilen mesajların şifresinin çözüldüğü ve aralarında geçtiğinde yeniden şifrelendiği, “uçtan uca” şifreleme zincirini kırdığı ve “uçtan uca” şifreleme zincirini kırdığı, gizlilik savunucuları için eşit derecede tatmin edici olmayan başka bir yaklaşım önermektedir. kötü bir aktör tarafından müdahale için bir güvenlik açığı noktası.
İnternet güvenliği uzmanı ve yakın zamanda Twitter’ın şifreli bir Tor hizmeti başlatmasına yardımcı olan eski Facebook mühendisi Alec Muffett, şunları söyledi: Sınır Apple, Google, Facebook ve diğer teknoloji şirketlerinin kolayca birleştirilebilecek özdeş ve birbirinin yerine geçebilen ürünler yaptığını düşünmek yanlış olur.
Muffett, “Bir McDonald’s’a girip, ‘Şirket tekellerini kırmak adına, siparişime başka bir restorandan bir suşi tabağı eklemenizi talep ediyorum’ deseydiniz, haklı olarak sadece size bakarlardı, dedi Muffett. “Talep edilen suşi, görünüşte talep edilen suşi restoranından McDonald’s’a kurye ile geldiğinde ne olur? McDonald’s bu suşiyi müşteriye sunabilir mi ve vermeli mi? Kurye yasal mıydı? Güvenli bir şekilde hazırlandı mı?”
Şu anda, her mesajlaşma hizmeti kendi güvenliğinin sorumluluğunu üstleniyor – ve Muffett ve diğerleri, birlikte çalışabilirlik talep ederek, bir hizmetin kullanıcılarının bir başkası tarafından tanıtılmış olabilecek güvenlik açıklarına maruz kaldığını savundu. Sonuç olarak, genel güvenlik ancak en zayıf halka kadar güçlüdür.
Güvenlik uzmanları tarafından dile getirilen bir başka endişe noktası, herhangi bir ağ bağlantılı sistemde farklı cihazları belirtmek için kullanılan tanımlayıcılar kümesi olan tutarlı bir “ad alanı” sağlama sorunudur. Şifrelemenin temel bir ilkesi, mesajların bilinen bir kriptografik kimliğe özgü bir şekilde kodlanmasıdır, bu nedenle iyi bir kimlik yönetimi işi yapmak, güvenliği sağlamak için esastır.
“Telefonunuza kiminle konuşmak istediğinizi nasıl söylersiniz ve telefon o kişiyi nasıl bulur?” Stanford İnternet Gözlemevi direktörü ve Facebook’un eski güvenlik şefi Alex Stamos dedi. “Kimlik yönetimini yürütmek için her sağlayıcıya güvenmeden uçtan uca şifrelemeye izin vermenin bir yolu yoktur… Eğer amaç tüm mesajlaşma sistemlerinin birbirinin kullanıcılarına tamamen aynı şekilde davranmasıysa, o zaman bu bir gizliliktir. ve güvenlik kabusu.”
Tüm güvenlik uzmanları DMA’ya bu kadar olumsuz yanıt vermedi. Muffett ve Stamos tarafından daha önce paylaşılan bazı itirazlar, bir Blog yazısı Açık kaynaklı, güvenli bir iletişim standardının geliştirilmesine yönelik bir proje olan Matrix’ten.
Matrix’in kurucu ortağı Matthew Hodgson tarafından yazılan yazı, zorunlu birlikte çalışabilirliğin getirdiği zorlukları kabul ediyor, ancak teknoloji devlerinin kapalı mesajlaşma ekosistemlerindeki ısrarlarına meydan okumaktan elde edilecek faydaların bu zorlukları aştığını savunuyor.
“Geçmişte, kapı bekçileri [interoperability] Hodgson, “değersiz olduğu için” dedi. Sınır. “Sonuçta, varsayılan eylem tarzı, duvarlarla çevrili bir bahçe inşa etmektir ve bir bahçe inşa ettikten sonra, mümkün olduğu kadar çok kullanıcıyı tuzağa düşürmeye çalışmak cezbedicidir.”
Ancak kullanıcılar genellikle güveni ve sosyal grafiği tek bir uygulamada merkezileştirmekten memnun olduklarından, platformlar arası mesajlaşmanın yukarıdan aşağıya uygulanmasının aşağıdan gelen talep tarafından yansıtılıp yansıtılmadığı belirsizdir.
Alex Stamos, “iMessage’ın zaten birlikte çalışması var: buna SMS deniyor ve kullanıcılar bundan gerçekten hoşlanmıyor” dedi. “Ve yeşil baloncuklarla açıklanmayan gerçekten kötü güvenlik özelliklerine sahip.”