O «Encryption Working Group» (EWG), formado pelo Congresso dos Estados Unidos com representantes das Comissões Judiciária e de Energia e Comércio, com congressistas republicanos e democratas, concluiu que qualquer medida que enfraqueça a encriptação dos dados informáticos é contra o interesse nacional [dos EUA].
O relatório do EWG refere que um magistrado federal do Tribunal Central da Califórnia ordenou à Apple que colaborasse na obtenção de dados encriptados do iPhone do suspeito relacionado com o tiroteio de 2015 em San Bernardino, na Califórnia, e que a Apple resistiu a essa ordem.
O EWG observa que este caso e o polémico debate em torno dele reacendeu um debate de décadas sobre o acesso das autoridades a dados encriptados.
Assinala que as autoridades consideram que os avanços na tecnologia deixam os responsáveis pela segurança com dificuldade em obter provas e que o FBI argumenta que as autoridades poderão já não ser capazes de obter provas de que necessitam para combater o crime e prevenir o terrorismo.
Acrescenta que as companhias tecnológicas, os advogados da sociedade civil, a comunidade académica e mesmo algumas agências federais argumentam que a encriptação protege centenas de milhões de pessoas contra o roubo, fraude e outros actos criminais e consideram impossível implementar um sistema que dê às autoridades acesso excepcional a dados encriptados sem comprometer a segurança contra hackers, espionagem industrial e outros agentes maliciosos.
Depois de durante seis meses ouvir todas as partes interessadas, o EWG chegou a quatro observações que deverão servir de base a um exame posterior da questão no novo Congresso.
A primeira, já mencionada, de que «qualquer medida que enfraqueça a encriptação vai contra o interesse nacional», reconhecendo que a adopção alargada da encriptação tem um impacto profundo nas autoridades mas também a importância da encriptação para a segurança das pessoas, da economia e do país.
O relatório destaca que representantes da comunidade de segurança consideraram que uma encriptação forte é vital para a segurança nacional [dos Estados Unidos] e para a segurança de activos essenciais, como infra-estruturas críticas, e que as organizações da sociedade civil enfatizaram o papel da encriptação para a privacidade individual, liberdade de expressão, direitos humanos e protecção contra a intrusão dos governos, internos e estrangeiros.
O Congresso não deve enfraquecer esta tecnologia vital, porque se o fizer vai contra o interesse nacional. Contudo, não deve ignorar e deve ter em conta as preocupações legítimas das autoridades e dos serviços de informações, alerta o documento.
A segunda observação do EWG é a de que «a tecnologia de encriptação é uma tecnologia global que está largamente e crescentemente disponível em todo o mundo».
Reconhece que os fluxos de dados têm pouca relação com as fronteiras nacionais e muitas das companhias privadas ouvidas têm uma presença multinacional e estão sujeitas a leis de jurisdições muito diferentes.
Essas companhias destacaram que ordens que comprometessem a encriptação do sector tecnológico dos Estados Unidos levariam os consumidores a mudar para produtos oferecidos por companhias de outros países e tornariam pequenas empresas e sectores inovadores obsoletos. Se as companhias sedeadas nos Estados Unidos mudarem as operações para países com um regime mais favorável, as autoridades e as agências de informação podem perder acesso a tudo o que essas companhias dispõem.
A terceira observação do EWG é a de que a variedade de actores, tecnologias e outros factores criam desafios divergentes em relação à encriptação e não há uma solução de formato único para os desafios da encriptação.
O documento destaca que as autoridades federais, como o FBI e os serviços secretos, enfrentam desafios óbvios com o crescente uso de encriptação forte mas essas agências encorajam o uso da encriptação para protecção de informação sensível.
O EWG sublinha que as autoridades federais e os serviços de informações dispõem de pessoal altamente qualificado que as colocam em melhor posição para lidarem com os desafios das tecnologias de encriptação, ainda que as autoridades locais não estejam em idêntica situação.
Observa que o Departamento de Saúde encoraja a encriptação para salvaguardar informação sensível e o Departamento de Estado encoraja o desenvolvimento de encriptação forte para as missões diplomáticas no estrangeiro.
A quarta observação do relatório é que o Congresso dos EUA deve favorecer a cooperação entre as autoridades e as companhias tecnológicas e explorar caminhos para reforçar a cooperação entre as duas partes.
Recorda que os pedidos das autoridades frequentemente não têm um processo legal adequado, são tecnicamente deficientes ou são dirigidos às companhias erradas e assinala que muitas vezes as companhias podem fornecer um conjunto de metadados não encriptados associados com os seus produtos e serviços, que podem ser úteis para a investigação.
O EWG aponta como próximos passos a exploração de ferramentas que ajudem as companhias a clarificar qual a informação já disponível para as autoridades e em que circunstâncias e examinar os procedimentos dos mandados federais para determinar se podem ser mais eficientes e consistentes com os padrões constitucionais, a sua conformidade com o respeito pela legislação de acesso a informação digital e examinar como as autoridades podem utilizar melhor as ferramentas de investigação existentes.
O relatório reconhece que os metadados não substituem completamente a perda do acesso a dados encriptados e levanta a questão de a que tipo de metadados as autoridades podem aceder e onde os obtêm, que questões de privacidade se levantam quando as autoridades analisam grandes quantidades de dados ao longo do tempo e de que tipos de algoritmos e outras ferramentas técnicas precisam as autoridades para lidarem com esses dados.
O EWG pronuncia-se, ainda, sobre o chamado «hacking legal» em que as autoridades exploram vulnerabilidades da segurança digital.
Observa que estas questões incluem o problema de quais os processos legais requeridos, caso existam, para autorizar as autoridades a fazerem pirataria informática, se uma agência oficial deve alavancar vulnerabilidades para fazer hacking a companhias, se o processo através do qual o governo federal determina se devem ou não divulgar-se vulnerabilidade que se conhecem é adequado e se o Congresso deve criar uma estrutura formal para o autorizar.
O relatório questiona, também, se o governo pode forçar indivíduos a desbloquear dados encriptados e se isso viola o princípio da não auto incriminação, garantido pela quinta emenda da constituição dos EUA, se há diferença entre o desbloqueamento de um dispositivo com a palavra passe ou com meios biométricos [pode usar-se forçadamente a impressão digital ou o reconhecimento facial do proprietário do dispositivo], qual o procedimento legal adequado para forçar uma pessoa a desbloquear os seus dispositivos e se as autoridades o podem fazer sem violar a quinta emenda.
Finalmente, o documento levanta questões sobre se o governo federal deve dar passos adicionais para aumentar a segurança dos dados pessoais, como podem as companhias usar a encriptação para melhor protegerem os consumidores e a segurança da sua informação e como pode o Governo utilizar a encriptação para melhor proteger a segurança da informação das suas agências.
Questiona, também, como se deve lidar com as vulnerabilidades que se mantenham na informação encriptada, como é que a privacidade e a segurança dos dados serão afectadas por um enfraquecimento da encriptação e que ferramentas adicionais podem as companhias usar para garantir a segurança dos dados dos seus clientes.