Pada 24 Maret, badan pengatur UE mengumumkan bahwa mereka telah mencapai kesepakatan tentang undang-undang paling luas untuk menargetkan Big Tech di Eropa, yang dikenal sebagai Digital Markets Act (DMA). Dilihat sebagai undang-undang yang ambisius dengan implikasi yang luas, ukuran yang paling menarik dalam RUU tersebut akan mengharuskan setiap perusahaan teknologi besar — yang didefinisikan memiliki kapitalisasi pasar lebih dari €75 miliar dan basis pengguna lebih dari 45 juta orang. di UE — buat produk yang dapat dioperasikan dengan platform yang lebih kecil. Untuk aplikasi perpesanan, itu berarti membiarkan layanan terenkripsi ujung-ke-ujung seperti WhatsApp berbaur dengan protokol yang kurang aman seperti SMS — yang dikhawatirkan para pakar keamanan akan merusak keuntungan yang diperoleh dengan susah payah di bidang enkripsi pesan.
Fokus utama DMA adalah kelas perusahaan teknologi besar yang disebut "penjaga gerbang", yang ditentukan oleh ukuran audiens atau pendapatan mereka dan, dengan perluasan, kekuatan struktural yang dapat mereka gunakan melawan pesaing yang lebih kecil. Melalui peraturan baru, pemerintah berharap untuk “membuka” beberapa layanan yang disediakan oleh perusahaan tersebut untuk memungkinkan usaha kecil untuk bersaing. Itu bisa berarti membiarkan pengguna menginstal aplikasi pihak ketiga di luar App Store, membiarkan penjual luar berperingkat lebih tinggi dalam pencarian Amazon, atau mengharuskan aplikasi perpesanan untuk mengirim teks melalui beberapa protokol.
Tetapi ini dapat menimbulkan masalah nyata bagi layanan yang menjanjikan enkripsi ujung ke ujung: konsensus di antara para kriptografer adalah bahwa akan sulit, jika bukan tidak mungkin, untuk mempertahankan enkripsi antar aplikasi, dengan potensi implikasi yang sangat besar bagi pengguna. Sinyal cukup kecil sehingga tidak akan terpengaruh oleh ketentuan DMA, tetapi WhatsApp — yang menggunakan protokol Signal dan dimiliki oleh Meta — tentu saja akan terpengaruh. Hasilnya bisa jadi beberapa, jika tidak semua, enkripsi pesan ujung-ke-ujung WhatsApp melemah atau dihapus, merampok perlindungan pesan pribadi satu miliar pengguna.
Mengingat perlunya penerapan standar kriptografi yang tepat, para ahli mengatakan bahwa tidak ada perbaikan sederhana yang dapat mendamaikan keamanan dan interoperabilitas untuk layanan pesan terenkripsi. Secara efektif, tidak akan ada cara untuk menggabungkan berbagai bentuk enkripsi di seluruh aplikasi dengan fitur desain yang berbeda, kata Steven Bellovin, peneliti keamanan internet terkenal dan profesor ilmu komputer di Universitas Columbia.
“Mencoba untuk mendamaikan dua arsitektur kriptografi yang berbeda tidak bisa dilakukan; satu sisi atau yang lain harus membuat perubahan besar,” kata Bellovin. “Desain yang hanya berfungsi saat kedua belah pihak sedang online akan terlihat sangat berbeda dari desain yang bekerja dengan pesan tersimpan.... Bagaimana Anda membuat kedua sistem itu saling beroperasi?”
Membuat layanan pesan yang berbeda kompatibel dapat mengarah pada pendekatan denominator umum terendah untuk desain, kata Bellovin, di mana fitur unik yang membuat aplikasi tertentu berharga bagi pengguna dilucuti hingga tingkat kompatibilitas bersama tercapai. Misalnya, jika satu aplikasi mendukung komunikasi multi-pihak terenkripsi dan yang lainnya tidak, menjaga komunikasi di antara mereka biasanya mengharuskan enkripsi dihentikan.
Sebagai alternatif, DMA menyarankan pendekatan lain — sama-sama tidak memuaskan bagi pendukung privasi — di mana pesan yang dikirim antara dua platform dengan skema enkripsi yang tidak kompatibel didekripsi dan dienkripsi ulang ketika diteruskan di antara keduanya, memutus rantai enkripsi “end-to-end” dan menciptakan titik kerentanan untuk intersepsi oleh aktor yang buruk.
Alec Muffett, pakar keamanan internet dan mantan insinyur Facebook yang baru-baru ini membantu Twitter meluncurkan layanan Tor terenkripsi, mengatakan kepada The Verge bahwa akan keliru jika berpikir bahwa Apple, Google, Facebook, dan perusahaan teknologi lainnya membuat produk yang identik dan dapat dipertukarkan yang dapat dengan mudah digabungkan.
"Jika Anda pergi ke McDonald's dan berkata, 'Demi kepentingan melanggar monopoli perusahaan, saya meminta Anda memasukkan piring sushi dari beberapa restoran lain dengan pesanan saya,' mereka hanya akan menatap Anda," kata Muffett. “Apa yang terjadi ketika sushi yang diminta tiba dengan kurir di McDonald's dari restoran sushi yang seolah-olah diminta? Bisakah dan haruskah McDonald's menyajikan sushi itu kepada pelanggan? Apakah kurir itu sah? Apakah itu disiapkan dengan aman? ”
Saat ini, setiap layanan perpesanan bertanggung jawab atas keamanannya sendiri — dan Muffett dan yang lainnya berpendapat bahwa dengan menuntut interoperabilitas, pengguna dari satu layanan terkena kerentanan yang mungkin telah diperkenalkan oleh yang lain. Pada akhirnya, keamanan keseluruhan hanya sekuat tautan terlemah.
Hal lain yang menjadi perhatian para pakar keamanan adalah masalah mempertahankan "ruang nama" yang koheren, seperangkat pengidentifikasi yang digunakan untuk menunjuk perangkat yang berbeda dalam sistem jaringan apa pun. Prinsip dasar enkripsi adalah bahwa pesan dikodekan dengan cara yang unik untuk identitas kriptografi yang diketahui, jadi melakukan pekerjaan manajemen identitas dengan baik merupakan hal mendasar untuk menjaga keamanan.
"Bagaimana Anda memberi tahu ponsel Anda siapa yang ingin Anda ajak bicara, dan bagaimana ponsel menemukan orang itu?" kata Alex Stamos, direktur Stanford Internet Observatory dan mantan kepala petugas keamanan di Facebook. “Tidak ada cara untuk mengizinkan enkripsi ujung-ke-ujung tanpa mempercayai setiap penyedia untuk menangani manajemen identitas... Jika tujuannya adalah agar semua sistem pesan memperlakukan pengguna satu sama lain persis sama, maka ini adalah privasi dan mimpi buruk keamanan.”
Tidak semua pakar keamanan merespons DMA secara negatif. Beberapa keberatan yang dibagikan sebelumnya oleh Muffett dan Stamos telah dibahas dalam posting blog dari Matrix, sebuah proyek yang diarahkan pada pengembangan standar komunikasi sumber terbuka dan aman.
Postingan tersebut, yang ditulis oleh salah satu pendiri Matrix, Matthew Hodgson, mengakui tantangan yang datang dengan interoperabilitas yang diamanatkan tetapi berpendapat bahwa mereka sebanding dengan manfaat yang akan datang dari menantang desakan raksasa teknologi pada ekosistem perpesanan tertutup.
“Di masa lalu, penjaga gerbang menganggap upaya [interoperabilitas] tidak bermanfaat,” kata Hodgson kepada The Verge. “Lagi pula, tindakan default adalah membangun taman bertembok, dan setelah membangunnya, godaannya adalah mencoba menjebak pengguna sebanyak mungkin.”
Tetapi dengan pengguna yang umumnya senang memusatkan kepercayaan dan grafik sosial dalam satu aplikasi, tidak jelas apakah penerapan pesan lintas platform dari atas ke bawah dicerminkan oleh permintaan dari bawah.
“iMessage sudah memiliki interop: namanya SMS, dan pengguna sangat tidak menyukainya,” kata Alex Stamos. "Dan itu memiliki sifat keamanan yang sangat buruk yang tidak dijelaskan oleh gelembung hijau."
Post a Comment