RCMP confirma que o Projeto de Lei C-22 visa comunicações encriptadas

RCMP confirma que o Projeto de Lei C-22 visa comunicações encriptadas

O governo federal do Canadá insistiu repetidamente que o Projeto de Lei C-22, a sua proposta legislativa de acesso legal, não ameaça a encriptação. A RCMP contradisse agora diretamente essa afirmação. Durante uma audição num comité parlamentar, a polícia nacional do Canadá confirmou que o acesso a comunicações encriptadas é precisamente a razão pela qual as forças da lei querem que o projeto seja aprovado. Esta admissão intensificou um debate já aceso sobre se Otava está discretamente a procurar uma porta de entrada na encriptação sob um rótulo mais aceitável.

O que a RCMP disse realmente no comité e porque contradiz Otava

O testemunho da RCMP é significativo não por ser surpreendente para os defensores da privacidade, mas por ser explícito. As autoridades policiais costumam evitar descrever a legislação de vigilância em termos de quebrar a encriptação, preferindo expressões como "acesso legal" ou "assistência técnica". Nesta audição do comité, porém, a RCMP confirmou que aceder a comunicações encriptadas é um objetivo central do Projeto de Lei C-22, e não um efeito colateral ou uma possibilidade teórica.

Isto contradiz diretamente a mensagem pública do governo canadiano. As autoridades posicionaram o projeto como uma modernização dos instrumentos de investigação existentes, e não como um ataque às proteções criptográficas que protegem as aplicações bancárias, as plataformas de mensagens e os dados privados de milhões de canadianos. Quando a força policial que a legislação pretende capacitar afirma abertamente que o objetivo é aceder a conteúdos encriptados, o enquadramento do governo torna-se muito difícil de sustentar.

A Electronic Frontier Foundation observou que o Projeto de Lei C-22 segue de perto o Projeto de Lei C-2 do ano passado, outra proposta centrada na vigilância que enfrentou críticas significativas. O padrão sugere um esforço legislativo persistente, e não uma iniciativa isolada.

Como funcionam as portas de entrada na encriptação e porque enfraquecem a segurança de todos

Para compreender o que está em jogo, convém ser preciso quanto ao significado técnico de uma porta de entrada. A encriptação de ponta a ponta protege as comunicações garantindo que apenas o emissor e o destinatário podem ler a mensagem. Nenhum terceiro, incluindo o fornecedor do serviço ou um governo, pode aceder ao conteúdo durante o trânsito. Uma porta de entrada altera isso ao introduzir um mecanismo que permite a um interveniente designado (neste caso, as forças da lei) contornar essa proteção.

O problema fundamental é matemático. Uma porta de entrada que funciona para a polícia canadiana também funciona para qualquer outra pessoa que descubra ou obtenha acesso a esse mecanismo. Serviços de informações estrangeiros, organizações criminosas e hackers maliciosos beneficiam todos da mesma fraqueza. Não existe uma porta de entrada na encriptação que esteja disponível seletivamente apenas para atores confiáveis. Investigadores de segurança e criptógrafos têm feito este argumento de forma consistente durante décadas, e nenhuma proposta técnica o refutou com sucesso.

A Apple, que submeteu comentários formais sobre o Projeto de Lei C-22, afirmou diretamente que o projeto permitiria ao governo canadiano obrigar as empresas a introduzir portas de entrada nos seus produtos. Isto não é linguagem de advocacia; é uma descrição técnica do que a legislação exigiria.

O que o Projeto de Lei C-22 significa para os utilizadores de VPN e mensagens encriptadas no Canadá

Para os canadianos que dependem de aplicações de mensagens encriptadas, correio eletrónico seguro ou redes privadas virtuais para proteger as suas comunicações, o Projeto de Lei C-22 cria uma incerteza real. Se o projeto for aprovado na sua forma atual, os fornecedores de serviços que operam no Canadá podem ser obrigados a criar mecanismos de acesso, enfraquecendo as proteções que essas ferramentas deveriam proporcionar.

Os utilizadores de VPN enfrentam uma preocupação específica: uma VPN sem registos operada fora da jurisdição canadiana e governada por uma política rigorosa de ausência de registos seria muito menos suscetível a uma ordem de acesso legal canadiana do que um fornecedor nacional. No entanto, se a lei canadiana acabar por exigir que os fornecedores de VPN mantenham ou forneçam acesso às comunicações dos utilizadores, o panorama jurídico muda consideravelmente. A linguagem atual do projeto em torno da "assistência técnica" é suficientemente ampla para que o seu alcance prático permaneça contestado.

Para as mensagens encriptadas, as implicações são igualmente graves. As plataformas que tecnicamente não podem cumprir uma ordem de porta de entrada sem redesenhar a sua arquitetura podem enfrentar pressões para enfraquecer a sua encriptação ou sair completamente do mercado canadiano, como já aconteceu noutras jurisdições que adotaram legislação semelhante.

O esforço do Canadá por portas de entrada no contexto global: Five Eyes e mais além

O Canadá não conduz a sua política de vigilância de forma isolada. Como membro da aliança de informações Five Eyes, juntamente com os Estados Unidos, o Reino Unido, a Austrália e a Nova Zelândia, o Canadá participa num quadro partilhado de informações de sinais e, cada vez mais, na promoção de posições coordenadas sobre o acesso à encriptação. A Austrália aprovou a sua Lei de Assistência e Acesso em 2018, que de forma semelhante obrigava os fornecedores a auxiliar as forças da lei no acesso a conteúdos encriptados. A Lei de Segurança Online do Reino Unido contém disposições comparáveis. O Projeto de Lei C-22 do Canadá enquadra-se num padrão reconhecível em toda a aliança.

Este contexto é importante para os residentes canadianos, pois sugere que a pressão legislativa provavelmente não desaparecerá mesmo que o Projeto de Lei C-22 seja alterado ou adiado. Relatórios indicam que o Canadá prometeu alterar as disposições do projeto sobre encriptação e metadados, na sequência de uma forte reação da indústria tecnológica, mas as alterações à linguagem não alteram necessariamente o objetivo subjacente que a RCMP confirmou agora publicamente.

O que isto significa para si

Se é um residente canadiano que depende de comunicações encriptadas para a sua privacidade pessoal, confidencialidade profissional ou segurança digital em geral, o testemunho da RCMP no comité é um sinal que merece ser levado a sério. As garantias do governo de que a encriptação não está ameaçada estão agora em conflito aberto com o que a força policial que solicita a legislação afirmou em voz alta.

Em termos práticos, há medidas que pode tomar enquanto o Projeto de Lei C-22 avança no Parlamento. Rever as políticas de privacidade e as práticas de registo de qualquer serviço VPN que utilize é um bom ponto de partida. Um fornecedor com uma política verificada de ausência de registos e jurisdição fora do Canadá oferece uma camada significativa de proteção contra ordens de acesso legal canadianas. Da mesma forma, escolher plataformas de mensagens com encriptação de ponta a ponta de código aberto e auditada e uma vontade demonstrada de sair dos mercados em vez de comprometer a sua arquitetura proporciona uma proteção mais forte do que confiar apenas nas garantias governamentais.

O guia da VPN.social sobre VPN no Canadá e privacidade oferece um ponto de partida útil para avaliar as suas opções. Manter-se informado à medida que o projeto avança no comité é igualmente importante: a diferença entre o que as autoridades dizem publicamente e o que a RCMP confirmou no comité é exatamente o tipo de detalhe que determina se a legislação final será tão perigosa como os críticos receiam, ou terá um alcance mais limitado.