Hari ini, mari kita bicara tentang langkah agresif Eropa yang mengharuskan layanan pesan online besar agar dapat dioperasikan, dan lihat bagaimana WhatsApp memikirkan mandat kontradiktif yang diterimanya dari regulator.

Di Eropa, saat ini ada dua ide besar yang memegang kendali di antara orang-orang yang mengatur perusahaan teknologi. Salah satunya adalah bahwa akan lebih mudah untuk bersaing dengan raksasa teknologi, dan cara yang baik untuk mencapai ini adalah dengan memaksa layanan mereka untuk bermain dengan baik dengan orang lain. Kedua adalah bahwa privasi data pengguna menjadi perhatian utama, dan setiap pembagian data antar perusahaan harus diperlakukan dengan penuh kecurigaan.

Tidak jelas sejauh mana regulator menyadari bahwa, dalam cara yang sangat penting, ide-ide ini sering bertentangan. Tetapi saat ini mereka berada di jalur tabrakan mutlak, dan tidak terasa hiperbolis untuk mengatakan bahwa masa depan enkripsi ujung-ke-ujung tergantung pada keseimbangan.

Saya sekarang telah menulis tentang ancaman global terhadap enkripsi sehingga saya merasa seperti tamu pesta yang agak membosankan, selalu mengarahkan percakapan kembali ke masalah hewan peliharaan saya tidak peduli apa lagi yang terjadi di tempat lain. Tetapi setelah invasi Rusia ke Ukraina, di mana polisi Moskow menghentikan pengunjuk rasa antiperang dan mengobrak-abrik pesan di telepon mereka, hanya menawarkan ilustrasi terbaru mengapa semua itu penting: kemampuan untuk berkomunikasi secara pribadi di dunia yang terus meluas pengawasan dan data. retensi adalah nyata, penting praktis untuk hampir semua dari kita.

Pada hari Kamis, pejabat Eropa mencapai kesepakatan tentang Digital Markets Act, bagian penting dari undang-undang yang akan membentuk kembali cara raksasa teknologi bersaing dengan saingan mereka. Tindakan tersebut berlaku untuk apa yang disebutnya “penjaga gerbang” – didefinisikan sebagai platform apa pun yang memiliki kapitalisasi pasar €75 miliar, atau lebih dari €7,5 miliar pendapatan Eropa. Jadi: ya untuk WhatsApp dan iMessage; tidak untuk Signal dan Telegram.

Di antara banyak ketentuan lainnya, DMA kemungkinan akan melarang Amazon menggunakan data dari penjual pihak ketiganya untuk menginformasikan pengembangan produknya sendiri, dan mengharuskan Android untuk menawarkan alternatif pencarian dan email Google kepada pengguna.

Catatan: teks akhir masih akan datang

Saya katakan mungkin karena teks perjanjian saat ini tidak tersedia untuk inspeksi publik. Saya tidak pernah merasa lebih berisiko membuat kesalahan daripada menulis tentang proses legislatif Uni Eropa; terakhir kali saya melakukannya, saya harus menerbitkan koreksi dua hari berturut-turut. Tapi pemahaman saya adalah bahwa apa yang telah disepakati pada dasarnya adalah kerangka kasar untuk hukum akhirnya, dan teks terakhir masih akan datang.

Sementara itu, undang-undang sekarang sedang dibuat dalam kelompok kerja; beberapa bahasa yang mereka pertimbangkan bocor dan diposting ke Twitter oleh berbagai pihak. Kebocoran itu, dikombinasikan dengan pernyataan publik sebelumnya dan rancangan undang-undang sebelumnya, adalah cara kami mengetahui apa pun tentang rencana Eropa untuk aplikasi perpesanan.

Misalnya, apa yang kita ketahui tentang rencana DMA untuk interoperabilitas sebagian berasal dari bahasa tweet Benedict Evans dari draft proposal:

“Izinkan penyedia [messaging apps] atas permintaan mereka dan gratis untuk terhubung dengan penjaga gerbang [messaging apps]. Interkoneksi harus disediakan secara objektif dalam kondisi dan kualitas yang sama yang tersedia atau digunakan oleh gatekeeper, anak perusahaan atau mitranya, sehingga memungkinkan interaksi fungsional dengan layanan ini, sambil menjamin tingkat keamanan dan perlindungan data pribadi yang tinggi.”

Selama akhir pekan, para ahli kriptografi membunyikan alarm tentang ide ini, mengatakan bahwa platform mungkin tidak dapat melakukan ini dengan cara yang membuat pesan terenkripsi. Seperti yang dikatakan Alex Stamos dari Stanford Internet Observatory kepada saya: “Menulis undang-undang untuk mengatakan ‘Anda harus mengizinkan interoperabilitas total tanpa menciptakan privasi atau risiko keamanan apa pun’ seperti hanya memerintahkan dokter untuk menyembuhkan kanker.”

Masalahnya cukup mudah; Corin Faife menangkap beberapa dari mereka di sini di The Verge:

Mengingat perlunya penerapan standar kriptografi yang tepat, para ahli mengatakan bahwa tidak ada perbaikan sederhana yang dapat mendamaikan keamanan dan interoperabilitas untuk layanan pesan terenkripsi. Secara efektif, tidak akan ada cara untuk menggabungkan berbagai bentuk enkripsi di seluruh aplikasi dengan fitur desain yang berbeda, kata Steven Bellovin, peneliti keamanan internet terkenal dan profesor ilmu komputer di Universitas Columbia.

“Mencoba untuk mendamaikan dua arsitektur kriptografi yang berbeda tidak bisa dilakukan; satu sisi atau yang lain harus membuat perubahan besar,” kata Bellovin. “Desain yang hanya berfungsi saat kedua belah pihak sedang online akan terlihat sangat berbeda dari desain yang bekerja dengan pesan tersimpan…. Bagaimana Anda membuat kedua sistem itu saling beroperasi?”

Penghinaan untuk persyaratan baru tidak universal; Matrix, sebuah organisasi nirlaba yang bekerja untuk membangun standar sumber terbuka untuk komunikasi terenkripsi, menerbitkan posting blog pada hari Jumat yang menjelaskan beberapa kemungkinan jalur teknis ke depan.

Tapi jelas bahwa, sejauh mungkin ada cara untuk layanan seperti iMessage dan WhatsApp untuk beroperasi dan mempertahankan enkripsi, cara itu belum ditemukan.

Setidaknya, itu belum dibuat.

Karena sebagian besar kebingungan atas apa yang sebenarnya sedang diusulkan, platform sejauh ini tidak banyak bicara tentang DMA dan interoperabilitas. (Raksasa melobi DMA berat, tapi tampaknya tanpa banyak keberhasilan.) Apple dan Google tidak menanggapi permintaan komentar dari saya.

Tetapi pada Senin sore, saya berbicara dengan kepala WhatsApp Will Cathcart melalui Zoom. Enkripsi ujung-ke-ujung telah menjadi proyek khas WhatsApp di bawah Cathcart, baik di sisi produk (itu meluncurkan cadangan terenkripsi musim gugur yang lalu) dan sisi kebijakan (melawan pertempuran hukum yang sedang berlangsung untuk mempertahankan enkripsi di India).

Saya bertanya bagaimana perasaannya tentang DMA seperti yang dia pahami sejauh ini.

“Saya memiliki banyak kekhawatiran tentang apakah ini akan merusak atau sangat merusak privasi, apakah itu akan merusak banyak pekerjaan keselamatan yang telah kami lakukan yang sangat kami banggakan, dan apakah itu benar-benar akan mengarah pada lebih banyak inovasi. dan daya saing,” kata Cathcart.

Sangat mudah untuk mengabaikan kekhawatiran ini sebagai kepentingan pribadi: dari kursus WhatsApp akan menentang pembukaan pintunya untuk memungkinkan aplikasi lain mengintegrasikan diri ke dalam pengalaman penggunanya sendiri. Tetapi ketika saya menekan Cathcart di WhatsApp tentang apa yang akan sangat buruk tentang itu, jawabannya menawarkan banyak hal yang perlu dikhawatirkan oleh regulator dan pengguna WhatsApp sehari-hari.

Diantara mereka:

Spam. Sifat WhatsApp yang terpusat memungkinkannya mengidentifikasi dan menghapus spam sebelum masuk ke ponsel Anda; itu menghapus jutaan akun setiap bulan untuk mencoba. Layanan pihak ketiga yang terhubung ke WhatsApp mungkin tidak agresif, atau mungkin menerima spam secara terbuka. “Kami telah melihat banyak aplikasi yang baru saja keluar dan memasarkan diri mereka sendiri sebagai pesan massal di jaringan WhatsApp,” kata Cathcart. “Apa yang terjadi ketika salah satu dari mereka masuk dan ingin beroperasi?”

Misinformasi dan ujaran kebencian. WhatsApp mengadopsi batasan penerusan untuk membatasi penyebaran viral pesan di sana setelah digunakan untuk mempromosikan hoaks dan kekerasan pemilu; layanan pihak ketiga mungkin tidak berkewajiban untuk melakukannya. Apakah layanan penerusan WhatsApp diizinkan untuk menggunakan API? Apakah WhatsApp harus mengizinkannya?

Pribadi. WhatsApp dapat menjamin enkripsi ujung-ke-ujung pengguna, dan pesan-pesan barunya yang hilang benar-benar terhapus, karena ia dapat melihat seluruh rantai komunikasi. Namun, itu tidak akan dapat melihat apa yang dilakukan aplikasi pihak ketiga dengan pesan setelah dikirim, meningkatkan kekhawatiran bahwa pengguna dapat dieksploitasi.

Berapa banyak dari hal ini yang dipahami oleh regulator Eropa?

“Sangat sulit untuk mengatakannya tanpa melihat apa yang mereka putuskan,” kata Cathcart. “Saya tidak tahu. Apakah mereka berkonsultasi secara ekstensif dengan pakar keamanan? Reaksi dari sekelompok pakar keamanan yang saya lihat menunjukkan bahwa para pakar itu, setidaknya, tidak diajak berkonsultasi.”

Penting juga untuk menanyakan interoperabilitas apa yang sebenarnya akan dilakukan untuk membuat pasar pengiriman pesan lebih kompetitif. Email adalah standar yang terbuka dan dapat dioperasikan selama beberapa dekade; tetapi hari ini, Apple, Google, dan Microsoft menguasai sekitar 90 persen pasar. Sementara itu, pasar untuk aplikasi perpesanan jauh lebih dinamis bahkan tanpa interoperabilitas: termasuk aplikasi dari Meta, Telegram, Signal, Snap, dan lainnya.

Sebagian karena perusahaan dapat menambahkan fitur lebih cepat ketika mereka tidak perlu membuat API terbuka untuk mendukungnya. Khususnya, Snap mengatakan dua tahun lalu bahwa interoperabilitas yang diamanatkan akan menjadi “tujuan sendiri dengan proporsi besar” bagi regulator, “karena efek akhirnya adalah mengeraskan pasar, menyitanya untuk pendatang baru yang inovatif.”

kasus yang jelas dari satu tangan tidak tahu apa yang dilakukan pihak lain

Semua yang dikatakan, saya tidak sepenuhnya kebal terhadap iming-iming interoperabilitas. Sebagai seseorang yang menghabiskan sebagian besar hari saya beralih di antara kotak masuk, gagasan memiliki lebih sedikit tempat untuk mengirim dan menerima pesan memiliki daya tarik yang jelas. Dan saya terbuka dengan gagasan bahwa pemula dapat menggunakan akses ke API dari iMessage, WhatsApp, dan sejenisnya untuk menempatkan inovasi di depan pengguna lebih cepat daripada raksasa teknologi yang biasanya bergerak lebih lambat, dan sebagai hasilnya, tumbuh lebih cepat.

Tapi dorongan simultan Eropa untuk meningkatkan persaingan dan privasi pengguna maksimum terasa seperti kasus yang jelas di satu sisi tidak mengetahui apa yang dilakukan pihak lain. Faktanya adalah bahwa hampir tidak ada orang yang saya baca atau ajak bicara percaya Anda dapat melakukan keduanya, setidaknya tidak dengan cara yang diusulkan UE. Dan solusi apa pun yang terwujud dapat membuka kerentanan baru yang mengkhawatirkan seputar privasi, informasi yang salah, ujaran kebencian, dan zona bahaya lainnya.

Regulasi selalu merupakan upaya untuk memecahkan masalah lama tanpa mencoba menciptakan terlalu banyak masalah baru dalam prosesnya. Tetapi melakukan itu dengan sukses membutuhkan pengembangan pemahaman teknis yang mendalam tentang masalah yang dipertaruhkan, dan mendiskusikannya dengan para ahli di depan umum. Sejauh ini, Uni Eropa juga belum menunjukkan banyak bukti.

Agar pesan terenkripsi memiliki masa depan yang nyata, itu harus berubah, dan segera.