A privacidade está no centro de tudo o que fazemos na Status e isso permeia todas as decisões de design de nosso mensageiro.
Nos dois artigos anteriores desta série, falamos sobre o porquê a privacidade é importante e como a Status se compara a outros mensageiros nos blocos de construção de privacidade. Neste artigo, refletiremos sobre o tópico de “privacidade versus conveniência” e como eles costumam entrar em conflito entre si.
Exploramos isso no contexto de identificadores de conta no mensageiro Status e avaliamos essa escolha à luz do recente debate em torno dos recursos relacionados ao PIN do mensageiro Signal.
Explicamos a razão por trás do uso de números de telefone como identificadores por mensageiros populares e contrastamos isso com nossa escolha de usar chaves crypto para um design centrado na privacidade. Além disso, destacamos os desafios para alcançar a paridade com outros mensageiros em recursos de conveniência, mas estritamente de uma maneira que prioriza a privacidade, com o objetivo de ser o mensageiro que preserva a privacidade final criado com tecnologia P2P descentralizada.
Identificador: número de telefone ou “falso identificador”
Cada mensageiro precisa criar uma conta única para um usuário, que é então usada para identificar e conectar esse usuário aos seus contatos. A credencial mais comumente usada para um identificador de conta é o número de telefone, por vários motivos.
Muitas pessoas ao redor do mundo já possuem um telefone celular - seja um smartphone ou um telefone característico - e essa tendência só está aumentando. Portanto, um número de telefone está disponível.
Além disso, ao contrário dos emails, é um pouco mais difícil adquirir vários números de telefone celular de operadoras de rede sem a verificação necessária de documentos emitidos pelo governo (embora isso esteja ficando mais fácil com serviços como Twilio, Google Voice e outros serviços VoIP, sob demanda semelhantes). No entanto, a maioria das pessoas normalmente usa um único número de telefone como seu número pessoal para comunicação.
Portanto, para a maioria das pessoas em todo o mundo, podemos dizer que um número de telefone pode servir vagamente como uma identidade digital - algo que não é emitido pelo governo, como passaporte, certidão de nascimento ou número de seguro social (INSS). Isso é perfeito se quisermos construir automaticamente uma rede social para um usuário em nosso aplicativo de mensagens, porque os números de telefone na lista de contatos do usuário são sua rede, pelo menos uma parte dela.
A conveniência e o efeito da rede inerente são realmente os motivos pelos quais a Signal e outros mensageiros usam números de telefone como identificadores.
Esta é uma abordagem excelente se estivermos construindo um mensageiro para as massas como o WhatsApp ou cutucando os usuários de SMS para atualizar para uma experiência melhor. Mas essa conveniência percebida realmente vale a pena para pessoas que procuram o mensageiro mais privado que manterá seus dados (e metadados) protegidos dos olhos curiosos de qualquer pessoa, incluindo o governo, que queira espioná-los por alguma ou nenhuma razão particular?
Talvez não.
Os telefones podem ser rastreados e grampeados. Mesmo para que a criptografia de ponta a ponta seja confiável, os terminais e os aplicativos devem ser confiáveis. Com apenas o conhecimento dos números de telefone, os adversários podem realizar escutas telefônicas legais/ilegais, rastrear a localização física (usando GPS) ou até mesmo submerter aplicativos específicos no telefone usando exploits de malware para vigilância. Fica ainda pior se eles puderem executar um ataque de troca de SIM.
Na Status, acreditamos firmemente que a conveniência de permitir que um aplicativo de mensagens use seu número de telefone para construir automaticamente sua rede social não vale o risco de invasão de privacidade de entidades que têm o motivo e os recursos para fazê-lo. Isso é especialmente verdadeiro quando as pessoas não acreditam que os processos legais sejam justos e, portanto, dependem fundamentalmente da tecnologia para proteger sua privacidade e talvez até suas vidas. Para essas pessoas, código é lei.
A privacidade final é, portanto, a razão pela qual o mensageiro da Status depende de um par de chaves cryptos geradas aleatoriamente como a identidade do usuário. Este é um identificador "falso" que não tem nada a ver com a identidade do mundo real do usuário.
Um usuário na Status é identificado apenas por sua chave de chat - uma chave pública ECDSA secp256k1 descompactada de 65 bytes. O registro de entrada não requer nenhuma informação de identificação, como nome, endereço de email ou número de telefone.
Como essas identidades são facilmente geradas sem qualquer conexão com a identidade real do usuário, elas fornecem um alto nível de pseudoanonimato. Obviamente, o usuário pode personalizar sua experiência atribuindo informações pessoais a essa identidade gerada. Mas, isso é uma escolha. O usuário é um pseudônimo no que diz respeito a Status.
Todos os recursos do mensageiro da Status e do protocolo P2P subjacente são baseados nesta chave de bate-papo como a identidade de pseudônimo fundamental.
Isso parece ótimo. Mas como as pessoas veem o uso de números de telefone como identificadores de bate-papo? Se as pessoas preocupadas com a privacidade estão satisfeitas com o uso conveniente de números de telefone, então temos um problema fundamental com o mensageiro da Status, porque as chaves de bate-papo nos impedem de herdar automaticamente a rede social do usuário por meio da lista de contatos de seu telefone e aproveitar os efeitos de rede explícitos disso.
Escolha: privacidade ou conveniência
Embora a escolha não seja tão binária, projetar para maior privacidade certamente diminui a conveniência que os usuários estão acostumados com os populares mensageiros.
Esta tensão entre privacidade e conveniência é melhor ilustrada no contexto do recente debate sobre a introdução do recurso de PIN no Signal Messenger.
Para aqueles que não estão familiarizados com o Signal, é um mensageiro centrado na privacidade de código aberto muito popular desenvolvido pela Signal Technology Foundation de Moxie Marlinkspike. Aparentemente, tem mais de 15 milhões de usuários e é endossado pelo ex-denunciante da NSA, Edward Snowden, o CEO do Twitter/Square, Jack Dorsey, e vários pesquisadores de segurança proeminentes. Foi recomendado pela Electronic Frontier Foundation (EFF), American Civil Liberties Union (ACLU) e Comissão Europeia, entre outras organizações globais conhecidas, por seu foco em segurança e privacidade.
A base centrada na privacidade do Signal é melhor destacada por Moxie, da seguinte forma:
"Os únicos dados de usuário do Signal que temos, e os únicos dados que o governo dos Estados Unidos obteve como resultado, foram a data de criação da conta e a data do último uso - não mensagens de usuários, grupos, contatos, informações de perfil ou qualquer outra coisa.
...
O Signal usa criptografia de ponta a ponta para que nunca tenhamos acesso ao conteúdo das mensagens que você envia; eles são visíveis apenas para você e os destinatários pretendidos.
...
O Signal também não tem acesso aos seus contatos, gráfico social, dados de grupo, associação ao grupo, nome do perfil, avatar do perfil, dados de localização, pesquisas, etc. - e não incluímos rastreadores, anúncios ou análises em nosso software."
Signal é o mensageiro de privacidade mais popular usado no mundo hoje.
Na Status, nós respeitamos profundamente a filosofia por trás do Signal Messenger, seus protocolos subjacentes e os recursos centrados na privacidade. Nós até implementamos alguns algoritmos de criptografia especificados por eles, por exemplo, X3DH e Double Ratchet.
No entanto, o Signal depende dos números de telefone como identificadores, como muitos outros mensageiros. A razão para usar este e não nomes de usuário alternativos é justificada pelo Sinal da seguinte forma:
"Por exemplo, os aplicativos sociais precisam de uma rede social, e o Signal é construído com base nos números de telefone armazenados no catálogo de endereços do seu dispositivo. O catálogo de endereços do seu dispositivo é, de certa forma, uma ameaça aos gráficos sociais tradicionais controlados por empresas como Facebook, uma vez que é de propriedade do usuário, portátil e acessível a qualquer aplicativo que você aprovar. Para o Signal, isso significa que podemos alavancar e contribuir para uma rede portátil de propriedade do usuário sem ter que forçar os usuários a construir uma nova rede fechada a partir do zero.
No entanto, muitos usuários do Signal também gostariam de ser capazes de se comunicar sem revelar seus números de telefone, em parte porque esses identificadores são tão portáteis que permitem que o parceiro de conversação de um usuário entre em contato com eles por meio de outros canais em casos em que isso seja menos desejável. Um desafio foi que, se adicionássemos suporte para algo como nomes de usuário no Signal, esses nomes de usuário não seriam salvos no catálogo de endereços do seu telefone. Assim, se você reinstalasse o Signal ou adquirisse um novo dispositivo, perderia todo o seu gráfico social, porque ele não é salvo em nenhum outro lugar.
Outros aplicativos de mensagens resolvem isso armazenando uma cópia em texto simples de seu catálogo de endereços, gráfico social e frequência de conversação em seus servidores. Dessa forma, seu telefone pode ser atropelado por um carro sem achatar seu gráfico social nesses aplicativos, mas isso tem um alto preço de privacidade."
O Signal priorizou a conveniência sobre a privacidade com identificadores de número de telefone.
Embora isso possa ser tolerado por muitos de seus usuários, seja porque eles não têm uma escolha alternativa ou porque não entendem ou não se importam com as implicações, certamente permaneceu uma preocupação popular por muito tempo.
Este artigo do Intercept faz um ótimo trabalho em quebrar o uso de números de telefone do Signal, os riscos associados a ele e as possíveis formas de usar o Signal com um número de telefone diferente do seu pessoal.
Conforme explicado anteriormente, o principal motivo para essa escolha é a portabilidade conveniente da rede social do usuário que está ligada a seus contatos telefônicos. Sem usar números de telefone, qualquer mensageiro teria que fazer backup do gráfico social do usuário em seus servidores para que ele possa ser recuperado por esse usuário em um dispositivo diferente se/quando necessário, por exemplo, perda ou roubo do telefone.
A solução óbvia aqui é fazer backup de tudo em texto simples, que é o que muitos mensageiros fazem. Os dados em repouso nos servidores da empresa podem ser criptografados, mas eles têm as chaves de criptografia e você deve confiar neles. Resolver esse problema de forma a preservar a privacidade é extremamente desafiador quando o modelo de ameaça inclui um provedor de serviços que pode vazar acidentalmente os dados criptografados ou ser forçado a enviá-los às autoridades em resposta a solicitações legais.
Esse problema titânico evidentemente não passou despercebido pela talentosa equipe da Signal, que tratou de muitos aspectos disso ao longo do tempo, como preocupações sobre o compartilhamento de números com contatos, bloqueio de registro, grupos privados, descoberta de contato privado, perfis privados e o uso de um número de segurança.
Embora essas atenuações limitem significativamente a exposição e exploração não intencionais/desnecessárias do número de telefone do usuário, elas não impedem que o destinatário da mensagem saiba o número de telefone do usuário. Há apenas uma solução aqui: não use o número de telefone como identificador do usuário.
Para esse efeito, o Signal introduziu recentemente o conceito de um PIN que o aproxima um pouco mais de deixar de usar números de telefone.
O PIN causou tanto alvoroço na mídia (por exemplo, aqui, aqui, aqui) que o próprio Moxie esclareceu o pensamento por trás do PIN no Twitter. Matthew Green, professor associado de ciência da computação na Johns Hopkins University e renomado criptógrafo, resumiu melhor as preocupações e a tecnologia subjacente em sua postagem no blog.
Resumidamente, o que o PIN faz agora é permitir que os usuários do Signal façam backup com segurança de seus perfis, configurações e contatos nos servidores do Signal para que possam ser restaurados quando o Signal for reinstalado em um dispositivo diferente, sem revelar nada disso aos servidores do Signal. Este recurso foi desenvolvido com a tecnologia Secure Value Recovery do Signal, que depende de um recurso de segurança dos processadores Intel denominado Software Guard Extensions (SGX).
Conforme mencionado anteriormente, esse recurso permitirá que o Signal migre para identificadores não baseados em número de telefone posteriormente. Seria de se imaginar que isso seria uma excelente notícia, pois aborda a maior preocupação com o Signal, ou seja, o uso do número de telefone. Mas não foi inteiramente assim.
Parece haver muitas razões para esse ceticismo percebido em torno do PIN. Primeiro, os usuários gostariam que esse recurso fosse opcional e não fosse forçado a usar um PIN. Em segundo lugar, existem usuários que são céticos sobre o upload de quaisquer dados para a nuvem, não importa o quão fortes sejam as garantias criptográficas. Terceiro, existem usuários que valorizam qualquer perda provável de privacidade mais do que a conveniência de restaurar seus contatos de backups na nuvem. Finalmente, a tecnologia subjacente da Intel SGX, que habilita o PIN, tem enfrentado vários problemas de segurança (principalmente de ataques) ao longo dos anos desde seu lançamento, de forma que existe uma profunda desconfiança sobre essa tecnologia, mesmo dentro da comunidade de segurança.
O Signal ouviu seus usuários e anunciou uma versão beta que permite aos usuários desabilitar os PINs.
Status: privacidade com conveniência
Com o Status messenger, sempre priorizamos a privacidade em primeiro lugar. E, claro, a conveniência e a experiência de usuário sem atrito vêm em segundo lugar.
A privacidade também é um dos nossos princípios fundamentais:
Privacidade é o poder de se revelar seletivamente ao mundo. Para nós, é essencial proteger a privacidade tanto nas comunicações quanto nas transações, além de ser uma plataforma pseudo-anônima. Além disso, nos esforçamos para fornecer o direito ao anonimato total.
Criar chaves criptográficas como a identidade do bate-papo está no cerne desse design centrado na privacidade. Essas chaves são derivadas de uma frase-semente BIP39 que precisa ser respaldada pelo usuário. Para tornar isso um pouco amigável, geramos um nome de usuário aleatório de três palavras a partir da chave pública, por exemplo, Linda Fox Atraente. Percebemos que isso não é tão conveniente quanto simplesmente usar seu nome, endereço de email ou número de telefone que seus amigos já identificam. Nosso alvo são aqueles que não querem ser identificados como tal, por padrão.
Por causa dessa escolha, o usuário deve criar sua própria rede social no Status messenger, do zero, adicionando manualmente as chaves de bate-papo de seus amigos aos seus contatos ou encontrando-as em canais públicos. Mas muitos de seus amigos podem nem estar no mensageiro da Status. O efeito de rede é, portanto, prejudicado e o valor da rede da Status é indiscutivelmente diminuído para começar.
Compreendemos isso perfeitamente e, ainda assim, continuamos comprometidos com a privacidade em primeiro lugar. Para resolver isso, estamos explorando maneiras de preservar a privacidade de obter um programa de referência personalizado que incentiva os usuários a integrar seus amigos no aplicativo Status, mas sem revelar seus detalhes de identificação.
Em um nível de protocolo, com o Whisper e agora com o Waku, continuamos comprometidos em habilitar protocolos P2P centrados na privacidade que alimentam o mensageiro da Status. A descoberta de pares, retransmissão de mensagens em nós com recursos limitados, escalabilidade, spam, nós offline e incentivo de nós são alguns dos maiores desafios sobre os quais continuamos a fazer pesquisas ativas e a abrir novos caminhos.
É incrivelmente difícil aderir firmemente a essa disciplina que prioriza a privacidade e ao mesmo tempo estar dolorosamente ciente da crescente disparidade de recursos com mensageiros populares. Estamos apenas começando a adicionar suporte para notificações, imagens, adesivos, menções, mensagens de áudio, emojis e uma versão para desktop, mas ainda não oferecemos suporte a vídeos, GIFs, arquivos, chamadas de voz e chamadas de vídeo. Oferecemos suporte para sincronização de dispositivo para dispositivo, mas não para recuperação baseada em backup em nuvem.
E para complicar ainda mais, incluímos uma carteira de criptomoedas e um navegador web3 junto com o mensageiro. Um de nossos principais públicos-alvo sempre foram os entusiastas de crypto, mas estamos revisando essa suposição enquanto analisamos nossas métricas de crescimento e retenção de usuários (o que também é muito difícil sem análises intrusivas no aplicativo).
Conclusão
Neste artigo, exploramos o conceito de uma "conta" no Mensageiro da Status, que forma a base de nosso design centrado na privacidade sem comprometimento. Comparamos nossa escolha de usar chaves criptográficas como identificadores de conta com a dos números de telefone da Signal.
Por fim, no contexto do recente debate sobre o recurso de PIN do Signal, destacamos os desafios de priorizar a privacidade e, ao mesmo tempo, oferecer recursos de conveniência que os usuários foram condicionados a esperar nesta economia de dados.
Se os dados forem o novo petróleo, nós somos livres de carbono.
Temos um longo caminho a percorrer antes de atingir a paridade de recursos com o Signal e outros mensageiros estritamente de maneira a preservar a privacidade. Temos vários problemas fundamentais para resolver no aspecto P2P, sendo um grande deles o desenho de incentivos para rodar nós que suportam o resto da rede.
Embora revisemos algumas de nossas estratégias de ajuste de produto ao mercado e corrijamos o curso conforme necessário, o que não é negociável é a base sólida da privacidade. Porque sem isso, somos mais um mensageiro e não é isso que pretendemos ser.
O mensageiro da Status tem como objetivo ser o mensageiro que preserva definitivamente a privacidade, desenvolvido com tecnologia P2P descentralizada.
(Agradecimentos a André Medeiros, Corey Petty, Jonathan Zerah, Oskar Thorén e Simon Astaburuaga por revisar os rascunhos deste artigo e fornecer feedback útil. Agradecimentos a Alex Howell pela ilustração atenciosa.)
Use um mensageiro privado agora e instale o Status aqui na App Store, Playstore e via APK.
Saiba mais sobre todos os recursos do Status, incluindo mensageiro privado, carteira de criptomoedas segura e navegador web3 aqui.
