A las organizaciones firmantes les gustaría
hacer un comentario sobre los recientes desarrollos en la
política del gobierno alemán sobre la
encriptación digital. Esta tecnología se está
volviendo cada vez más importante porque un número
creciente de personas dependen de tecnologías digitales como
los teléfonos digitales, el correo electrónico y la
compra en línea. La tecnología de encriptación
fuerte es fundamental para proteger información sensible,
evitar la corrupción de las transferencias monetarias e
informativas, y asegurar que las contrapartes puedan verificar
nuestras identidades.
Nos gustaría apoyar las declaraciones del Ministro de
Economía Guenter Rexrodt, realizadas el 2 de mayo de 1997, en
las que se oponía enérgicamente al establecimiento de
límites a la encriptación. Un mercado abierto, libre de
restricciones gubernamentales impropias, es la política de
encriptación más beneficiosa tanto para la privacidad
individual como para el desarrollo de un comercio electrónico
robusto.
El 28 de abril de 1997, el Ministro de Interior Manfred Kanther
pidió restricciones legales a la encriptación y propuso
que los únicos servicios autorizados fueran aquéllos
que permitieran a la policía descifrar y leer cualquier
transmisión. Escribimos esta carta para expresar nuestra
oposición a esta orientación y pedir que el gobierno
adopte la posición del ministro Rexrodt contra las
restricciones.
Aunque la propuesta del ministro Kanther es similar a otras
planteadas en otros países, no es el pensamiento actualmente
dominante entre los políticos. Citamos los siguientes ejemplos
para mostrar que la tendencia es hacia una encriptación sin
restricciones: En los Estados Unidos, donde se introdujo la primera
propuesta de recuperación de claves (normalmente conocida como
"Clipper"), nunca ha obtenido un gran apoyo en el Congreso. De hecho,
varios legisladores introdujeron recientemente la ley de Seguridad y
Libertad a través de la Encriptación (SAFE), que
garantiza la libertad de usar cualquier forma de encriptación
y revoca las propuestas de recuperación de claves.
En marzo de 1997, la Organización para la Cooperación y
el Desarrollo Económico (OCDE) rechazó las propuestas
norteamericanas de basar la política de encriptación
nacional en la recuperación de claves. El 27 de marzo de 1997
la OCDE publicó unas recomendaciones sobre criptografía
que advertían contra "los obstáculos injustificados al
comercio internacional y al desarrollo de la información y de
las redes de comunicaciones" y la "legislación que limita las
opciones de los usuarios".
El 24 de julio de 1996, las entidades responsables
de la aprobación de estándares de Internet, el Internet
Architecture Board (IAB) y el Internet Engineering Steering Group
(IESG), rechazaron los intentos de poner las claves privadas en las
manos de los gobiernos.
El Partido Laborista británico, antes de
ganar las elecciones generales del 1 de mayo, publicó un
manifiesto llamado "Communicating Britain's Future" en el que
rechazaba explícitamente la recuperación de claves y
declaraba: "No aceptamos el argumento del "chip clipper" desarrollado
en los Estados Unidos para que las autoridades puedan abalanzarse a
voluntad sobre cualquier mensaje encriptado y descifrarlo... Los
intentos para controlar el uso de la tecnología de
encriptación son erróneos en principio, impracticables
en la práctica y, además, perjudican el valor
económico a largo plazo de las redes de
información".
Hay varias
dificultades políticas y técnicas con la
recuperación de claves. En primer lugar, se trataría de
un nivel inaudito de intrusión gubernamental en la vida
diaria, porque el gobierno tendría potencialmente acceso a
todas las comunicaciones digitales realizadas por todas las personas
que viven dentro de las fronteras del país, así como
las llevadas a cabo por cualquiera fuera del país que
intercambie información en forma digital con personas de
dentro del país. Hay una larga historia de abusos en
técnicas de vigilancia cometidos por funcionarios
gubernamentales. No se puede asumir que los empleados del gobierno se
abstendrían de pedir claves sin causa justificada, o que las
compañías que poseen estas claves se negarían a
entregárselas en respuesta a una demanda impropia. En este
contexto merece la pena recordar que agentes de un país
penetran a menudo en las fuerzas de seguridad de otro.
En los Estados Unidos, aún están vivos los recuerdos de
un uso ilegal muy extendido de la vigilancia por parte del FBI contra
los opositores políticos del gobierno en las décadas de
los años 50, 60 y 70. A pesar de la aprobación de leyes
para prevenir futuros abusos, continúa habiendo incidentes que
ilustran cómo las autoridades se saltan las leyes para obtener
información.
Se han documentado abusos similares en muchos otros países. La
práctica de la vigilancia electrónica de la
población civil para suprimir derechos políticos y
civiles estaba extendida en todo el Bloque Oriental, y
continúa existiendo en muchos países asiáticos y
latinoamericanos en la actualidad. Ciudadanos que trabajan
pacíficamente en favor de derechos básicos como la
libertad de expresión o la democracia son hostigados
rutinariamente, torturados y asesinadas por sus propios gobiernos, a
menudo como resultado de técnicas de vigilancia. Establer un
régimen internacional que glorifique el "derecho" de los
gobiernos a vigilar a sus ciudadanos tendría serias
consecuencias para los derechos humanos básicos en todo el
planeta.
En segundo lugar, el almacenamiento centralizado de claves es un
objetivo irresistible para los intrusos. Uno de los principios
centrales de seguridad de las redes es que no puede haber una
garantía completa contra los allanamientos. El ejército
de los Estados Unidos ha experimentado allanamientos muchas veces,
como también gran cantidad de organizaciones privadas. Uno
debe asumir que intrusos maliciosos con incentivos financieros o de
otro tipo querrán, en ocasiones, reventar la seguridad de las
"Terceras Partes de Confianza" (TTPs). Por el contrario, en la muy
popular tecnología conocida como "encriptación de clave
pública", cada clave privada sólo es poseída por
un individuo.
En tercer lugar, debemos tomar en cuenta la debilidad humana. Los
empleados de lasTTPs estarán expuestos a la tentación
de compartir claves debido a los sobornos, venganzas o la simple
curiosidad.
Para abreviar, el acceso gubernamental y la recuperación de
claves son sistemas ineludiblemente inseguros y expuestos al abuso.
Además, son malos para las empresas: las
compañías alemanas que hacen productos de
encriptación estarán en desventaja competitiva respecto
a compañías de otros países en los que la
encriptación no esté restringida.
La forma más segura de transacción digital es aquella
por la que los usuarios escogen sus propias claves y son responsables
del manejo de las mismas. En algunos de estos sistemas, las claves
"públicas" de los usuarios se publican para que la identidad
de cada usuario sea verificable por cualquier destinatario.
Normalmente las claves "privadas" son guardadas firmemente por cada
usuario, no siendo reveladas a nadie más. Una
organización puede optar por recuperar las claves privadas de
sus miembros, pero, a diferencia de los planes de recuperación
inspirados por los gobiernos, normalmente tales claves serían
"guardadas" en otro lugar dentro de la compañía en
lugar de ser entregadas a una empresa externa para garantizar el
acceso gubernamental. Estas prácticas pueden florecer sin la
intervención gubernamental. Utilizar la autorización
como subterfugio para minar silenciosamente la privacidad de los
ciudadanos es intolerable.
Las TTPs son útiles porque permiten que individuos y
organizaciones que no se conocen previamente puedan comunicarse entre
sí con la convicción que ninguno está
suplantando su identidad. Pero este servicio no debe usarse como un
caballo de Troya que permita al gobierno acceder furtivamente a las
claves de los usuarios --ese sistema minaría la confianza.
En los Estados Unidos, la recuperación de claves ha sido
criticada por prácticamente todas las organizaciones sociales
que han mostrado interés por el asunto. Fuera de la
administración, la mayoría de los comentaristas han
declarado que la amenaza de una creciente actividad terrorista o
delictiva no es tan grande como para justificar el requisito de que
todos los miembros de la sociedad renuncien a su privacidad.
Es probable que los intentos del gobierno para imponer la
recuperación de claves eliminen la privacidad del ciudadano
medio cuando se comunica usando el teléfono o las redes
informáticas. Los derechos de libertad de expresión,
libre asociación, privacidad personal, privacidad financiera,
propiedad privada y la confidencialidad entre médico, o
abogado, y cliente se verían debilitados o eliminados. El
papel de las transacciones digitales en nuestro futuro es demasiado
importante como para permitirse tales riesgos.
Suyo atentamente,
ALCEI - Associazione per la Liberta nella Comunicazione
Elettronica Interattiva (Electronic Frontiers Italy)
American Civil
Liberties Union
AUI - Association
des Utilisateurs d'Internet (Association of Internet
Users)
Bevcom
Internet Technologies
Center for
Democracy and Technology
CITADEL
Electronic Frontier France
Computer
Professionals for Social Responsibility
Cyber-Rights
& Cyber-Liberties (UK)
DB-NL Digitale Burgerbeweging Nederland (Digital Citizens
Foundation Netherlands)
EFF-Austin (Austin, Texas USA)
Elektronisk
Forpost Norge (Fronteras
Electrónicas Noruega)
Electronic
Frontier Foundation
Electronic
Frontiers Australia
Electronic
Privacy Information Center
FrEE- Fronteras Electrónicas España
NetAction
Open Society
Institute
Privacy
International
Team
quintessenz
XS4ALL
Internet
Más información en: http://www.cpsr.org/cpsr/nii/cyber-rights/web/crypto_german_eng.html http://www.cpsr.org/cpsr/nii/cyber-rights/web/crypto_german_deutsch.html