9 de mayo de 1997

A las organizaciones firmantes les gustaría hacer un comentario sobre los recientes desarrollos en la política del gobierno alemán sobre la encriptación digital. Esta tecnología se está volviendo cada vez más importante porque un número creciente de personas dependen de tecnologías digitales como los teléfonos digitales, el correo electrónico y la compra en línea. La tecnología de encriptación fuerte es fundamental para proteger información sensible, evitar la corrupción de las transferencias monetarias e informativas, y asegurar que las contrapartes puedan verificar nuestras identidades.

Nos gustaría apoyar las declaraciones del Ministro de Economía Guenter Rexrodt, realizadas el 2 de mayo de 1997, en las que se oponía enérgicamente al establecimiento de límites a la encriptación. Un mercado abierto, libre de restricciones gubernamentales impropias, es la política de encriptación más beneficiosa tanto para la privacidad individual como para el desarrollo de un comercio electrónico robusto.

El 28 de abril de 1997, el Ministro de Interior Manfred Kanther pidió restricciones legales a la encriptación y propuso que los únicos servicios autorizados fueran aquéllos que permitieran a la policía descifrar y leer cualquier transmisión. Escribimos esta carta para expresar nuestra oposición a esta orientación y pedir que el gobierno adopte la posición del ministro Rexrodt contra las restricciones.

Aunque la propuesta del ministro Kanther es similar a otras planteadas en otros países, no es el pensamiento actualmente dominante entre los políticos. Citamos los siguientes ejemplos para mostrar que la tendencia es hacia una encriptación sin restricciones:

• En los Estados Unidos, donde se introdujo la primera propuesta de recuperación de claves (normalmente conocida como "Clipper"), nunca ha obtenido un gran apoyo en el Congreso. De hecho, varios legisladores introdujeron recientemente la ley de Seguridad y Libertad a través de la Encriptación (SAFE), que garantiza la libertad de usar cualquier forma de encriptación y revoca las propuestas de recuperación de claves.
  
• En marzo de 1997, la Organización para la Cooperación y el Desarrollo Económico (OCDE) rechazó las propuestas norteamericanas de basar la política de encriptación nacional en la recuperación de claves. El 27 de marzo de 1997 la OCDE publicó unas recomendaciones sobre criptografía que advertían contra "los obstáculos injustificados al comercio internacional y al desarrollo de la información y de las redes de comunicaciones" y la "legislación que limita las opciones de los usuarios".
  
• El 24 de julio de 1996, las entidades responsables de la aprobación de estándares de Internet, el Internet Architecture Board (IAB) y el Internet Engineering Steering Group (IESG), rechazaron los intentos de poner las claves privadas en las manos de los gobiernos.
  
• El Partido Laborista británico, antes de ganar las elecciones generales del 1 de mayo, publicó un manifiesto llamado "Communicating Britain's Future" en el que rechazaba explícitamente la recuperación de claves y declaraba: "No aceptamos el argumento del "chip clipper" desarrollado en los Estados Unidos para que las autoridades puedan abalanzarse a voluntad sobre cualquier mensaje encriptado y descifrarlo... Los intentos para controlar el uso de la tecnología de encriptación son erróneos en principio, impracticables en la práctica y, además, perjudican el valor económico a largo plazo de las redes de información".
  

Hay varias dificultades políticas y técnicas con la recuperación de claves. En primer lugar, se trataría de un nivel inaudito de intrusión gubernamental en la vida diaria, porque el gobierno tendría potencialmente acceso a todas las comunicaciones digitales realizadas por todas las personas que viven dentro de las fronteras del país, así como las llevadas a cabo por cualquiera fuera del país que intercambie información en forma digital con personas de dentro del país. Hay una larga historia de abusos en técnicas de vigilancia cometidos por funcionarios gubernamentales. No se puede asumir que los empleados del gobierno se abstendrían de pedir claves sin causa justificada, o que las compañías que poseen estas claves se negarían a entregárselas en respuesta a una demanda impropia. En este contexto merece la pena recordar que agentes de un país penetran a menudo en las fuerzas de seguridad de otro.

En los Estados Unidos, aún están vivos los recuerdos de un uso ilegal muy extendido de la vigilancia por parte del FBI contra los opositores políticos del gobierno en las décadas de los años 50, 60 y 70. A pesar de la aprobación de leyes para prevenir futuros abusos, continúa habiendo incidentes que ilustran cómo las autoridades se saltan las leyes para obtener información.

Se han documentado abusos similares en muchos otros países. La práctica de la vigilancia electrónica de la población civil para suprimir derechos políticos y civiles estaba extendida en todo el Bloque Oriental, y continúa existiendo en muchos países asiáticos y latinoamericanos en la actualidad. Ciudadanos que trabajan pacíficamente en favor de derechos básicos como la libertad de expresión o la democracia son hostigados rutinariamente, torturados y asesinadas por sus propios gobiernos, a menudo como resultado de técnicas de vigilancia. Establer un régimen internacional que glorifique el "derecho" de los gobiernos a vigilar a sus ciudadanos tendría serias consecuencias para los derechos humanos básicos en todo el planeta.

En segundo lugar, el almacenamiento centralizado de claves es un objetivo irresistible para los intrusos. Uno de los principios centrales de seguridad de las redes es que no puede haber una garantía completa contra los allanamientos. El ejército de los Estados Unidos ha experimentado allanamientos muchas veces, como también gran cantidad de organizaciones privadas. Uno debe asumir que intrusos maliciosos con incentivos financieros o de otro tipo querrán, en ocasiones, reventar la seguridad de las "Terceras Partes de Confianza" (TTPs). Por el contrario, en la muy popular tecnología conocida como "encriptación de clave pública", cada clave privada sólo es poseída por un individuo.

En tercer lugar, debemos tomar en cuenta la debilidad humana. Los empleados de lasTTPs estarán expuestos a la tentación de compartir claves debido a los sobornos, venganzas o la simple curiosidad.

Para abreviar, el acceso gubernamental y la recuperación de claves son sistemas ineludiblemente inseguros y expuestos al abuso. Además, son malos para las empresas: las compañías alemanas que hacen productos de encriptación estarán en desventaja competitiva respecto a compañías de otros países en los que la encriptación no esté restringida.

La forma más segura de transacción digital es aquella por la que los usuarios escogen sus propias claves y son responsables del manejo de las mismas. En algunos de estos sistemas, las claves "públicas" de los usuarios se publican para que la identidad de cada usuario sea verificable por cualquier destinatario. Normalmente las claves "privadas" son guardadas firmemente por cada usuario, no siendo reveladas a nadie más. Una organización puede optar por recuperar las claves privadas de sus miembros, pero, a diferencia de los planes de recuperación inspirados por los gobiernos, normalmente tales claves serían "guardadas" en otro lugar dentro de la compañía en lugar de ser entregadas a una empresa externa para garantizar el acceso gubernamental. Estas prácticas pueden florecer sin la intervención gubernamental. Utilizar la autorización como subterfugio para minar silenciosamente la privacidad de los ciudadanos es intolerable.

Las TTPs son útiles porque permiten que individuos y organizaciones que no se conocen previamente puedan comunicarse entre sí con la convicción que ninguno está suplantando su identidad. Pero este servicio no debe usarse como un caballo de Troya que permita al gobierno acceder furtivamente a las claves de los usuarios --ese sistema minaría la confianza.

En los Estados Unidos, la recuperación de claves ha sido criticada por prácticamente todas las organizaciones sociales que han mostrado interés por el asunto. Fuera de la administración, la mayoría de los comentaristas han declarado que la amenaza de una creciente actividad terrorista o delictiva no es tan grande como para justificar el requisito de que todos los miembros de la sociedad renuncien a su privacidad.

Es probable que los intentos del gobierno para imponer la recuperación de claves eliminen la privacidad del ciudadano medio cuando se comunica usando el teléfono o las redes informáticas. Los derechos de libertad de expresión, libre asociación, privacidad personal, privacidad financiera, propiedad privada y la confidencialidad entre médico, o abogado, y cliente se verían debilitados o eliminados. El papel de las transacciones digitales en nuestro futuro es demasiado importante como para permitirse tales riesgos.

Suyo atentamente,

ALCEI - Associazione per la Liberta nella Comunicazione Elettronica Interattiva (Electronic Frontiers Italy)
American Civil Liberties Union
AUI - Association des Utilisateurs d'Internet (Association of Internet Users)
Bevcom Internet Technologies
Center for Democracy and Technology
CITADEL Electronic Frontier France
Computer Professionals for Social Responsibility
Cyber-Rights & Cyber-Liberties (UK)
DB-NL Digitale Burgerbeweging Nederland (Digital Citizens Foundation Netherlands)
EFF-Austin (Austin, Texas USA)
Elektronisk Forpost Norge (Fronteras Electrónicas Noruega)
Electronic Frontier Foundation
Electronic Frontiers Australia
Electronic Privacy Information Center
FrEE- Fronteras Electrónicas España
NetAction
Open Society Institute
Privacy International
Team quintessenz
XS4ALL Internet

Más información en: http://www.cpsr.org/cpsr/nii/cyber-rights/web/crypto_german_eng.html http://www.cpsr.org/cpsr/nii/cyber-rights/web/crypto_german_deutsch.html