ORGANIZACIONES DE DERECHOS CIVILES BRITÁNICAS Y DE OTROS PAÍSES SE OPONEN A UNA NORMATIVA SOBRE ENCRIPTACIÓN

Se está empezando a discutir un nuevo tema sobre derechos civiles, tanto en el Reino Unido como en otros países. Este tema afectará a la libertad de expresión, la intimidad y los intereses comerciales de un número cada vez mayor de personas a medida que se aproxima el siglo XXI. El tema en cuestión es la criptografía.

¿Por qué la criptografía debería interesar a todos los ciudadanos? Porque cada vez más nuestras comunicaciones y transacciones comerciales tendrán lugar a través de redes electrónicas que las exponen a la interceptación y modificación por individuos con dudosas intenciones.

La criptografía es la parte de las matemáticas dedicada a la mejora de la intimidad, la autentificación y la integridad de las comunicaciones, independientemente del medio de comunicación o la distancia que deba recorrer el mensaje. La criptografía en redes digitales se está convirtiendo en algo importante en el comercio y la escena política.

Muchos predicen que haremos nuestras compras y realizaremos operaciones bancarias a través de lineas digitales; que los teléfonos moviles se harán cada vez más comunes; y que el correo electrónico se llevará una parte cada vez mayor de las comunicaciones comerciales y personales. La amenaza de ser robado o suplantado, o de que nuestros secretos sean desvelados a quien no nos conviene que los conozca se nos viene encima.

Desafortunadamente, muchos gobiernos temen la criptografía. Están intentando ponerle límites para poder interceptar y leer secretamente cualquier comunicación.

El Gobierno Británico acaba de tomar parte en esta violación de la intimidad con la creación de un borrador de normativa por parte del Departamento de Comercio e Industria del Reino Unido, "Autorización a Terceros de Confianza para proporcionar Servicios de Encriptación", el 20 de marzo de 1997 (se incluye más adelante una crítica a esta normativa). El Gobierno dejó sólo unos pocos días para comentarios (ya que la fecha límite, el 30 de mayo, es dentro de dos meses, y es un mes después de las elecciones generales), pero creemos que la sociedad británica se merece una oportunidad mejor para considerar las implicaciones de la propuesta. Agradeceríamos la difusión de este tema y la inclusión de extractos de nuestra crítica.

Las organizaciones abajo firmantes protestan contra las restricciones a la encriptación promovidas por el Gobierno Británico:

Cyber-Rights & Cyber-Liberties (Reino Unido)
CommUnity, The Computer Communicators Association (Reino Unido)
ALCEI (Fronteras Electronicas Italia)
American Civil Liberties Union (USA)
AUI (Association des Utilisateurs d'Internet) - Francia
CITADEL (Fronteras Electronicas Francia)
Computer Professionals for Social Responsibility
EFF-Austin (Austin, Texas, USA)
Electronic Frontier Foundation (USA)
Electronic Frontiers Australia
Electronic Frontiers Ireland
Electronic Privacy Information Center
FrEE-Fronteras Electrónicas España
Freedom on the Internet (Suiza)
NetAction
Privacy International
Stichting Digitale Burgerbeweging Nederland (DBNL, Holanda)

Escrito por Andrew Oram, de Computer Professionals for Social Responsibility.
Información de contacto:
Andrew Oram
O'Reilly & Associates, Inc. (organización señalada con fines de identificación)
90 Sherman Street
Cambridge, MA 02140-3233
USA
Teléfono: 1-617-499-7479
fax: 1-617-661-1116
email: andyo@ora.com


(El siguiente texto ha sido enviado a la prensa como un anexo, y directamente a los miembros del Gobierno Británico)

Estimado _________:

Le escribimos para ofrecerle una opinión experta en respuesta al borrador de propuesta elaborado por el Departamento de Comercio e Industria del Gobierno Británico, "Autorización a Terceros de Confianza para proporcionar Servicios de Encriptación". Somos un grupo de organizaciones de Gran Bretaña y otros países que informan al público sobre la política relacionada con la informática y las redes.

Los principios de la propuesta son bastante similares a los recogidos en la propuesta del chip Clipper del Gobierno de Estados Unidos de abril de 1993 y otras posteriores. Por tanto, es un tema que hemos investigado y debatido desde hace cuatro años.

Sentimos la necesidad de enfrentarnos al concepto del acceso del gobierno a las claves. Ese plan provocaría varias dificultades técnicas y políticas. A la vez que entendemos que la sociedad británica desea permitir que su gobierno tenga mas libertad de acción para investigar que el que desea permitir la sociedad americana al suyo, creeemos que la sociedad británica no estará contenta con el nivel tan estricto de vigilancia que se sugiere.

En primer lugar, el plan incluye un nivel de intrusismo gubernamental sin precedentes en la vida diaria, ya que el Gobierno tendría potencialmente acceso a cualquier comunicación digital realizada por cualquier persona que viva en el país, así como a la de cualquier persona que desde el extranjero se comunique con alguien dentro del país. A pesar de la garantía de que una orden judicial será necesaria para dar acceso a las claves a las fuerzas de seguridad del Estado, hay un largo historial de abusos de estas técnicas de escucha por su parte. Es imposible asumir que los funcionarios del Gobierno evitarán solicitar claves sin causas justificadas, o que las compañías encargadas de guardar esas claves rehusarán entregarlas en respuesta a una petición inapropiada. En este contexto, es importante recordar que los agentes de un país se infiltran en las fuerzas de seguridad de otros; no todo empleado responsable es automáticamente alguien de fiar.

En Estados Unidos hay constancia del extendido uso ilegal de escuchas por parte del FBI contra oponentes políticos entre la década de los '50 y la de los '70. A pesar de la aprobación de leyes para evitar futuros abusos, de vez en cuando se descubren nuevos casos de ruptura de la ley por parte de las más altas autoridades para obtener información.

Abusos similares han sido documentados en muchos otros países. La práctica de escuchas telefónicas a civiles suprimiendo así derechos civiles y políticos estuvo extendida en el Bloque Este, y continua hoy en día en muchos países de Asia e Iberoamérica. Ciudadanos que trabajan pacíficamente para conseguir derechos básicos como la libertad de expresión o la democracia sufren la interceptación de sus comunicaciones, o son acosados y torturados, o incluso asesinados por sus gobiernos. Establecer un régimen internacional que glorifica "el derecho de los gobiernos a espiar eficazmente a sus ciudadanos" tendrá serias consecuencias para los derechos humanos básicos por todo el mundo.

En segundo lugar, el almacenamiento centralizado de claves es un objetivo irresistible para intrusos. Uno de los principios básicos de la seguridad en redes es que no puede haber una garantía total de protección contra accesos ilegales, al menos con la tecnología actual. El Ejército de Estados Unidos ha sufrido accesos de este tipo muchas veces, así como un gran número de organizaciones privadas. Se debe asumir que intrusos con fines dudosos y grandes incentivos económicos o de otro tipo podrán a veces romper la seguridad de los TTPs (Trusted Third Parties, "Terceros de Confianza", aquéllos que se encargan de almacenar las claves). Por contra, con la altamente popular tecnología conocida como "encriptación de clave pública", cada clave privada es almacenada por su dueño.

En tercer lugar, debe tenerse en cuenta la debilidad humana. Los empleados de los TTPs serán víctimas de la tentación de obtener y proporcionar claves con fines vengativos, por sobornos, o por simple curiosidad.

En resumen, el acceso del Gobierno y el almacenamiento centralizado de claves son métodos inseguros y sujetos a abusos. Más aún, son malos para los negocios: las compañías británicas que fabriquen productos de encriptación estarán en desventaja frente a la competencia de compañías de otros países donde la encriptación no esté restringida. El Departamento pretende resolver este problema solicitando a otros países que adopten su sistema.

Sin embargo, los fallos del almacenamiento centralizado de claves quedan cada vez más en evidencia a medida que se extiende por varios países. Si un país impone la necesidad de una petición judicial para el acceso gubernamental, legitima las peticiones hechas desde otros países, especialmente las de aquellos con tristes records en abuso de los derechos humanos, donde la encriptación puede ser necesaria para proteger la vida de la gente.

En Estados Unidos, el almacenamiento centralizado de claves con acceso gubernamental ha sido criticado por casi la totalidad de los grupos sociales y organizaciones que se han interesado en el tema. Sumado a nuestras protestas:

- En marzo de 1997, la Organización para la Cooperación y el Desarrollo Económico (OCDE) rechazó la propuesta de Estados Unidos sobre almacenamiento centralizado de claves. El 27 de marzo la OCDE publicó una serie de recomendaciones sobre criptografía, que advierten de los peligros de "obstáculos injustificados al comercio internacional y el desarrollo de redes de información y comunicación" y de los de "leyes que limiten la libertad de elección del usuario".

- El 15 de mayo de 1996, veintisiete miembros de la Cámara de Representantes de Estados Unidos escribieron al Presidente para pedirle que retirara su apoyo al almacenamiento centralizado de claves.

- El 24 de julio de 1996, dos organismos de estandarización de claves, el Internet Architecture Board (IAB) y el Internet Engineering Steering Group (IESG), rechazaron los intentos del gobierno de poner en sus manos claves privadas. Estas organizaciones continúan diseñando estándares internacionales para privacidad de gran calidad, integridad y seguridad que no pueden ser socavados por gobiernos.

- El Partido Laborista britanico, en su manifiesto "El Futuro de las Comunicaciones en Gran Bretaña", también ha rechazado el almacenamiento centralizado de claves, prefiriendo simplemente hacer que los sospechosos desencripten sus documentos a traves de petición judicial.

El medio más seguro para una transacción digital es aquél en el que los usuarios eligen sus propias claves y son los únicos responsables de su manejo. En algunos de estos sistemas, las claves públicas de los usuarios se difunden para hacer verificable la identidad del propietario por cualquier destinatario. Normalmente, las claves privadas son guardadas en un lugar seguro por cada usuario, sin ser reveladas a nadie más. Una organización puede decidir almacenar las claves privadas de sus miembros, de tal manera que no se pueda perder información, aunque a diferencia de los esquemas gubernamentales, dichas claves serán copiadas y almacenadas en algún sitio de la compañía, y no entregadas a otra compañía para garantizar el acceso gubernamental. Estas prácticas pueden extenderse sin intervención del Gobierno. Usar las licencias como un subterfugio para silenciosamente minar la intimidad de los ciudadanos es intolerable.

Los TTPs son útiles porque permiten a individuos y organizaciones que no se conocen comunicarse con la seguridad de que nadie es suplantado. Pero este servicio no debería usarse como un caballo de Troya con el que introducirse en un sistema en el que el Gobierno pueda acceder a las claves. Un sistema que mina la confianza.

Comprendemos el miedo de la sociedad a la violencia terrorista, y ciertamente queremos verla desaparecer. Pero, excepto los cuerpos de seguridad, la mayoría de los expertos consideran que la amenaza del incremento del terrorismo o la actividad criminal no es tan grande como para justificar el que todos los miembros de la sociedad renuncien a su intimidad.

Los intentos del Gobierno de imponer el almacenamiento centralizado de claves eliminan la intimidad del ciudadano medio al comunicarse usando teléfonos o redes de ordenadores. Los derechos a la libre expresión, la libre asociación, la intimidad, la propiedad privada, y la confidencialidad entre doctor y paciente o entre abogado y cliente serán debilitados o eliminados.

El papel de las comunicaciones digitales en el futuro es demasiado importante para permitir tales riesgos.

Cyber-Rights & Cyber-Liberties (Reino Unido)
CommUnity, The Computer Communicators Association (Reino Unido)
ALCEI (Fronteras Electronicas Italia)
American Civil Liberties Union (USA)
AUI (Association des Utilisateurs d'Internet) - Francia
CITADEL (Fronteras Electronicas Francia)
Computer Professionals for Social Responsibility
EFF-Austin (Austin, Texas, USA)
Electronic Frontier Foundation (USA)
Electronic Frontiers Australia
Electronic Frontiers Ireland
Electronic Privacy Information Center
FrEE-Fronteras Electrónicas España
Freedom on the Internet (Suiza)
NetAction
Privacy International
Stichting Digitale Burgerbeweging Nederland (DBNL, Holanda)

Escrito por Andrew Oram, de Computer Professionals for Social Responsibility.
Información de contacto:
Andrew Oram
O'Reilly & Associates, Inc. (organización señalada con fines de identificación)
90 Sherman Street
Cambridge, MA 02140-3233
USA
Teléfono: 1-617-499-7479
fax: 1-617-661-1116
email: andyo@ora.com