Conferencia RSA Data Security: Oposición a la política europea sobre criptografía
En una reciente conferencia sobre seguridad del fabricante de sistemas criptográficos RSA (http://www.rsa.com) quedó patente que no sólo los usuarios, fabricantes de software y activistas norteamericanos se oponen a la política de exportación de criptografía del su gobierno: también existe una fuerte oposición a la política criptográfica europea.
Detlef Eckert, de la Comisión Europea, explicó que la política sobre criptografía «no es nada sobre lo que pueda decidir un país o una región. Las comunicaciones son globales y necesitamos acuerdos globales.» Añadió que debería haber más regulación por parte de la industria y más presiones por parte del mercado de la seguridad informática.
La mayoría de los 50 estados miembros de la Comisión Europea no restringen el uso de esta tecnología y sólo uno, Francia, tiene controles locales sobre el uso de sistemas de cifrado. El Reino Unido ha respaldado planes para aumentar las restricciones. Se prevé que varios países sigan la línea de Alemania en cuanto a la creación de legislación relativa al uso de firmas digitales.
Mientras tanto parece que los productos norteamericanos de recuperación de claves, que están siendo impulsados por la administración Clinton, pueden entrar en conflicto con las leyes locales de otros países. Alemania, por ejemplo, está preocupada porque un gobierno o agencia extranjera tenga acceso a las claves que usen los usuarios alemanes.
Deborah Hurley, de la Universidad de Harvard, comentó que «otros gobiernos han aprendido por la experiencia de los EE.UU. que el argumento que dice que la criptografía fuerte puede proporcionar impunidad ante las leyes no es válido.» El comercio electrónico, en cambio, sí es un fuerte argumento en favor de una apertura de las regulaciones sobre criptografía.
Cambiaron las leyes, no los productos
Más de un año después de que el gobierno norteamericano anunciara cambios en su política sobre criptografía todavía no existen productos acordes a las nuevas leyes. Estas leyes fueron modificadas para permitir la exportación de productos criptográficos que hicieran uso de claves de más de 40 bits, siempre que incluyeran un sistema de recuperación de claves o de reparto de claves (key scrow). Estos sistemas permiten, por ejemplo a un gobierno, acceder a datos cifrados bajo determinadas circunstancias, y también pueden ser usados en entornos de empresa. Según parece, esto no es lo que quiere el mercado. Se han criticado también los esfuerzos americanos para vincular la certificación digital y la tecnología de autenticación con la recuperación de claves, así como el hecho de querer unificar los datos de las comunicaciones, como el correo electrónicos, como los datos almacenados, como las grandes bases de datos de las empresas.
Un conjunto de abogados norteamericanos defensores de la intimidad dijo en la conferencia que el gobierno prometió en su día que la política de recuperación de claves sería voluntaria, guiada por el mercado y que no se aplicaría a nivel nacional. Acusaron entonces al FBI de mentir al público y a quienes crean las leyes para mantener su autoridad en cuanto a vigilancia amparándose en la seguridad nacional. Portavoces del EPIC (http://www.epic.org) aseguraron que el FBI está intentando «crear nuevas formas de pinchazos telefónicos en la tecnología digital» .
El único representante del gobierno norteamericano en la conferencia, Bruce McConnell, afirmó que la administración Clinton no apoya ninguna de las leyes todavía pendientes, incluyendo las medidas que obligarían a utilizar sistemas de recuperación de claves a nivel local, que es lo que persigue el FBI. Cuando se le preguntó si los proyectos piloto de recuperación de claves basados en reparto de claves podrían ser utilizados con malas intenciones, respondió: «está claro que en cualquier sistema de cifrado… puede haber riesgos y pueden cometerse errores.
Más información: <http://www.rsa.com/conf98>
