Ley de criptografía
La criptografía es la práctica y el estudio de cifrar información, o en otras palabras, asegurar la información contra el acceso no autorizado. Hay muchas leyes de criptografía distintas en diferentes naciones . Algunos países prohíben la exportación de software de criptografía y/o algoritmos de cifrado o métodos de criptoanálisis . Algunos países requieren que las claves de descifrado sean recuperables en caso de una investigación policial.
Descripción general
[editar]Los problemas en referencia a la ley de criptografía se pueden dividir en cuatro categorías:[1]
- Control de exportaciones, que consiste en restringir los métodos de exportación de criptografía de un país a otro o a entidades comerciales. Hay acuerdos internacionales de control de exportación, siendo el principal el Acuerdo de Wassenaar. El Acuerdo de Wassenaar fue creado después de la disolución de COCOM (Comité de Coordinación para el Control de Exportaciones Multilaterales), que en 1989 "eliminó los controles sobre la criptografía solo de contraseña y autenticación".[2]
- Los controles de importación, es decir, las restricciones sobre el uso de ciertos tipos de criptografía dentro de un país.
- Problemas de patentes, que se ocupan del uso de herramientas criptográficas que están patentadas.
- Problemas de allanamiento, sobre si y en qué circunstancias una persona puede ser obligada a descifrar archivos de datos o revelar una clave de cifrado.
Problemas legales
[editar]Prohibiciones
[editar]La criptografía ha sido durante mucho tiempo de interés para las agencias de recopilación de inteligencia y de aplicación de la ley.[3] Las comunicaciones secretas pueden ser criminales o incluso traicioneras[cita requerida] . Debido a que facilita la privacidad y la disminución de la privacidad que conlleva su prohibición, la criptografía también es de gran interés para los defensores de los derechos civiles. En consecuencia, ha habido una historia de cuestiones legales controvertidas en torno a la criptografía, especialmente desde la llegada de computadoras económicas que han hecho posible el acceso generalizado a la criptografía de alta calidad.
En algunos países, incluso el uso doméstico de la criptografía está, o ha estado, restringido. Hasta 1999, Francia restringió significativamente el uso de la criptografía a nivel nacional, aunque desde entonces ha relajado muchas de estas reglas. En China e Irán, todavía se requiere una licencia para usar criptografía.[4] Muchos países tienen estrictas restricciones sobre el uso de la criptografía. Entre las más restrictivas se encuentran las leyes de Bielorrusia, Kazajistán, Mongolia, Pakistán, Singapur, Túnez y Vietnam.[5]
En los Estados Unidos, la criptografía es legal para uso doméstico, pero ha habido muchos conflictos sobre cuestiones legales relacionadas con la criptografía.[3] Un tema particularmente importante ha sido la exportación de criptografía y software y hardware criptográfico. Probablemente debido a la importancia del criptoanálisis en la Segunda Guerra Mundial y la expectativa de que la criptografía continuaría siendo importante para la seguridad nacional, muchos gobiernos occidentales, en algún momento, han regulado estrictamente la exportación de criptografía. Después de la Segunda Guerra Mundial, era ilegal en EE. UU. vender o distribuir tecnología de encriptación en el extranjero; de hecho, el cifrado se designó como equipo militar auxiliar y se incluyó en la Lista de municiones de los Estados Unidos.[6] Hasta el desarrollo de la computadora personal, los algoritmos de clave asimétrica (es decir, las técnicas de clave pública) e Internet, esto no fue especialmente problemático. Sin embargo, a medida que Internet creció y las computadoras estuvieron más disponibles, las técnicas de encriptación de alta calidad se hicieron conocidas en todo el mundo.
Controles de exportación
[editar]En la década de 1990, hubo varios desafíos a la regulación de las exportaciones de criptografía de EE. UU. Después de que el código fuente del programa de encriptación Pretty Good Privacy (PGP) de Philip Zimmermann llegara a Internet en junio de 1991, una queja de RSA Security (entonces llamada RSA Data Security, Inc.) resultó en una larga investigación criminal de Zimmermann. por el Servicio de Aduanas de EE. UU. y el FBI, aunque nunca se presentaron cargos.[7][8] Daniel J. Bernstein, entonces estudiante de posgrado en UC Berkeley, presentó una demanda contra el gobierno de los EE. UU. cuestionando algunos aspectos de las restricciones basadas en motivos de libertad de expresión . El caso de 1995 Bernstein v. Estados Unidos finalmente resultó en una decisión de 1999 que el código fuente impreso para algoritmos y sistemas criptográficos estaba protegido como libertad de expresión por la Constitución de los Estados Unidos.[9]
En 1996, treinta y nueve países firmaron el Acuerdo de Wassenaar, un tratado de control de armas que trata sobre la exportación de armas y tecnologías de "doble uso" como la criptografía. El tratado estipulaba que el uso de criptografía con longitudes de clave cortas (56 bits para cifrado simétrico, 512 bits para RSA) ya no estaría sujeto a control de exportación.[10] Las exportaciones de criptografía de los EE. UU. quedaron menos estrictamente reguladas como consecuencia de una importante relajación en 2000;[11] Ya no existen muchas restricciones sobre los tamaños de clave en el software de mercado masivo exportado a EE. UU. Desde esta relajación en las restricciones de exportación de EE. UU., y debido a que la mayoría de las computadoras personales conectadas a Internet incluyen navegadores web de origen estadounidense como Firefox o Internet Explorer, casi todos los usuarios de Internet en todo el mundo tienen acceso potencial a criptografía de calidad a través de sus navegadores (por ejemplo, a través de la capa de transporte) . seguridad ). Los programas cliente de correo electrónico Mozilla Thunderbird y Microsoft Outlook pueden transmitir y recibir correos electrónicos de manera similar a través de TLS, y pueden enviar y recibir correos electrónicos encriptados con S/MIME . Muchos usuarios de Internet no se dan cuenta de que su software de aplicación básico contiene criptosistemas tan extensos. Estos navegadores y programas de correo electrónico son tan omnipresentes que incluso los gobiernos cuya intención es regular el uso civil de la criptografía generalmente no encuentran práctico hacer mucho para controlar la distribución o el uso de la criptografía de esta calidad, por lo que incluso cuando tales leyes están en vigor, la aplicación real es a menudo imposible en la práctica.[cita requerida]
Participación de la NSA
[editar]Otro tema polémico relacionado con la criptografía en los Estados Unidos es la influencia de la Agencia de Seguridad Nacional en el desarrollo y la política de cifrado.[3] La NSA participó en el diseño de DES durante su desarrollo en IBM y su consideración por parte de la Oficina Nacional de Estándares como un posible estándar federal para criptografía.[12] DES fue diseñado para ser resistente al criptoanálisis diferencial,[13] una técnica criptoanalítica poderosa y general conocida por la NSA e IBM, que se volvió públicamente conocida solo cuando fue redescubierta a fines de la década de 1980.[14] Según Steven Levy, IBM descubrió el criptoanálisis diferencial,[8] pero mantuvo la técnica en secreto a petición de la NSA. La técnica se hizo pública solo cuando Biham y Shamir la redescubrieron y la anunciaron algunos años después. Todo el asunto ilustra la dificultad de determinar qué recursos y conocimientos podría tener realmente un atacante.
Otro ejemplo de la participación de la NSA fue el asunto del chip Clipper de 1993, un microchip de cifrado destinado a ser parte de la iniciativa de control de criptografía Capstone . Clipper fue muy criticado por los criptógrafos por dos razones. El algoritmo de cifrado (llamado Skipjack ) fue luego clasificado (desclasificado en 1998, mucho después de que caducara la iniciativa Clipper). El cifrado clasificado generó preocupaciones de que la NSA había debilitado deliberadamente el cifrado para ayudar en sus esfuerzos de inteligencia. Toda la iniciativa también fue criticada basándose en su violación del Principio de Kerckhoff, ya que el esquema incluía una clave de custodia especial en poder del gobierno para uso de las fuerzas del orden (es decir, escuchas telefónicas ).[8]
Gestión de derechos digitales
[editar]La criptografía es fundamental para la gestión de derechos digitales (DRM), un grupo de técnicas para controlar tecnológicamente el uso de material protegido por derechos de autor, que se implementa ampliamente y se implementa a instancias de algunos titulares de derechos de autor. En 1998, el presidente de los EE. UU., Bill Clinton, firmó la Ley de derechos de autor del milenio digital (DMCA), que criminalizaba toda producción, difusión y uso de ciertas técnicas y tecnologías criptoanalíticas (ahora conocidas o descubiertas posteriormente); específicamente, aquellos que podrían ser utilizados para eludir esquemas tecnológicos DRM.[15] Esto tuvo un impacto notable en la comunidad de investigación criptográfica, ya que se puede argumentar que cualquier investigación criptoanalítica violó la DMCA. Desde entonces, se han promulgado estatutos similares en varios países y regiones, incluida la implementación en la Directiva de derechos de autor de la UE . Se exigen restricciones similares en los tratados firmados por los Estados miembros de la Organización Mundial de la Propiedad Intelectual .
El Departamento de Justicia de los Estados Unidos y el FBI no han hecho cumplir la DMCA tan rigurosamente como algunos temían, pero la ley, sin embargo, sigue siendo controvertida. Niels Ferguson, un investigador de criptografía muy respetado, ha declarado públicamente que no publicará parte de su investigación sobre un diseño de seguridad de Intel por temor a ser procesado en virtud de la DMCA.[16] El criptólogo Bruce Schneier ha argumentado que la DMCA fomenta el bloqueo de proveedores, al tiempo que inhibe las medidas reales hacia la seguridad cibernética.[17] Tanto Alan Cox (desarrollador del kernel de Linux desde hace mucho tiempo) como Edward Felten (y algunos de sus estudiantes en Princeton) se han encontrado con problemas relacionados con la Ley. Dmitry Sklyarov fue arrestado durante una visita a los EE. UU. desde Rusia y encarcelado durante cinco meses en espera de juicio por presuntas violaciones de la DMCA derivadas del trabajo que había realizado en Rusia, donde el trabajo era legal. En 2007, se descubrieron y publicaron en Internet las claves criptográficas responsables de la codificación de contenido de Blu-ray y HD DVD . En ambos casos, la Motion Picture Association of America envió numerosos avisos de eliminación de DMCA, y hubo una reacción negativa masiva en Internet provocada por el impacto percibido de dichos avisos en el uso justo y la libertad de expresión.[18]
Divulgación forzada de claves de cifrado
[editar]En el Reino Unido, la Ley de Regulación de los Poderes de Investigación otorga a la policía del Reino Unido los poderes para obligar a los sospechosos a descifrar archivos o entregar contraseñas que protegen las claves de cifrado. El incumplimiento es un delito en sí mismo, punible en caso de condena con una pena de prisión de dos años o hasta cinco años en casos relacionados con la seguridad nacional.[19] Se han producido enjuiciamientos exitosos en virtud de la Ley; el primero, en 2009,[20] resultó en una pena de 13 meses de prisión.[21] Leyes similares de divulgación forzada en Australia, Finlandia, Francia e India obligan a los sospechosos individuales bajo investigación a entregar claves de cifrado o contraseñas durante una investigación criminal.
En los Estados Unidos, el caso penal federal de Estados Unidos v. Fricosu abordó si una orden de allanamiento puede obligar a una persona a revelar una frase o contraseña de cifrado.[22] La Electronic Frontier Foundation (EFF) argumentó que esto es una violación de la protección contra la autoincriminación otorgada por la Quinta Enmienda.[23] En 2012, el tribunal dictaminó que, en virtud de la Ley de todos los escritos, se requería que el acusado presentara un disco duro sin cifrar para el tribunal.[24]
En muchas jurisdicciones, el estatus legal de la divulgación forzada sigue sin estar claro.
La disputa de encriptación entre el FBI y Apple en 2016 se refiere a la capacidad de los tribunales de los Estados Unidos para exigir la asistencia de los fabricantes para desbloquear teléfonos celulares cuyos contenidos están criptográficamente protegidos.[cita requerida]
Como contramedida potencial a la divulgación forzada, algunos programas criptográficos admiten la denegación plausible, en la que los datos cifrados no se distinguen de los datos aleatorios no utilizados (por ejemplo, los de una unidad que se ha borrado de forma segura ).
Ley de criptografía en diferentes países
[editar]China
[editar]En octubre de 1999, el Consejo de Estado promulgó el Reglamento sobre la Administración de Criptografía Comercial . De acuerdo con estas regulaciones, la criptografía comercial se trataba como un secreto de estado.[25]
El 26 de octubre de 2019, el Comité Permanente de la Asamblea Popular Nacional promulgó la Ley de Criptografía de la República Popular China . Esta ley entró en vigor a principios de 2020.[25][26] La ley clasifica la criptografía en tres categorías:[25][26]
- Criptografía central, que es un secreto de estado y adecuada para información de alto secreto ;
- la criptografía ordinaria, que también es secreto de Estado y apta para información hasta secreta ;
- Criptografía comercial, que protege la información que no es secreto de estado.
La ley también establece que debe haber un "mecanismo de supervisión tanto en proceso como ex-post sobre criptografía comercial, que combina la supervisión de rutina con la inspección aleatoria" (lo que implica que el gobierno chino debe tener acceso a servidores encriptados).[26] También establece que los proveedores extranjeros de cifrado comercial necesitan algún tipo de aprobación estatal.[26]
Los criptosistemas autorizados para su uso en China incluyen SM2, SM3 y SM4.[27]
Francia
[editar]A partir de 2011 y desde 2004, la fr ( en francés: Loi pour la confiance dans l'économie numérique ; abreviado LCEN) liberalizó principalmente el uso de la criptografía.[28]
- Siempre que la criptografía solo se use con fines de autenticación e integridad, se puede usar libremente. No importa la clave criptográfica o la nacionalidad de las entidades involucradas en la transacción. Los sitios web típicos de comercio electrónico están sujetos a este régimen liberalizado.
- La exportación e importación de herramientas criptográficas hacia o desde países extranjeros debe ser declarada (cuando el otro país es miembro de la Unión Europea) o requiere una autorización explícita (para países fuera de la UE).
India
[editar]La Sección 69 de la Ley de Tecnología de la Información de 2000 (modificada en 2008) autoriza a los funcionarios del gobierno indio o a los policías a escuchar llamadas telefónicas, leer mensajes SMS o correos electrónicos, o monitorear los sitios web que alguien visita, sin necesidad de una orden judicial.[29] : 2 [30] (Sin embargo, esto es una violación del artículo 21 de la Constitución de la India.[29] : 2 ) Esta sección también permite que el gobierno central de India o un gobierno estatal de India obligue a cualquier agencia a descifrar información.[29] : 4
De acuerdo con las Reglas de Tecnología de la Información (Pautas para Intermediarios) de 2011, los intermediarios están obligados a proporcionar información a las agencias gubernamentales indias con fines de investigación o de otro tipo.[29] : 2 [aclaración requerida]
Los titulares de licencias de ISP pueden utilizar libremente claves de cifrado de hasta 40 bits . Más allá de eso, deben obtener un permiso por escrito y depositar la clave de descifrado en el Departamento de Telecomunicaciones.[29] : 2–3
Según la Circular maestra de SEBI para la bolsa de valores o el mercado de efectivo de 2012 (emitida por la Junta de Bolsa y Valores de la India ), es responsabilidad de las bolsas de valores mantener la confiabilidad y confidencialidad de los datos mediante el uso de cifrado.[29] : 3 Según la guía del Banco de la Reserva de la India emitida en 2001, los bancos deben usar SSL de al menos 128 bits para proteger la comunicación entre el navegador y el banco; también deben cifrar los datos confidenciales internamente.[29] : 3
La electrónica, incluidos los productos criptográficos, es una de las categorías de artículos de doble uso en Químicos, Organismos, Materiales, Equipos y Tecnologías Especiales (SCOMET; parte de la Ley de Comercio Exterior (Desarrollo y Regulación), 1992 ). Sin embargo, este reglamento no especifica qué productos criptográficos están sujetos a controles de exportación.[29] : 3
Estados Unidos
[editar]En Estados Unidos, el Reglamento de Tráfico Internacional de Armas restringe la exportación de criptografía.[cita requerida]
Véase también
[editar]- Ley de Secretos Oficiales - ( Reino Unido, India, Irlanda, Malasia y anteriormente Nueva Zelanda )
- Ley de Regulación de los Poderes de Investigación de 2000 ( Reino Unido )
- Restricciones a la importación de criptografía
- Estados Unidos v. boucher (2009), sobre el derecho de un acusado criminal a no revelar una frase de contraseña
- Disputa de cifrado entre el FBI y Apple sobre si se puede obligar a los fabricantes de teléfonos móviles a ayudar en su desbloqueo
Referencias
[editar]- ↑ Kumar, Pankaj (28 de mayo de 2004). «Cryptography with Java». Pearson. Consultado el 12 de febrero de 2013.
- ↑ Koops, Bert-Jaap (November 1996). «A survey of cryptography laws and regulations». Computer Law & Security Report. 6 12 (6): 349-355. doi:10.1016/0267-3649(96)84928-4. (access restricted to current University of Toronto)
- ↑ a b c Ranger, Steve (24 de marzo de 2015). «The undercover war on your internet secrets: How online surveillance cracked our trust in the web». TechRepublic. Archivado desde el original el 12 de junio de 2016. Consultado el 12 de junio de 2016.
- ↑ «Overview per country». Crypto Law Survey. February 2013. Consultado el 26 de marzo de 2015.
- ↑ «6.5.1 What Are the Cryptographic Policies of Some Countries?». RSA Laboratories. Consultado el 26 de marzo de 2015.
- ↑ Rosenoer, Jonathan (1995). «Cryptography & Speech». CyberLaw.«Archived copy». Archivado desde el original el 1 de diciembre de 2005. Consultado el 23 de junio de 2006.
- ↑ «Case Closed on Zimmermann PGP Investigation». IEEE Computer Society's Technical Committee on Security and Privacy. 14 de febrero de 1996. Consultado el 26 de marzo de 2015.
- ↑ a b c Levy, Steven (2001). Crypto: How the Code Rebels Beat the Government—Saving Privacy in the Digital Age. Penguin Books. p. 56. ISBN 978-0-14-024432-8. OCLC 244148644.
- ↑ «Bernstein v USDOJ». Electronic Privacy Information Center. United States Court of Appeals for the Ninth Circuit. 6 de mayo de 1999. Consultado el 26 de marzo de 2015.
- ↑ «Dual-use List – Category 5 – Part 2 – "Information Security"» (PDF). Wassenaar Arrangement. Consultado el 26 de marzo de 2015.
- ↑ «.4 United States Cryptography Export/Import Laws». RSA Laboratories. Consultado el 26 de marzo de 2015.
- ↑ Schneier, Bruce (15 de junio de 2000). «The Data Encryption Standard (DES)». Crypto-Gram. Consultado el 26 de marzo de 2015.
- ↑ Coppersmith, D. (May 1994). «The Data Encryption Standard (DES) and its strength against attacks» (PDF). IBM Journal of Research and Development 38 (3): 243-250. doi:10.1147/rd.383.0243. Archivado desde el original el 4 de marzo de 2016. Consultado el 26 de marzo de 2015.
- ↑ Biham, E.; Shamir, A. (1991). «Differential cryptanalysis of DES-like cryptosystems». Journal of Cryptology 4 (1): 3-72. doi:10.1007/bf00630563.
- ↑ «The Digital Millennium Copyright Act of 1998». United States Copyright Office. Consultado el 26 de marzo de 2015.
- ↑ Ferguson, Niels (15 de agosto de 2001). «Censorship in action: why I don't publish my HDCP results». Archivado desde el original el 1 de diciembre de 2001. Consultado el 16 de febrero de 2009.
- ↑ Schneier, Bruce (6 de agosto de 2001). «Arrest of Computer Researcher Is Arrest of First Amendment Rights». InternetWeek. Consultado el 7 de marzo de 2017.
- ↑ Doctorow, Cory (2 de mayo de 2007). «Digg users revolt over AACS key». Boing Boing. Consultado el 26 de marzo de 2015.
- ↑ «UK Data Encryption Disclosure Law Takes Effect». PC World. 1 de octubre de 2007. Archivado desde el original el 20 de enero de 2012. Consultado el 26 de marzo de 2015.
- ↑ Williams, Christopher (11 de agosto de 2009). «Two convicted for refusal to decrypt data». The Register. Consultado el 26 de marzo de 2015.
- ↑ Williams, Christopher (24 de noviembre de 2009). «UK jails schizophrenic for refusal to decrypt files». The Register. Consultado el 26 de marzo de 2015.
- ↑ Ingold, John (4 de enero de 2012). «Password case reframes Fifth Amendment rights in context of digital world». The Denver Post. Consultado el 26 de marzo de 2015.
- ↑ Leyden, John (13 de julio de 2011). «US court test for rights not to hand over crypto keys». The Register. Consultado el 26 de marzo de 2015.
- ↑ «Order Granting Application under the All Writs Act Requiring Defendant Fricosu to Assist in the Execution of Previously Issued Search Warrants». United States District Court for the District of Colorado. Consultado el 26 de marzo de 2015.
- ↑ a b c Chen, Jihong (1 de octubre de 2020). «Regulation and deregulation: understanding the evolution of the Chinese cryptography legal regime from the newly released Cryptography Law of China». International Cybersecurity Law Review (en inglés) 1 (1–2): 73-86. ISSN 2662-9739. doi:10.1365/s43439-020-00003-6.
- ↑ a b c d Taylor, Monique (2022). «Digital Authoritarianism in the Xi Jinping Era». China's Digital Authoritarianism: A Governance Perspective (en inglés). Cham: Springer International Publishing. pp. 63-85. ISBN 978-3-031-11252-2. doi:10.1007/978-3-031-11252-2_4. Consultado el 23 de diciembre de 2022.
- ↑ Martinkauppi, Louise Bergman; He, Qiuping; Ilie, Dragos (June 2020). «On the Design and Performance of Chinese OSCCA-approved Cryptographic Algorithms». 2020 13th International Conference on Communications (COMM): 119-124. ISBN 978-1-7281-5611-8. doi:10.1109/COMM48946.2020.9142035.
- ↑ «Legifrance.gouv.fr - Loi pour la confiance dans l'économie numérique (LCEN)». www.legifrance.gouv.fr (en francés). Consultado el 14 de junio de 2011.
- ↑ a b c d e f g h Parvathy, A.; Singh, Vrijendra; Choudhary, Ravi Shankar (2013). «Legal Issues Involving Cryptography in India». VIDHIGYA: The Journal of Legal Awareness 8 (1): 1-11.
- ↑ «Yes, snooping's allowed». Indian Express. 6 de febrero de 2009. Archivado desde el original el 23 de diciembre de 2022. Consultado el 23 de diciembre de 2022.
Enlaces externos
[editar]- Criptoley Survey de Bert-Jaap Koops : leyes y reglamentos existentes y propuestos sobre criptografía