Los Estados Unidos (EE. UU.) y sus gobiernos aliados han intentado, extraoficialmente denominadas " guerras criptográficas ", limitar el acceso del público y de las naciones extranjeras a criptografía lo suficientemente fuerte como para impedir el descifrado por parte de las agencias de inteligencia nacionales, especialmente la Agencia de Seguridad Nacional (NSA). [1]
En los primeros días de la Guerra Fría , Estados Unidos y sus aliados elaboraron una serie de complejas normas de control de las exportaciones destinadas a impedir que una amplia gama de tecnología occidental cayera en manos de otros países, en particular del bloque del Este . Toda exportación de tecnología clasificada como "crítica" requería una licencia. El CoCom se organizó para coordinar los controles de las exportaciones occidentales.
Se protegían dos tipos de tecnología: la asociada únicamente a las armas de guerra ("municiones") y la tecnología de doble uso, que también tenía aplicaciones comerciales. En los EE. UU., la exportación de tecnología de doble uso estaba controlada por el Departamento de Comercio , mientras que las municiones estaban controladas por el Departamento de Estado . Dado que en el período inmediatamente posterior a la Segunda Guerra Mundial el mercado de la criptografía era casi exclusivamente militar, la tecnología de cifrado (tanto técnicas como equipos y, después de que las computadoras cobraran importancia, el software de cifrado) se incluyó como un elemento de la Categoría XIII en la Lista de Municiones de los Estados Unidos . El control multinacional de la exportación de criptografía en el lado occidental de la división de la Guerra Fría se realizó a través de los mecanismos del CoCom.
Sin embargo, en la década de 1960, las organizaciones financieras comenzaron a exigir un cifrado comercial fuerte en el campo de rápido crecimiento de las transferencias de dinero por cable. La introducción del Estándar de cifrado de datos por parte del gobierno de los Estados Unidos en 1975 significó que los usos comerciales del cifrado de alta calidad se volverían comunes y comenzaron a surgir graves problemas de control de las exportaciones. Por lo general, estos se resolvían mediante procedimientos de solicitud de licencia de exportación caso por caso iniciados por los fabricantes de computadoras, como IBM , y por sus grandes clientes corporativos.
Los controles de exportación de cifrado se convirtieron en un asunto de interés público con la introducción de la computadora personal . El criptosistema PGP de Phil Zimmermann y su distribución en Internet en 1991 fue el primer desafío importante "a nivel individual" a los controles de exportación de criptografía. El crecimiento del comercio electrónico en la década de 1990 creó una presión adicional para reducir las restricciones. [2] Poco después, la tecnología SSL de Netscape fue ampliamente adoptada como un método para proteger las transacciones con tarjetas de crédito utilizando criptografía de clave pública .
Los mensajes cifrados con SSL utilizaban el cifrado RC4 y claves de 128 bits . Las normas de exportación del gobierno de Estados Unidos no permitían la exportación de sistemas criptográficos que utilizaran claves de 128 bits. [3] En esa etapa, los gobiernos occidentales tenían, en la práctica, una doble personalidad en lo que se refiere al cifrado: la política la formulaban los criptoanalistas militares, que se preocupaban únicamente de impedir que sus "enemigos" adquirieran secretos, pero esa política era luego comunicada al comercio por funcionarios cuyo trabajo era apoyar a la industria.
El tamaño máximo de clave permitido para la exportación sin procedimientos de licencia individual era de 40 bits , por lo que Netscape desarrolló dos versiones de su navegador web . La "edición estadounidense" tenía la fuerza total de 128 bits. La "edición internacional" tenía su longitud de clave efectiva reducida a 40 bits al revelar 88 bits de la clave en el protocolo SSL . Adquirir la versión "doméstica estadounidense" resultó ser una molestia suficiente para que la mayoría de los usuarios de computadoras, incluso en los EE. UU., terminaran con la versión "internacional", [4] cuyo débil cifrado de 40 bits podía romperse en cuestión de días utilizando una sola computadora personal. Una situación similar ocurrió con Lotus Notes por las mismas razones. [5]
Los desafíos legales de Peter Junger y otros defensores de las libertades civiles y de la privacidad, la amplia disponibilidad de software de cifrado fuera de los EE. UU. y la percepción de muchas empresas de que la publicidad adversa sobre el cifrado débil estaba limitando sus ventas y el crecimiento del comercio electrónico, llevaron a una serie de relajaciones en los controles de exportación de los EE. UU., que culminaron en 1996 con la firma por parte del presidente Bill Clinton de la Orden Ejecutiva 13026 [6] que transfirió el cifrado comercial de la Lista de Municiones a la Lista de Control de Comercio . Además, la orden establecía que "el software no se considerará ni se tratará como 'tecnología'" en el sentido de las Regulaciones de Administración de Exportaciones . Esta orden permitió al Departamento de Comercio de los Estados Unidos implementar reglas que simplificaron en gran medida la exportación de software propietario y de código abierto que contuviera criptografía, lo que hicieron en 2000. [7]
A partir de 2009, las exportaciones de criptografía no militar de los EE. UU. están controladas por la Oficina de Industria y Seguridad del Departamento de Comercio . [8] Todavía existen algunas restricciones, incluso para productos del mercado masivo, en particular con respecto a la exportación a " estados rebeldes " y organizaciones terroristas . El equipo de cifrado militarizado, la electrónica aprobada por TEMPEST , el software criptográfico personalizado e incluso los servicios de consultoría criptográfica aún requieren una licencia de exportación [8] (pp. 6-7). Además, se requiere el registro de cifrado en la BIS para la exportación de "productos, software y componentes de cifrado del mercado masivo con cifrado que exceda los 64 bits" (75 FR 36494). Además, otros artículos requieren una revisión única o notificación a la BIS antes de la exportación a la mayoría de los países. [8] Por ejemplo, se debe notificar a la BIS antes de que el software criptográfico de código abierto se ponga a disposición del público en Internet, aunque no se requiere ninguna revisión. [9] Las regulaciones de exportación se han relajado con respecto a los estándares anteriores a 1996, pero aún son complejas. [8] Otros países, en particular los que participan en el Acuerdo de Wassenaar , [10] tienen restricciones similares. [11]
Hasta 1996, el gobierno del Reino Unido retenía las licencias de exportación a los exportadores a menos que utilizaran cifrados débiles o claves cortas, y en general desalentaba la criptografía pública práctica. [12] Un debate sobre la criptografía para el NHS sacó esto a la luz. [12]
El chip Clipper era un conjunto de chips para teléfonos móviles fabricado por la NSA en la década de 1990, que implementaba el cifrado con una puerta trasera para el gobierno de los EE. UU. [2] El gobierno de los EE. UU. intentó que los fabricantes de teléfonos adoptaran el conjunto de chips, pero sin éxito, y el programa finalmente desapareció en 1996.
A5/1 es un cifrado de flujo utilizado para proporcionar privacidad en las comunicaciones por aireen el estándar de telefonía celular GSM .
El investigador de seguridad Ross Anderson informó en 1994 que " a mediados de los años 1980 hubo una terrible disputa entre las agencias de inteligencia de señales de la OTAN sobre si el cifrado GSM debía ser fuerte o no. Los alemanes dijeron que debía serlo, ya que compartían una larga frontera con el Pacto de Varsovia ; pero los demás países no opinaron lo mismo, y el algoritmo que se utiliza actualmente es un diseño francés". [13]
Según el profesor Jan Arild Audestad, en el proceso de estandarización que comenzó en 1982, se propuso originalmente que el A5/1 tuviera una longitud de clave de 128 bits. En ese momento, se proyectó que 128 bits serían seguros durante al menos 15 años. Ahora se estima que, de hecho, 128 bits también seguirían siendo seguros a partir de 2014. Audestad, Peter van der Arend y Thomas Haug dicen que los británicos insistieron en un cifrado más débil, y Haug dijo que el delegado británico le dijo que esto era para permitir que el servicio secreto británico espiara más fácilmente. Los británicos propusieron una longitud de clave de 48 bits, mientras que los alemanes occidentales querían un cifrado más fuerte para protegerse contra el espionaje de Alemania del Este, por lo que el compromiso se convirtió en una longitud de clave de 56 bits. [14] En general, una clave de longitud 56 es 10 veces más fácil de descifrar que una clave de longitud 128.
El algoritmo de cifrado DES , ampliamente utilizado , fue originalmente planeado por IBM para tener un tamaño de clave de 128 bits; [15] la NSA presionó para un tamaño de clave de 48 bits. El compromiso final fue un tamaño de clave de 64 bits, 8 de los cuales eran bits de paridad, para hacer un parámetro de seguridad de clave efectivo de 56 bits. [16] DES fue considerado inseguro ya en 1977, [17] y los documentos filtrados en la filtración de Snowden de 2013 muestran que de hecho era fácilmente descifrable por la NSA, pero aún así fue recomendado por el NIST . [18] Los DES Challenges fueron una serie de concursos de ataques de fuerza bruta creados por RSA Security para resaltar la falta de seguridad proporcionada por el Estándar de cifrado de datos . Como parte del descifrado exitoso de los mensajes codificados con DES, la EFF construyó una computadora especializada en descifrado de DES apodada Deep Crack .
El descifrado exitoso del DES probablemente ayudó a reunir apoyo político y técnico para un cifrado más avanzado en manos de los ciudadanos comunes. [19] En 1997, el NIST comenzó una competencia para seleccionar un reemplazo para DES , lo que resultó en la publicación en 2000 del Estándar de cifrado avanzado (AES). [20] AES todavía se considera seguro a partir de 2019, y la NSA considera que AES es lo suficientemente fuerte como para proteger la información clasificada en el nivel de alto secreto. [21]
Por temor a una adopción generalizada del cifrado, la NSA se propuso influir y debilitar sigilosamente los estándares de cifrado y obtener claves maestras, ya sea mediante acuerdos, por la fuerza de la ley o mediante la explotación de redes informáticas ( piratería informática ). [2] [22]
Según el New York Times : "Pero en 2006, un documento de la NSA señala que la agencia había irrumpido en las comunicaciones de tres aerolíneas extranjeras, un sistema de reservas de viajes, el departamento nuclear de un gobierno extranjero y el servicio de Internet de otro, descifrando las redes privadas virtuales que los protegían. En 2010, el programa Edgehill, el esfuerzo británico de contracodificación, estaba descifrando el tráfico VPN de 30 objetivos y se había fijado el objetivo de 300 más". [22]
Como parte de Bullrun, la NSA también ha estado trabajando activamente para "insertar vulnerabilidades en los sistemas de cifrado comerciales, sistemas de TI, redes y dispositivos de comunicación de puntos finales utilizados por los objetivos". [23] El New York Times ha informado de que el generador de números aleatorios Dual EC DRBG contiene una puerta trasera de la NSA, que permitiría a la NSA romper el cifrado basándose en ese generador de números aleatorios. [24] Aunque poco después de la publicación del estándar se sabía que Dual_EC_DRBG era un generador de números aleatorios lento e inseguro, y en 2007 se encontró la posible puerta trasera de la NSA, y se certificaron y se pusieron a disposición de todos los usuarios generadores de números aleatorios alternativos sin estos defectos, RSA Security siguió utilizando Dual_EC_DRBG en el kit de herramientas BSAFE y en el Data Protection Manager de la empresa hasta septiembre de 2013. Aunque RSA Security ha negado haber insertado deliberadamente una puerta trasera en BSAFE, todavía no ha dado una explicación del uso continuado de Dual_EC_DRBG después de que sus defectos se hicieran evidentes en 2006 y 2007, [25] sin embargo, el 20 de diciembre de 2013 se informó de que RSA había aceptado un pago de 10 millones de dólares de la NSA para establecer el generador de números aleatorios como predeterminado. [26] [27] Los documentos filtrados de la NSA afirman que su esfuerzo fue "un desafío de delicadeza" y que "finalmente, la NSA se convirtió en el único editor" del estándar.
En 2010, la NSA había desarrollado "capacidades innovadoras" contra el tráfico de Internet cifrado. Sin embargo, un documento del GCHQ advirtió que "estas capacidades se encuentran entre las más frágiles de la comunidad Sigint, y la divulgación inadvertida del simple 'hecho de' podría alertar al adversario y resultar en la pérdida inmediata de la capacidad". [22] Otro documento interno afirmó que "NO habrá ' necesidad de saber '". [22] Varios expertos, incluidos Bruce Schneier y Christopher Soghoian , han especulado que un ataque exitoso contra RC4 , un algoritmo de cifrado de 1987 que todavía se usa en al menos el 50 por ciento de todo el tráfico SSL/TLS, es una vía plausible, dadas varias debilidades conocidas públicamente de RC4. [28] Otros han especulado que la NSA ha ganado la capacidad de descifrar claves públicas RSA y Diffie–Hellman de 1024 bits . [29] Un equipo de investigadores ha señalado que existe una amplia reutilización de unos pocos números primos no efímeros de 1024 bits en las implementaciones de Diffie-Hellman, y que el hecho de que la NSA haya realizado cálculos previos contra esos números primos para romper el cifrado utilizándolos en tiempo real es muy plausiblemente a lo que se refieren las "capacidades innovadoras" de la NSA. [30]
El programa Bullrun es polémico, ya que se cree que la NSA inserta o mantiene deliberadamente en secreto vulnerabilidades que afectan tanto a los ciudadanos estadounidenses respetuosos de la ley como a los objetivos de la NSA, en virtud de su política NOBUS . [31] En teoría, la NSA tiene dos trabajos: prevenir vulnerabilidades que afecten a los EE. UU. y encontrar vulnerabilidades que puedan usarse contra objetivos estadounidenses; pero como sostiene Bruce Schneier, la NSA parece priorizar la búsqueda (o incluso la creación) y el mantenimiento de vulnerabilidades en secreto. Bruce Schneier ha pedido que se desmantele la NSA para que el grupo encargado de fortalecer la criptografía no esté subordinado a los grupos que quieren romper la criptografía de sus objetivos. [32]
Como parte de las filtraciones de Snowden, se hizo ampliamente conocido que las agencias de inteligencia podían eludir el cifrado de datos almacenados en teléfonos inteligentes Android e iOS al ordenar legalmente a Google y Apple que eludieran el cifrado en teléfonos específicos. Alrededor de 2014, como reacción a esto, Google y Apple rediseñaron su cifrado de modo que no tuvieran la capacidad técnica para eludirlo, y solo se pudiera desbloquear conociendo la contraseña del usuario. [33] [34]
Varios funcionarios encargados de hacer cumplir la ley, incluido el fiscal general de la administración Obama, Eric Holder [35], respondieron con una fuerte condena, calificando de inaceptable que el estado no pudiera acceder a los datos de los presuntos delincuentes ni siquiera con una orden judicial. En una de las respuestas más emblemáticas, el jefe de detectives del departamento de policía de Chicago afirmó que "Apple se convertirá en el teléfono preferido de los pedófilos". [36] El Washington Post publicó un editorial en el que insistía en que "los usuarios de teléfonos inteligentes deben aceptar que no pueden estar por encima de la ley si existe una orden de registro válida", y después de aceptar que las puertas traseras serían indeseables, sugirió implementar una puerta trasera de "llave dorada" que desbloquearía los datos con una orden judicial. [37] [38]
El director del FBI, James Comey, citó una serie de casos para apoyar la necesidad de descifrar los teléfonos inteligentes. Curiosamente, en ninguno de los casos, presumiblemente cuidadosamente seleccionados, el teléfono inteligente tuvo algo que ver con la identificación o captura de los culpables, y el FBI parece no haber podido encontrar ningún caso sólido que apoye la necesidad de descifrar los teléfonos inteligentes. [39]
Bruce Schneier ha denominado el debate sobre el derecho al cifrado de teléfonos inteligentes Crypto Wars II , [40] mientras que Cory Doctorow lo llamó Crypto Wars redux . [41]
Los legisladores de los estados de California [42] y Nueva York [43] han propuesto proyectos de ley para prohibir la venta de teléfonos inteligentes con cifrado indescifrable. Hasta febrero de 2016, no se había aprobado ningún proyecto de ley.
En febrero de 2016, el FBI obtuvo una orden judicial que exigía a Apple que creara y firmara electrónicamente un nuevo software que le permitiera al FBI desbloquear un iPhone 5c que recuperó de uno de los tiradores del ataque terrorista de 2015 en San Bernardino, California . Apple impugnó la orden. Al final, el FBI contrató a un tercero para descifrar el teléfono. Véase Disputa de cifrado entre el FBI y Apple .
En abril de 2016, Dianne Feinstein y Richard Burr patrocinaron un proyecto de ley, descrito como "demasiado vago" por algunos, [44] que probablemente criminalizaría todas las formas de cifrado fuerte . [45] [46]
En diciembre de 2019, el Comité Judicial del Senado de los Estados Unidos convocó una audiencia sobre cifrado y acceso legal, centrada en el almacenamiento cifrado de los teléfonos inteligentes. [47] Testificaron el fiscal de distrito Cyrus Vance Jr. , el profesor Matt Tait, Erik Neuenschwander de Apple y Jay Sullivan de Facebook. El presidente Lindsey Graham afirmó en sus comentarios de apertura que "todos queremos dispositivos que protejan nuestra privacidad". También dijo que las fuerzas del orden deberían poder leer los datos cifrados en los dispositivos, amenazando con aprobar una legislación si fuera necesario: "Vas a encontrar una manera de hacer esto o lo haremos por ti". [48]
En octubre de 2017, el fiscal general adjunto Rod Rosenstein pidió el depósito de claves bajo el eufemismo de "cifrado responsable" [49] como solución al problema actual de "desenmascaramiento". [50] Esto se refiere a las órdenes judiciales de escuchas telefónicas y las medidas policiales que se vuelven ineficaces a medida que se añade cada vez más un cifrado de extremo a extremo a los productos de mensajería generalizados. Rosenstein sugirió que el depósito de claves proporcionaría a sus clientes una forma de recuperar sus datos cifrados si olvidan su contraseña, de modo que no se pierdan para siempre. Desde una perspectiva de aplicación de la ley, esto permitiría a un juez emitir una orden de registro instruyendo a la empresa a descifrar los datos; sin depósito u otro menoscabo del cifrado es imposible para un proveedor de servicios cumplir con esta solicitud. A diferencia de las propuestas anteriores, se afirma que el almacenamiento descentralizado de claves por parte de empresas en lugar de agencias gubernamentales es una salvaguardia adicional.
En 2015, el jefe de la NSA, el almirante Michael S. Rogers , sugirió descentralizar aún más el depósito de claves introduciendo "puertas delanteras" en lugar de puertas traseras en el cifrado. [51] De esta manera, la clave se dividiría en dos mitades: una guardada por las autoridades gubernamentales y la otra por la empresa responsable del producto de cifrado. Por lo tanto, el gobierno seguiría necesitando una orden de registro para obtener la media clave de la empresa, mientras que la empresa no podría abusar del depósito de claves para acceder a los datos de los usuarios sin la media clave del gobierno. Los expertos no quedaron impresionados. [52] [51]
En 2018, la NSA promovió el uso de "cifrado ligero", en particular sus cifrados Simon y Speck , para dispositivos de Internet de las cosas . [53] Sin embargo, el intento de que ISO estandarizara esos cifrados fracasó debido a las severas críticas planteadas por la junta de expertos en criptografía que provocaron temores de que la NSA tuviera conocimiento no público de cómo descifrarlos. [54]
Tras el tiroteo de Charlie Hebdo en 2015 , un ataque terrorista, el ex primer ministro del Reino Unido David Cameron pidió que se prohibiera la criptografía sin puerta trasera, diciendo que no debería haber "medios de comunicación" que "no podamos leer". [55] [56] El presidente estadounidense Barack Obama se puso del lado de Cameron en esto. [57] Este llamado a la acción no parece haber resultado en ninguna legislación o cambios en el status quo de la criptografía sin puerta trasera siendo legal y disponible.
La Ley de Eliminación del Abuso y Desperdicio de las Tecnologías Interactivas ( EARN IT ) de 2020 prevé una Comisión Nacional de 19 miembros que desarrollará un conjunto de directrices de "mejores prácticas" a las que los proveedores de tecnología tendrán que ajustarse para "ganarse" la inmunidad (tradicionalmente proporcionada "automáticamente" por la Sección 230 de la Ley de Decencia en las Comunicaciones ) a la responsabilidad por el material de abuso sexual infantil en sus plataformas. Los defensores la presentan como una forma de abordar el material de abuso sexual infantil en las plataformas de Internet, pero ha sido criticada por los defensores del cifrado porque es probable que las "mejores prácticas" ideadas por la comisión incluyan abstenerse de utilizar el cifrado de extremo a extremo, ya que dicho cifrado haría imposible filtrar el contenido ilegal. [58] [59]
{{cite book}}
: Mantenimiento de CS1: falta la ubicación del editor ( enlace )