Derecho criptográfico

Leyes relativas al cifrado

La criptografía es la práctica y el estudio de la encriptación de la información , o en otras palabras, la protección de la información contra el acceso no autorizado. Existen muchas leyes criptográficas diferentes en diferentes países . Algunos países prohíben la exportación de software criptográfico y/o algoritmos de encriptación o métodos de criptoanálisis . Algunos países exigen que las claves de desencriptación sean recuperables en caso de una investigación policial.

Descripción general

Las cuestiones relativas a la legislación criptográfica se dividen en cuatro categorías: ^[1]

• El control de las exportaciones es la restricción a la exportación de métodos criptográficos dentro de un país a otros países o entidades comerciales. Existen acuerdos internacionales de control de las exportaciones, siendo el principal de ellos el Acuerdo de Wassenaar . El Acuerdo de Wassenaar se creó tras la disolución del COCOM (Comité Coordinador de Controles Multilaterales de las Exportaciones), que en 1989 "descontroló la criptografía basada en contraseñas y solo autenticación". ^[2]
• Controles de importación, que es la restricción sobre el uso de ciertos tipos de criptografía dentro de un país.
• Las cuestiones de patentes tratan sobre el uso de herramientas de criptografía que están patentadas.
• Cuestiones de búsqueda e incautación , sobre si se puede obligar a una persona a descifrar archivos de datos o revelar una clave de cifrado y en qué circunstancias.

Cuestiones jurídicas

Prohibiciones

La criptografía ha sido de interés desde hace mucho tiempo para la recopilación de inteligencia y las agencias de aplicación de la ley . ^[3] Las comunicaciones secretas pueden ser delictivas o incluso traidoras ^{[ cita requerida ]} . Debido a que facilita la privacidad y la disminución de la privacidad que conlleva su prohibición, la criptografía también es de considerable interés para los defensores de los derechos civiles. En consecuencia, ha habido una historia de cuestiones legales controvertidas en torno a la criptografía, especialmente desde que la llegada de computadoras económicas hizo posible el acceso generalizado a la criptografía de alta calidad.

En algunos países, incluso el uso doméstico de la criptografía está, o ha estado, restringido. Hasta 1999, Francia restringía significativamente el uso de la criptografía a nivel nacional, aunque desde entonces ha relajado muchas de estas reglas. En China e Irán , todavía se requiere una licencia para utilizar la criptografía. ^[4] Muchos países tienen restricciones estrictas sobre el uso de la criptografía. Entre las más restrictivas se encuentran las leyes de Bielorrusia , Kazajstán , Mongolia , Pakistán , Singapur , Túnez y Vietnam . ^[5]

En los Estados Unidos , la criptografía es legal para uso doméstico, pero ha habido mucho conflicto sobre cuestiones legales relacionadas con la criptografía. ^[3] Un tema particularmente importante ha sido la exportación de criptografía y software y hardware criptográficos. Probablemente debido a la importancia del criptoanálisis en la Segunda Guerra Mundial y la expectativa de que la criptografía seguiría siendo importante para la seguridad nacional, muchos gobiernos occidentales han, en algún momento, regulado estrictamente la exportación de criptografía. Después de la Segunda Guerra Mundial, era ilegal en los EE. UU. vender o distribuir tecnología de cifrado en el extranjero; de hecho, el cifrado fue designado como equipo militar auxiliar y se incluyó en la Lista de municiones de los Estados Unidos . ^[6] Hasta el desarrollo de la computadora personal , los algoritmos de clave asimétrica (es decir, técnicas de clave pública) e Internet , esto no fue especialmente problemático. Sin embargo, a medida que Internet creció y las computadoras se volvieron más ampliamente disponibles, las técnicas de cifrado de alta calidad se volvieron bien conocidas en todo el mundo. ^{[ cita requerida ]}

Controles de exportación

En la década de 1990, la regulación de las exportaciones de criptografía en Estados Unidos se enfrentó a varios desafíos. Después de que el código fuente del programa de cifrado Pretty Good Privacy (PGP) de Philip Zimmermann llegara a Internet en junio de 1991, una denuncia de RSA Security (en aquel entonces llamada RSA Data Security, Inc.) dio lugar a una larga investigación penal de Zimmermann por parte del Servicio de Aduanas de Estados Unidos y el FBI , aunque nunca se presentaron cargos. ^{[7] [8]} Daniel J. Bernstein , entonces estudiante de posgrado en la Universidad de California en Berkeley , presentó una demanda contra el gobierno de Estados Unidos impugnando algunos aspectos de las restricciones basándose en motivos de libertad de expresión . El caso Bernstein v. Estados Unidos de 1995 resultó finalmente en una decisión de 1999 de que el código fuente impreso para algoritmos y sistemas criptográficos estaba protegido como libertad de expresión por la Constitución de los Estados Unidos. ^[9]

En 1996, treinta y nueve países firmaron el Acuerdo de Wassenaar , un tratado de control de armas que se ocupa de la exportación de armas y tecnologías de "doble uso" como la criptografía. El tratado estipuló que el uso de criptografía con longitudes de clave cortas (56 bits para cifrado simétrico, 512 bits para RSA) ya no estaría sujeto a control de exportación. ^[10] Las exportaciones de criptografía de los EE. UU. se volvieron menos estrictamente reguladas como consecuencia de una importante relajación en 2000; ^[11] ya no hay muchas restricciones sobre los tamaños de clave en el software de mercado masivo exportado desde EE. UU. Desde esta relajación en las restricciones de exportación de EE. UU., y debido a que la mayoría de las computadoras personales conectadas a Internet incluyen navegadores web de origen estadounidense como Firefox o Internet Explorer , casi todos los usuarios de Internet en todo el mundo tienen acceso potencial a criptografía de calidad a través de sus navegadores (por ejemplo, a través de Transport Layer Security ). Los programas de cliente de correo electrónico Mozilla Thunderbird y Microsoft Outlook pueden transmitir y recibir correos electrónicos de manera similar a través de TLS, y pueden enviar y recibir correos electrónicos cifrados con S/MIME . Muchos usuarios de Internet no se dan cuenta de que su software de aplicación básico contiene criptosistemas tan amplios . Estos navegadores y programas de correo electrónico son tan omnipresentes que incluso los gobiernos cuya intención es regular el uso civil de la criptografía generalmente no consideran práctico hacer mucho para controlar la distribución o el uso de criptografía de esta calidad, por lo que incluso cuando dichas leyes están en vigor, la aplicación real a menudo es prácticamente imposible. ^{[ cita requerida ]}

Participación de la NSA

Sede de la NSA en Fort Meade, Maryland

Otro tema polémico relacionado con la criptografía en los Estados Unidos es la influencia de la Agencia de Seguridad Nacional en el desarrollo y la política de cifrado. ^[3] La NSA estuvo involucrada en el diseño de DES durante su desarrollo en IBM y su consideración por parte de la Oficina Nacional de Normas como un posible estándar federal para la criptografía. ^[12] DES fue diseñado para ser resistente al criptoanálisis diferencial , ^[13] una técnica criptoanalítica poderosa y general conocida por la NSA e IBM, que se hizo pública solo cuando fue redescubierta a fines de la década de 1980. ^[14] Según Steven Levy , IBM descubrió el criptoanálisis diferencial , ^[8] pero mantuvo la técnica en secreto a pedido de la NSA. La técnica se hizo pública solo cuando Biham y Shamir la redescubrieron y anunciaron algunos años después. Todo el asunto ilustra la dificultad de determinar qué recursos y conocimientos podría tener realmente un atacante. ^{[ cita requerida ]}

Otro caso de la participación de la NSA fue el caso del chip Clipper de 1993 , un microchip de cifrado que se pretendía que formara parte de la iniciativa de control de criptografía Capstone . Clipper fue ampliamente criticado por los criptógrafos por dos razones. El algoritmo de cifrado (llamado Skipjack ) fue clasificado (desclasificado en 1998, mucho después de que la iniciativa Clipper caducara). El cifrado clasificado provocó preocupaciones de que la NSA había debilitado deliberadamente el cifrado para ayudar a sus esfuerzos de inteligencia. Toda la iniciativa también fue criticada por su violación del Principio de Kerckhoffs , ya que el esquema incluía una clave de depósito especial en poder del gobierno para su uso por parte de las fuerzas del orden (es decir, escuchas telefónicas ). ^[8]

Gestión de derechos digitales

La criptografía es fundamental para la gestión de derechos digitales (DRM), un grupo de técnicas para controlar tecnológicamente el uso de material protegido por derechos de autor , que se está implementando y desplegando ampliamente a instancias de algunos titulares de derechos de autor. En 1998, el presidente estadounidense Bill Clinton firmó la Ley de Derechos de Autor del Milenio Digital (DMCA), que criminalizaba toda producción, difusión y uso de ciertas técnicas y tecnologías criptoanalíticas (ahora conocidas o descubiertas más adelante); específicamente, aquellas que pudieran usarse para eludir los esquemas tecnológicos DRM. ^[15] Esto tuvo un impacto notable en la comunidad de investigación criptográfica, ya que se puede argumentar que cualquier investigación criptoanalítica violaba la DMCA. Desde entonces, se han promulgado estatutos similares en varios países y regiones, incluida la implementación en la Directiva de Derechos de Autor de la UE . Los tratados firmados por los estados miembros de la Organización Mundial de la Propiedad Intelectual exigen restricciones similares . ^{[ cita requerida ]}

El Departamento de Justicia de los Estados Unidos y el FBI no han aplicado la DMCA tan rigurosamente como algunos temían, pero la ley, no obstante, sigue siendo controvertida. Niels Ferguson , un respetado investigador de criptografía, ha declarado públicamente que no publicará parte de su investigación sobre un diseño de seguridad de Intel por miedo a ser procesado bajo la DMCA. ^[16] El criptólogo Bruce Schneier ha argumentado que la DMCA fomenta la dependencia del proveedor , al tiempo que inhibe las medidas reales hacia la ciberseguridad. ^[17] Tanto Alan Cox ( desarrollador del núcleo de Linux desde hace mucho tiempo) como Edward Felten (y algunos de sus estudiantes en Princeton) han encontrado problemas relacionados con la Ley. Dmitry Sklyarov fue arrestado durante una visita a los EE. UU. desde Rusia y encarcelado durante cinco meses en espera de juicio por presuntas violaciones de la DMCA derivadas del trabajo que había realizado en Rusia, donde el trabajo era legal. En 2007, las claves criptográficas responsables de la codificación de contenido de Blu-ray y HD DVD fueron descubiertas y publicadas en Internet . En ambos casos, la Asociación Cinematográfica de Estados Unidos envió numerosos avisos de eliminación de contenidos en virtud de la DMCA, y hubo una reacción masiva en Internet provocada por el impacto percibido de dichos avisos sobre el uso justo y la libertad de expresión . ^[18]

Divulgación forzada de claves de cifrado

En el Reino Unido, la Ley de Regulación de los Poderes de Investigación otorga a la policía británica la facultad de obligar a los sospechosos a descifrar archivos o entregar las contraseñas que protegen las claves de cifrado. El incumplimiento es un delito en sí mismo, punible con una pena de prisión de dos años o de hasta cinco años en casos que involucren la seguridad nacional. ^[19] Se han producido procesos judiciales con éxito en virtud de la Ley; el primero, en 2009, ^[20] resultó en una pena de 13 meses de prisión. ^[21] Leyes similares de divulgación forzada en Australia, Finlandia, Francia y la India obligan a los sospechosos individuales bajo investigación a entregar claves de cifrado o contraseñas durante una investigación criminal. ^{[ cita requerida ]}

En los Estados Unidos, el caso penal federal de Estados Unidos v. Fricosu abordó si una orden de registro puede obligar a una persona a revelar una contraseña o frase de cifrado . ^[22] La Electronic Frontier Foundation (EFF) argumentó que esto es una violación de la protección contra la autoincriminación otorgada por la Quinta Enmienda . ^[23] En 2012, el tribunal dictaminó que, en virtud de la Ley de Todos los Autos , el acusado estaba obligado a presentar un disco duro sin cifrar ante el tribunal. ^[24]

En muchas jurisdicciones, el estatus legal de la divulgación forzosa sigue sin estar claro. ^{[ cita requerida ]}

La disputa de cifrado entre el FBI y Apple de 2016 se refiere a la capacidad de los tribunales de los Estados Unidos de obligar a los fabricantes a colaborar para desbloquear teléfonos móviles cuyo contenido está protegido criptográficamente. ^{[ cita requerida ] [ se necesita más explicación ]}

Como posible contramedida a la divulgación forzada, algunos programas criptográficos admiten una negación plausible , donde los datos cifrados son indistinguibles de los datos aleatorios no utilizados (por ejemplo, los de una unidad que ha sido borrada de forma segura ). ^{[ cita requerida ]}

Derecho criptográfico en diferentes países

Porcelana

En octubre de 1999, el Consejo de Estado promulgó el Reglamento sobre la administración de la criptografía comercial . De acuerdo con este reglamento, la criptografía comercial se consideraba un secreto de Estado . ^[25]

El 26 de octubre de 2019, el Comité Permanente del Congreso Nacional del Pueblo promulgó la Ley de Criptografía de la República Popular China . Esta ley entró en vigor a principios de 2020. ^{[25] [26]} La ley clasifica la criptografía en tres categorías: ^{[25] [26]}

• Criptografía básica , que es un secreto de Estado y adecuada para información de hasta alto secreto ;
• Criptografía ordinaria , que es también secreto de Estado y apta para información hasta el grado de secreto ;
• Criptografía comercial , que protege la información que no es un secreto de Estado.

La ley también establece que debería existir un "mecanismo de supervisión tanto en proceso como ex post de la criptografía comercial, que combine la supervisión rutinaria con la inspección aleatoria" (lo que implica que el gobierno chino debería tener acceso a los servidores cifrados). ^[26] También establece que los proveedores extranjeros de cifrado comercial necesitan algún tipo de aprobación estatal. ^[26]

Los criptosistemas autorizados para su uso en China incluyen SM2, SM3 y SM4 . ^[27]

Francia

A partir de 2011 y desde 2004, la ley para la confianza en la economía digital  [fr] ( en francés : Loi pour la confiance dans l'économie numérique ; abreviado LCEN) liberalizó en gran medida el uso de la criptografía. ^[28]

• Siempre que la criptografía se utilice únicamente con fines de autenticación e integridad, se puede utilizar libremente. No importa la clave criptográfica ni la nacionalidad de las entidades que participan en la transacción. Los sitios web de comercio electrónico típicos se incluyen en este régimen liberalizado.
• La exportación e importación de herramientas criptográficas hacia o desde países extranjeros debe ser declarada (cuando el otro país es miembro de la Unión Europea) o requiere una autorización explícita (para países fuera de la UE).

India

La sección 69 de la Ley de Tecnología de la Información de 2000 (modificada en 2008) autoriza a los funcionarios del gobierno indio o a los policías a escuchar cualquier llamada telefónica, leer cualquier mensaje SMS o correo electrónico o monitorear los sitios web que cualquier persona visite, sin necesidad de una orden judicial. ^{[29] : 2  [30]} (Sin embargo, esto es una violación del artículo 21 de la Constitución de la India . ^{[29] : 2} ) Esta sección también permite al gobierno central de la India o al gobierno de un estado de la India obligar a cualquier agencia a descifrar información. ^{[29] : 4}

De acuerdo con las Normas de Tecnología de la Información (Directrices para Intermediarios) de 2011, los intermediarios deben proporcionar información a las agencias gubernamentales de la India para fines de investigación u otros fines. ^{[29] : 2  [ aclaración necesaria ]}

Los titulares de licencias de ISP pueden utilizar libremente claves de cifrado de hasta 40 bits . Más allá de eso, deben obtener un permiso por escrito y depositar la clave de descifrado en el Departamento de Telecomunicaciones . ^{[29] : 2–3}

Según la Circular Maestra de SEBI de 2012 para la Bolsa de Valores o el Mercado de Efectivo (emitida por la Junta de Valores e Intercambio de la India ), es responsabilidad de las bolsas de valores mantener la confiabilidad y confidencialidad de los datos mediante el uso de cifrado. ^{[29] : 3} Según la guía del Banco de la Reserva de la India emitida en 2001, los bancos deben utilizar al menos SSL de 128 bits para proteger la comunicación entre el navegador y el banco; también deben cifrar los datos confidenciales internamente. ^{[29] : 3}

Los productos electrónicos, incluidos los productos criptográficos, son una de las categorías de artículos de doble uso de la Ley de Productos Químicos, Organismos, Materiales, Equipos y Tecnologías Especiales (SCOMET, por sus siglas en inglés; parte de la Ley de Comercio Exterior (Desarrollo y Regulación) de 1992). Sin embargo, esta regulación no especifica qué productos criptográficos están sujetos a controles de exportación. ^{[29] : 3}

Estados Unidos

En los Estados Unidos , el Reglamento sobre el Tráfico Internacional de Armas restringe la exportación de criptografía. ^{[ cita requerida ] [ se necesita más explicación ]}

Véase también

• Ley de Secretos Oficiales ( Reino Unido , India , Irlanda , Malasia y anteriormente Nueva Zelanda )
• Ley de 2000 sobre regulación de los poderes de investigación ( Reino Unido )
• Restricciones a la importación de criptografía
• Estados Unidos v. Boucher (2009), sobre el derecho de un acusado penal a no revelar una frase de contraseña
• Disputa entre el FBI y Apple sobre el cifrado de datos, sobre si se puede obligar a los fabricantes de teléfonos móviles a colaborar en su desbloqueo

Referencias

1. Kumar, Pankaj (28 de mayo de 2004). "Criptografía con Java". Pearson . Consultado el 12 de febrero de 2013 .
2. Koops, Bert-Jaap (noviembre de 1996). "Un estudio de las leyes y regulaciones de criptografía". Computer Law & Security Report . 6. 12 (6): 349–355. doi :10.1016/0267-3649(96)84928-4.(acceso restringido a la Universidad de Toronto actual)
3. Ranger, Steve (24 de marzo de 2015). "La guerra encubierta contra tus secretos en Internet: cómo la vigilancia en línea minó nuestra confianza en la Web". TechRepublic. Archivado desde el original el 12 de junio de 2016. Consultado el 12 de junio de 2016 .
4. "Resumen por país". Encuesta sobre derecho de las criptomonedas . Febrero de 2013. Consultado el 26 de marzo de 2015 .
5. "6.5.1 ¿Cuáles son las políticas criptográficas de algunos países?". RSA Laboratories . Consultado el 26 de marzo de 2015 .
6. Rosenoer, Jonathan (1995). "Criptografía y expresión". Derecho cibernético ."Copia archivada". Archivado desde el original el 1 de diciembre de 2005. Consultado el 23 de junio de 2006 .{{cite web}}: CS1 maint: archived copy as title (link)
7. "Caso cerrado en la investigación de Zimmermann sobre PGP". Comité Técnico de Seguridad y Privacidad de la IEEE Computer Society . 14 de febrero de 1996. Consultado el 26 de marzo de 2015 .
8. Levy, Steven (2001). Criptomonedas: cómo los rebeldes del código vencieron al gobierno: cómo salvar la privacidad en la era digital . Penguin Books . pág. 56. ISBN 978-0-14-024432-8.OCLC 244148644  .
9. "Bernstein v USDOJ". Centro de Información sobre Privacidad Electrónica . Tribunal de Apelaciones de los Estados Unidos para el Noveno Circuito . 6 de mayo de 1999 . Consultado el 26 de marzo de 2015 .
10. "Lista de doble uso – Categoría 5 – Parte 2 – "Seguridad de la información"" (PDF) . Arreglo de Wassenaar . Consultado el 26 de marzo de 2015 .
11. ".4 Leyes de exportación e importación de criptografía de los Estados Unidos". RSA Laboratories . Consultado el 26 de marzo de 2015 .
12. Schneier, Bruce (15 de junio de 2000). «El estándar de cifrado de datos (DES)». Crypto-Gram . Consultado el 26 de marzo de 2015 .
13. Coppersmith, D. (mayo de 1994). "El estándar de cifrado de datos (DES) y su resistencia contra ataques" (PDF) . IBM Journal of Research and Development . 38 (3): 243–250. doi :10.1147/rd.383.0243 . Consultado el 26 de marzo de 2015 .
14. Biham, E. ; Shamir, A. (1991). "Criptoanálisis diferencial de criptosistemas tipo DES". Revista de Criptología . 4 (1): 3–72. doi :10.1007/bf00630563. S2CID  206783462.
15. "Ley de Derechos de Autor para el Milenio Digital de 1998" (PDF) . Oficina de Derechos de Autor de los Estados Unidos . Consultado el 26 de marzo de 2015 .
16. Ferguson, Niels (15 de agosto de 2001). "La censura en acción: por qué no publico mis resultados del HDCP". Archivado desde el original el 1 de diciembre de 2001. Consultado el 16 de febrero de 2009 .
17. Schneier, Bruce (6 de agosto de 2001). "El arresto de un investigador informático es un arresto que viola los derechos de la Primera Enmienda". InternetWeek . Consultado el 7 de marzo de 2017 .
18. Doctorow, Cory (2 de mayo de 2007). "Los usuarios de Digg se rebelan por la clave AACS". Boing Boing . Consultado el 26 de marzo de 2015 .
19. "Entra en vigor la ley de divulgación de cifrado de datos del Reino Unido". PC World . 1 de octubre de 2007. Archivado desde el original el 20 de enero de 2012 . Consultado el 26 de marzo de 2015 .
20. Williams, Christopher (11 de agosto de 2009). «Dos condenados por negarse a descifrar datos». The Register . Consultado el 26 de marzo de 2015 .
21. Williams, Christopher (24 de noviembre de 2009). «Reino Unido encarcela a un esquizofrénico por negarse a descifrar archivos». The Register . Consultado el 26 de marzo de 2015 .
22. Ingold, John (4 de enero de 2012). "El caso de la contraseña replantea los derechos de la Quinta Enmienda en el contexto del mundo digital". The Denver Post . Consultado el 26 de marzo de 2015 .
23. Leyden, John (13 de julio de 2011). "Tribunal estadounidense pone a prueba el derecho a no entregar claves criptográficas". The Register . Consultado el 26 de marzo de 2015 .
24. "Orden de concesión de la solicitud en virtud de la Ley de todos los mandatos judiciales que exige al acusado Fricosu que colabore en la ejecución de órdenes de registro emitidas anteriormente" (PDF) . Tribunal de Distrito de los Estados Unidos para el Distrito de Colorado . Consultado el 26 de marzo de 2015 .
25. Chen, Jihong (1 de octubre de 2020). "Regulación y desregulación: comprensión de la evolución del régimen legal de criptografía chino a partir de la recién publicada Ley de Criptografía de China". Revista Internacional de Derecho de la Ciberseguridad . 1 (1–2): 73–86. doi :10.1365/s43439-020-00003-6. ISSN  2662-9739. S2CID  224858334.
26. Taylor, Monique (2022). "Autoritarismo digital en la era de Xi Jinping". Autoritarismo digital de China: una perspectiva de gobernanza. Cham: Springer International Publishing. págs. 63–85. doi :10.1007/978-3-031-11252-2_4. ISBN 978-3-031-11252-2. Consultado el 23 de diciembre de 2022 .
27. Martinkauppi, Louise Bergman; He, Qiuping; Ilie, Dragos (junio de 2020). "Sobre el diseño y el rendimiento de los algoritmos criptográficos aprobados por la OSCCA china". 2020 13.ª Conferencia Internacional sobre Comunicaciones (COMM). págs. 119–124. doi :10.1109/COMM48946.2020.9142035. ISBN 978-1-7281-5611-8. Número de identificación del sujeto  220668639.
28. "Legifrance.gouv.fr - Loi pour la confianza dans l'économie numérique (LCEN)". www.legifrance.gouv.fr (en francés) . Consultado el 14 de junio de 2011 .
29. Parvathy, A.; Singh, Vrijendra; Choudhary, Ravi Shankar (2013). "Cuestiones legales relacionadas con la criptografía en la India". VIDHIGYA: Revista de concienciación jurídica . 8 (1): 1–11.
30. "Sí, se permite espiar". Indian Express . 6 de febrero de 2009. Archivado desde el original el 23 de diciembre de 2022 . Consultado el 23 de diciembre de 2022 .

Enlaces externos

• Encuesta sobre leyes criptográficas de Bert-Jaap Koops: leyes y regulaciones existentes y propuestas sobre criptografía