Derecho criptográfico

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar

La criptografía es la práctica y el estudio de la encriptación de información, o en otras palabras, la protección de la información contra el acceso no autorizado. Existen muchas leyes criptográficas diferentes en diferentes países. Algunos países prohíben la exportación de software criptográfico y/o algoritmos de encriptación o métodos de criptoanálisis. Algunos países exigen que las claves de desencriptación sean recuperables en caso de una investigación policial.

Sinopsis

Las cuestiones relativas a la legislación criptográfica se dividen en cuatro categorías:

  • El control de las exportaciones es la restricción de la exportación de métodos de criptografía dentro de un país a otros países o entidades comerciales. Hay acuerdos internacionales de control de las exportaciones, siendo el principal el Acuerdo de Wassenaar. El Acuerdo de Wassenaar se creó después de la disolución del COCOM (Coordinador de Controles Multilaterales de Exportación), que en 1989 "contraseña descontrolada y criptografía única de autenticación".
  • Controles de importación, que es la restricción al uso de ciertos tipos de criptografía dentro de un país.
  • Problemas de patentes, tratar con el uso de herramientas de criptografía patentadas.
  • Problemas de búsqueda e incautación, sobre si y en qué circunstancias, una persona puede verse obligada a descifrar archivos de datos o revelar una clave de cifrado.

Prohibiciones

La criptografía ha sido de interés desde hace mucho tiempo para los organismos de inteligencia y de aplicación de la ley. Las comunicaciones secretas pueden ser delictivas o incluso traidoras. Debido a que facilita la privacidad y a la disminución de la privacidad que conlleva su prohibición, la criptografía también es de considerable interés para los defensores de los derechos civiles. En consecuencia, ha habido una historia de cuestiones jurídicas controvertidas en torno a la criptografía, especialmente desde que la llegada de las computadoras económicas hizo posible el acceso generalizado a la criptografía de alta calidad.

En algunos países, incluso el uso doméstico de la criptografía está, o ha estado, restringido. Hasta 1999, Francia restringía significativamente el uso de la criptografía en su país, aunque desde entonces ha relajado muchas de estas normas. En China e Irán, todavía se requiere una licencia para utilizar la criptografía. Muchos países tienen restricciones estrictas sobre el uso de la criptografía. Entre las leyes más restrictivas se encuentran las de Bielorrusia, Kazajstán, Mongolia, Pakistán, Singapur, Túnez y Vietnam.

En Estados Unidos, la criptografía es legal para uso doméstico, pero ha habido mucho conflicto sobre cuestiones legales relacionadas con la criptografía. Un tema particularmente importante ha sido la exportación de criptografía y software y hardware criptográficos. Probablemente debido a la importancia del criptoanálisis en la Segunda Guerra Mundial y a la expectativa de que la criptografía seguiría siendo importante para la seguridad nacional, muchos gobiernos occidentales han regulado estrictamente, en algún momento, la exportación de criptografía. Después de la Segunda Guerra Mundial, era ilegal en Estados Unidos vender o distribuir tecnología de cifrado en el extranjero; de hecho, el cifrado fue designado como equipo militar auxiliar y se incluyó en la Lista de Municiones de Estados Unidos. Hasta el desarrollo de la computadora personal, los algoritmos de clave asimétrica (es decir, técnicas de clave pública) e Internet, esto no fue especialmente problemático. Sin embargo, a medida que Internet creció y las computadoras se hicieron más accesibles, las técnicas de cifrado de alta calidad se hicieron conocidas en todo el mundo.

Controles de las exportaciones

En la década de 1990, la regulación de las exportaciones de criptografía en Estados Unidos se vio afectada por varios desafíos. Después de que el código fuente del programa de cifrado Pretty Good Privacy (PGP) de Philip Zimmermann se filtrara a Internet en junio de 1991, una denuncia de RSA Security (en aquel entonces llamada RSA Data Security, Inc.) dio lugar a una larga investigación penal de Zimmermann por parte del Servicio de Aduanas de Estados Unidos y el FBI, aunque nunca se presentaron cargos. Daniel J. Bernstein, entonces estudiante de posgrado en la Universidad de California en Berkeley, presentó una demanda contra el gobierno de Estados Unidos impugnando algunos aspectos de las restricciones basándose en motivos de libertad de expresión. El caso de 1995 Bernstein contra Estados Unidos dio lugar finalmente a una decisión en 1999 en la que se establecía que el código fuente impreso de los algoritmos y sistemas criptográficos estaba protegido como libertad de expresión por la Constitución de Estados Unidos.

En 1996, treinta y nueve países firmaron el Acuerdo de Wassenaar, un tratado de control de armamentos que regula la exportación de armas y tecnologías de "doble uso", como la criptografía. El tratado estipulaba que el uso de criptografía con longitudes de clave cortas (56 bits para el cifrado simétrico, 512 bits para RSA) ya no estaría sujeto a control de exportación. Las exportaciones de criptografía de los EE.UU. pasaron a estar menos reguladas como consecuencia de una importante flexibilización en el año 2000; ya no hay muchas restricciones sobre el tamaño de las claves en el software de mercado masivo exportado desde los EE.UU. Desde esta flexibilización de las restricciones a la exportación en los EE.UU., y debido a que la mayoría de los ordenadores personales conectados a Internet incluyen navegadores web de origen estadounidense, como Firefox o Internet Explorer, casi todos los usuarios de Internet del mundo tienen acceso potencial a criptografía de calidad a través de sus navegadores (por ejemplo, a través de Transport Layer Security). Los programas de cliente de correo electrónico Mozilla Thunderbird y Microsoft Outlook también pueden transmitir y recibir correos electrónicos a través de TLS, y pueden enviar y recibir correos electrónicos cifrados con S/MIME. Muchos usuarios de Internet no se dan cuenta de que su software de aplicación básico contiene criptosistemas tan amplios. Estos navegadores y programas de correo electrónico son tan omnipresentes que incluso los gobiernos cuya intención es regular el uso civil de la criptografía generalmente no encuentran práctico hacer mucho para controlar la distribución o el uso de criptografía de esta calidad, por lo que incluso cuando dichas leyes están en vigor, la aplicación real a menudo es prácticamente imposible.

Participación de los NSA

NSA en Fort Meade, Maryland

Otro tema polémico relacionado con la criptografía en los Estados Unidos es la influencia de la Agencia de Seguridad Nacional en el desarrollo y la política de cifrado. La NSA participó en el diseño de DES durante su desarrollo en IBM y su consideración por parte de la Oficina Nacional de Normas como un posible estándar federal para la criptografía. DES fue diseñado para ser resistente al criptoanálisis diferencial, una técnica criptoanalítica poderosa y general conocida por la NSA e IBM, que se hizo pública sólo cuando fue redescubierta a fines de la década de 1980. Según Steven Levy, IBM descubrió el criptoanálisis diferencial, pero mantuvo la técnica en secreto a pedido de la NSA. La técnica se hizo pública sólo cuando Biham y Shamir la redescubrieron y anunciaron algunos años después. Todo el asunto ilustra la dificultad de determinar qué recursos y conocimientos podría tener realmente un atacante.

Otro caso de la participación de la NSA fue el caso del chip Clipper de 1993, un microchip de cifrado que se pretendía que formara parte de la iniciativa de control de la criptografía Capstone. Clipper fue ampliamente criticado por los criptógrafos por dos razones. El algoritmo de cifrado (llamado Skipjack) fue clasificado (desclasificado en 1998, mucho después de que la iniciativa Clipper caducara). El cifrado clasificado generó preocupaciones de que la NSA lo hubiera debilitado deliberadamente para ayudar a sus esfuerzos de inteligencia. La iniciativa en su conjunto también fue criticada por su violación del Principio de Kerckhoffs, ya que el esquema incluía una clave de depósito especial en poder del gobierno para su uso por parte de las fuerzas del orden (es decir, para escuchas telefónicas).

Gestión de los derechos digitales

La criptografía es fundamental para la gestión de derechos digitales (DRM), un grupo de técnicas para controlar tecnológicamente el uso de material protegido por derechos de autor, que se está implementando y desplegando ampliamente a instancias de algunos titulares de derechos de autor. En 1998, el presidente estadounidense Bill Clinton firmó la Ley de Derechos de Autor del Milenio Digital (DMCA), que criminalizaba toda producción, difusión y uso de ciertas técnicas y tecnologías criptoanalíticas (conocidas ahora o descubiertas más adelante); específicamente, aquellas que pudieran usarse para eludir los esquemas tecnológicos de DRM. Esto tuvo un impacto notable en la comunidad de investigación criptográfica, ya que se puede argumentar que cualquier investigación criptoanalítica violaba la DMCA. Desde entonces, se han promulgado estatutos similares en varios países y regiones, incluida la implementación en la Directiva de Derechos de Autor de la UE. Se exigen restricciones similares en los tratados firmados por los estados miembros de la Organización Mundial de la Propiedad Intelectual.

El Departamento de Justicia de los Estados Unidos y el FBI no han aplicado la DMCA con el rigor que algunos temían, pero la ley, no obstante, sigue siendo controvertida. Niels Ferguson, un respetado investigador de criptografía, ha declarado públicamente que no publicará parte de su investigación sobre un diseño de seguridad de Intel por miedo a ser procesado en virtud de la DMCA. El criptólogo Bruce Schneier ha argumentado que la DMCA fomenta la dependencia de los proveedores, al tiempo que inhibe las medidas reales en materia de ciberseguridad. Tanto Alan Cox (desarrollador del núcleo de Linux desde hace mucho tiempo) como Edward Felten (y algunos de sus estudiantes en Princeton) han encontrado problemas relacionados con la ley. Dmitry Sklyarov fue arrestado durante una visita a los EE. UU. desde Rusia y encarcelado durante cinco meses en espera de juicio por supuestas violaciones de la DMCA derivadas del trabajo que había realizado en Rusia, donde el trabajo era legal. En 2007, se descubrieron y publicaron en Internet las claves criptográficas responsables de la codificación de contenidos de Blu-ray y HD DVD. En ambos casos, la Asociación Cinematográfica de Estados Unidos envió numerosos avisos de eliminación de contenidos en virtud de la DMCA, y hubo una reacción masiva en Internet provocada por el impacto percibido de dichos avisos en el uso legítimo y la libertad de expresión.

Información forzada de claves de encriptación

En el Reino Unido, la Ley de Regulación de los Poderes de Investigación otorga a la policía británica poderes para obligar a los sospechosos a descifrar archivos o entregar las contraseñas que protegen las claves de cifrado. El incumplimiento es un delito en sí mismo, punible con una pena de prisión de dos años o de hasta cinco años en casos que involucran la seguridad nacional. Se han producido procesos judiciales exitosos en virtud de la Ley; el primero, en 2009, resultó en una pena de 13 meses de prisión. Leyes similares de divulgación forzada en Australia, Finlandia, Francia y la India obligan a los sospechosos individuales bajo investigación a entregar claves de cifrado o contraseñas durante una investigación criminal.

En los Estados Unidos, el caso penal federal de Estados Unidos contra Fricosu abordó si una orden de registro puede obligar a una persona a revelar una contraseña o frase de cifrado. La Electronic Frontier Foundation (EFF) argumentó que esto es una violación de la protección contra la autoincriminación otorgada por la Quinta Enmienda. En 2012, el tribunal dictaminó que, en virtud de la Ley de Todos los Mandatos Judiciales, el acusado estaba obligado a presentar ante el tribunal un disco duro sin cifrar.

En muchas jurisdicciones, el estatus legal de la divulgación forzosa sigue sin estar claro.

La disputa sobre el cifrado entre el FBI y Apple de 2016 se refiere a la capacidad de los tribunales de Estados Unidos para obligar a los fabricantes a colaborar para desbloquear teléfonos móviles cuyo contenido está protegido criptográficamente.

Como posible contramedida a la divulgación forzada, algunos programas criptográficos admiten una negación plausible, en la que los datos cifrados son indistinguibles de los datos aleatorios no utilizados (por ejemplo, los de una unidad que ha sido borrada de forma segura).

Cryptography law in different countries

China

En octubre de 1999, el Consejo de Estado promulgó el Reglamento sobre la administración de la criptografía comercial. Según este reglamento, la criptografía comercial se consideraba un secreto de Estado.

El 26 de octubre de 2019, el Comité Permanente del Congreso Nacional del Pueblo promulgó la Ley de Criptografía de la República Popular China. Esta ley entró en vigor a principios de 2020. La ley clasifica la criptografía en tres categorías:

  • Core cryptography, que es un secreto de estado y adecuado para la información hasta alto secreto;
  • Cifrado ordinario, que también es un secreto de estado y adecuado para la información hasta secreto;
  • criptografía comercial, que protege la información que no es un secreto de estado.

La ley también establece que debería existir un "mecanismo de supervisión tanto en proceso como ex post de la criptografía comercial, que combine la supervisión rutinaria con la inspección aleatoria" (lo que implica que el gobierno chino debería tener acceso a los servidores cifrados). También establece que los proveedores extranjeros de cifrado comercial necesitan algún tipo de aprobación estatal.

Entre los criptosistemas autorizados para su uso en China se encuentran SM2, SM3 y SM4.

Francia

A partir de 2011 y desde 2004, la ley para la confianza en la economía digital [fr] (en francés: Loi pour la confiance dans l'économie numérique; abreviado LCEN) liberalizó en gran medida el uso de la criptografía.

  • Mientras la criptografía se utilice únicamente para fines de autenticación e integridad, se puede utilizar libremente. La clave criptográfica o la nacionalidad de las entidades implicadas en la transacción no importan. Los sitios web típicos del comercio electrónico caen bajo este régimen liberalizado.
  • La exportación e importación de herramientas criptográficas a países extranjeros o desde ellos deben ser declaradas (cuando el otro país es miembro de la Unión Europea) o requiere una autorización explícita (para países fuera de la UE).

India

La sección 69 de la Ley de Tecnología de la Información de 2000 (modificada en 2008) autoriza a los funcionarios del gobierno indio o a los policías a escuchar cualquier llamada telefónica, leer cualquier mensaje de texto o correo electrónico o monitorear los sitios web que cualquier persona visite, sin necesidad de una orden judicial. (Sin embargo, esto es una violación del artículo 21 de la Constitución de la India). Esta sección también permite al gobierno central de la India o a un gobierno estatal de la India obligar a cualquier agencia a descifrar información.

De acuerdo con las Normas de Tecnología de la Información (Directrices para Intermediarios) de 2011, los intermediarios deben proporcionar información a las agencias gubernamentales de la India para fines de investigación u otros fines.

Los titulares de licencias de ISP pueden utilizar libremente claves de cifrado de hasta 40 bits. Más allá de eso, deben obtener un permiso por escrito y depositar la clave de descifrado en el Departamento de Telecomunicaciones.

Según la Circular Maestra de SEBI de 2012 para la Bolsa de Valores o el Mercado de Efectivo (emitida por la Junta de Valores e Intercambio de la India), es responsabilidad de las bolsas de valores mantener la confiabilidad y confidencialidad de los datos mediante el uso de cifrado. Según la guía del Banco de la Reserva de la India emitida en 2001, los bancos deben utilizar al menos SSL de 128 bits para proteger la comunicación entre el navegador y el banco; también deben cifrar los datos confidenciales internamente.

Los productos electrónicos, incluidos los productos criptográficos, son una de las categorías de artículos de doble uso de la Ley de Productos Químicos, Organismos, Materiales, Equipos y Tecnologías Especiales (SCOMET, por sus siglas en inglés; parte de la Ley de Comercio Exterior (Desarrollo y Regulación) de 1992). Sin embargo, esta regulación no especifica qué productos criptográficos están sujetos a controles de exportación.

Estados Unidos

En Estados Unidos, el Reglamento sobre el Tráfico Internacional de Armas restringe la exportación de criptografía.

Véase también

  • Ley de secretos oficiales - (Reino Unido, India, Irlanda, Malasia y anteriormente Nueva Zelandia)
  • Ley de reglamentación de las facultades de investigación de 2000 (Reino Unido)
  • Restricciones a la importación de criptografía
  • Estados Unidos contra Boucher (2009), sobre el derecho de un acusado criminal a no revelar una contraseña
  • FBI-Aplicar disputa de encriptación sobre si los fabricantes de teléfonos celulares pueden verse obligados a ayudar en su desbloqueo

Referencias

  1. ^ Kumar, Pankaj (28 de mayo de 2004). "Criptografía con Java". Pearson. Retrieved 12 de febrero 2013.
  2. ^ Koops, Bert-Jaap (noviembre de 1996). "A survey of cryptography laws and regulations". Computer Law & Security Informe. 6. 12 (6): 349–355. doi:10.1016/0267-3649(96)84928-4. (access restricted to current University of Toronto)
  3. ^ a b c Ranger, Steve (24 de marzo de 2015). "La guerra encubierta en sus secretos de Internet: Cómo la vigilancia en línea rompió nuestra confianza en la web". TechRepublic. Archivado desde el original en 2016-06-12. Retrieved 2016-06-12.
  4. ^ "Overview per country". Crypto Law Survey. Febrero de 2013. Retrieved 26 de marzo 2015.
  5. ^ "6.5.1 ¿Cuáles son las Políticas Criptográficas de algunos países?". RSA Laboratories. Retrieved 26 de marzo 2015.
  6. ^ Rosenoer, Jonathan (1995). "Cryptography " Speech". CyberLaw."Copia fija". Archivado desde el original el 1 de diciembre de 2005. Retrieved 23 de junio 2006.{{cite web}}: CS1 maint: copia archivada como título (link)
  7. ^ "Caso cerrado en la investigación de Zimmermann PGP". Comité Técnico de Seguridad y Privacidad de IEEE14 de febrero de 1996. Retrieved 26 de marzo 2015.
  8. ^ a b c Levy, Steven (2001). Crypto: How the Code Rebels Beat the Government—Saving Privacy in the Digital Age. Penguin Books. p. 56. ISBN 978-0-14-024432-8. OCLC 244148644.
  9. ^ "Bernstein v USDOJ". Electronic Privacy Information Center. Tribunal de Apelaciones de los Estados Unidos para el Noveno Circuito. 6 de mayo de 1999. Retrieved 26 de marzo 2015.
  10. ^ "Lista de uso final – Categoría 5 – Parte 2 – "Seguridad de información" (PDF). Acuerdo de Wassenaar. Retrieved 26 de marzo 2015.
  11. ^ ".4 Estados Unidos Cryptography Export/Import Laws". RSA Laboratories. Retrieved 26 de marzo 2015.
  12. ^ Schneier, Bruce (15 de junio de 2000). "The Data Encryption Standard (DES)". Crypto-Gram. Retrieved 26 de marzo 2015.
  13. ^ Coppersmith, D. (mayo de 1994). "La Estándar de Encriptación de Datos (DES) y su fuerza contra los ataques" (PDF). IBM Journal of Research and Development. 38 3): 243–250 doi:10.1147/rd.383.0243. Retrieved 26 de marzo 2015.
  14. ^ Biham, E.; Shamir, A. (1991). "Differential cryptanalysis of DES-like cryptosystems". Journal of Cryptology. 4 (1): 3–72. doi:10.1007/bf00630563. S2CID 206783462.
  15. ^ "La Ley de Derechos de Autor del Milenio Digital de 1998" (PDF). Oficina de Derechos de Autor de los Estados Unidos. Retrieved 26 de marzo 2015.
  16. ^ Ferguson, Niels (15 de agosto de 2001). "Censura en acción: por qué no publico mis resultados HDCP". Archivado desde el original el 1 de diciembre de 2001. Retrieved 16 de febrero 2009.
  17. ^ Schneier, Bruce (2001-08-06). "El arresto del investigador de computación es el arresto de derechos de primera enmienda". InternetWeek. Retrieved 2017-03-07.
  18. ^ Doctorow, Cory (2 de mayo de 2007). "Los usuarios de Digg se rebelan sobre la tecla AACS". Boing Boing. Retrieved 26 de marzo 2015.
  19. ^ "UK Data Encryption Disclosure Law Takes Effect". PC World1o de octubre de 2007. Archivado desde el original el 20 de enero de 2012. Retrieved 26 de marzo 2015.
  20. ^ Williams, Christopher (11 de agosto de 2009). "Dos condenados por negarse a descifrar datos". El Registro. Retrieved 26 de marzo 2015.
  21. ^ Williams, Christopher (24 de noviembre de 2009). "UK jails schizophrenic for refusal to decrypt files". El Registro. Retrieved 26 de marzo 2015.
  22. ^ Ingold, John (4 de enero de 2012). "Password case reframes Quinta Enmienda derechos en contexto del mundo digital". The Denver Post. Retrieved 26 de marzo 2015.
  23. ^ Leyden, John (13 de julio de 2011). "La prueba de la corte estadounidense para los derechos de no entregar claves criptográficas". El Registro. Retrieved 26 de marzo 2015.
  24. ^ "Order Granting Application under the All Writs Act Requiring Defendant Fricosu to Assist in the Execution of previously Issued Search Warrants" (PDF). Tribunal de Distrito de los Estados Unidos para el Distrito de Colorado. Retrieved 26 de marzo 2015.
  25. ^ a b c Chen, Jihong (2020-10-01). "Regulación y desregulación: comprensión de la evolución del régimen jurídico criptográfico chino de la nueva Ley de Cryptografía de China". International Cybersecurity Law Review. 1 (1–2): 73–86. doi:10.1365/s43439-020-00003-6. ISSN 2662-9739. S2CID 224858334.
  26. ^ a b c d Taylor, Monique (2022). "Autoritarismo digital en la era Xi Jinping". Autoritarismo digital de China: Una perspectiva de gobernanza. Cham: Springer International Publishing. pp. 63–85. doi:10.1007/978-3-031-11252-2_4. ISBN 978-3-031-11252-2. Retrieved 2022-12-23.
  27. ^ Martinkauppi, Louise Bergman; He, Qiuping; Ilie, Dragos (junio 2020). "Sobre el diseño y el rendimiento de los algoritmos ciritmicos aprobados por la OSCCA". 2020 13a Conferencia Internacional sobre las Comunicaciones (COMM). pp. 119–124. doi:10.1109/COMM48946.2020.9142035. ISBN 978-1-7281-5611-8. S2CID 220668639.
  28. ^ "Legifrance.gouv.fr - Loi pour la confiance dans l'économie numérique (LCEN)". www.legifrance.gouv.fr (en francés). Retrieved 14 de junio 2011.
  29. ^ a b c d e f g h Parvathy, A.; Singh, Vrijendra; Choudhary, Ravi Shankar (2013). "Problemas legales que involucran la críptografía en la India". VIDHIGYA: The Journal of Legal Awareness. 8 (1): 1–11.
  30. ^ "Sí, está permitido el snooping". Indian Express. 6 de febrero de 2009. Archivado desde el original el 23 de diciembre de 2022. Retrieved 23 de diciembre 2022.
  • Bert-Jaap Koops' Crypto Law Survey - leyes y regulaciones existentes y propuestas sobre criptografía
Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle