Recomiendo:
0

La ofensiva del FBI para exigir puertas traseras en los sistemas encriptados no es nueva para los expertos en seguridad

Fuentes: Wired.com

Traducido para Rebelión por Ricardo García Pérez

Según una noticia publicada en The New York Times , el FBI pretende ahora exigir que todos los sistemas de comunicaciones encriptadas tengan puertas traseras ( backdoors ) para facilitar la vigilancia, cosa que a los principales expertos del país en criptografía suena a una batalla que ya han librado con anterioridad.

Allá por la década de 1990, en lo que se recuerda como las criptoguerras ( crypto wars ), el FBI y la Agencia de Seguridad Nacional estadounidense (NSA, National Security Agency) sostenían que la seguridad del país correría peligro si no se instauraba algún medio de espionaje para acceder a mensajes de correo electrónico encriptados, la mensajería de móviles y las llamadas telefónicas. Tras una batalla prolongada, el círculo de expertos en seguridad se impuso después de recabar estudios técnicos e investigaciones detalladas que concluían que la seguridad nacional era en realidad más fuerte gracias al uso generalizado de la encriptación para proteger los ordenadores y las comunicaciones oficiales y de empresas sensibles.

Ahora el FBI propone implantar un requisito similar que requeriría que los proveedores de servicios de Internet, y tal vez incluso a los fabricantes de software , sólo ofrezcan comunicación encriptada siempre que las empresas dispongan de un modo de desencriptar los mensajes.

Según el reportaje del The New York Times que destapó la iniciativa, el FBI citaba el caso de un gánster que utilizaba comunicaciones encriptadas, en cuya oficina tuvo que introducirse a hurtadillas para instalar un micrófono. Uno de los problemas citados era RIM, el fabricante de dispositivos Blackberry que ofrece comunicaciones de correo electrónico encriptadas para empresas y organismos oficiales y que ha recibido presiones de la India y de Emiratos Árabes Unidos para ubicar sus servidores en esos países.

Según la propuesta, toda empresa que desarrolle su actividad en Estados Unidos no podría establecer un sistema de comunicaciones encriptadas sin disponer de algún mecanismo de acceso para cuando el gobierno ordenara a la empresa desencriptarlo, y quienes en la actualidad ofrecen ese tipo de servicios tendrían que volver a instalarlo. Es el equivalente de los rumores al margen de la ley, pero en la vida real.

Los criptógrafos sostienen desde hace mucho tiempo que las puertas traseras no son una prestación; constituyen simplemente un agujero en la seguridad que, inevitablemente, será aprovechado por hackers o por gobiernos hostigadores.

La propuesta también contradice un informe de 1996 del Consejo Nacional de Investigación estadounidense (NSC, National Research Council) solicitado por el Congreso que concluía que la exigencia de instaurar puertas traseras no era una medida sensata para el gobierno.

«Aunque el uso de las tecnologías de encriptación no representa la panacea para todos los problemas de seguridad de la información, creemos que la adopción de nuestras recomendaciones conduciría a una mejora de la protección y la privacidad para individuos y empresas en muchos aspectos, que abarcan desde las conversaciones a través de teléfonos móviles y otros dispositivos inalámbricos hasta la transmisión electrónica de documentos económicos o empresariales sensibles», afirmó Kenneth W. Dam, presidente del comité del Congreso y profesor de derecho estadounidense y extranjero en la Universidad de Chicago. «Es cierto que la proliferación de las tecnologías de encriptación ampliará la labor de las autoridades responsables de desarrollar determinadas actividades de inteligencia y vigilancia del cumplimiento de la ley. Pero las abundantes ventajas de que la utilización privada y comercial generalizada de la criptografía presenta para la sociedad superan a los inconvenientes.»

Además, según los datos de la propia administración, los casos en que la encriptación acaba topando con quienes se ocupan de velar por el cumplimiento de la ley son extremadamente inusuales. En el año 2009, por ejemplo, el gobierno recabó autorización para 2.376 escuchas y sólo encontró mensajes encriptados en una ocasión; y logró acceder al contenido de las comunicaciones. Las estadísticas de otros años no dan muestra de ningún tipo de problema para el gobierno.

Jim Dempsey, director para la costa este estadounidense del Centro para la Democracia y la Tecnología (CDT, Center for Democracy and Technology), ha declarado a Wired.com que el FBI dice ahora que las cifras están equivocadas; y que presentarán otras nuevas en primavera.

Pese a eso, el FBI dice que su capacidad para espiar podría verse mermada si el Congreso estadounidense no exige a las empresas que ofrecen servicios de encriptación que remodelen los sistemas existentes, de tal modo que las empresas dispongan de algún mecanismo para espiar las comunicaciones.

El FBI no devolvió una llamada con la que se pretendía obtener alguna declaración, pero Valerie Caproni, asesora general del FBI, declaró a The New York Times que las empresas «pueden garantizar un mecanismo de encriptación sólido. Lo único que tienen que tienen que resolver es cómo ofrecernos darnos mensajes sin formato».

Aunque el alcance de la propuesta no está claro, se diría que quienes se fija como blanco son Hushmail, Skype, RIM y PGP, empresas que ofrecen todas ellas servicios de encriptación para permitir que sus usuarios se comuniquen sin miedo a ser escuchados por la empresa que les presta el servicio, los hackers , los delincuentes, los competidores de empresas rivales o los gobiernos (autoritarios o no).

También hay una serie de paquetes de software de código abierto que podrían quedar igualmente arrasados por la propuesta, entre los que se encuentran OpenPGP (un protocolo abierto para enviar mensajes de correo electrónico encriptados), TOR (un sistema para ocultar el origen del tráfico de Internet) y OTR (un sistema de encriptación de mensajería de móviles).

Matt Blaze, profesor de Ciencias de la Computación de la Universidad de Pensilvania y criptógrafo experto que fue coautor de un artículo publicado en 1988 sobre las limitaciones técnicas de exigir puertas traseras en criptografía, afirma sentirse un tanto confuso ante el regreso del sueño de las habilitaciones para la vigilancia perfecta.

«Ahora parece una batalla mucho más desconcertante en muchos aspectos», señaló Blaze. «En la década de 1990 el gobierno trataba de impedir algo necesario, bueno e inevitable.»

«En este momento tratan de retrotraernos a algo ya pasado y en lo que la gente confía», comentaba Blaze.

Pocos usuarios de la red son conscientes de que dependen de la criptografía a diario. Las compras a través de Internet, por ejemplo, descansas sobre navegadores y servidores que se comunican utilizando el protocolo de Capa de Conexión Segura (SSL, Secure Sockets Layer). Los funcionarios oficiales, las ONG y las empresas utilizan sistemas de encriptación de correo electrónico concebidos por RIM y PGP para mantener a buen recaudo la protección de secretos diplomáticos, documentos empresariales confidenciales y comunicaciones sobre derechos humanos. No está claro cómo se van a mantener esos servicios, puesto que operan permitiendo que cada usuario cree claves de desencriptación especiales en sus propios equipos, de tal modo que nadie, ni siquiera PGP o RIM, puedan desencriptar los mensajes si se propusieran hacerlo. En el caso de PGP, la empresa ni siquiera gestiona un servidor de correo.

Skype enruta las llamadas mediante conexiones P2P para poder ofrecer llamadas gratuitas a través de Internet y utiliza sistemas de encriptación para impedir que los ordenadores intermedios puedan escuchar la conversación. Según las normas que propone el FBI, toda esa arquitectura sería ilegal. Las llamadas que se determinara tendrían que ser enrutadas pasando por Skype.

«Ilegalizarían Skype», apuntaba Peter Neumann, un científico que declaró ante el Congreso en la década de 1990 con motivo de la propuesta anterior.

«Los argumentos no han cambiado», declara Neumann. «El 11 de septiembre fue algo que se predijo con mucha antelación y no ha alterado el hecho de que si se pretenden realizar labores de vigilancia generalizadas sirviéndose de la capacidad para desencriptar, aun con garantías legales, tendrían que hacerse con una supervisión tremendamente cuidadosa. Dado que no tenemos sistemas informáticos que sean seguros, la idea de que dispondremos de la supervisión adecuada es inalcanzable.»

«El asunto de la encriptación tiene consecuencias críticas», añadía Neumann.

El mismo Dempsey de CDT, que pasó años trabajando en el Capitolio sobre cuestiones de política digital, afirma que el asunto no llegará al Congreso hasta el año próximo y, como depende de la votación, podría sufrir un revés de los republicanos, sobre todo si se tiene en cuenta que el movimiento del Tea Party está impulsado en pate por la desconfianza hacia un gobierno con muchas atribuciones.

Para los defensores de la encriptación lo más importante es que el gobierno exponga con detalle qué problemas tiene y cuál es la solución que propone.

En la década de 1990, la NSA creó el Chip Clipper con la intención de que las empresas de telecomunicaciones lo utilizaran para cifrar las llamadas telefónicas. La NSA se negó en un principio a permitir que nadie ajeno a la agencia viera el chip, que disponía de una puerta trasera accesible para el gobierno.

«Nosotros, esto es Matt Blaze, Peter Neumann y Steven Bellovin [profesor de la Universidad de Columbia] les pedimos que nos mostraran los detalles», señaló Dempsey. «Luego Matt descifró el Chip Clipper.»

Aquello puso fin a la propuesta.

«Sin ánimo de ofender a Matt, hay 10.000 personas capaces de hacer lo que hizo él, y lo que me preocupa es que la mitad trabaja para grupos de hackers de Moldavia fuera de la ley», declaró Dempsey.

Otra preocupación es que los requisitos para realizar escuchas mediante el software tienen cierta tendencia a ser aplicados no sólo por gobiernos respetuosos con la ley. Nokia y Siemens, por ejemplo, sufrieron varias acometidas el año pasado por vender a Irán equipamiento de telecomunicaciones que disponía de la prestación de realizar escuchas en teléfonos móviles a voluntad. Sumido en todo aquel galimatías se daba la circunstancia, además, de que las prestaciones sofisticadas para las escuchas se convirtieron en algo normal para la tecnología gracias a la normativa CALEA (Communications Assistance to Law Enforcement Act, Auxiliar de Comunicaciones para el Cumplimiento de la Ley) del gobierno estadounidense, que exige que todos los sistemas telefónicos, y ahora las redes de banda ancha, incluyan dichas prestaciones.

Blaze dice que la propuesta sólo le deja confuso.

«Si se trata de desaconsejar el uso de la encriptación en términos generales, la idea contraviene la actitud política de esta administración y de las dos que le precedieron», señala Blaze. «Debemos proteger la infraestructura informativa del país. Asistí a una reunión en la Casa Blanca y las mismas autoridades que respaldan esto ahora hablaban de introducir de forma generalizada el protocolo DNSSEC [una tecnología que protege el sistema de clausura de Internet frente a los hackers ].

«Así pues, ¿cómo se conjuga esto con la política de suprimir de forma masiva los sistemas de encriptación?», preguntaba Blaze.

Fuente: http://www.wired.com/threatlevel/2010/09/fbi-backdoors/