El año
1997 será recordado como el año en que el debate sobre la política de codificación
dejó de ser "arcano". La cobertura de las controversias sobre los controles de
codificación internos y externos se convirtió en noticia de primera plana. Al escuchar o
al leer sobre estos temas, uno podría pensar que la controversia de la codificación es
un fenómeno relativamente nuevo. No es así. El debate político de Estados Unidos ya
lleva una década, con sus orígenes en las controversias de la década del '80 con
respecto a la participación de la Agencia Nacional de Seguridad en la seguridad civil
informática y en las normas de codificación.
Lo novedoso en el debate de Estados Unidos es la concentración en los
controles internos aplicados al desarrollo, venta y utilización de codificación. Las
primeras fases del debate apuntaron esencialmente a los controles de exportación, y no a
la reglamentación interna "de jure" de los productos y tecnologías de
codificación. En realidad, los controles a la exportación siempre han afectado la oferta
interna y la utilización de la codificación porque los productores son más proclives a
producir bienes "exportables" que productos limitados al mercado de Estados
Unidos. De esta forma, el apalancamiento de los controles de exportación ha actuado como
apalancamiento de los controles internos "de facto". No obstante, hasta hace
poco tiempo no existían iniciativas o proyectos políticos propuestos destinados a
regular la codificación en Estados Unidos. A partir de este trabajo (febrero 1998)
ninguna legislación sobre control interno ha llegado a las Cámaras del Congreso.
El Dilema de la Codificación
La criptografía ha representado durante mucho tiempo una conflictiva área de la
política, siendo la codificación un aspecto muy especial de ese tema. Los gobiernos han
utilizado históricamente los controles de exportación a los productos de la
criptografía para controlar el uso de la criptografía -en especial, la utilización de
la codificación con fines confidenciales- respetando a individuos y organizaciones de
Estados Unidos y de todo el mundo. Estas reglamentaciones centradas en las exportaciones
fueron elaboradas con el fin de que funcionaran bien en Estados Unidos y la mayoría de
los gobiernos no buscaba el uso interno o los controles de importación a la
codificación.
No obstante, las cosas han cambiado. Los principales clientes de los productos de
seguridad criptográfica eran los gobiernos, los bancos y las empresas muy importantes.
Ahora ha llegado finalmente el momento de la criptografía, en términos de posibilidad
técnica y de demanda. La migración de la criptografía al mercado masivo tiene sus
paralelos en los marcos operados por staffs de elite en cuartos cerrados con
microprocesadores instalados en aparatos domésticos de uso generalizado. Las aplicaciones
de la criptografía serán así: integradas, ubicuas y transparentes. La tecnología
moderna pondrá la codificación en manos de decenas y cientos de millones de personas. Se
trata de grandes emprendimientos.
La oportunidad y utilidad de la codificación para el mundo globalizado de hoy es lo que
otorga tanta intensidad a las controversias e intereses políticos actualmente. En Estados
Unidos (y tal vez, en todas partes), el debate se ha polarizado tanto que, a primera
vista, parece imposible encontrar una solución razonable al dilema de la política de
codificación. Pero un impasse no representa de ninguna manera un resultado satisfactorio.
La permanente inseguridad y demora conllevan un tremendo costo para el hardware de
computación y para las industrias del software y sus trabajadores, así como para los
consumidores que quedan indefensos frente al avance de la información.
Esto no debería suceder. Si nuestro deseo es el de trabajar juntos hacia un objetivo
común, podemos estar más cerca de la solución de lo que imaginamos. Esa solución
debería establecer un equilibrio adecuado entre los intereses económicos, los intereses
del gobierno y los intereses personales. Dicha solución "intermedia" puede
evitar los extremos presentados por las diversas propuestas legislativas de Estados Unidos
en forma de proyecto y podría obviar la necesidad de nuevas reglamentaciones internas
sobre la codificación.
Una solución intermedia para el dilema de la codificación
Durante más de veinticinco años, el gobierno de Estados Unidos ha enfrentado una
tensión fundamental entre dos objetivos:
. otorgar amplia disponibilidad a las garantías de la información basada en
codificación de forma de que las personas, empresas y organizaciones honestas puedan
protegerse del accionar delictivo; y
. restringir la proliferación de la codificación para que no sea utilizada por
potencias, terroristas y criminales extranjeros.
Hasta hace muy poco, Estados Unidos optó por equilibrar dicha tensión a través de
reglamentaciones del Ministerio de Relaciones Exteriores en materia de exportación que
controlaban los productos de codificación como las municiones.
Durante la última década, tanto por razones tecnológicas y económicas, dicho
equilibrio reglamentario se volvió obsoleto e inadecuado. Durante la década del 90,
hemos visto que el desequilibrio entre los controles a la exportación de codificación y
la realidad del mercado global se ha vuelto más y más doloroso para industrias y
consumidores y para los mismos reglamentadores.
No obstante, el fallido "Clipper Chip" y las iniciativas del gobierno de Estados
Unidos polarizaron en gran medida el debate sobre la mejor forma de "modernizar"
los controles a la exportación de codificación. Clipper y sus consecuencias han renovado
e intensificado el interés público sobre el uso de controles a la exportación con el
fin de establecer controles internos al uso y/o suministro de codificación. Esta
polarización ha planteado, por una parte, la necesidad de desregulación de las
exportaciones de codificación y, por el otro, la incapacidad de hacerlo, tratando de
retener el antiguo marco regulatorio.
Si prevaleciera unilateralmente alguno de estos aspectos, o si el impasse político
persistiese, todos nosotros (y nuestros hijos y nietos) perderíamos. Pero hay esperanzas,
porque estamos cerca de un mejor resultado. La tecnología puede contribuir a lograr una
aceptable solución intermedia que evitar sacrificar la intimidad personal o la seguridad
nacional y la seguridad pública, como en una solución de "todo o nada".
Durante 1993-94 hubo una fuerte crítica pública contra la propuesta del gobierno de
Estados Unidos conocida como "Clipper Chip". A pesar de los comentarios casi
completamente negativos del público y la industria sobre Clipper y el intento del Poder
Ejecutivo de controlar las claves de codificación, Clipper quedó promulgada como una
Norma Federal de Procesamiento de Información (FIPS) que, en última instancia, no
resultó eficaz y ha quedado en desuso. Durante el mismo período, la entonces diputada
María Cantwell y la senadora Patty Murray presentaron proyectos legislativos tendientes a
la supresión de los controles de exportación a los productos masivos de software que
contuviesen codificación. A pesar del enérgico respaldo dado por el sector industrial,
esa legislación nunca llegó a ser tratada en el recinto de las cámaras.
Estos resultados evidencian claramente que una solución "extrema" -demasiado
ponderada por ambas partes del debate- no resulta practicable. Si nuestra intención es la
de integrar la codificación a las empresas y particulares honestos, debemos contar con
una solución técnica que reconozca los intereses legítimos de ambas partes del debate y
que permita un uso generalizado de la codificación preservando, al mismo tiempo, la
capacidad de aplicación de las normas con el fin de operar bajo órdenes judiciales
legalmente autorizadas.
Con esa finalidad, existe una diferencia esencial entre la "preservación" de la
capacidad de aplicación de las normas con el fin de operar de acuerdo con las facultades
existentes y la "creación" o "extensión" de las facultades para el
acceso del gobierno. Para que una solución intermedia funcione, todas las partes deberán
reconocer la necesidad de una solución que funcione dentro del estado de derecho y que
esté sujeta a revisión judicial. El acceso por parte del gobierno a la información
codificada únicamente debería ser posible a través de medios que resulten comprensibles
para el público, y en base a las normas del estado de derecho, y no a través de
"puertas traseras" u otras capacidades "ad hoc".
Resulta preocupante que durante una audiencia celebrada ante la Subcomisión de
Telecomunicaciones, Comercio y Protección del Consumidor en septiembre de 1997, un
co-auspiciante del proyecto en consideración fue consultado acerca de su opinión sobre
cómo la Resolución de la Cámara N° 695 se ajustaría a los requisitos de seguridad
nacional y cumplimiento de las leyes en el caso de ser sancionada. Ella sugirió que la
aplicación de las leyes podría utilizar "medios solapados" o producir defectos
de seguridad para permitir el acceso a los contenidos de las comunicaciones y archivos
codificados, en lugar de obtener el acceso vía recuperación de claves de acuerdo con una
orden judicial.
Seguramente, es preferible permitir accesos autorizados a través de un proceso
establecido que estar sometido a la revisión judicial. Los "medios solapados"
no deberían ser considerados los más apropiados para mantener la aplicación de las
normas y las capacidades de seguridad pública o para que la Cuarta Enmienda ingrese en la
era electrónica.
Una excesiva dependencia en las "puertas traseras" para el acceso del gobierno a
través de la líneas de "encuéntrelas y explótelas" tampoco resulta una
solución viable. Aún cuando los productores trabajen junto con el gobierno para permitir
un acceso legítimo a través de estos medios, los mismos también podrán ser hallados y
explotados por otros, incluyendo delincuentes, terroristas y hasta competidores
comerciales. Ni los clientes nacionales ni los extranjeros podrán confiar demasiado en
productos de los que sospechan que tienen "puertas traseras" dentro de ellos que
nadie podrá utilizar ni explotar a voluntad.
Dado que los productos son realizados con el fin de respaldar nuestra infraestructura
on-line, deberían ser sumamente seguros. El acceso por parte del gobierno debería
lograrse únicamente por medios que resulten comprensibles para los usuarios y que estén
regidos por el estado de derecho. La creación de productos sospechados de tener
"puertas traseras" o defectos para ajustarse a los requisitos legales van a
minar la confianza del consumidor y a perjudicar el mercado en general. Nuevamente, todos
perderemos.
La simple supresión de los controles de exportación no solucionará el problema
Un 25 de mayo de 1997, una editorial del Washington Post sintetizó correctamente el tema
fundamental en discusión: "La verdadera cuestión radica en saber si la
codificación plantea una amenaza significativa a la seguridad nacional. Si lo creemos
así, y pensamos que sería irresponsable suponer lo contrario, entonces no basta con
declarar el derecho a la privacidad. Al menos habría que tratar de minimizar la
intromisión con respecto a dicho derecho preservando a la vez las aptitudes para manejar
dicho peligro potencial. Ni la Resolución 695 ni los representantes del Congreso o de la
Administración han establecido este punto de vista en forma convincente".
Las críticas a dicha editorial dejaron de lado el tema decisivo de la seguridad nacional
que constituye el punto clave. Los críticos simplemente repetían la expresión de casi
toda la década según la cual "se venía el mundo abajo", con argumentos de la
industria del software. Lamentablemente, estas tácticas puramente económicas ignoran los
otros intereses legítimos en juego y también pierden eficacia.
Por el contrario, el NRC (Consejo Nacional de Investigación) publicó un informe esencial
en 1996 sobre "El Rol de la Codificación en garantizar la Sociedad de la
Información" (CRISIS). La comisión investigadora de CRISIS estaba integrada por
dieciséis especialistas. Dicha comisión reveló que el uso difundido de la codificación
resulta inevitable a largo plazo, y que sus ventajas superan ampliamente a sus
desventajas. De esta manera, concluyeron que "los intereses generales del gobierno y
de la nación estarían mejor cumplidos por una política que favorezca una
"transición sensata" hacia el uso difundido de la codificación.
El estudio del NRC de 18 meses de duración que produjo el informe de CRISIS fue realizado
a pedido del Congreso de Estados Unidos. Contenía la serie más amplia de recomendaciones
en materia de codificación existente en la actualidad. La primera de ellas era la
siguiente:
- Ninguna ley podrá prohibir la producción, venta o utilización de ninguna forma de
codificación dentro de Estados Unidos.
- La política de codificación nacional deberá ser desarrollada por las ramas
legislativa y ejecutiva sobre la base del debate público y estará regida por el estado
de derecho.
- La política nacional de codificación que afecte el desarrollo y utilización de la
codificación comercial deberá seguir las fuerzas del mercado.
- Los controles a la exportación en materia de codificación deberán ser progresivamente
reducidos pero no serán suprimidos.
Si bien el informe data de dos años atrás, dichas recomendaciones siguen siendo
oportunas y adecuadas en la actualidad. En realidad, son completamente compatibles con los
principios sociales que han seguido guiando nuestro desarrollo de los productos de la
codificación, el primero de los cuales es: Sin controles internos a la codificación. En
todo tiempo, en todo lugar.
Quienes tratan de eliminar los controles de exportación a la codificación ignoran las
inquietudes expresadas por el Washington Post, el NRC y otros especialistas según las
cuales, si bien los productos con codificación pueden contribuir a la protección de la
información valiosa, también pueden causar serios daños a las sociedades civilizadas si
están en manos de terroristas y delincuentes.
El dilema que enfrentamos en la actualidad es cómo fomentar el uso de la codificación
para propósitos honestos sin convertirnos en víctimas de su uso deshonesto. Ahora
contamos con una solución técnica intermedia que permite que algunos de los vínculos
"de facto" entre la reglamentación de las exportaciones y los mercados internos
jueguen a favor de los consumidores.
Pensemos qué podría suceder si se eliminaran todos los controles a las exportaciones con
respecto a la codificación. Los primeros efectos serían, indudablemente, muy positivos,
aumentando las posibilidades de codificación integrada a una amplia gama de productos
extranjeros de software. La calidad de las redes de información mejoraría rápidamente y
nuestra confianza en su integridad y seguridad aumentaría dramáticamente. Estos son
efectos deseados y necesarios.
No obstante, tarde o temprano, estos mismos productos con gran codificación serán
utilizados en una o varias actividades terroristas o criminales. Cuando su uso salga a la
luz, existirá una gran demanda pública lamentando esta situación y exigiendo que nunca
vuelva a producirse. En dicha atmósfera, nuestro gobierno (y otros), habiendo eliminado
los controles a las exportaciones, tendrá que recurrir a diversos controles internos
sobre el uso de codificación - controles draconianos que nadie toleraría en la
actualidad.
Si nuestra única opción para obtener una buena codificación generalmente disponible
fuese la prohibición total de los controles a las exportaciones, tal vez el riesgo de la
situación anterior sería el que deberíamos afrontar. Esta era la opción que teníamos
hace algunos años atrás. Pero ahora existen otras alternativas mejores.
La recuperación de claves controladas puede ayudar a resolver el problema
Durante los últimos tres años, los funcionarios de nuestra empresa han presionado mucho
para que se atenúen los controles de exportación a los productos codificados con la
inclusión de un proceso de recuperación de claves "controladas por el
usuario". El reconocimiento por parte del gobierno de Estados Unidos efectuado en
octubre de 1996 según el cual la recuperación de claves es un medio viable para el
control de las exportaciones representa un gran avance en la política del gobierno en un
área que ha rechazado todo tiempo de cambios.
La recuperación de claves "controlada por el usuario" suministra una red de
seguridad para los usuarios de productos codificados. La codificación es esencial para la
protección de la información vital de una organización pero también plantea un serio
riesgo de que la información sea "preservada y perdida" para siempre a través
de las acciones maliciosas o negligentes de los empleados. Las empresas están advirtiendo
que deben contar con una forma sistemática de recuperar la información codificada si
desean actuar responsablemente con respecto a accionistas y terceros.
La criptografía constituye la tecnología fundamental para la seguridad de la
información: la codificación preserva la "confidencialidad" de los mensajes,
archivos y transacciones electrónicas; la autenticación de mensajes y firmas digitales
controlan la "integridad" de la información electrónica y verifican la
"autenticidad" de su origen. Pero la empresa que utiliza mucho la criptografía
sin un mecanismo de recuperación para las claves de codificación enfrenta tiempos
difíciles cuando uno de los empleados se enferma o se retira. Resulta esencial contar con
alguna forma de sistema de recuperación de claves para casos de emergencia que sea de
propiedad y control del usuario si queremos que la criptografía ofrezca la utopía de
seguridad que todos buscamos.
La recuperación de claves puede garantizar el tercer componente de la seguridad de
información: "disponibilidad". La recuperación de claves preserva la
disponibilidad de información, evitando la pérdida de datos cuando es dañada o
destruída o resulta inaccesible la información codificada. En síntesis, un sistema de
recuperación de claves permite al creador de un documento o archivo la codificación del
material y tener una "clave de repuesto" para decodificar esa información para
su propio uso o para otros debidamente autorizados, en caso de ser necesario. Esto puede
hacerse sin necesidad de una infraestructura elaborada o de bases de datos centrales de
claves de usuarios y "sin copias de todas las claves a disposición del
gobierno" como una condición de su uso.
La esencia de este enfoque radica en que se trata de un proceso de "control del
usuario" que resulta atractivo para los usuarios y que ofrece un valor comercial para
ellos. Resulta flexible, gradual y fácil de implementar a través de plataformas y
aplicaciones. No es necesario ninguna infraestructura para la administración de claves;
tampoco se requiere una infraestructura pública federal tipo "paraguas".
Si se los utiliza con frecuencia, los sistemas de recuperación de claves con control del
usuario también pueden cubrir necesidades gubernamentales legítimas, como la necesidad
de cumplimiento de las normas para recuperar información durante una investigación
penal. Los sistemas que gozan de una fácil exportabilidad con el fin de promover su
utilización en este país y en el exterior. De esta manera, la recuperación de claves
puede permitir un mejor nivel reglamentario. No obstante, hasta que se supere el actual
estancamiento de la política actual, los verdaderos perdedores en este lucha son las
personas que cumplen con la ley y las organizaciones que seguirán sin contar con las
garantías que brinda la codificación en cuanto a información fácilmente disponible y
de costos convenientes.
Las buenas noticias son que todos necesitamos recurrir a soluciones de recuperación de
claves con control del usuario. No debemos esperar el diseño o construcción de
infraestructuras centralizadas. Los sistemas descentralizados de recuperación de claves
que eligen los usuarios y el control por parte de ellos son condiciones actualmente
disponibles. Trusted Information Systems ha ofrecido este servicio a sus clientes desde
1996 y ha participado de los proyectos piloto de la Comunidad Europea que exploran el uso
de la recuperación de claves.
No deberíamos vincular la recuperación de claves con la Infraestructura Pública
de Claves
En forma desalentadora, algunos de la Administración Clinton y algunos del Congreso de
Estados Unidos están tratando de vincular los sistemas de recuperación de claves con
alguna forma de infraestructura de administración de claves con aprobación del gobierno.
Dichas acciones sólo contribuyen a enfatizar que el gobierno intenta imponer la
recuperación de claves o "imponer al público la acción de agentes de
recuperación".
La mayoría de los sistemas de recuperación pueden y de hecho funcionan muy bien en
conjunción con una infraestructura pública de claves. Los intentos del Gobierno por
imponer un vínculo entre ambos resulta innecesario. Po lo tanto, no apoyamos aquellas
propuestas de la Administración referidas a la imposición de vínculos entre la
recuperación de claves y la emisión de certificación por parte de las autoridades de
certificación "con aprobación gubernamental".
Las soluciones de recuperación de claves que hallen la aceptación del mercado deben
estar dirigidas al mercado y ser desarrolladas por la industria con el fin de satisfacer
las necesidades de los clientes. Los sistemas diseñados por el gobierno o sistemas así
limitados por los requisitos gubernamentales que no puedan ofrecer un valor suficiente a
los usuarios perderán inevitablemente la aceptación del mercado.
Además, aún aceptando en principio el deseo de incentivar el uso de la recuperación de
claves con el fin de lograr los objetivos de seguridad pública y seguridad nacional, es
tiempo de lograrlo reforzando los vínculos entre la recuperación de claves y las
autoridades de certificación de llaves públicas, o mediante reglamentaciones de
productos que exigen características de recuperación de claves en productos que serán
fabricados, vendidos o distribuídos internamente.
Los temas de interés público que se vinculan con el uso de la criptografía a los fines
de obtener confidencialidad no son los mismos temas de interés público referidos a la
autenticación y firmas digitales para el comercio electrónico. Los temas políticos
también se diferencian. Tratar de establecer una infraestructura de claves públicas,
donde el uso de "recuperación de claves" es un prerrequisito de la
participación, da lugar a intereses públicos y agrega complejidad al tema.
Las tecnologías criptográficas cambian rápidamente y los mercados son todavía nuevos y
frágiles. El comercio electrónico aún se encuentra en una etapa inicial. El mercado
puede hacer grandes progresos en términos de rendimiento, precio e interoperabilidad en
los próximos años. No es momento de cristalizar ese progreso alrededor de un punto de
vista particular de un gobierno, y eso podría obtenerse a través de un marco regulatorio
conjunto de recuperación/certificación y/o de reglamentaciones internas de productos de
codificación.
Dichas reglamentaciones ahogarían a la innovación y a la variedad en forma completamente
inoportuna. Las tecnologías de recuperación de claves y del comercio electrónico aún
están evolucionando, de una forma útil y excitante: estamos logrando avances en cuanto a
interoperabilidad a través de plataformas y de aplicaciones, estamos explorando el uso de
certificados de claves públicas basados en la autoridad (y no basados individualmente) y
estamos cosechando los beneficios de los avances en materia de computación y
microprocesadores.
La construcción de una trama mundial de autoridades de certificación cruzada e
interoperable representa un trabajo serio. También lo es la construcción de productos de
codificación de recuperación de claves que sean masivamente graduables e interoperables.
La combinación de dos grupos complejos y dinámicos como la recuperación de claves y las
infraestructuras de claves públicas da lugar a complicaciones y demoras innecesarias para
los usuarios. Forzar dicho vínculo no es aconsejable y sería una mala combinación para
la recuperación de claves y para el comercio electrónico.
Evolución de la Política y Progresos logrados en los noventa
Las cuentas publicitadas del debate político de codificación de Estados Unidos sugieren
que no se han logrado avances. Se han logrado avances significativos en la
flexibilización de controles a las exportaciones con respecto a los productos de
codificación de clasificación comercial. No obstante, las impresiones en contrario
resultan comprensibles porque a veces es difícil separar la realidad de la retórica.
Los últimos avances logrados en Estados Unidos en materia de política de codificación
han incluído los controles a las exportaciones y los controles internos. La combinación
de estas dos esferas reglamentarias puede resultar confusa. Si bien las objeciones a la
política del Gobierno enfocan generalmente al hecho de que los productos y tecnología de
la codificación han estado sujetos a controles estrictos a las exportaciones, los hechos
son completamente diferentes con respecto a los controles internos. Nunca ha habido
restricciones a la fabricación, distribución, venta o uso privado de los productos o
tecnología de codificación a nivel interno en Estados Unidos. Pero el debate político
fluctúa frecuentemente entre: (a) el impacto actual de los controles de exportación con
respecto a la codificación, y (b) el espectro de los controles internos al uso de la
codificación para permitir la aplicación de las leyes y los intereses de seguridad
nacional.
Hasta hoy, los formuladores de políticas no han reconciliado exitosamente estos intereses
y la retórica y los relatos de la prensa han llevado a ocultar el verdadero avance
logrado en materia de política de exportaciones.
Los temas de codificación fueron objeto de mayor atención a principios de los noventa,
cuando la industria comenzó a hacer retroceder los controles del Ministerio de Relaciones
Exteriores a la exportación de productos y tecnología de codificación. La Criptografía
aparecía en la Lista de Municiones y fue controlada por las Reglamentaciones
Internacionales de Tráfico de Armas (ITAR).
En 1992, las empresas de Estados Unidos sintieron una presión competitiva de los rivales
extranjeros que parecían libres de los controles de exportaciones. Al manifestar la
preocupación por los controles de exportaciones y la competitividad, la industria del
software obtuvo la capacidad de exportar productos masivos con una codificación de 40
bit. Pero dicha codificación de 40 bit era considerada "débil", por lo tanto,
sólo representa una pequeña reducción de los controles de exportaciones y ningún
cambio en cuanto a los controles internos (o a su ausencia).
En abril de 1993, la Administración Clinton anunció la iniciativa "Clipper"
como forma de ofrecer una codificación más importante y exportable.
"Clipper/Capstone Chips" contenían un algoritmo de 80-bit con una clave que
garantizaba que el gobierno podría descifrar todos los datos codificados utilizando esos
chips. Clipper no ofrecía un acceso de emergencia para los usuarios. No obstante, fue
aprobada sólo para el hardware. Si bien Clipper sólo fue propuesta como una Norma
Federal de Procesamiento de Información, la percepción en el mercado era que sería
aplicada en el uso interno de Estados Unidos. En nuestros diagramas, el punto de control
de exportaciones se inclina levemente para indicar algún tipo de liberalización porque
la propuesta habría permitido la exportación de la codificación más importante de
80-bit. Por el contrario, Clipper fue considerado un significativo control interno (o
potencial), por lo cual el punto propuesto de control interno se inclina marcadamente a la
derecha.
Clipper logró obtener la atención del Congreso. En noviembre de 1993, la entonces
Diputada Maria Cantwell (D-WA) presentó el primer proyecto sobre el tema de la
codificación eliminando virtualmente todos los controles a las exportaciones en los
productos masivos que contuviesen codificación. La Comisión de Inteligencia de la
Cámara rechazó unánimemente el proyecto Cantwell, ofreciendo una clara indicación de
que el 103° Congreso no era de una "opinión única" sobre el tema. El proyecto
Cantwell no habría afectado los controles internos, por lo tanto, el punto del control de
exportaciones que aparece en el gráfico se desplaza hacia la izquierda mientras el punto
de control interno permanece en "none" (ninguno).
La Administración Clinton también consideraba que la legislación Cantwell afectaría
adversamente la seguridad nacional y la seguridad pública de Estados Unidos e instó a la
Diputada Cantwell a retirar su proyecto. En julio de 1994, el Vicepresidente Gore, en una
carta dirigida a la Dip. Cantwell, indicó que el Gobierno analizaría alternativas de la
propuesta del gobierno e instruyó al Ministerio de Comercio a realizar un estudio sobre
la disponibilidad mundial de los productos criptográficos. El Vicepresidente indicó que
el Gobierno no impondría controles internos a la codificación pero el retiro de la
legislación significaba que no habría cambios en los controles de exportación.
Concordantemente, los puntos de información creados por el "compromiso"
reflejan que se podían exportar únicamente productos de 40-bit, pero a nivel interno
podían utilizarse, fabricarse o venderse otros productos.
En Septiembre de 1994, en gran medida como consecuencia de las controversias sobre el
proyecto Clipper Chip/Cantwell, el Congreso de Estados Unidos asignó fondos para el
Consejo Nacional de Investigación (NRC) para realizar un estudio sobre política y
tecnología criptográfica. La finalidad del estudio era la de ofrecer una orientación
completa sobre el desarrollo de una política criptográfica coherente. El Estudio, que
finalmente dio por resultado el informe CRISIS ya analizado, llevó 18 meses para terminar
con un panel de individuos altamente capacitados del sector industrial y académico.
Si bien el estudio NRC estaba en camino, la industria no permitió que la administración
Clinton olvidase que los controles a la exportación dificultasen la competencia a nivel
mundial a las empresas de Estados Unidos. En agosto de 1995, la Administración dio
respuesta a la demanda de la industria con respecto a la flexibilización de los controles
anunciando que los productos de codificación con claves de hasta 64 bits podían ser
exportados, siempre que los mismos contuviesen una indicación de "recuperación de
claves". En 1995, la criptografía de 64-bit fue considerada con un aceptable nivel
de seguridad comercial. Dado que este anuncio representó el primer intento de
"flexibilización" de los controles de exportación, sin implicancias internas,
el próximo punto de control de exportaciones se orienta marcadamente a la izquierda, si
bien el punto de los controles internos permanece estable.
Durante este período, la NRC continuó este estudio. En mayo de 1996, la NRC publicó un
informe titulado "Rol de la Criptografía en la Garantía de la Sociedad de
Información" (CRISIS). El informe CRISIS introdujo una serie de recomendaciones
incluyendo "Los controles de exportaciones deberían ser progresivamente
flexibilizados pero no suprimidos". Las recomendaciones de la NRC llevarían el punto
de información significativamente a la izquierda, aunque no en la medida propuesta por la
legislación Cantwell, sin controles internos.
La Iniciativa KMI
Respondiendo a la hostilidad demostrada por la industria con respecto a los controles a la
exportación, en octubre de 1996, la Administración Clinton anunció su iniciativa KMI
(Infraestructura de Administración de Claves). La nueva política llevaría a toda la
criptografía no militar a la jurisdicción de exportaciones del Ministerio de Comercio al
1° de enero de 1997. Un Decreto del Ejecutivo implementando este desplazamiento fue
dictado el 15 de noviembre de 1996. El 30 de diciembre de 1996, la Dirección de
Administración de Exportaciones del Ministerio de Comercio publicó nuevas
reglamentaciones en materia de control de exportaciones como Norma Interna, sin un
período de comentario hasta el 13 de febrero de 1997.
Las Reglamentaciones de Administración de Exportaciones (EAR) permiten la fácil
exportación de productos de cualquier categoría, siempre que tengan recuperación de
claves. Además, los productos que contengan una codificación de hasta 56-bit sin
recuperación de claves podrían ser exportados durante un período máximo de dos años,
como "resarcimiento provisorio", siempre que el exportador se comprometiese a
desarrollar productos de recuperación de claves.
La transferencia de los controles de exportación a la codificación al Ministerio de
Comercio representa un cambio fundamental en el equilibrio político. A mediados de 1996,
la perspectiva de que las empresas de Estados Unidos pudiesen fácilmente exportar
productos codificados de cualquier dimensión imaginable -triple DES de tres claves,
128-bit RC2/RCa, o más- en software o hardware, a cambio del uso de recuperación de
claves, era casi inimaginable.
No obstante, la iniciativa KMI trató de vincular la recuperación de claves con una
infraestructura pública de claves que incluyera la licencia gubernamental de agentes de
recuperación de claves y autoridades de certificación. Si bien el anuncio tuvo el efecto
de reducir -sin eliminar- los controles a las exportaciones, la burocracia dio lugar a un
espectro de controles internos significativos y reglamentación del comercio electrónico.
Concordantemente, los nuevos puntos de información reflejan una liberalización de
controles de exportaciones, pero un desplazamiento significativo hacia el control interno.
En enero de 1997, la Administración Clinton comenzó a implementar algunos de los
conceptos de la iniciativa KMI. Mediante reglamentaciones, los ítems y tecnología de la
codificación pasaron del Ministerio de Relaciones Exteriores al Ministerio de Comercio,
un ambiente más amistoso para las exportaciones. Estas reglamentaciones respondían a la
política propuesta en 1996. Concordantemente, los nuevos puntos que reflejan la política
actual aparecen en el gráfico, indicando una significativa flexibilización de los
controles. Dado que las reglamentaciones no hablan de controles internos, el punto sigue
siendo el mismo: ausencia de controles internos a la codificación.
Dado que Clipper aceleró la introducción del proyecto Cantwell, los cambios a la
política de exportación de la Administración Clinton (considerados por muchos como
"insuficientes") y la iniciativa KMI pusieron al Congreso en acción. En febrero
de 1997, la legislación sobre codificación fue presentada en ambas Cámaras del
Congreso. Estos proyectos trataron de lograr lo mismo que intentara la Dip. Cantwell en
1993. En la Cámara de Diputados, el Dip. Goodlatte introdujo la Ley SAFE (H.R. 695). En
el Senado, el Senador Burns introdujo la Ley PRO-CODE. Tanto la H.R. 695 como la S. 377
trataron de eliminar los controles de exportación a los productos codificados y de
confirmar que no se utilizarían controles internos al uso de la codificación. La
introducción de estos proyectos crean los próximos puntos para las políticas
propuestas, llevando el punto de control de las exportaciones hacia la izquierda si bien
se mantiene la prohibición de los controles internos.
No resulta sorprendente que los dos proyectos tuviesen la oposición de la Administración
Clinton. En realidad, la oposición fue tan enérgica que el Presidente de la Comisión de
Comercio del Senado pudo rechazar el proyecto PRO-CODE y reemplazarlo con un sustituto
conocido como Proyecto McCain/Kerrey. McCain/Kerrey eliminaría efectivamente los
controles a la exportación con respecto a los productos codificados de 56-bit o menos. No
obstante, crearía la infraestructura de administración de claves, imponiendo
significativas restricciones internas al uso de la codificación atando a las autoridades
de certificación a los requisitos de recuperación de claves.
Al término de la primera sesión del 105° Congreso, el proyecto McCain/Kerrey seguía
pendiente en el Senado. Su introducción lleva el punto de control hacia la izquierda de
la actual política, esencialmente porque extiende la posibilidad de exportación de
productos de 56-bit de codificación sin recuperación. Dado que el proyecto crea la
infraestructura de administración de claves del Gobierno, el punto de control propuesto
refleja un deslizamiento hacia la derecha. En la Cámara se debatieron cinco versiones
diferentes de la H.R. 695. Cuando la Comisión de Seguridad Nacional de la Cámara
consideró la H.R. 695, se analizaron los temas de seguridad nacional de la
Administración. La comisión votó para reemplazar el lenguaje original de la H.R. 695
con una versión alternativa que contuviese la Enmienda Weldon/Dellums. Esta versión
mantenía los controles de exportación y los fortalecía incluyendo al Ministro de
Defensa en las decisiones sobre exportación. Al reconocer que otra comisión estaba
analizando los intereses internos expresados por la Administración, la Comisión de
Seguridad Nacional se excusó de analizar los temas del control interno.
La Comisión Permanente sobre Inteligencia (HPSCI) de la Cámara de
Diputados optó por reemplazar el lenguaje de la Resolución 695 por la más amplia
legislación en materia de control de codificación que jamás haya sido propuesta. La
versión del proyecto de ley de la HPSCI (H3), presentado por el Presidente de la
Comisión, Goss, y el Diputado Dicks, proponía fuertes controles internos que
penalizarían la fabricación, distribución y venta dentro de los Estados Unidos de
productos de codificación sin recuperación de clave. La versión de la HPSCI también
serviría para fortalecer los controles a las exportaciones y establecer la
infraestructura de gestión de claves de la Administración. La Enmienda de la Resolución
695, por lo tanto, representa la primera propuesta legislativa para imponer controles
amplios en materia de codificación tanto internos como a las exportaciones.
El FBI tuvo la oportunidad de hacer que el Congreso considere su propio
lenguaje legislativo cuando la Comisión de Comercio de la Cámara de Diputados consideró
la Resolución 695 en forma secuencial. La versión del FBI del proyecto de ley (H4)
presentada por el Presidente de la Comisión, Oxley, y el Diputado Manton (D-NY), fue
conocida como la Enmienda Oxley/Manton. La enmienda Oxley/Manton, como la Goss/Dicks,
prohibiría la venta interna de productos sin recuperación de clave, fortalecería los
controles sobre las exportaciones, y tendría significativas implicancias a nivel interno.
La enmienda de Oxley/Manton no fue tan lejos como la de Goss/Dicks en términos de
controles sobre las exportaciones y fue, en realidad, un poco más "liberal". La
implicancias internas de la enmienda Oxley/Manton eran similares a las de Goss/Dicks.
La reacción de los grupos libertarios civiles y de la industria a
partir de la introducción de la Enmienda Oxley/Manton fue unificada. El intenso lobby de
los miembros de la Comisión de Comercio provocó que la Enmienda Oxley/Manton fuera
reemplazada por otra versión de la Comisión de Comercio presentada por los Diputados
Markey y White. La enmienda de Markey/White eliminaría los controles sobre las
exportaciones, realizaría un estudio de recuperación de claves, y prohibiría la
recuperación obligatoria de claves a nivel interno. Además, establecería un Centro
Nacional de Tecnología Electrónica (NET) y explotaría los puntos débiles de los
criptosistemas comerciales.
Las diferentes propuestas y proyectos debatidos en la primera sesión
del 105º Congreso fluctúan en términos de controles internos y de exportación. Sin
embargo, todavía son sólo eso -propuestas. Mientras tanto, la política actual es que
todavía no existen controles internos sobre la fabricación, distribución, venta o uso
de codificación. Los productos que contienen criptografía de 56 bits sin un mecanismo de
recuperación de claves son ahora exportables, por lo menos hasta enero de 1999. Además,
los productos que contienen cualquier tipo de dimensión de codificación pueden ser
exportados, siempre que los productos incluyan un mecanismo aceptable de recuperación de
clave. Esto constituye un avance significativo.
Perspectivas
Actualmente (febrero de 1998), la posibilidad de que la parálisis
legislativa puede ser superada durante el resto del 105º Congreso, de manera que
cualquier legislación en materia de codificación pueda surgir de la segunda sesión, es
todavía incierta. Alguna legislación minimalista sería beneficiosa para abordar las
cuestiones relativas a la responsabilidad, las normas legales y las protecciones para la
recuperación de claves.
¿Qué sucederá más adelante? En el pasado, los esfuerzos
gubernamentales de mano dura no han podido atraer suficiente interés o viabilidad
comercial. Es tiempo de adoptar un enfoque diferente con respecto a la política de
codificación. En 1998, es posible que se produzcan intensos debates en varias naciones
europeas y asiáticas, como así también entre la Comunidad Europea.
Las recomendaciones del informe de 1996 de la NRC todavía son
válidas. Si bien están lejos de ser perfectas, la actual política estadounidense
intento reconciliar los objetivos dispares de la industria y las comunidades de seguridad
nacional y de aplicación de la ley. Algunas de las recomendaciones de la NRC ya han sido
adoptadas: actualmente no existen controles internos sobre la fabricación, distribución,
venta o uso de codificación; los controles sobre las exportaciones han sido gradualmente
reducidos, pero no eliminados.
¿Qué debería hacer el Congreso para abordar este complicado asunto?
Como se mencionó anteriormente, nuestro principio con respecto al uso de la codificación
y la recuperación de claves sigue siendo: Ningún control interno sobre la criptografía.
Por lo tanto, respaldamos totalmente las medidas que mantengan el uso interno de la
codificación libre de restricciones legales o reglamentarias y que impidan el uso de
controles sobre la exportación u otras reglamentaciones como los controles internos de
facto sobre la criptografía.
En su informe CRISIS, el Consejo Nacional de Investigación recomendó
la inmediata liberalización de la codificación DES de 56 bits, reteniendo los controles
sobre la codificación de mayor dimensión. La actual política de Estados Unidos permite
la exportación de cualquier algoritmo de codificación y cualquier longitud de clave,
siempre que el usuario tenga los medios para recuperar su información codificada.
Además, los productos de codificación DES de 56 bits ahora pueden ser exportados sin
recuperación de clave, siempre que el vendedor esté trabajando en algún sistema de
recuperación de clave para 1999. Para fines de 1997, más de tres docenas de empresas
habían solicitado este recurso y la mayoría (incluyendo a IBM, DEC, y Netscape) habían
recibido una aprobación para la exportación de productos de 56 bits.
Se están considerando propuestas en el Congreso que harían permanente
la exportación de productos DES de 56 bits y permitirían la exportación de una mayor
dimensión de codificación cuando existiera un sistema de recuperación de clave. Dichas
propuestas representan reglamentaciones económicamente sensibles y son la mejor solución
para este dilema nacional de larga data. Su adopción excluirá la necesidad de alguna
futura imposición de controles internos sobre el uso de codificación. Permitirán su uso
generalizado, y ofrecerán al usuario la posibilidad de recuperar información en caso de
que se perdieran las claves de codificación. También permitirán a la industria de
software de Estados Unidos continuar prosperando en el mercado mundial de software.
Resumiendo, lo que se necesita es un enfoque razonado para satisfacer
las necesidades reales de las empresas, los individuos y los gobiernos, ahora y a largo
plazo. Existen propuestas que pueden satisfacer dichas necesidades, y merecen ser
examinadas en forma detallada.
El Congreso debería adoptar una legislación minimalista que
establezca un nivel obligatorio de seguridad tanto para la industria como para el
público. Dicha legislación debería esclarecer la responsabilidad de los agentes de
recuperación de claves y ofrecer un grado de inmunidad para los agentes de recuperación
de claves. Dicha legislación también establecería sanciones por mal uso de la
información sobre recuperación de claves.
El establecimiento de principios claros de responsabilidad e inmunidad
aumentará la confianza del usuario, el desarrollo comercial y el uso de la codificación,
y promoverá una fuerte infraestructura global de información. Con estos fines en mente,
el Congreso podría considerar medidas para "levantar la prohibición" con
respecto al acceso a la información codificada, exigiendo mayores medidas para el acceso
(gubernamental y no gubernamental) a la información sobre recuperación de claves. Esto
incrementaría el nivel general de protección de la privacidad para los usuarios de
codificación.
Estas medidas fomentarán la utilización de un nuevo enfoque y
obviarán la necesidad de más esfuerzos gubernamentales intrusivos en este ámbito.
|
