deepagopi2011 - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

El debate de la puerta trasera para el cifrado gubernamental es matizado en RSAC

Los panelistas de RSAC tuvieron un animado y matizado debate sobre las puertas traseras de cifrado para el Gobierno, y el tema es más difícil de analizar lo que se esperaba.

San Francisco – Chenxi Wang, jefe de estrategias de Twistlock Inc., sabía que sería difícil tratar de estructurar una discusión matizada sobre puertas traseras de cifrado y la recolección de inteligencia del Gobierno.

"Chenxi, ¿has perdido tus canicas? ¿Por qué es esto un debate?" se le preguntó a Wang.

En última instancia, Wang tenía razón para impulsar el debate, ya que incluso en la Conferencia de RSA con expertos en seguridad hubo desacuerdo no sólo por el precedente legal de las puertas traseras de cifrado, sino también sobre lo que constituye en primer lugar una puerta trasera (backdoor).

Opiniones de la puerta trasera

Michelle Dennedy, jefe de privacidad en Cisco, fue firme en que el término backdoor solo se aplicará cuando el acceso ha sido construido intencionadamente en un sistema. Esto significa que, en su opinión, lo que se reportó como una puerta trasera en los sistemas de Juniper no era más que un defecto, porque el código no autorizado que creó el acceso se insertó por los hackers, no por Juniper.

Matthew Green, profesor asistente en la Universidad Johns Hopkins y experto en criptografía, dijo que la intención no importa, siempre y cuando el código permita el acceso no autorizado.

Y Richard Marshall, CEO de X-SES Consultants LLC y ex consejero general asociado de la NSA, define una puerta trasera como una vulnerabilidad diseñada pero dijo que era un tema exagerado porque los hackers pueden obtener acceso a un montón de vulnerabilidades sin la ayuda de puertas traseras de cifrado.

"Los Estados y naciones no se preocupan mucho acerca de la criptografía. Puede ralentizar el proceso, pero es posible conseguir acceso a ella. No es necesario construir una puerta trasera cuando hay tantas otras vulnerabilidades... que son explotadas diariamente", dijo Marshall. "A menos que y hasta que podamos hacer software a prueba de balas, ahí es donde debemos gastar nuestra energía."

¿Qué hay de CALEA?

Wang preguntó al panel sobre el Acta de Aplicación de la Ley para la Asistencia de Comunicaciones (CALEA, por sus siglas en inglés), la cual Wang dijo que estipula que las compañías telefónicas deben diseñar sus sistemas con capacidades para escuchar las llamadas telefónicas. Un miembro del público observó, sin embargo, que CALEA sólo concede acceso para la aplicación de la ley a la vía de comunicación y no requiere datos de descifrado.

"No vivimos en una sociedad anarquista", dijo Wang. "Parece un argumento razonable que, si el gobierno ha cumplido con los requisitos de la duda razonable y tiene una orden judicial, deba tener la capacidad para interceptar las comunicaciones, ya sea por teléfono o por las comunicaciones digitales tal como las conocemos hoy en día. ¿Ustedes creen que lo más probable es, frente a debate actual, que el Congreso pueda intervenir y presionar por una actualización de CALEA?"

Dennedy dijo que, independientemente de lo que es probable que haga el Congreso, ella no estaba segura de que habría un discurso lleno de matices sobre el tema.

"Creo que no importa lo que nuestro Congreso proponga hoy, aquí en los EE.UU., tiene muy pocas posibilidades de paso, incluso creo que un discurso razonado y lleno de matices [no avanzaría], y es una tristeza y vergüenza para mí", dijo Dennedy. "Y, voy a añadir otra cosa –esto puede ser una sorpresa para usted– hay otros países por ahí. Creo que tenemos no sólo la posibilidad, sino el deber como especie de tener este debate de la manera más transparente y pública y abiertamente posible, y de permitir que las voces matizadas de diferentes culturas ofrezcan su influencia antes de construir algo."

Marshall estuvo de acuerdo en que era el "colmo de la arrogancia de la tecnología estadounidense asumir con algún grado de certeza que somos los únicos que saben qué demonios estamos haciendo con la tecnología de las comunicaciones." Dijo que creía que, en lugar de solamente actualizar CALEA, el gobierno necesita modernizar todos los estatutos relacionados con la tecnología de comunicaciones, especialmente el Acta de Privacidad de Comunicaciones Electrónicas.

"No refleja el estado actual de la tecnología. Estresa el cerebro tratar de hacer cumplir la ley o tratar de interpretarla para hacer algo para un bien público o para proteger la industria privada", dijo Marshall. "Los matices dan demasiado margen de maniobra, y cuando estás en un entorno empresarial... es muy difícil de explicar con cualquier previsibilidad. Y, en un entorno empresarial... uno desea previsibilidad porque ahí es donde va a invertir su dinero."

Puertas traseras de cifrado: Manéjense con cuidado

Green advirtió que los legisladores tendrán que tener cuidado porque la mensajería cifrada es una tecnología relativamente joven, y no sabemos cuáles serán las consecuencias para la tecnología en su conjunto.

"La única cosa que probablemente hemos aprendido en los últimos años que se remontan a Snowden es que... ningún país sabe cómo... romper el cifrado", dijo Green. "Sabemos que la encriptación funciona. Si el cifrado no funcionara, este debate sería tan fácil para todos nosotros."

Green señaló que las únicas formas en los Estados pueden romper la encriptación es mediante el debilitamiento o el robo de las llaves. Dijo que las claves no son algo en lo que se pueda confiar, ya que pueden ser robadas si se mantienen el tiempo suficiente, y sugirió que la mejor opción es utilizar llaves que son desechadas después de cada proceso, pero no veía ninguna manera posible para que haya un sistema de llave maestra de un solo uso para crear una puerta trasera de cifrado para el gobierno.

Se requiere innovación

Dennedy dijo que el mejor camino a seguir puede ser que la ingeniería de software sea transparente en cuanto a los requisitos de privacidad, así como en educar a los usuarios correctamente.

"Creo que es posible tener gente de seguridad que reconozca que cuando tenemos información que fluye a través de nuestros sistemas, no estamos involucrándonos en algún tipo de actividad comercial sino en una misión sagrada", dijo Dennedy. "Tenemos una obligación ética, moral y legal para construir ese deseo de privacidad en nuestros sistemas. Como tecnólogo, todo este debate es un proceso de establecimiento de requisitos. En el momento en que hablamos de que algo sea transparente y que tenga procesos, ya no se trata de una puerta trasera."

Este artículo se actualizó por última vez en marzo 2016

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close