Anonimato, cifrado y derechos humanos. Recordemos el informe de David Kaye al UNHRC
Informe al Consejo de Derechos Humanos de las Naciones Unidas recomienda evitar restricciones contra el anonimato y la criptografía puesto que facilitan y, a menudo, permiten ejercer tanto el derecho absoluto a la libertad de opinión como el derecho fundamental a la libertad de expresión
El Sr. David Kaye, Analista Experto (Special Rapporteur) en libertad de expresión y de opinión, entregó el miércoles 17 de junio de 2015 su Informe sobre Protección Jurídica Internacional respecto del Anonimato y del Cifrado [ohchr.org] al Consejo de Derechos Humanos de las Naciones Unidas (UNHRC por sus siglas en inglés) en el que se recomienda evitar restricciones contra el anonimato y la criptografía puesto que facilitan y, a menudo, permiten ejercer tanto el derecho absoluto a la libertad de opinión como el derecho fundamental a la libertad de expresión; y pide con vehemencia que se promuevan regularmente el anonimato y la criptografía fuerte a través de la legislación puesto que, las medidas de los Estados encaminadas a debilitarlos, constituyen una violación del derecho internacional.
Para satisfacer los principios de proporcionalidad internacionales, el informe dice que el descifrado forzado debe hacerse sobre una base de 'caso por caso', limitada por la ley y sujeta a mandato judicial; y describe las medidas a evitar, tales como las 'puertas traseras para vulnerar el cifrado' [encryption backdoors], los 'estándares de cifrado débiles' [weak encryption standards] o el profundamente problemático 'contenedor de claves de cifrado en custodia' [holding of encryption keys in escrow] advirtiendo que, las medidas que imponen restricciones de aplicación general a un número masivo de personas sin una evaluación 'caso por caso', son casi con certeza ilegales.
Va incluso más allá reconociendo que, la regulación estatal del cifrado, puede ser equivalente a una prohibición al condenar las prácticas regulatorias en determinados países señalando que, dichas prácticas, interfieren con el derecho individual a cifrar la comunicación; haciendo hincapié en la necesidad de que determinados profesionales tengan plena libertad para protegerse a sí mismos dada la naturaleza sin fronteras que supone la Red de redes.
¿Por qué el 'key in escrow' no es una solución? Además de dejar la puerta abierta al espionaje, una solución basada en 'key in escrow' presenta riesgos de seguridad añadidos puesto que, Introducir vulnerabilidades intencionadas para su uso por parte de los Estados en productos, en principio seguros, hace que estos productos sean mucho menos seguros también contra el resto del cada vez más nutrido acervo de posibles atacantes dando, además, una falsa sensación de seguridad a quienes de verdad la necesitan.
El cifrado 'key in escrow' contempla que las claves de seguridad se cedan en depósito (escrow) a un tercero, de modo que éste pueda acceder al texto en claro de las comunicaciones cifradas. Un ejemplo de uso podría ser una empresa que quiera tener acceso a las comunicaciones privadas de sus empleados, lo que permitiría al guardián de las claves acceder de forma encubierta a un texto en claro de la información cifrada. Pero estas claves son altamente sensibles y tendrían que almacenarse de forma muy segura a través, quizás, de una clave maestra o 'master key' que permita el acceso al contenedor de todas ellas, lo que plantea cuestiones espinosas; desde cómo, cuándo y dónde almacenar estas claves a cómo recuperarlas cuando el tercero necesita acceder a la información. Agrupar las claves en una localización determinada no deja de ser un riesgo pues, cuando esto se hace, la clave maestra o 'master key' es vulnerable.
El informe apoya el discurso anónimo y pseudónimo, denuncia las reglas que obligan a que los usuarios se identifiquen como condición previa al establecimiento de toda comunicación y, finalmente, solicita que las empresas de propiedad privada se abstengan de bloquear o limitar la comunicación cifrada y permitan la comunicación anónima. La referencia completa al evento, debidamente contextualizada, se encuentra en este enlace en inglés [cpj.org].
Fuente: Pedro Fernández – kriptopolis.com