Incluso en mi círculo de contactos bastante estrecho, que consiste principalmente en técnicos, hay personas que no entienden por qué el requisito de proporcionar acceso a la correspondencia aflojando el cifrado o introduciendo puertas traseras en los mecanismos de protección criptográfica es otro paso que no persigue esos intereses en absoluto. que se declaran Esta traducción es para ellos y para aquellos que tampoco ven amenazas en estas iniciativas.
IEEE admite el uso ilimitado de
cifrado seguro para proteger la confidencialidad e integridad de los datos transmitidos y almacenados. Nos oponemos a los esfuerzos del gobierno para limitar el uso de cifrado seguro y / o para otorgar privilegios de acceso exclusivo utilizando mecanismos como puertas traseras o sistemas de custodia de claves para facilitar el acceso del gobierno a los datos cifrados.
Llaves depositadasEl principio de la puerta trasera es que el tercero tiene un mecanismo para el descifrado independiente y secreto de los datos transmitidos. En un intento por proteger la privacidad y evitar el uso ilegal de la puerta trasera, se creó el concepto de claves depositadas, lo que implica la necesidad de una cooperación secreta de participantes independientes con las agencias de aplicación de la ley para proporcionar acceso a la puerta trasera para descifrar la información transmitida.
Opinión de ENSIA sobre el cifrado: nuestro cifrado digital está garantizado por nuestra Agencia de autodeterminación digital, Red Europea y Seguridad de la Información (ENSIA), diciembre de 2016, p. 7.
Los gobiernos tienen bases legales para la aplicación de la ley y los intereses nacionales. IEEE cree que el requisito de crear intencionalmente puertas traseras o esquemas de custodia, sin importar cuán buenas intenciones estén detrás de esto, no satisface estos intereses y conduce a la creación de vulnerabilidades que amenazan consecuencias negativas imprevistas y previsibles.
Cimientos de seguridad
El cifrado seguro es fundamental para proteger a las personas, las empresas y los gobiernos de la actividad cibernética maliciosa. El cifrado protege la confidencialidad e integridad de los datos almacenados y transmitidos. Prácticamente todo el comercio en línea se basa en el cifrado para proteger los datos.
Nuevos riesgos
Los mecanismos de acceso exclusivos pueden crear riesgos al permitir a los atacantes utilizar sistemas debilitados o vulnerabilidades integradas con fines delictivos. Si los atacantes son conscientes de la existencia de mecanismos de acceso exclusivo, esto les permitirá concentrarse en su búsqueda y uso. Los esquemas para depositar claves de manera centralizada crearían un
riesgo de que el adversario tuviera la oportunidad de comprometer la seguridad de todos los participantes, incluidos aquellos que no estaban destinados originalmente. Como resultado, el riesgo de robo cibernético exitoso, espionaje cibernético, ataques cibernéticos y terrorismo cibernético puede aumentar. Las consecuencias de la actividad cibernética maliciosa para los individuos y la sociedad pueden tomar muchas formas:
- pérdidas financieras directas;
- robo de identidad;
- robo de propiedad intelectual e información comercial sensible;
- daño a la infraestructura crítica;
- amenaza a la seguridad nacional;
- daño reputacional;
- pérdida de ganancias, como pérdida de productividad;
- e incluso una amenaza para la vida, cuando los sistemas informáticos que admiten funciones vitales están apagados.
Además, al aumentar el riesgo de cambios de datos maliciosos, los mecanismos de acceso sin restricciones pueden reducir la credibilidad de la autenticidad de los datos y provocar errores en la toma de decisiones y errores de cálculo.
No va a ayudar
Los mecanismos de acceso exclusivos no impedirán que los atacantes aprovechen el cifrado seguro diseñado específicamente para ellos o disponible en
países donde no existen requisitos para crear mecanismos de acceso exclusivos. Los dispositivos y sistemas con un alto nivel de seguridad de la información y / o que no tienen ciertos mecanismos de acceso exclusivos ahora existen y siempre estarán disponibles para intrusos a quienes las agencias de aplicación de la ley y los servicios de inteligencia desean monitorear.
Problemas de jurisdicción
Los esfuerzos para limitar el cifrado seguro o introducir esquemas de custodia de claves en productos de consumo pueden tener efectos negativos a largo plazo sobre la privacidad, la seguridad y los derechos civiles de las personas afectadas por esta regulación. El cifrado se usa en todo el mundo, y no todos los países e instituciones cumplirán con las políticas de seguridad de los mecanismos de acceso exclusivo. Una meta considerada legítima por un país y consistente con sus intereses nacionales puede ser considerada por otros países como ilegal o que viola sus estándares o intereses. Por lo tanto, los problemas jurisdiccionales podrían ser
el mayor obstáculo para la operación de mecanismos de acceso exclusivo.
Métodos alternativos
Las agencias de aplicación de la ley tienen una serie de otras
herramientas de investigación que brindan acceso a sistemas y datos cuando está justificado. Los métodos incluyen mecanismos legales para acceder a datos almacenados en texto claro en servidores corporativos, exploits específicos para dispositivos individuales, análisis forenses para computadoras sospechosas y obligar a los sospechosos a proporcionar claves y contraseñas.
Competencia desleal
Los mecanismos de acceso exclusivos pueden evitar que las empresas reguladas innoven y compitan en el mercado global. El requisito de acceso exclusivo puede dar a las empresas que no están obligadas a cumplirlo la oportunidad de crear productos y servicios que se vean más confiables para los clientes en el mercado global de lo que se merecen.
IEEE busca desarrollar confianza en la tecnología a través de la transparencia, creando comunidades técnicas, construyendo asociaciones entre regiones y países. Las medidas que reducen la seguridad de la información o promueven el abuso de sistemas de información seguros dañarán inevitablemente esta confianza, lo que a su vez impedirá la capacidad de la tecnología para lograr consecuencias sociales beneficiosas mucho más significativas.
Sobre IEEE
El Instituto de Ingenieros Eléctricos y Electrónicos - IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) es la organización profesional técnica más grande dedicada a la promoción de la tecnología en beneficio de la humanidad. Debido a publicaciones, conferencias, estándares tecnológicos, actividades profesionales y educativas frecuentemente citadas, IEEE es una fuente autorizada en una amplia gama de campos: desde sistemas aeroespaciales, computadoras y telecomunicaciones hasta ingeniería biomédica, energía eléctrica y electrónica de consumo.