Video: ¡Entendiendo la Encriptación! (Noviembre 2024)
A medida que las crecientes inquietudes de Estados Unidos sobre el terrorismo se enfrentan a su desconfianza arraigada de la autoridad, el resultado ha sido un debate sorprendentemente sólido sobre el cifrado y los derechos digitales.
Varias agencias de aplicación de la ley han denunciado cómo la encriptación fuerte hace que la Web se "oscurezca", es decir, obstaculiza su capacidad de examinar la Matriz sin restricciones en busca de tipos malos y sus nefastas intenciones. (En este caso, "oscurecerse" puede superponerse, pero no debe considerarse como sinónimo de "The Dark Web", que se refiere al bajo vientre ocasionalmente cutre que vive dentro de la red Tor).
Al mismo tiempo que las autoridades buscan mejorar sus poderes de vigilancia digital, los defensores de la privacidad están presionando por un cifrado más predeterminado para proteger las libertades civiles de los usuarios que a menudo están más que dispuestos a intercambiar privacidad por conveniencia.
Con esos fines, los legisladores en todos los niveles han propuesto proyectos de ley que limitarán (o, en algunos casos, prohibirán por completo) el acceso del público a cosas como iPhones encriptados, mientras que otros han propuesto legislación que lo impulsaría. (Y debemos tener en cuenta que la disputa política sobre el cifrado ha sido refrescantemente ilimitada por las divisiones partidistas arraigadas de la actualidad. Hay republicanos y demócratas en ambos lados del tema; probablemente no durará, pero este debate de política no tribal es un buen cambio de ritmo.)
En muchos sentidos, el debate sobre el cifrado es muy particular en este momento exacto de la historia tecnológica. Si las cosas realmente se "oscurecieran" a gran escala, esencialmente llevaría a las autoridades a un tiempo anterior a Internet cuando era más difícil espiar de forma remota. Mientras tanto, la protección ofrecida por los teléfonos encriptados se está volviendo tecnológicamente pintoresca a medida que las agencias de inteligencia cambian su atención de tocar teléfonos inteligentes a tocar hogares inteligentes. Sí, su televisor inteligente podría estar burlándose de usted (lo que está lejos de ser una fantasía paranoica).
Hablamos con varios expertos en privacidad digital para un experimento mental sobre cómo se vería Internet si el cifrado fuerte y ubicuo fuera la regla en lugar de la excepción (y si eso fuera posible).
Si todos los dispositivos y comunicaciones estuvieran encriptados de manera predeterminada, ¿reconocerían los usuarios una diferencia en la experiencia final?
Amie Stepanovich, Gerente de políticas de EE. UU., Access Now : existen diferentes tipos de cifrado. Hay cifrado de tránsito y cifrado en el almacenamiento. Cuando habla de cifrado de tránsito, eso es lo que obtiene cuando ve HTTPS: al comienzo de una URL. Muchas compañías han tardado en hacer la transición a eso porque hubo un argumento de que fue más lento o que rompió las cosas. Al menos, el argumento de que es más lento ha quedado en el camino.
En 2011, hubo un gran hackeo de Gmail por parte de China. En ese momento, Gmail no estaba usando el cifrado de tránsito. Dijeron que era porque haría las cosas más lentas. Y luego, después del ataque a China, dijeron: "Oh, tal vez deberíamos poner eso en su lugar". Y realmente no ha afectado la experiencia del usuario en absoluto. La gente esencialmente no tenía idea de que el cambio había ocurrido, excepto que estaban mucho más seguros en el otro extremo.
Cuando se trata de formas más robustas de encriptación, hay algunos beneficios de costos más a considerar. Por ejemplo, el cifrado de extremo a extremo no siempre se puede buscar, y no está disponible en dispositivos donde no tiene una clave instalada. Por lo tanto, no puede, por ejemplo, revisar el correo electrónico en todos los dispositivos. Depende de la implementación y del nivel de seguridad que esté buscando. La mayoría de las veces ni siquiera los vas a reconocer.
¿El cifrado garantiza que todos sus datos permanecen privados?
AS: no es necesariamente el final de la historia… si almacena algo en la nube de Apple, Apple tendrá acceso a él. Incluso si todos tuvieran un iPhone cifrado predeterminado, no protege sus datos una vez que sincroniza su información con la nube.
La regla general es que si tiene información en un dispositivo y lo deja caer en un charco y muere, pero aún puede obtener acceso a sus datos, sus datos no son completamente seguros.
Muchas personas activan la sincronización por conveniencia porque desean poder acceder a sus datos a través de los dispositivos. La idea de que nos dirigimos hacia un cifrado ubicuo y que todos se vayan a oscurecer es bastante falsa porque las personas tienen una razón para no usar la seguridad más sólida: los usuarios pueden querer que Apple almacene su información en su nube porque quieren hacer una copia de seguridad y tener acceso a él desde muchos lugares, pero deberían saber que Apple tendrá acceso a esa información.
¿El cifrado niega las capacidades de recopilación de inteligencia que reveló Edward Snowden, como PRISM, que permite a la NSA buscar el correo electrónico de cualquier persona con solo buscar su nombre?
Peter Eckersley, científico jefe de informática, Electronic Frontier Foundation : Desafortunadamente, no estamos cerca de tener ningún tipo de encriptación que proteja el contenido de su correo electrónico contra un ataque tipo PRISM. Necesitamos construir estas cosas, pero el cifrado fuerte que se está debatiendo en este momento no lo hace. Tal vez estamos llegando allí con mensajes de texto, pero todavía no tenemos una forma de cifrar de correo electrónico de extremo a extremo. No es práctico.
Servicios como Silent Circle o Whisper ofrecen cifrado de extremo a extremo, pero aún no son un reemplazo práctico para el correo electrónico. Hay una tecnología llamada PGP que ha existido por un tiempo, pero aún no es práctica para el correo electrónico para la mayoría de las personas.
Existen algunas grandes diferencias técnicas entre el correo electrónico y la mensajería de texto que hacen que el correo electrónico sea mucho más difícil: la gente espera tener todos sus correos electrónicos antiguos; esperan poder buscar todos sus correos electrónicos antiguos muy rápido desde un teléfono, incluso si tienen 10 GB de mensajes que no podrían almacenar localmente en su dispositivo. Las plataformas de correo electrónico de hoy en día tienen características muy sofisticadas de filtrado de spam y priorización que se han incorporado a estas plataformas de correo electrónico. Para replicar toda esa funcionalidad en un sistema cifrado de extremo a extremo es un problema sin resolver.
En la era de las supercomputadoras, ¿existe incluso una encriptación irrompible?
AS: Hay ataques de fuerza bruta que tomarían años, hasta cientos de millones de años, para acceder a información encriptada. Esa es la forma más difícil de obtener acceso. En muchos casos será imposible. Es por eso que cuando las personas desean obtener acceso a la información, ya sean piratas informáticos o gobiernos, lo hacen de una manera diferente.
Podrían alentar el uso de una vulnerabilidad que puedan romper. O podrían instalar una pieza de malware que les permita acceder a su dispositivo, independientemente de si está utilizando o no el cifrado predeterminado, porque están en su dispositivo y pueden ver la información no cifrada.
Eso es lo que sucedió en Kazajstán. El gobierno exigió a los ciudadanos que instalaran una vulnerabilidad impuesta por el gobierno en sus dispositivos. Por lo tanto, no importaría la cantidad de encriptación que esté utilizando o cómo la esté utilizando: han sido propietarios de los dispositivos. Todas las computadoras y teléfonos tienen este programa que presumiblemente permite descifrar la información cifrada.
¿Las vulnerabilidades y puertas traseras siempre se crean con el conocimiento de los fabricantes?
AS: Se pueden insertar con o sin el conocimiento del fabricante… En un ejemplo, sabemos que NSA y GCHQ obtuvieron acceso a las claves de la tarjeta SIM. En ese caso, no tenemos motivos para creer que el fabricante sabía que las claves de la tarjeta SIM se habían visto comprometidas, pero de todos modos estaban comprometidas. Entonces, hay muchas formas diferentes.
La creación de una puerta trasera es mucho más difícil con el software de código abierto, por lo que muchos tecnólogos abogan por ella.
¿Podría un gobierno incluso prohibir completamente el cifrado si realmente lo quisiera? Parece que alguien podría diseñar a su alrededor.
PE: Si el FBI quiere crear nuevas puertas traseras en los sistemas, no afectará a los programadores que crean su propio software. Sin embargo, las autoridades podrían restringir los tipos de servicios que las grandes corporaciones pueden proporcionar al público estadounidense.
Puede instalar un software de cifrado fuerte usted mismo, pero el gobierno podría restringir la capacidad de Apple o Google para brindarle eso en un producto conveniente que lo mantenga a usted o a su empresa segura.
¿La encriptación predeterminada realmente obstaculizaría las capacidades de los gobiernos para controlar las cosas?
PE: Una encriptación fuerte por defecto sería una gran victoria. Un ejemplo de las cosas que suceden cuando tienes, por ejemplo, una versión encriptada fuerte de Wikipedia es que los gobiernos no pueden censurar determinados artículos de Wikipedia. Hemos visto muchos gobiernos en todo el mundo que quieren permitir Wikipedia, pero quieren bloquear artículos particulares que realmente no les gustan. Tener un cifrado seguro significa que una conexión a Wikipedia no se puede distinguir fácilmente de ninguna otra conexión, por lo que el gobierno debe permitir que la gente lea libremente.
Hemos estado luchando para aumentar el uso del cifrado de tránsito durante décadas. E hicimos una gran cantidad de progreso. Pero sabemos que, desafortunadamente, una vez que tenga este cifrado en su lugar, todavía hay muchas cosas que pueden salir mal si está siendo atacado por un pirata informático o una agencia de inteligencia. Estos incluyen malware que llega a su computadora o violaciones de datos en el lado del servidor. Por lo tanto, tiene una conexión cifrada segura a un sitio web, pero luego la base de datos que el sitio web ha sido pirateada por separado, entonces todos los datos que ingresa allí son vulnerables.
Existe una técnica llamada "análisis de tráfico" en la que, en lugar de leer el contenido de las comunicaciones que envía su computadora, las personas vigilan el patrón dentro de esas comunicaciones. Y desafortunadamente hay una gran cantidad que se puede aprender de ese tipo de análisis de datos y metadatos. Así que solo estamos al comienzo de una larga lucha para proteger a los usuarios de Internet e Internet contra estos problemas. Puede estar seguro de que hasta que tengamos éxito, los malos, ya sean piratas informáticos o gobiernos, utilizarán esas técnicas contra nosotros.
¿Cuál es exactamente el problema con los gobiernos que tienen la capacidad de atravesar una puerta trasera para examinar la información encriptada en un dispositivo dado que atraviesan los desafíos legales adecuados?
AS: Cuando la gente dice puertas traseras y vulnerabilidades, es una abreviatura de varios enfoques diferentes que el gobierno podría adoptar y haber adoptado para mantener su acceso a los datos.
Un método es cuando el gobierno permite que una empresa implemente algún tipo de cifrado, pero insiste en que tiene algún tipo de vulnerabilidad o defecto que aún les permite ingresar.
El problema es que no puede tener un defecto que no pueda ser explotado por todos. Una vez que hay un agujero allí, cualquiera puede hurgar y buscar ese agujero… estas cosas finalmente se resuelven. Tal vez no de inmediato, pero lo serán eventualmente. Los asaltarán y los asaltarán los malos.
Las entrevistas se realizaron por separado por teléfono y Skype y las respuestas se editaron por brevedad y claridad .
