VR17: PGP vs. Clipper
Por Daniel Sentinelli
La lucha por la privacía en las redes ha empezado. El gobierno de los Estados Unidos está jugando sus cartas con el chip Clipper, mientras que los rebeldes contraatacan con el PGP.
La administración Clinton llega al poder en los Estados Unidos con el apoyo de importantes grupos ligados a la industria electrónica y las comunicaciones. Su vicepresidente, Al Gore, impulso cuando aun era senador un proyecto para la construcción de una "data highway" o autopista de datos, que conectara a todas las personas, empresas, instituciones y organizaciones de USA a través de cables, fibras ópticas, microondas o satélites. Esta gigantesca red permitirá acceder a todas las formas de comunicación conocidas actualmente, como telefonía, televisión por cable, Internet, etc.; pero ademas permitirá el desarrollo de nuevas tecnologías como videofonía, televisión interactiva o "a pedido", consultas a bancos de datos y comunicaciones multimedia, sistemas de realidad virtual, operaciones comerciales por computadora, y cualquier otro servicio concebible. Las posibilidades de una red de esta envergadura son casi ilimitadas, y sus beneficios se extenderán tarde o temprano a todo el mundo, sumergiéndonos violentamente en un futuro que parece extraído de una novela de ciencia ficción.
Pero este esquema futurista tiene un aspecto negativo y es que permite hacer realidad el sueño de los organismos de seguridad de monitorear todas y cada una de las comunicaciones entre las personas. Hoy en dia si la policía o algún servicio de inteligencia quiere "pinchar" una linea de teléfono, alguien debe grabar, escuchar y transcribir las comunicaciones, para seleccionar luego las que tengan relevancia. Si se intercepta el correo se deben abrir los sobres, transcribir las cartas y volver a cerrar los sobres sin dejar huellas. Obviamente estas técnicas implican una organización con mucho personal entrenado y costos muy altos, por lo que su aplicación solo es practica en casos los donde ya existe una sospecha firme de un posible delito. En cambio, resultaría muy fácil instalar grandes computadoras que controlen todos los mensajes de correo electrónico que se transmitan por esta giga-red, y seleccionar los mensajes que por ej., incluyan las palabras "asesinar", "cocaína", o "explosivo". Como era de esperarse, la CIA, el FBI y otras agencias de seguridad están presionando para que se incluyan este tipo de capacidades en la data-highway. Si viviéramos en un mundo perfecto, nadie tendría motivos para oponerse a este control, pero lamentablemente todos sabemos que si una herramienta de este tipo cae en manos de un gobierno dictatorial, puede hacer que en comparación, la Alemania nazi o la Rusia de Stalin resulten paraisos de libertad.
La respuesta obvia a esto es el uso por parte de la gente de técnicas de criptografía, pero el gobierno norteamericano ya se ha adelantado a esta posibilidad y encargo a la NSA (National Security Agency) el desarrollo de un algoritmo criptográfico que se implementará en un chip llamado Clipper (que no tiene nada que ver con la base de datos del mismo nombre), y cada chip Clipper estará dotado de una clave única e individual. Lo interesante es que la CIA, el FBI o la NSA conservarían una clave especial que permitiría decodificar la información encriptada por ese chip. Por otra parte, el algoritmo ha sido declarado información clasificada, por lo que el publico no tiene acceso a el, y nadie puede evaluar si es realmente seguro. Esto hace que muchas personas teman la posibilidad de que en el futuro, algún grupo delictivo o ilegal pueda conocer el algoritmo, y que este tenga alguna debilidad que les permita violarlo. Para impulsar el uso del chip Clipper, el gobierno planea ofrecer ventajas a las empresas que lo incorporen a sus productos (computadoras, fax, teléfonos, etc.). Por otra parte, algunos artículos en las leyes propuestas son relativamente ambiguos, y podrían permitir en un futuro la posibilidad de declarar ilegal el uso de una técnica criptográfica distinta de la "oficial", como el aparentemente inviolable algoritmo RSA usado por PGP. Aun cuando no se aplicara esta restricción, existe otro problema. El RSA se encuentra cubierto por un complejo esquema de patentes que involucra al MIT (Massachussets Institute of Technology), a la Marina norteamericana y a un grupo de empresas que dependen de una compañía de California llamada Public-Key Partners, que a su vez según algunos rumores, estaría vinculada al gobierno. Peor aun, en los Estados Unidos los sistemas de encriptación de datos son considerados material estratégico y se encuentran clasificados junto al rubro "municiones", por lo que la exportación de programas de criptografía requiere de permisos especiales. Es por esto que muchos programas, incluyendo el popular compresor PKZIP, existen en dos versiones: una para uso interno en USA que incluye la opción de encriptación, y otra versión "for export" sin esta capacidad. Quien exporte desde los EEUU a otro país un programa de criptografía sin la correspondiente autorización, podría verse envuelto en un proceso por trafico de armas!!!
Esta situación ha hecho que muchas personas se interesen por el desarrollo de programas de criptografía con el fin de resguardar su privacidad. Entre las distintas implementaciones que surgieron, PGP es uno de los que mas se ha difundido y esta siendo aceptado como un standard de facto en la comunidad informática, a tal punto que es frecuente hablar de "PGP vs. chip Clipper". Por estos motivos Phillip Zimmerman, autor de PGP, incluye un texto en el archivo de distribución explicando la situación y cubre sus espaldas comentando que expone el algoritmo RSA solo "con propósitos educacionales e informativos", y que si su uso en EEUU viola "alguna ley de patentes", los riesgos corren por cuenta del usuario. Mas aun, se encarga de aclarar que el no lo envia fuera de EEUU para no violar las leyes de exportación de material estratégico, pero que "de alguna forma" PGP termina distribuyéndose por el mundo. No obstante, parece que estas precauciones no han sido suficientes, ya que en este momento Zimmermann es el blanco de una investigación por sospecha de crimen aduanero en el Distrito Norte de California, por exportación de software de encriptación. De prosperar, podría llegar a ser sentenciado a mas de 4 años de prisión, y el caso podría sentar un precedente critico en el futuro de la privacidad electrónica.
Para complicar aun mas las cosas, Zimmermann ha llegado a un acuerdo con el MIT y con la compañía PKP, por la que cuenta con una licencia limitada para la distribución de PGP. Pero esto implica que el código fuente de PGP deja de ser completamente de dominio publico como era hasta ahora. Peor aun, a partir de la versión 2.6, PGP incorpora una especie de bomba de tiempo por la cual a partir del 1 de Septiembre de 1994, el programa cambia ligeramente la estructura interna de los archivos que genera. Esto hará que PGP 2.6 pueda procesar archivos generados con versiones anteriores, pero estas no podran desencriptar archivos generados con la nueva versión. Como consecuencia de esto, ha aparecido una nueva versión llamada PGP 2.6ui (Unofficial International) cuyo autor solo se identifica con su dirección en Internet (mathew@mantis.co.uk); que no contiene la "bomba de tiempo del 01/09/94", y puede configurarse a voluntad para que genere archivos en el formato antiguo o en el nuevo. Esta versión tiene su origen en Inglaterra y no cuenta con la aprobación "oficial" de Zimmermann. Queda por cuenta del lector y del usuario de PGP suponer si cuenta o no con su aprobación "extraoficial".
CONTRIBUCION
La defensa judicial de Phillip Zimmermann contra el gobierno de EEUU sera obviamente muy costosa, por lo que solicita la contribución del publico. Las contribuciones pueden hacerse a su abogado defensor:
Philip Dubois
2305 Broadway
Boulder, Colorado 80304 USA
Teléfono: 303-444-3885
Internet E-mail: dubois@csn.org
Otra forma muy interesante de hacerle llegar una contribución es enviando un mensaje por internet a su abogado. En el mensaje incluya su numero de tarjeta de crédito Visa o Mastercard, fecha de expiración, nombre del titular tal como figura en la tarjeta, y monto de la donación. Fírmelo con su clave privada PGP, y encríptelo con la clave publica del Dr. Dubois (que se incluye en el paquete de distribución de PGP).
Daniel Sentinelli dirige la consultora DATAFRONTier especializada en comunicaciones, redes y seguridad informática; y es un ferviente entusiasta de PGP y su clave publica se encuentra disponible en varios "PGP pubkey servers" locales y mundiales. Puede ser contactado por e-mail en Internet en daniel@ubik.satlink.net, o en Fidonet en 4:900/131.
Su PGP fingerprint es
14 fe 06 10 f2 7b b3 3b e0 cb 5e 53 a7 d3 5b a9