PGP vs. Clipper
Por Daniel Sentinelli
La lucha por la privacía en las redes ha empezado. El
gobierno de los Estados Unidos está jugando sus cartas
con el chip Clipper, mientras que los rebeldes
contraatacan con el PGP.
La administración Clinton llega al poder en los Estados
Unidos con el apoyo de importantes grupos ligados a la
industria electrónica y las comunicaciones. Su
vicepresidente, Al Gore, impulso cuando aun era senador
un proyecto para la construcción de una "data highway" o
autopista de datos, que conectara a todas las personas,
empresas, instituciones y organizaciones de USA a través
de cables, fibras ópticas, microondas o satélites. Esta
gigantesca red permitirá acceder a todas las formas de
comunicación conocidas actualmente, como telefonía,
televisión por cable, Internet, etc.; pero ademas
permitirá el desarrollo de nuevas tecnologías como
videofonía, televisión interactiva o "a pedido",
consultas a bancos de datos y comunicaciones multimedia,
sistemas de realidad virtual, operaciones comerciales por
computadora, y cualquier otro servicio concebible. Las
posibilidades de una red de esta envergadura son casi
ilimitadas, y sus beneficios se extenderán tarde o
temprano a todo el mundo, sumergiéndonos violentamente en
un futuro que parece extraído de una novela de ciencia
ficción.
Pero este esquema futurista tiene un aspecto negativo y
es que permite hacer realidad el sueño de los organismos
de seguridad de monitorear todas y cada una de las
comunicaciones entre las personas. Hoy en dia si la
policía o algún servicio de inteligencia quiere "pinchar"
una linea de teléfono, alguien debe grabar, escuchar y
transcribir las comunicaciones, para seleccionar luego
las que tengan relevancia. Si se intercepta el correo se
deben abrir los sobres, transcribir las cartas y volver a
cerrar los sobres sin dejar huellas. Obviamente estas
técnicas implican una organización con mucho personal
entrenado y costos muy altos, por lo que su aplicación
solo es practica en casos los donde ya existe una
sospecha firme de un posible delito. En cambio,
resultaría muy fácil instalar grandes computadoras que
controlen todos los mensajes de correo electrónico que se
transmitan por esta giga-red, y seleccionar los mensajes
que por ej., incluyan las palabras "asesinar", "cocaína",
o "explosivo". Como era de esperarse, la CIA, el FBI y
otras agencias de seguridad están presionando para que se
incluyan este tipo de capacidades en la data-highway.
Si viviéramos en un mundo perfecto, nadie tendría motivos
para oponerse a este control, pero lamentablemente todos
sabemos que si una herramienta de este tipo cae en manos
de un gobierno dictatorial, puede hacer que en
comparación, la Alemania nazi o la Rusia de Stalin
resulten paraisos de libertad.
La respuesta obvia a esto es el uso por parte de la gente
de técnicas de criptografía, pero el gobierno
norteamericano ya se ha adelantado a esta posibilidad y
encargo a la NSA (National Security Agency) el desarrollo
de un algoritmo criptográfico que se implementará en un
chip llamado Clipper (que no tiene nada que ver con la
base de datos del mismo nombre), y cada chip Clipper
estará dotado de una clave única e individual. Lo
interesante es que la CIA, el FBI o la NSA conservarían
una clave especial que permitiría decodificar la
información encriptada por ese chip.
Por otra parte, el algoritmo ha sido declarado
información clasificada, por lo que el publico no tiene
acceso a el, y nadie puede evaluar si es realmente
seguro. Esto hace que muchas personas teman la
posibilidad de que en el futuro, algún grupo delictivo o
ilegal pueda conocer el algoritmo, y que este tenga
alguna debilidad que les permita violarlo.
Para impulsar el uso del chip Clipper, el gobierno planea
ofrecer ventajas a las empresas que lo incorporen a sus
productos (computadoras, fax, teléfonos, etc.). Por otra
parte, algunos artículos en las leyes propuestas son
relativamente ambiguos, y podrían permitir en un futuro
la posibilidad de declarar ilegal el uso de una técnica
criptográfica distinta de la "oficial", como el
aparentemente inviolable algoritmo RSA usado por PGP.
Aun cuando no se aplicara esta restricción, existe otro
problema. El RSA se encuentra cubierto por un complejo
esquema de patentes que involucra al MIT (Massachussets
Institute of Technology), a la Marina norteamericana y a
un grupo de empresas que dependen de una compañía de
California llamada Public-Key Partners, que a su vez
según algunos rumores, estaría vinculada al gobierno.
Peor aun, en los Estados Unidos los sistemas de
encriptación de datos son considerados material
estratégico y se encuentran clasificados junto al rubro
"municiones", por lo que la exportación de programas de
criptografía requiere de permisos especiales. Es por esto
que muchos programas, incluyendo el popular compresor
PKZIP, existen en dos versiones: una para uso interno en
USA que incluye la opción de encriptación, y otra versión
"for export" sin esta capacidad. Quien exporte desde los
EEUU a otro país un programa de criptografía sin la
correspondiente autorización, podría verse envuelto en un
proceso por trafico de armas!!!
Esta situación ha hecho que muchas personas se interesen
por el desarrollo de programas de criptografía con el fin
de resguardar su privacidad. Entre las distintas
implementaciones que surgieron, PGP es uno de los que mas
se ha difundido y esta siendo aceptado como un standard
de facto en la comunidad informática, a tal punto que es
frecuente hablar de "PGP vs. chip Clipper".
Por estos motivos Phillip Zimmerman, autor de PGP,
incluye un texto en el archivo de distribución explicando
la situación y cubre sus espaldas comentando que expone
el algoritmo RSA solo "con propósitos educacionales e
informativos", y que si su uso en EEUU viola "alguna ley
de patentes", los riesgos corren por cuenta del usuario.
Mas aun, se encarga de aclarar que el no lo envia fuera
de EEUU para no violar las leyes de exportación de
material estratégico, pero que "de alguna forma" PGP
termina distribuyéndose por el mundo.
No obstante, parece que estas precauciones no han sido
suficientes, ya que en este momento Zimmermann es el
blanco de una investigación por sospecha de crimen
aduanero en el Distrito Norte de California, por
exportación de software de encriptación. De prosperar,
podría llegar a ser sentenciado a mas de 4 años de
prisión, y el caso podría sentar un precedente critico en
el futuro de la privacidad electrónica.
Para complicar aun mas las cosas, Zimmermann ha llegado a
un acuerdo con el MIT y con la compañía PKP, por la que
cuenta con una licencia limitada para la distribución de
PGP. Pero esto implica que el código fuente de PGP deja
de ser completamente de dominio publico como era hasta
ahora. Peor aun, a partir de la versión 2.6, PGP
incorpora una especie de bomba de tiempo por la cual a
partir del 1 de Septiembre de 1994, el programa cambia
ligeramente la estructura interna de los archivos que
genera. Esto hará que PGP 2.6 pueda procesar archivos
generados con versiones anteriores, pero estas no podran
desencriptar archivos generados con la nueva versión.
Como consecuencia de esto, ha aparecido una nueva versión
llamada PGP 2.6ui (Unofficial International) cuyo autor
solo se identifica con su dirección en Internet
(mathew@mantis.co.uk); que no contiene la "bomba de
tiempo del 01/09/94", y puede configurarse a voluntad
para que genere archivos en el formato antiguo o en el
nuevo. Esta versión tiene su origen en Inglaterra y no
cuenta con la aprobación "oficial" de Zimmermann. Queda
por cuenta del lector y del usuario de PGP suponer si
cuenta o no con su aprobación "extraoficial".
CONTRIBUCION
La defensa judicial de Phillip Zimmermann contra el
gobierno de EEUU sera obviamente muy costosa, por lo que
solicita la contribución del publico. Las contribuciones
pueden hacerse a su abogado defensor:
Philip Dubois
2305 Broadway
Boulder, Colorado 80304 USA
Teléfono: 303-444-3885
Internet E-mail: dubois@csn.org
Otra forma muy interesante de hacerle llegar una
contribución es enviando un mensaje por internet a su
abogado. En el mensaje incluya su numero de tarjeta de
crédito Visa o Mastercard, fecha de expiración, nombre
del titular tal como figura en la tarjeta, y monto de la
donación. Fírmelo con su clave privada PGP, y encríptelo
con la clave publica del Dr. Dubois (que se incluye en el
paquete de distribución de PGP).
Daniel Sentinelli dirige la consultora DATAFRONTier
especializada en comunicaciones, redes y seguridad
informática; y es un ferviente entusiasta de PGP y su
clave publica se encuentra disponible en varios "PGP
pubkey servers" locales y mundiales. Puede ser contactado
por e-mail en Internet en daniel@ubik.satlink.net, o en
Fidonet en 4:900/131. Su PGP fingerprint es 14 fe 06 10
f2 7b b3 3b e0 cb 5e 53 a7 d3 5b a9.