Taller de Criptografía

Taller de Criptografía - Informe 17
La alternativa "key escrow" II: posturas nacionales

Fecha: 28 Noviembre 1999

Con muy pocas excepciones, la opción "key escrow" [depósito de claves] ha desaparecido de la lista de opciones viables para establecer una política criptográfica. Los tradicionales partidarios (algunos países anglosajones y Francia, principalmente), parecen haber "perdido gas" en esta carrera mundial, y los países que miraban y esperaban a ver qué pasa han tomado nota. En este segundo informe sobre key escrow, pasaremos revista al estado actual de los diversos esquemas sobre depósito de claves (DC) y recuperación de claves (RC) existente actualmente en el mundo. He añadido una breve historia de los esfuerzos pro/contra DC/RC en tres de los países donde más se ha abogado por dichos concentos: Estados Unidos, Reino Unido y Australia.

El siguiente resumen es el más completo que he podido compilar, pero es de seguro mejorable. Con todo, incluye a los principales jugadores del mundo. Me he basado en dos fuentes muy útiles y cuya lectura es de alto interés para todos aquellos interesados en el estado legal de la criptografía en el mundo. Una es el informe Cryptography and Freedom 1999 (Criptografía y Libertad 1999 - Una Revisión Internacional de Políticas de Cifrado), compilado por la organización Electronic Privacy Information Center (EPIC) de Estados Unidos; la otra es el Crypto Law Survey, del holandés Bert-Jaap Koops. Ambos están en inglés, pero aquí está vuestro chapucero favorito para traduciros pasajes clave.

En primer lugar, resulta interesante ojear la introducción del documento Cryptography and Freedom 1999 (llamémoslo documento EPIC). El primer párrafo de su introducción afirma que la mayoría de los países del mundo no tiene controles sobre el uso de la criptografía. Hay "un movimiento hacia la relajación internacional de las reglamentaciones relativas a los productos de cifrado, unido a un rechazo de las políticas de depósito y recuperación de claves. Muchos países han adoptado recientemente políticas que expresamente rechazan los requisitos para los depósitos de claves, y ciertos países, notoriamente Francia, han abandonado sus sistemas de depósito." Una página habla expresamente del escaso apoyo internacional al depósito de claves. Para nuestra vergüenza "Sólo unos pocos países apoyan oficialmente el depósito de claves. España aprobó una ley de telecomunicaciones en 1998 que puede promover el depósito de claves, pero no ha sido implementada..." (alusión al polémico Artículo 52 de la Ley General de Telecomunicaciones).

He aquí el resumen de la actuación de los principales países del mundo en relación con las políticas de depósito de claves (DC) o recuperación de claves (RC), ordenados alfabéticamente. Tres países no aparecen aquí: Australia, Reino Unido y Estados Unidos; hablaremos de ellos algo más adelante. Tampoco aparecen los dictámenes o recomendaciones de entidades supranacionales (Parlamento o Comisión Europeos, OCDE, Acuerdo de Wassenaar), por haber sido tratados en el anterior Informe.

Alemania. Los distintos ministros parecen estar divididos sobre las restricciones criptográficas en general (Interior a favor, Economía y Exteriores en contra) . Pero en general, Alemania ha sido y es bastante permisiva desde el punto de vista criptográfico. Ha constituido un contrapeso (respecto a EEUU) en contra de los sistemas obligatorios de DC y de las restricciones a la criptografía. Según el informe EPIC, los esfuerzos alemanes impidieron que el DC obligatorio se convirtiese en parte del Acuerdo de Wassenaar. En la conferencia Computers, Freedom + Privacy 99 (Washington D.C. 6-8 Abril 1999), el ministro de Economía y Tecnología Ulrich Sandl, era rotundo: "Antes de comenzar la discusión sobre si el "DC" está muerto, deberíamos aclarar primero si el "DC" ha estado vivo alguna vez; no como concepto político, sino como realidad técnica....Demasiadas cuestiones [relativas al DC] han quedado sin resolver y demasiados expertos han mostrado los puntos débiles de los intentos propuestos ... El DC no es ya un tema dentro de la Unión Europea." (Is Key Escrow Dead?)
Austria. Un borrador de Ley sobre Firmas Digitales y Criptografía prohíbe específicamente el uso de DC. Dicho borrador no fue enviado al Parlamento en 1998. Se espera que lo haga en 1999; de hecho, puede que ya haya sido aprobada, pero no puedo afirmarlo.
Bélgica. Este país aprobó en Diciembre de 1994 una ley que hubiese podido prohibir el uso de criptografía sin DC. Lo curioso es !que no se dieron cuenta hasta Enero de 1996! Al parecer, la ley fue aprobada dentro de un paquete de leyes más amplio, y nadie se dio cuenta hasta pasado un año. Esta ley fue rescindida por otra en Diciembre de 1997.

Canadá. La política criptográfica de Canadá, anunciada en Octubre de 1998 por el Ministro de Industria John Manley, afirma que no se impondrán requisitos obligatorios sobre RC, aunque se anima al uso de técnicas de RC para el almacenamiento de datos en entornos empresariales.

Corea del Sur. El borrador de Ley Básica sobre Comercio electrónico parece obligar a la gente a proporcionar al gobierno sus claves criptográficas; no tengo más información, ni siquiera sobre si la ley ha sido aprobada o no.

Dinamarca. Un Comité de Expertos sobre Criptografía, reunido bajos los auspicios del Ministerio de Investigación y Tecnología, recomendaba en su primer informe de Abril 1999 que no se estableciesen esquemas de recuperación de claves en Dinamarca. En la versión final (Junio 1998), recomienda que no se implementen reglamentaciones para RC, aunque "los desarrollos internacionales" pueden en el futuro recomendar una reconsideración de tales controles.

Finlandia. Este país se opuso a las propuestas sobre DC de la OCDE en su reunión de Diciembre de 1995. La política criptográfica de Finlandia (12 Octubre 1998) afirma la no obligatoriedad de usar DC.

Francia. El país de la liberté aprobó en 1996 una draconiana ley que restringía la exportación y uso de sistemas criptográficos fuerte, e imponía el uso de terceros de confianza para depositar claves (casualmente, la única agencia de DC autorizada era la SCSSI, el Servicio Central para Seguridad de Sistemas de Información, dependiente del Secretario Nacional de Defensa Nacional). Pero en Enero de 1999, el primer ministro francés Lionel Jospin anunció el establecimiento de una nueva política diseñada para abolir el sistema de licencias criptográficas y los requisitos obligatorios de los sistemas de DC. Hasta donde yo sé, Francia ha sido el único país donde una política de DC ha sido implementada y después derogada.

Holanda. En Diciembre de 1996, representantes de los Ministerios de Economía, Transporte e Interior recomendaban el uso de un sistema voluntario de DC, aunque según el Ministro del Interior podría hacerse obligatorio en el futuro si la actividad criminal forzase a ello. Actualmente se trabaja en una política sobre Terceras Partes de Confianza (TTP), según la cual las TTPs que ofreciesen servicios de confidencialidad (cifrado) tendrían un pre-requisito sobre "acceso legal"; se ignora si esto implica una política de DC o de otro tipo.

Irlanda. La política criptográfica irlandesa, enunciada el 24 de Junio de 1998, rechaza claramente los regímenes de DC y RC.

Italia. El Parlamento ha intentado aprobar leyes sobre DC obligatorios en dos ocasiones, y no parece dispuesto a intentarlo de nuevo. La ley 59/97 de 15 Marzo 1997 permite un sistema de DC, pero los depositarios serían notarios públicos, no entidades gubernamentales.

Malasia. Una ley de Mayo 1997 incluye el DC por parte de Terceras Partes de Confianza (TTP), cuya licencia es otorgada por el gobierno. Según el informe EPIC, la ley no especiica los detalles del sistema de DC.

Noruega y Suecia. En la Reunión de la OCDE de 1995, Noruega cuestionó el uso de TTPs para el acceso judicial a claves. Un informe del gabinete sueco (Octubre 1997) ofrecía la posibilidad de que se creasen instalaciones para DC con carácter voluntario; este informe presupone que "muchos países" impondrían DC obligatorios, lo que no parece haber sido el caso. Poco antes (Mayo 1997), la comisión IT era poco generosa con las diversas formas de DC y RC. En general, los países escandinavos parecen ser aliados de Alemania en sus posturas anti-restrictivas. Resulta interesante mencionar que Noruega, Suecia, Finlandia, Dinamarca e Irlanda participan en el llamado Servicio de Seguridad en el Correo, diseñado para proporcionar un sistema de correo electrónico seguro (usando claves RSA de 1024 bits), en el que las oficinas nacionales de Correos actuarían como Autoridades de Certificación.

Taiwán. En el pasado, la política de Taiwán era la de diseñar un sistema de DC y RC "según la experiencia obtenida en Europa y América." Parece que esa experiencia no les ha convencido mucho, porque la nueva política de Noviembre de 1998 requiere el uso de una infraestructura de claves públicas mediante Autoridades de Certificación que no tiene en cuenta DC o RC.

Como puede verse, la mayoría de los países que tienen una política declarada sobre DC o RC se declaran en contra de tales sistemas. Países como Francia, Taiwan o Bélgica han dejado de apoyar el DC por motivos distintos. Otros se oponen radicalmente, o son poco entusiastas. Pero hemos dejado para el final el análisis de los tres pesos pesados del DC: Australia, Reino Unido y Estados Unidos. Vamos allá, uno por uno.

Australia: el culebrón Walsh

La reglamentación australiana prohíbe la exportación de productos criptográficos, bajo el Acuerdo de Wassenaar. A mediados de 1998 se vio que las exportaciones electrónicas (via Internet) no estaban cubiertas por dicho Acuerdo, y Australia amenazó al menos en un caso con aplicar la Ley sobre Armas de Destrucción Masiva. La política sobre DC no ha sido todavía expresada oficialmente.

Sin embargo, existe un documento muy interesante a la hora de preguntar por la política criptográfica en Australia: el Informe Walsh. La historia de este documento puede calificarse cuando menos de rocambolesca. Fue redactado por el Departamento del Fiscal General de Australia en 1996 y puesto a la venta en Enero de 1997 bajo el título "Revisión de Política con relación a las Tecnologías de Cifrado". Pero nadie podía comprarlo o acceder a él, y en Febrero fue retirado. En Marzo EFA (Fronteras Electrónicas Australia) solicitó la entrega de un ejemplar a instancias de la Ley de Libertad de Información (FOIA). Su petición fue denegada por motivos de seguridad nacional. EFA apeló contra esta decisión, y obtuvo el Informe en Junio, pero dicho informe tenía ciertos párrafos borrados. En Diciembre de 1998 se hallaron algunas copia originales (no censuradas) en diversas bibliotecas públicas, lo que permitió completar el informe censurado, que ya estaba en la Red.

En Febrero de 1999, el gobierno australiano exigió a dichas bibliotecas que devolviesen sus copias del Informe, aunque no está claro qué parte del gobierno australiano, ya que la oficina del Fiscal General y el Servicio de Información del gobierno Australiano (Ausinfo) se acusan mutuamente de ser el responsable de la retirada del libro. Irónicamente, el informe Walsh critica entre otras cosas la descoordinación de los organismos del gobierno sobre asuntos de política criptográfica. Durante la confección del informe EPIC, la propia embajada australiana en Washington reconocía no saber qué agencia gubernamental era responsable de dicha política.

El informe Walsh completo (sin censurar) puede obtenerse en Electronic Frontiers Australia. Ciñéndonos al tema que nos ocupa, es bastante crítico respecto a la factibilidad y conveniencia de las políticas de DC y RC. He aquí algunos párrafos de dicho informe (los párrafos que fueron censurados en 1997 se muestran subrayados; las notas de traducción, entre corchetes):

1.2.5 Este informe [Review] no aconseja acciones legislativas a estas alturas para instaurar formas de infraestructura para administración de claves accesibles por parte del gobierno con fines de seguridad nacional, pero deberán observarse con atención las propuestas y desarrollos de ultramar...

1.2.39 La disponibilidad de cifrado fuerte, sin requisitos de depósito o registro de claves, y sin confiarlas a ninguna entidad independiente, es la salvaguardia más efectiva de la privacidad individual.

1.2.52 Los modelos de sistemas de "Depósito Comercial de Claves" [Commercial Key Escrow] y "Terceras Partes de Confianza [Trusted Third Party] propuestos por los Estados Unidos y Gran Bretaña contienen fallos de diseño (¿inevitables?) que dejará fuera de sus sistemas a las personas sujetas a investigaciones policiales y de seguridad nacional...

1.2.56 Parece haber poco apoyo popular en o fuera de Estados Unidos a un sistema de "Depósito Comercial de Claves" que involucren agencias gubernamentales que lo creen, ya que aumentaría la vulnerabilidad fuera del control de la persona o empresa.

1.2.57 El esquema de "Terceras Partes de Confianza" del Gobierno Británico tiene algunas de las mismas debilidades [mencionadas anteriormente]

4.5.4 La falta de entusiasmo con que los comentaristas americanos recibieron la serie de propuestas del gobierno de Estados Unidos, que culminaban en las declaraciones formal de 11 de Julio de 1996 [una de las dos declaraciones aparece en el Informe como Anexo C], y por la que se establecería una infraestructura de administración de claves bajo la que se acomodarían las necesidades de calidad, integridad, recuperación de datos y seguridad pública, refleja ampliamente la reacción de las personas consultadas por este Informe. Pocos creían que los sistemas de depósito de claves puedan calificarse de seguros, y menos aún consideraban adecuado al gobierno como agente depositario.

4.5.7 Si bien los estándares de prestaciones y la recuperación de claves, juntamente con alguna relajación de los controles de exportación, se notan como los principales rasgos de la propuesta americana de 1996, no se intentó ocultar los principales impulsores ... por un lado, los requisitos policiales y de seguridad nacional; por otro, los intereses de exportación de Estados Unidos. Se pasan por alto cuatro consideraciones detractoras: la primera es la vulnerabilidad añadida que los requisitos de depósito introducen; la segunda es el aumento en el riesgo de repudio puesto que la agencia depositaria podría suplantar al individuo; la tercera es que aquellos hacia los que se dirige la propuesta (crimen organizado, terroristas, servicios de inteligencia extranjeros) pueden no usar ese servicio; y el cuarto es la posibilidad de que los criminales que deseen aparentar actividades comerciales normales puedan cifrar sus datos con otra aplicación de cifrado antes de re-cifrarlo con la clave depositada...

4.6.3 Este Informe se encontró con un significativo escepticismo sobre la obligatoriedad del depósito de claves...

4.7.1 Si hay una lección que aprender del malogrado debate "Clipper" en Estados Unidos, es que los intentos por parte del gobierno para imponer cualquier solución de tecnología criptográfica, o el uso de agentes gubernamentales de depósito o recuperación de claves, están condenados al fracaso. Si los ciudadanos o empresas eligen o no (y cómo eligen) recuperar datos o protegerse deben decidirlo ellos y sólo ellos...

En suma, el informe Walsh no parece apoyar en modo alguno el sistema de depósito de claves gubernamental. Dejaré el resto del informe a la consideración del lector una vez lo haya leído, cosa que recomiendo vivamente. Una vez diseminado el Informe Walsh (que parece hacerse más famoso cuanto mayores son los esfuerzos del gobierno australiano por suprimirlo), queda por ver qué tipo de política adoptará Australia en relación no sólo al depósito/recuperación de claves sino a la criptografía en general.

Reino Unido: lealtades contradictorias

El papel del Reino Unido como tradicional e incondicional aliado norteamericano se ha trasladado a la arena criptográfica incluye la política criptográfica, que a veces parece calcada de la de su poderoso primo de ultramar. Durante varios años el Reino Unido ha apoyado la idea de una infraestructura de clave pública con depósito gubernamental obligatorio.

La política criptográfica respecto al depósito de claves, enunciada por el Departamento de Comercio e Industria (DTI) en Junio de 1996, pasa por la licencia de Terceras Partes de Confianza (TTP) que deberían entregar a la justicia las claves de sus clientes cuando así se les ordene, es decir, una infraestructura de DC en manos privadas con control último gubernamental. Un sistema de DC fue asimismo opción favorecida para el Servicio Nacional de Salud (NHS)

En Abril de 1998 se lanzaba una nueva política que básicamente ampliaba la anterior hasta cubrir cualquier tipo de información almacenada bajo cifrado. En teoría, los TTP no están obligados a solicitar licencias, esto es, a aceptar sistemas de DC. Pero como los TTP requerirían de Autoridades de Certificación (AC), y éstas sí necesitan licencias, el sistema se convierte en una obligación de facto para los TTPs. Aunque a trancas y barrancas, la exigencia de sistemas de depósito de claves permanecía.

Pero en 1999 las cosas comenzaron a cambiar. Tal vez por las crecientes presiones de la industria y los activistas de ciberderechos, tal vez por el rechazo del acuerdo de Wassenaar a imponer sistemas de DC, la política del gobierno de Tony Blair comenzó a cambiar. En declaraciones a representantes de la industria, anunció que el gobierno se echaba atrás en su exigencia de incluir DC en los requisitos para licencias de TTPs. Los proveedores de servicios de cifrado no estarán obligados a proporcionar DC o RC, aunque se les anima a hacerlo. En el mismo año, la Unidad de Prestaciones e Innovación (Performance and Innovation Unit, PIU) publicó su informe Encryption and Law Enforcement, que podríamos considerar análogo al Informe Walsh australiano (aunque aquél es público y está disponible sin trabas). Revisa los principales puntos en el debate sobre encriptación y sobre sistemas de DC/RC, prestando atención a sus limitaciones y algunos de sus problemas. Entre sus recomendaciones finales, una se refiere a la política de DC:

Recomendamos que el gobierno reforme su política para que a los proveedores [de servicios de confidencialidad] no se les exija depositar claves de cifrado en terceros de confianza (esto es, no "depósito de claves" obligatorio). La introducción de una relación obligatoria entre proveedores licenciados de servicios y depósito de claves no serviría a los dos objetivos del gobierno sobre comercio electrónico y actuación policial

A la vista de este informe, parece como si la balanza entre la necesidad de impulsar el comercio electrónico por un lado, y las necesidades de sus fuerzas policiales por otro (por no hablar de las necesidades norteamericanas) por otro, se estuviese inclinando en favor de las primeras. Esto no significa que el Reino Unido se haya convertido de un plumazo en un ciberparaíso. La nueva legislación, aún en fase de borrador y de debate, impondrá la obligación por parte de los particulares de someterse a algunas restricciones, como la de entregar sus claves si así lo exigiesen las autoridades en el transcurso de una investigación; negarse a tal petición podría considerarse como obstrucción a la justicia y tenerse en cuenta como agravante. Esta exigencia "dame tu clave o vas a la cárcel" está siendo vigorosamente criticada y combatida en el Reino Unido, pero en cualquier caso queda muy lejos del acceso instantáneo y universal a claves que permitiría un sistema de depósito de claves.

Nota adicional: durante la confección de este informe me llegan noticias de que el gobierno británico acaba de enviar (18 Noviembre 1999) al Parlamento, para su aprobación, la nueva Ley sobre Comunicaciones Electrónicas (Electronic Communications Bill). En ella se prohíbe expresamente la imposición de sistemas gubernamentales sobre depósitos de claves (Artículo 13).

Estados Unidos: el poder del gran curioso

La historia completa, incluso resumida, de los intentos que el gobierno norteamericano ha llevado a cabo en la última década para imponer sistemas de depósito de claves, sería por sí sóla suficiente para llenar varios informes hasta los topes. Y se debería englobar en la historia, aún más extensa, de los esfuerzos realizados para mantener a sus servicios de inteligencia y de policía (FBI y NSA, fundamentalmente) en condiciones de interceptar y espiar todo tipo de comunicaciones. Fruto de esta historia, que todavía no ha acabado, son el sistema Echelon y la iniciativa Enfopol, las restricciones a la exportación de productos criptográficos (restricciones ITAR), los intentos por imponer estándares de interceptación y muchos otros. Por supuesto, no daríamos abasto, aunque quien quiera escribir un libro tiene material más que de sobra. Así que, a la espera de que este chapucero encuente por ahí un año libre de todo tipo de distracciones mundanas (como comer, dormir, trabajar, rellenar la declaración de la renta...), nos centraremos de forma telegráfica en la vida y milagros del DC en Estados Unidos.

El término "key escrow", traducible -y traducido aquí- como "depósito de claves" se popularizó en 1993 dentro de la llamada iniciativa chip Clipper. En aquél entonces ya comenzaban a aparecer los primeros programas de cifrado de datos destinados al público en general (con el venerable PGP de Zimmermann a la cabeza) y se comenzaba a plantear la disyuntiva sobre si permitir al público el cifrado de datos (para impulsar el comercio electrónico y asegurar la privacidad en el ciberespacio), o restringirlo (para mayor alegría de los encargados de poner la oreja en beneficio de la policía o el gobierno). Fruto de esta necesidad surgió el chip Clipper. Desarrollado por la Agencia de Seguridad Nacional norteamericana (NSA), el chip Clipper contenía una clave de cifrado que aseguraría la confidencialidad en el sistema en que estuviese instalado, teléfonos y faxes, fundamentalmente, gracias a un nuevo algoritmo desarrollado por la NSA (Skipjack, con clave de 80 bits). Y ahora viene la trampa. Cada chip permitiría el acceso a las autoridades por medio de un código que se transmitiría con cada mensaje; una agencia policial que interceptase dicho mensaje podría descifrarlo tras obtener las dos partes de la clave que estarían depositadas en dos agencias gubernamentales. Es decir, la policía no tendría más que ir al depósito de claves, obtener la que le interese y escuchar. Seguridad frente a terceros, transparencia frente al gobierno.

Se esperaba que el sistema Clipper fuese voluntario, y tras su aceptación por parte del mercado sería posteriormente declarado obligatorio. Pero las presiones de la comunidad cibernauta, defensores de los derechos civiles y la industria dio al traste con esa esperanza. Ni siquiera la declasificación de los algoritmos de Clipper apaciguó los recelos de los usuarios potenciales (véase, por ejemplo, un artículo sobre el particular en la sección Tribuna de Kriptópolis). El chip Clipper fue instalado en apenas 10.000-15.000 teléfonos, vendidos por la empresa AT&T. Ni siquiera lo usaban las agencias del gobierno sino con carácter voluntario. Tras la muerte de Clipper aparecieron sistemas similares, todos creados por el gobierno, como el sistema Capstone/Fortezza, diseñado en principio para aplicaciones militares pero que se esperaba sería adoptado por la industria civil.

En Mayo de 1996 el gobierno propuso el establecimiento de una infraestructura de claves públicas [PKI: Public Key Infrastructure] que incorporaría un sistema de RC. En Diciembre se creó un comité asesor técnico para desarrollar un estándar federal FIPS (Federal Information Processing Standard) para la ICP federal, kafkianamente denominado comité TACDFIPSFKMI. Los problemas técnicos con que esta sopa de letras se encontró en su labor pueden apreciarse si se considera que estuvo trabajando durante dos años, hasta que a mediados de 1998 anunció que no podía alcanzar un acuerdo para una recomendación final. Este comité sigue trabajando para llegar a unos requisitos para los productos con RC.

Sin inmutarse, el gobierno de EEUU continuó su campaña interna y externa en favor de las soluciones de DC. Durante 1996 se hicieron esfuerzos para animar a los demás países a adoptar sistemas de DC (hay referencias al asunto en el Informe Walsh australiano, mencionado anteriormente). En 1997 se divulgó el borrador de la Ley sobre Seguridad Electrónica de Datos [Electronic Data Security Act]. Resumiendo, impone un sistema de infraestructura de claves por medio de Agencias de Recuperación de Claves, las cuales pueden ser privadas o gubernamentales, y que podría extenderse a otros países tras las negociaciones apropiadas. Este borrador no se convirtió en ley, y no hay intención de seguir adelante con él.

En la actualidad, el gobierno norteamericano parece haber adoptado la política de no imponer más los sistemas de DC, salvo con carácter voluntario. En diversas leyes que han sido aprobadas o presentadas se elimina la obligatoriedad de someterse a un sistema de DC o RC; como contrapartida, el uso de criptografía en un delito -o la negativa a entregar las claves para descifrado- puede servir como agravante. En el borrador de la ley SAFE [Security And Freedom through Encryption, Seguridad y Libertad mediante Cifrado], se prohibe explícitamente a los gobiernos federal y estatal imponer sistemas con DC/RC; el uso de cifrado para ocultar pruebas será considerado felonía y castigado con entre cinco y diez años de prisión adicionales.

El borrador de la Ley sobre Seguridad Electrónica en el Ciberespacio [Cyberspace Electronic Security Act] contiene disposiciones sobre el acceso policial a claves almacenadas en terceros de confianza, pero no contiene requisitos obligatorios para el uso de sistemas de cifrado con RC. El borrador de la Ley sobre Redes Públicas Seguras [Secure Public Networks Act] contenía requisitos para imponer sistemas de RC, pero fueron retirados de versiones posteriores. La ley E-PRIVACY penaliza asimismo el uso de la criptografía para ocultar información incriminadora, pero prohíbe al gobierno imponer sistemas de RC o DC. Dicha prohibición se mantiene en las leyes PROTECT [Promote Reliable On-Line Transactions to Encourage Commerce and Trade, promover transacciones on-line fiables para animar el comercio] y TRREA [Tax Relief for Responsible Encryption Act, ley para deducciones fiscales por cifrado responsable].

Todas estas leyes y borradores son de 1999, con excepción de la ley E-PRIVACY, de 1998. Su insultante juventud (que diría Carlos Herrera) y actualidad indican la seriedad con que los legisladores norteamericanos se toman el tema. Como puede verse, todas descartan la imposición de un sistema de recuperación o depósito de claves. Por supuesto, las leyes en estado de borrador sufrirán modificaciones y cambios. Pero la tendencia es clara. A la vista de los indicios existentes, la conclusión es que Estados Unidos ha abandonado los esfuerzos para imponer una infraestructura de claves públicas con acceso gubernamental a claves. Los esfuerzos policiales parece que irán encaminados por otras direcciones, ya sea mediante la obligación de descifrar los datos (bajo pena de felonía), o bien mediante otras formas: alteración del software del sospechoso, instalación programas fisgones (sniffers, keyloggers), y los métodos de investigación policial tradicionales (micrófonos, registro de correspondencia, agentes infiltrados, etc).

Esto nos deja en posición de completar esta "trilogía" de Informes con un estudio de la situación en España, donde como veremos seguimos aplicándonos la regla de "Spain is Different". Así que, con esto y un bizcocho ... al Informe dieciocho

Vuelta a la sección Informes del Taller de Criptografía