¿Implicaciones del proyecto de ley del senado de Burr-Feinstein propuesto? [cerrado]

8

Se se ha rumoreado (Supongo que es más que un rumor) que los senadores Burr y Feinstein presentarán una legislación que obligue a las empresas a proporcionar al gobierno (con garantías) el acceso para cifrar el material. Entonces, uno podría esperar que el gobierno requiera que las empresas mantengan una llave maestra que pueda desbloquear todo el cifrado. Todavía no tenemos el idioma exacto del proyecto de ley, y Casa Blanca podría incluso oponerse al proyecto de ley ya.

Pero, estoy un poco confundido acerca de las implicaciones de dicha legislación. Si bien entiendo que se puede requerir que Apple, Facebook, Google, etc. implementen básicamente puertas traseras en el esquema de cifrado, ¿qué significaría tal política para el cifrado?

¿Sería razonable, por ejemplo, suponer que dicha legislación básicamente prohibiría el cifrado fuerte? Hay tantos programas que han implementado varios algoritmos fuertes (como PGP). ¿La consecuencia de dicha legislación es solo que el cifrado predeterminado utilizado en, por ejemplo, los iPhones tendrá una puerta trasera?

¿Es prácticamente posible prohibir todo cifrado fuerte?

Para ser claro, no estoy preguntando si uno debe o no apoyar tales medidas restrictivas. Solo me interesan las implicaciones de dicha legislación.

    
pregunta Thomas 23.03.2016 - 17:36
fuente

2 respuestas

9

Creo que las implicaciones realmente interesantes son cuando miras fuera de los Estados Unidos. Una vez que se establezca el mecanismo para solicitar legalmente un contenido clave o descifrado, los otros países donde las empresas afectadas hacen negocios requerirán lo mismo.

El método utilizado para proporcionar contenido descifrado afectará lo que suceda a continuación.

  • Si la compañía mantiene sus claves en secreto y descifra el contenido del usuario cuando lo solicite, terminará con una situación en la que la empresa debe responder a las solicitudes de descifrado de todo tipo de agencias extranjeras, y algunas de ellas probablemente serán para Dispositivos pertenecientes a ciudadanos del propio país de la empresa.
  • Si la clave debe proporcionarse y la empresa solo mantiene una clave maestra para todos sus productos, entonces existe una situación en la que los gobiernos tienen la capacidad de descifrar dispositivos que pertenecen a extranjeros (incluidos, por ejemplo, funcionarios gubernamentales o C ejecutivos de alto nivel)
  • Si la clave debe proporcionarse pero hay claves separadas (por dispositivo o localizadas en un país), para preservar su capacidad de leer los dispositivos de sus ciudadanos, los países tendrían que importar dispositivos cifrados. ilegal (y, prácticamente, terminas con una situación en la que los "tipos malos" (como los terroristas y los agentes secretos) solo importan teléfonos ilegalmente y tienen un cifrado perfecto y solo los dispositivos de los "tipos buenos" se pueden descifrar). Para permitir que los viajeros legales traigan sus dispositivos al país, es posible que también deba crear un sistema de administración de claves para importar o recuperar claves de cada dispositivo (y, por supuesto, "debe ejecutar este programa en su computadora para poder ingresar a nuestro país "tiene implicaciones adicionales).
respondido por el drewbenn 23.03.2016 - 18:23
fuente
2

Cosas como los servidores de correo S / MIME corporativos o el cifrado de discos corporativos ya serían compatibles con esto.

En los sistemas con los que he trabajado (que dejaré sin nombre) la generación de claves para un usuario final funciona así:

  1. Las claves privadas de firma / no rechazo se generan en el lado del cliente y nunca se comparten con nadie.

  2. Las claves privadas de cifrado pueden generarse del lado del servidor y pasarse de manera segura al cliente, o generarse del lado del cliente y pasarse de manera segura al servidor. (Un administrador del servidor puede configurarlo para que las claves de descifrado se almacenen solo en el lado del cliente, pero nunca lo haría por los motivos de recuperación de datos que se enumeran a continuación).

  3. Las claves de descifrado se archivan en el servidor, cifradas con una clave de servidor maestra (que se espera que se guarde en un HSM ) .

    • En el caso de que un usuario pierda / destruya sus claves, cualquier documento cifrado para ellos no se perderá porque el servidor puede restaurar sus claves de descifrado.
    • En el caso de que alguna tercera parte quiera acceder a documentos cifrados para ellos (por ejemplo, si el empleado se va, o si los ejecutivos de la empresa quieren acceso directo, o si hay una orden del gobierno), las claves de descifrado para ese usuario se pueden recuperar directamente desde el servidor por un administrador de alto nivel.

La implicación aquí es que si trabajas para una empresa; para empezar, sus datos nunca fueron suyos, siempre han pertenecido a la empresa y tienen derecho a acceder a ellos.

El otro caso que está preguntando es sobre ciudadanos privados que usan herramientas de cifrado personales como PGP. Aquí es donde ocurre la tormenta de mierda. ¿La policía de EE. UU. Está tratando de darse a sí misma el derecho a decir "Danos las claves de descifrado para ver las pruebas, o te enviaremos a la cárcel por usar cifrado!" ? Eso sería aterrador y merecería una protesta pública, pero como se mencionó en los comentarios: este es definitivamente un tema ajeno a este sitio, por lo que me detendré aquí.

    
respondido por el Mike Ounsworth 23.03.2016 - 17:48
fuente

Lea otras preguntas en las etiquetas