La coalición de empresas tecnológicas RGS (Reform Government Surveillance) es una agencia internacional que se encarga de proteger la privacidad y seguridad de los ciudadanos. Para ello, colabora con distintos gobiernos para adoptar practicas y leyes de vigilancia que sean consistentes con las normas de privacidad establecidas, la libertad de expresión y la ley vigente.
Hace unos días la RGS ha emitido un reporte donde intenta reivindicar la solicitud del FBI y del Departamento de justicia de los estados unidos a algunas compañías tecnológicas para que añadan puertas traseras en sus productos que permitan anular las medidas de cifrado end-to-end o de cifrado de dispositivos. En concreto, en el reporte aparece la afirmación que se muestra a continuación.
Recent reports have described new proposals to engineer vulnerabilities into devices and services – but they appear to suffer from the same technical and design concerns that security researchers have identified for years. Weakening the security and privacy that encryption helps provide is not the answer.
Además de esto, unas líneas más arriba, hace referencia a un reporte emitido el 26 de Marzo en el que se detallaba que miembros del FBI y del Departamento de Justicia se habían reunido con investigadores en ciberseguridad para buscar formas de permitir un “acceso extraordinario” a dispositivos cifrados. La técnica que se sugirió consistía en utilizar una clave de acceso especial que sería generada en el momento del cifrado y que serviría para descifrar el dispositivo sin requerir el passcode. Esta clave sería almacenada en memoria local del dispositivo, en un lugar apartado, similar al Secure Enclave de los dispositivos iOS.
Esta medida se ha considerando insegura por varias razones, entre ellas se destaca que este sistema podría requerir que ciertos miembros de Apple (u otras firmas) tuvieran acceso a esta clave, y que, por lo tanto, el hecho de que varias personas tengan acceso a la clave aumenta significativamente la probabilidad de que se filtre.
Con todo lo anterior sucediendo de forma frecuente en diferentes compañías tecnológicas, la RGS recientemente ha llegado a un acuerdo en el que se ha propuesto una lista de seis principios básicos para asegurar la seguridad y la privacidad de los usuarios a través de cifrado.
En esta lista afirma cosas como que “el cifrado de dispositivos y servicios protege la información sensible de los usuarios”, “el cifrado promueve la libertad de expresión y la libre circulación de información alrededor del mundo” o que forzar a las compañías tecnológicas a crear vulnerabilidades en sus productos que atenten contra el cifrado “socavan la seguridad y la privacidad de nuestros usuarios, así como la infraestructura mundial de tecnología de la información”.
Para terminar, el vicepresidente de ingeniería del software de Apple, Craig Federighi, reportaba lo siguiente el mes pasado.
"Proposals that involve giving the keys to customers' device data to anyone but the customer inject new and dangerous weakness into product security. Weakening security makes no sense when you consider that customers rely on our products to keep their personal information safe, run their businesses, or even manage vital infrastructure like power grids and transportation systems."
Hace unos días la RGS ha emitido un reporte donde intenta reivindicar la solicitud del FBI y del Departamento de justicia de los estados unidos a algunas compañías tecnológicas para que añadan puertas traseras en sus productos que permitan anular las medidas de cifrado end-to-end o de cifrado de dispositivos. En concreto, en el reporte aparece la afirmación que se muestra a continuación.
Recent reports have described new proposals to engineer vulnerabilities into devices and services – but they appear to suffer from the same technical and design concerns that security researchers have identified for years. Weakening the security and privacy that encryption helps provide is not the answer.
Figura 1: RGS |
Además de esto, unas líneas más arriba, hace referencia a un reporte emitido el 26 de Marzo en el que se detallaba que miembros del FBI y del Departamento de Justicia se habían reunido con investigadores en ciberseguridad para buscar formas de permitir un “acceso extraordinario” a dispositivos cifrados. La técnica que se sugirió consistía en utilizar una clave de acceso especial que sería generada en el momento del cifrado y que serviría para descifrar el dispositivo sin requerir el passcode. Esta clave sería almacenada en memoria local del dispositivo, en un lugar apartado, similar al Secure Enclave de los dispositivos iOS.
Esta medida se ha considerando insegura por varias razones, entre ellas se destaca que este sistema podría requerir que ciertos miembros de Apple (u otras firmas) tuvieran acceso a esta clave, y que, por lo tanto, el hecho de que varias personas tengan acceso a la clave aumenta significativamente la probabilidad de que se filtre.
Con todo lo anterior sucediendo de forma frecuente en diferentes compañías tecnológicas, la RGS recientemente ha llegado a un acuerdo en el que se ha propuesto una lista de seis principios básicos para asegurar la seguridad y la privacidad de los usuarios a través de cifrado.
En esta lista afirma cosas como que “el cifrado de dispositivos y servicios protege la información sensible de los usuarios”, “el cifrado promueve la libertad de expresión y la libre circulación de información alrededor del mundo” o que forzar a las compañías tecnológicas a crear vulnerabilidades en sus productos que atenten contra el cifrado “socavan la seguridad y la privacidad de nuestros usuarios, así como la infraestructura mundial de tecnología de la información”.
Para terminar, el vicepresidente de ingeniería del software de Apple, Craig Federighi, reportaba lo siguiente el mes pasado.
"Proposals that involve giving the keys to customers' device data to anyone but the customer inject new and dangerous weakness into product security. Weakening security makes no sense when you consider that customers rely on our products to keep their personal information safe, run their businesses, or even manage vital infrastructure like power grids and transportation systems."
No hay comentarios:
Publicar un comentario