Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hay cuatro luces: la ley EARN IT ha vuelto y sigue siendo matemáticamente incoherente
La política se hace en base a compromisos y acuerdos. Una vida en la política enseña el arte de la realización parcial. Cuando la política choca contra una constante universal, o una verdad de las matemáticas y la física, a menudo, los políticos simplemente no pueden asimilar que hay cosas que no pueden cambiar, contra las que no pueden negociar, que no pueden alejarse de la base de su verdad. Una de esas cosas es el arma y el escudo más poderoso del mundo en Internet: la criptografía. La continua aparición del proyecto de ley zombie, la Ley EARN IT, demuestra una y otra vez que los tecnólogos no logran explicar y los legisladores no logran comprender que no existe el cifrado parcialmente roto.
La Ley EARN IT, un proyecto de ley bipartidista destinado a penalizar a las empresas por no espiar a sus clientes rompiendo su cifrado de extremo a extremo, se reintrodujo recientemente por tercera vez hace varias semanas. La ley, entre otras cosas, crearía una excepción en la Sección 230 de la Ley de Decencia en las Comunicaciones que expondría a las empresas a una responsabilidad legal adicional por albergar material de abuso sexual infantil (CSAM). Esto parece algo bueno, pero los incentivos para no tener MASI ya existen en la ley (y en la moralidad). Tener MASI a sabiendas ya es como tener una bolsa de fentanilo; hacerlo extra-especial, doble-cruce-nuestros-corazones ilegal no tiene sentido. Ya es muy ilegal que las empresas alojen MASI a sabiendas, y muchas empresas actualmente intentan detectarlo de manera proactiva mientras respetan la privacidad de sus usuarios.
Más en:
La seguridad cibernética
Privacidad
Los patrocinadores del proyecto de ley, sin embargo, piensan que los esfuerzos actuales no son suficientes, en parte porque los métodos estándar de detección de MASI no funcionan en entornos cifrados de extremo a extremo. Los autores de la Ley EARN IT han dicho que el objetivo de la ley es alentar a las empresas a aumentar considerablemente el escaneo de los archivos y las comunicaciones de los usuarios. EARN IT obliga a las empresas a espiar a sus usuarios al eliminar las protecciones de la Sección 230 de las empresas que, incluso sin saberlo, alojan material ilegal, y el cifrado es parte de esa falta de conocimiento. En seguridad y tecnología de la información, esa falta de conocimiento es algo bueno; es la privacidad de cualquiera que use los servicios en línea para hacer cualquier cosa, y podría decirse que es la razón del éxito de la Internet moderna. Para lograr los objetivos de EARN IT (y evitar la exposición a responsabilidades) en la práctica, las empresas tendrían que descifrar el cifrado y expandir en gran medida su vigilancia de los ciudadanos estadounidenses, mientras entregaban ese material a pedido a las fuerzas del orden de EE. UU.
Si este proyecto de ley apuntara a los propietarios e inquilinos, sería el equivalente digital de exigir a los propietarios que registren constantemente las casas de sus inquilinos, sin saberlo ni con su consentimiento, en busca de evidencia de delitos sexuales contra niños. Ya es ilegal que los propietarios permitan delitos a sabiendas, pero exigirles que registren las casas de sus inquilinos repetidamente para entregar pruebas se vuelve angustiosamente distópico y los obliga a convertirse en agentes del estado involuntarios en lugar de ciudadanos privados o empresas. (Lo cual es inconstitucional, por cierto: si una ley obliga a un arrendador digital a convertirse en un agente del estado, sus registros sin orden judicial de la casa en línea del arrendatario violan la Cuarta Enmienda). Continuando con la metáfora del ladrillo y cemento, los autores de EARN IT quieren que los propietarios reemplacen las cerraduras fuertes de los inquilinos con unas que se abran cada vez que alguien quiera hurgar en busca de delitos sexuales contra niños, ya sea que haya alguna razón para hacerlo o no. Y juran que la privacidad y la seguridad de esos inquilinos no se verán afectadas significativamente.
Eso, por supuesto, es una tontería. No es matemáticamente posible, como exigen repetidamente los legisladores, romper solo un poco el cifrado para buscar MASI. Una vez que se rompe el cifrado, se rompe por completo. He aquí una analogía para ilustrar. ¿Recuerdas 1984 de George Orwell? Hay un momento en que Winston Smith ve a O'Brien levantando cuatro dedos y le dicen que si solo dice que tiene cinco dedos arriba, puede quedar libre. Para aquellos de ustedes que recuerdan las increíbles actuaciones de Sir Patrick Stewart y David Warner en Star Trek: The Next Generation, el recuento de la historia de Orwell en el brillante episodio de dos partes Chain Of Command, su captor cardassiano le dice al Capitán Picard que debe decir que hay cinco luces en la habitación, aunque sólo hay cuatro. ¿Qué pasaría si O'Brien o Gul Madred, en esa situación, hubieran estado dispuestos a comprometerse, como el gobierno de EE. UU. suele decir que están dispuestos a hacer? Todo lo que Winston tuvo que hacer fue decir que había 4,5 dedos hacia arriba. Lo único que Picard necesitaba hacer era decir que había 4,5 luces. Eso es encontrar a sus oponentes a mitad de camino, ¿verdad? Puede ser un compromiso, pero no es significativo ni verdadero. No es físicamente posible que haya 4,5 dedos hacia arriba o 4,5 luces; hay o no hay un dedo de más o una luz más, y decir cualquier otra cosa puede parar la tortura pero no la hace verdadera. No podemos decirles a los legisladores que es posible comprometer el cifrado, porque no hay compromiso. Está roto o no. Hay cuatro dedos. HAY CUATRO LUCES. Decir que hay 5 porque eso es lo que un político quiere escuchar, o decir que hay 4,5 porque parece un compromiso, nos convierte en mentirosos sin resolver ninguno de los problemas subyacentes.
La privacidad y la protección son características de las tecnologías y de la relación entre padres e hijos, o estado y ciudadano. Pero el cifrado no es una característica de una relación o una compensación de política. Es un principio matemático fundamental que no está relacionado con nuestros deseos y anhelos. Los famosos algoritmos de encriptación rotos como DES y SHA-1 se usaron ampliamente hasta que se descifraron criptográficamente, aunque a muchas personas les resultó muy inconveniente actualizar sus protocolos de encriptación. La mayoría de los expertos piensan que un algoritmo criptográfico de números aleatorios vendido por la empresa RSA fue deliberadamente manipulado. Una vez que se rompe cualquier algoritmo de cifrado, pueden pasar tan solo unos minutos hasta que la vulnerabilidad se conozca en todo el mundo.
He escrito sobre cómo la prohibición de TikTok de Montana, ampliamente ridiculizada, solo se puede hacer cumplir con la creación de un estado de vigilancia al estilo chino. EARN IT obliga a las empresas a participar en ese estado de vigilancia al estilo chino que desafía los principios constitucionales. El gobierno chino tiene ese nivel de acceso a los datos de sus ciudadanos porque posee las claves de encriptación de casi todo el software de consumo y los productos de Internet en China, y demasiados senadores estadounidenses (Blumenthal y Graham) están tratando obstinadamente de replicar el mismo estado de vigilancia. con GÁNATELO bajo el lema de "piensa en los niños".
Más en:
La seguridad cibernética
Privacidad
Una de las decisiones más fundamentales que todos tomamos como ciudadanos estadounidenses es cuánta protección queremos versus cuánta privacidad para tomar nuestras propias decisiones sin supervisión. Esa no es una opción disponible para los ciudadanos chinos. Podemos hacer concesiones entre privacidad y protección. Muchos padres hacen esto por sus hijos, comprándoles un teléfono celular cuando son jóvenes, principalmente para rastrear su ubicación, supervisar sus comunicaciones para protegerlos y brindarles una forma de llamar para pedir ayuda si es necesario. A medida que los niños crecen, lo ideal es que los padres reduzcan la supervisión y la protección del teléfono de sus hijos a medida que el niño se vuelva más digno de confianza y demuestre que es capaz de tomar buenas decisiones, con el derecho y, de hecho, la responsabilidad legal de investigar si se preocupan. Pero simplemente obligar a las empresas a comenzar a vigilar a todos los ciudadanos mientras juran tener las mejores intenciones no funciona. Mientras era entrevistado por Tom Brokaw en una discusión de 2006 en el Consejo de Relaciones Exteriores, Michael Chertoff lo dijo maravillosamente:
Hay un tremendo deseo de que el gobierno le diga a la gente que, de hecho, los protegeremos contra todos los riesgos en todos los lugares en todo momento. Y les diré que no podemos hacer eso, y no lo haremos. El precio de hacerlo sería convertir nuestra sociedad, que es una sociedad libre y abierta, en un estado policial en bancarrota.
Lo que tenemos que hacer es evaluar inteligente y honestamente las compensaciones. Tenemos que entender cuáles son los beneficios, cuáles son los riesgos y cuáles son los costos. Y luego tenemos que tener una discusión abierta y honesta sobre cuáles son los costos que estamos dispuestos a asumir para lograr un nivel de seguridad razonable pero no perfecto.
Tradicionalmente, cuando hemos tenido pilas gigantes de datos sobre posibles delitos, las fuerzas del orden nunca se han detenido en buscar en esa pila de datos solo un tipo de delito y, de hecho, justificarán los usos ilegales de esa pila de datos para atrapar a los delincuentes. Usarán lecturas novedosas de las leyes para promover nuevos usos para los datos que recopilaron por otros motivos o intentarán citaciones para esos datos, incluso para escalofriante periodismo de investigación. Siempre encontrarán una razón para buscar el segundo, tercer y décimo tipo de delito, porque los datos están allí para ser encontrados y utilizados. Es parte de la razón por la que tenemos un derecho de la Cuarta Enmienda contra el registro y la incautación ilegales. Los fundadores de este país sabían bien que una vez que la vigilancia masiva y la aplicación de la ley se extralimiten, no se detendrán y, lo que es peor, puede conducir a una espiral viciosa de autocensura y recopilación de datos que arruina nuestra libertad de expresión sin posibilidad de reparación.
Puedo simpatizar y comprender la profunda ira de los funcionarios encargados de hacer cumplir la ley que no pueden acceder a una pila de datos existente que podría ayudarlos a resolver crímenes devastadores contra los miembros más vulnerables de nuestra sociedad. Lo que no puedo decir es si hay algún límite a la cantidad de datos que esos agentes de la ley quieren retener sobre todos nosotros. Para ser perfectamente exactos, la mejor pila de datos que esos agentes de la ley pueden usar para resolver todos los delitos sería cada conversación por voz o texto que todos nosotros hayamos tenido. Es difícil sopesar las compensaciones entre la privacidad y la protección, y es algo con lo que debemos seguir lidiando como sociedad en el futuro. Es fácil ir demasiado lejos o no lo suficiente al moverse hacia uno u otro, pero básicamente darle a alguien más privacidad significa vigilarlo menos. Sin embargo, hay una diferencia entre privacidad y protección, que son valores y derechos, y por lo tanto pueden equilibrarse entre sí, y verdades inmutables como el funcionamiento de las matemáticas.
Lo que es más deprimente, el primero, segundo y ahora el tercero GÁNELO son malas matemáticas bipartidistas (hay partidarios republicanos y demócratas de GÁNELO) que nuevamente reflejan el hecho de que los formuladores de políticas quieren desesperadamente usar una sanción sintomática descendente más fácil para abordar una corriente ascendente más compleja. problema social susceptible de ser mitigado y prevenido. GÁNELO es otro caso más de políticos que no entienden o ignoran las realidades técnicas detrás del cifrado. No puedes estar un poco embarazada, no puedes estar un poco muerta y el cifrado no puede romperse a la mitad.