El senador que respalda el proyecto de ley contra la criptografía señala la falta de criptografía de extremo a extremo de Zoom

Foto estilizada de la pantalla de una computadora con la imagen de un candado.

Richard Blumenthal, el senador de EE. UU. Que patrocina un proyecto de ley que los críticos dicen que limitará el uso de cifrado, está pidiendo una investigación del proveedor de videoconferencias Zoom, en parte por su falso reclamo que ofreció … cifrado de extremo a extremo.

El Demócrata de Connecticut es un patrocinador del proyecto de ley EARN IT (Eliminación de la negligencia abusiva y desenfrenada de las tecnologías interactivas) que crearía incentivos para que las empresas realicen cambios en sus plataformas. A cambio, las compañías recibirían protecciones de responsabilidad por cualquier violación de las leyes relacionadas con el material de abuso sexual infantil en línea. Los críticos de la ley propuesta, que incluyen la Electronic Frontier Foundation y el senador Ron Wyden (D-Ore.), Dicen que es un caballo de Troya diseñado para permitir que el gobierno debilite el cifrado de extremo a extremo. Un representante de Blumenthal no está de acuerdo con la caracterización y dice que el proyecto de ley no obstaculiza el cifrado.

Un patrón de infracciones de privacidad

Citando un “patrón de fallas de seguridad e infracciones de privacidad”, el senador Blumenthal el martes pidió a la FTC que investigue Zoom. La principal de las infracciones de privacidad citadas es la afirmación en el sitio web de Zoom de que las reuniones estaban encriptadas de extremo a extremo, lo que significa que el video, el audio y el texto estaban encriptados en todo momento en tránsito y que Zoom o cualquier otra persona no podían desencriptarlos. participantes de la conferencia. Una publicación publicado la semana pasada The Intercept informó que las reuniones de Zoom, de hecho, usaban lo que generalmente se llama cifrado de transporte, lo que le permite a Zoom descifrar los datos de la reunión.

Investigadores del Citizen Lab, el grupo de la Universidad de Toronto que investiga la seguridad y la piratería, informaron además graves debilidades en el régimen de cifrado de Zoom. Una falla fue que Zoom “desarrolló su propio” esquema de cifrado, lo que significa que utilizó algoritmos personalizados en lugar de estándares que habían sido ampliamente probados durante años. Otra falla: el uso de la compañía de servidores ubicados en China para enrutar reuniones para los participantes de América del Norte y distribuir claves de cifrado.

Blumenthal escribió el martes: “Los hechos y prácticas descubiertos por los investigadores en las últimas semanas son alarmantes: debemos preocuparnos por lo que permanece oculto. A medida que Zoom se incrusta en la vida cotidiana de los estadounidenses, necesitamos urgentemente una investigación completa y transparente de su privacidad y seguridad.”

Si bien los tweets del martes no se refieren explícitamente a las transgresiones de cifrado de Zoom, Blumenthal se dirigió a ellos directamente la semana pasada cuando escribió una carta al CEO de Zoom, Eric Yuan. Su tuit que acompaña la carta incluyó un enlace al artículo de The Intercept.

“A pesar de las afirmaciones en documentos de seguridad y anuncios de que Zoom ofrece cifrado de extremo a extremo para sus reuniones, el análisis técnico de The Intercept descubrió que no protege la privacidad de las comunicaciones que utilizan esta forma de cifrado”, escribió Blumenthal en la carta del 31 de marzo. . “Los usuarios de Zoom merecen respuestas claras y correctas sobre cómo protege la seguridad de sus usuarios y reuniones”. Blumenthal continuó solicitando Zoom para describir cuándo está disponible el cifrado de extremo a extremo y cómo se cifran los datos personales.

Reduciendo el cifrado

La ley EARN IT designaría una comisión que desarrollaría “mejores prácticas” para los servicios de Internet para prevenir la explotación infantil en línea. Los patrocinadores presentaron el proyecto de ley después de que el Fiscal General de los EE. UU., William Barr, solicitó en repetidas ocasiones puertas traseras de cifrado para evitar que las fuerzas del orden se oculten. Riana Pfefferkorn, directora asociada de vigilancia y ciberseguridad en el Centro de Internet y Sociedad de la Facultad de Derecho de Stanford, ha dicho las mejores prácticas son “bastante dependientes de la AG para determinar”. Anteriormente, el grupo dijo que el proyecto de ley es un intento de “prohibir el cifrado de extremo a extremo sin prohibirlo”.

El FEP, mientras tanto, ha dicho que la comisión, que actualmente asciende a 19, estaría “dominada por las agencias de aplicación de la ley” que han instado repetidamente a las compañías tecnológicas a debilitar el cifrado e implementar las mismas puertas traseras que Barr ha exigido.

En un correo electrónico enviado después de la publicación de esta publicación, un representante de Blumenthal escribió: “La Ley EARN IT no restringe, inhibe ni prohíbe el cifrado, por lo que no hay contradicción entre la autoría del senador Blumenthal de este proyecto de ley y su carta a Zoom, o su muchas décadas de trabajo en nombre de los problemas de privacidad y seguridad cibernética del consumidor. El senador Blumenthal hizo este punto de manera específica y reiterada durante la audiencia de la Ley EARN IT “.

El representante también discrepó con la afirmación de que el fiscal general puede determinar las mejores prácticas. En cambio, dijo el representante, el “fiscal general, el Presidente de la FTC y el Secretario de Seguridad Nacional tienen la capacidad de rechazar las mejores prácticas propuestas por la comisión pero no de escribir o reescribir las reglas”.

El representante también cuestionó la posición del EFF de que la membresía de la comisión estaría dominada por las agencias de aplicación de la ley. En cambio, dijo, los nombramientos de la comisión incluirían “sobrevivientes de explotación sexual infantil en línea; expertos en derecho constitucional, privacidad y derechos del consumidor; científicos informáticos y expertos en criptografía, seguridad de datos o inteligencia artificial; y sí, representantes de las fuerzas del orden público que tienen experiencia trabajando con sobrevivientes de explotación sexual infantil en línea o procesando esos casos “.

Por definición, el cifrado de extremo a extremo no puede tener puertas traseras. Basado en la caracterización de los críticos, el senador Blumenthal parece querer cosas en ambos sentidos: cifrado de extremo a extremo para proteger a los usuarios de Zoom y, al mismo tiempo, una ley ampliamente considerada como un intento de socavarlo.

Publicación actualizada para agregar comentarios de la oficina del senador Blumenthal.

Related Stories