El passat mes de gener Europol i Eurojust van llançar el seu primer informe sobre encriptació en l’àmbit de la seguretat informàtica, First report of the observatory function on encryption. En el marc de les mesures presentades per la Comissió Europea a l’Eleventh progress report, ambdues agències han establert un observatori conjunt per analitzar les dificultats, les oportunitats i el futur de l’encriptació en l’àmbit de la investigació criminal.

L’informe fa una breu introducció dels conceptes, els productes i els serveis[1] que tenen un ús genèric en encriptació. Tot seguit, a partir de l’experiència dels membres de l’European Cybercrime Centre (EC3), es tracten els reptes per als cossos de seguretat i els sistemes de justícia en el moment de la investigació i la persecució d’il·lícits penals.

En aquest sentit, en primer lloc es destaca un deficient marc legal específic que no ajuda les agències de seguretat i les autoritats judicials a superar o atacar l’encriptació. Malgrat el difícil equilibri entre el dret a la privacitat i els drets de les víctimes, l’informe accentua la necessitat d’una normativa que faciliti, entre d’altres, l’obligació legal d’entregar la clau o la informació xifrada per part de les empreses i/o els serveis[2] i unes provisions específiques en l’ús d’eines per atacar l’encriptació.[3]

Més enllà dels aspectes legals, es ressalta la necessitat de reforçar els aspectes de coordinació operativa, els recursos tècnics i tecnològics i els recursos humans. Segons l’observatori, des del punt de vista operatiu es necessita una millor coordinació de les diferents forces de seguretat i les agències europees com Europol i Eurojust. A la vegada, és crucial invertir en potència computacional per tal de dur a terme atacs orientats a trobar les claus d’accés a la informació xifrada. Tot i així, i com a complement a la tecnologia, la formació i la presència de forenses experts en la matèria es fan imprescindibles.[4]

Davant la ja esmentada problemàtica de contraposar els drets a la privacitat i la necessitat de lluitar contra la delinqüència, European Digital Rights (EDRi) indica que trobar la clau o descobrir-la explotant vulnerabilitats és una bona manera de respondre-hi. És en aquesta direcció que, segons l’informe, s’ha de dirigir l’esforç davant el repte de l’encriptació.

Finalment, l’informe posa sobre la taula nous reptes de futur. L’observatori en destacarà fins a tres, la computació quàntica, la intel·ligència artificial i l’arribada del 5G. Ara com ara, cap d’aquestes tecnologies ha suposat un canvi radical en encriptació però es preveuen grans avenços i alguns riscos, com la Quantum Key Distribution en el cas de la computació quàntica o la International Mobile Subscriber Identity-IMSI[5] en el cas del 5G.

En suma, l’informe planteja un dilema. Si bé l’encriptació és necessària, en termes de seguretat, per a les administracions públiques i les empreses privades, també és aprofitada per a activitats il·lícites de crim organitzat. La qüestió de fons, doncs, és dotar els serveis públics d’un marc legal i de capacitat operativa per anar al capdavant en aquest nou entorn tecnològic. En serem capaços, quan el mateix informe destaca que són les empreses privades les que porten la iniciativa?

Enllaços—————————————————————————————————————-

https://www.europol.europa.eu/ à Europol

http://www.eurojust.europa.eu/Pages/home.aspx –> Eurojust

https://www.europol.europa.eu/publications-documents/first-report-of-observatory-function-encryption à Informe a la web d’Europol.

Peu de pàgina 1.

• https://www.torproject.org/index.html.en –> The Onion Router – Tor (programari lliure)
• https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742566(v=technet.10) Virtual Private Networks.
• https://signal.org/ Signal
• https://www.silentcircle.com/ Silent Circle.
• https://www.techopedia.com/definition/13623/full-disk-encryption-fde Definició de Full Disk Encryption

https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3 European Cybercrime Centre. EC3

https://www.techopedia.com/definition/5067/international-mobile-subscriber-identity-imsi – IMSI

[1] Per exemple, en l’àmbit dels navegadors, l’ús de The Onion Router (Tor), un programari lliure que a partir de prendre en préstec diverses adreces IP crea nodes i connexions aleatòries amb les seves respectives capes de xifratge, fet que dificulta la traçabilitat de la IP original. O els Virtual Private Networks, que protegeixen la connexió entre el terminal i el servidor. En les comunicacions per veu, tenim per exemple els serveis d’encriptació de Signal o la menys coneguda Silent Circle.

[2] Aquesta legislació específica no és generalitzada, ja que podria suposar una violació del dret a no incriminar-se un mateix en un delicte. Tot i així, allà on existeix aquesta obligació per als proveïdors de serveis, en moltes ocasions aquests mateixos proveïdors no poden satisfer la petició perquè no tenen accés a les dades xifrades d’extrem a extrem (end-to-end encryption – E2EE).

[3] L’informe destaca que, malgrat que és suficient amb la legislació vigent, una concreció sobre les eines de desxifratge utilitzades, tot i que no necessàriament molt descriptiva tècnicament, podria donar més seguretat jurídica.

[4] Hi ha eines de xifratge que amb l’actual potència computacional fan impossible la desencriptació en un temps raonable. És per això que els experts poden aportar aspectes de context i d’entorn personal de l’investigat per accelerar la investigació focalitzant recursos en una direcció.

[5] Amb el 5G, un únic identificador pot ser temporalment substituït per un identificador dinàmic, la qual cosa ajuda a noves tècniques de manipulació de la identitat i l’ocultació.

_____

Esta entrada en español / This post in English / Post en français