LA CRIPTOGRAFA EN EL MUNDO REAL CHRIS SUNDT

Abstracto
Este artculo explica cmo y por qu los controles de la criptografa han cambiado en los
ltimos 20 aos ms o menos, ahora se centra ms en el acceso al mercado legal de texto sin
formato de los datos protegidos que en el control del movimiento de los productos
criptogrficos. El efecto de este cambio en usuarios de criptografa, y la forma en la
organizacin pueden minimizar sus riesgos de negocio en este nuevo se discuten medio
ambiente.
1.Introduccin
A principios de 1990 un debate encendido por las restricciones de restriccin
el uso generalizado de la criptografa dentro de los sistemas de negocio.
Tradicionalmente los gobiernos han visto la criptografa como una tecno-loga proteger la
seguridad nacional, y se ejerce un control estricto
sobre su explotacin.
A medida que los sistemas de comunicacin de negocios explotados en apoyo de sus
operaciones comerciales, la necesidad de tecnologas a proteger a las operaciones de la
interferencia externa o dao se hizo evidente. De hecho, a principios de los aos 1990
gobiernos ya haban hecho una excepcin para la interaccin en lnea sistemas bancarios,
tales como SWIFT, que les permite utilizar una forma especfica de encriptacin para proteger
las transacciones financieras llevado a cabo a travs de redes.
Este debate culmin con la publicacin de la OCDE, a principios de 1997, Directrices sobre
poltica criptogrfica. Este documento proporcionado un conjunto de principios comnmente
aceptados en el que polticas nacionales de criptografa deben basarse. es importante
destacar que se reconoce tanto el derecho de los negocios, y los individuos, a la libertad de
eleccin en la seleccin de herramientas criptogrficas adecuadas para proteger sus intereses
y el derecho de los gobiernos nacionales para apoyar las medidas que ayudan acceso legal, al
tiempo que claro que debe haber un equilibrio adecuado entre el 8 Principios enumerados en
la pliza, sin que nadie la poltica dominando a expensas de los otros. Tambin se establece
que los controles no deben crear barreras artificiales al comercio.
Desde entonces, los gobiernos han disminuido gradualmente en los controles criptografa,
eximiendo categoras de tecno- criptogrfica gas y productos de control y simplificar la
concesin de licencias procesos asociados con la criptografa.
En paralelo, la criptografa se ha convertido en parte de la corriente principal Productos de TI,
a menudo sin que el usuario sea consciente. Se ha propagado
en productos de consumo tales como telfonos mviles, televisin digital y similares, y se
sustentan muchos de soluciones DRM. Criptografa grafa se ha convertido en omnipresente.
Como resultado, es muy fcil asumir que el "cripto problema de control "se ha
ido. Lamentablemente esto est lejos de la verdad, como se demuestra por la reciente bien
publicitado discusiones entre RIM y el gobierno de la India acerca el acceso a las
comunicaciones de Blackberry. Slo la naturaleza de la problema ha cambiado. Los
desarrolladores de productos, sistema de negocio desarrolladores y usuarios de todos deben
ser conscientes del mundo real restricciones que todava existen en la criptografa. En
particular, los usuarios pueden violar involuntariamente normas y regulaciones locales por
ignorancia, donde un producto bsico utiliza Cryptografa, y las empresas deben ser
conscientes de las normas locales yreglamentos al rodar los sistemas a nivel internacional
especialmente en los que terceras partes, tales como servicio gestionado proveedores estn
involucrados.
En este trabajo se discutir cmo tiene el control de la criptografa cambiado y se abordarn
algunas cuestiones clave que deben tenerse en cuenta por una empresa, producto o
desarrollador de un usuario cuando la criptografa est involucrado.
E-mail: sundtc@echini.co.uk .
disponible en www.sciencedirect.com
www.compseconline.com/publications/prodinf.htm
Pgina 2
2. Los imperativos polticos

Naciones cumplir los controles en las tecnologas que se consideran para ser de posible
beneficio para otras naciones consideradas "Antiptico" e imponer controles de exportacin y,
en ocasiones, controles a la importacin y uso. La criptografa es todava uno de esos
tecnologa. Durante la Guerra Fra tales controles fueron coordinacin nado a travs del
proceso de Competitividad que se trat la criptografa de la misma manera como el control de
armas. Sin embargo, en el ltimo 20 aos o as que el contexto en el que se impusieron estos
controles ha cambiado significativamente. Si bien parece que muchos gobiernos han dado
hasta el intento de controlar la tecnologa de la criptografa, en verdad su enfoque acaba de
cambiar para satisfacer las diferentes amenazas. Los viejos tipos de control ya no es
apropiado, aunque eran la mayora de los pases todava conservan de alguna forma, como se
ha discutido luego.
Por lo general los gobiernos han permitido su uso sin restricciones de criptografa fuerte con
pocos controles en su exportacin. Esta ha permitido el desarrollo y uso generalizado de
comunicaciones y productos comerciales que incorporan Cryptografa, lo que lleva al mundo
de trabajo remota mvil global en la que vivimos ahora. Sin embargo, estos desarrollos no
tienen Slo beneficiado empresas y particulares. Tambin tienen terroristas beneficiado, el
crimen organizado y similares. En efecto, la sencilla amenaza para la seguridad nacional se ha
transformado en un complejo un conjunto de amenazas en forma por terroristas que utilizan
estas tecnologas para comunicarse, y para llevar a cabo sus actividades.
En paralelo, el entorno de las comunicaciones dentro de que ahora vivo da mayores
oportunidades a los criminales cometer crmenes familiares desde simples a complejos de
fraude actividades delictivas organizadas. La mayora de las escenas del crimen en estos das
implicar algn tipo de dispositivo electrnico de correo de la simple telfono mvil a las redes
de ordenadores e incluso si el subyacente crimen (de intimidacin con el blanqueo de dinero)
no es nueva.
El acceso a los datos, tanto almacenada y en trnsito, se ha convertido en una clave
elemento de las actividades tanto de la seguridad y la legislacin nacional las agencias de
aplicacin. Como resultado, muchos gobiernos tienen reglas y reglamentos promulgados que
les permiten interceptar los datos en trnsito y para apoderarse de los datos
almacenados. Cuando stos sean cifrada, por lo general hay reglas y regulaciones con
respecto
acceso al texto plano asociado de alguna manera.
3.Las dimensiones sociales y empresariales
Para complicar este escenario son otras presiones resultantes de la propagacin de las redes
sociales, el uso creciente de Negocio basado en Internet y la tendencia general de mayor
negocio complejo y las relaciones personales. A nivel personal nivel de privacidad se ha
convertido en un problema importante, con muchas naciones
la promulgacin de alguna forma de la normativa de proteccin de datos personales.
Inicialmente dirigida a los datos almacenados bsicos, cada vez que esto tiene incluidas las
implicaciones de los dispositivos porttiles, como ordenadores porttiles, y de
almacenamiento, como memorias USB. Ahora es comn para muchos pases que esperan que
los datos personales sean protegidos adecuadamente mientras que fuera de un entorno
seguro e Este casi siempre significa algn tipo de encriptacin. De hecho, algunas naciones
proporcionar orientacin formal sobre esto, recomendando el uso de cifrado. El creciente uso
de servicios gestionados y aplicaciones y servicios basados en la nube ha complicado este
exigencia de una fuerte proteccin de los datos personales, ya que es
cada vez ms difcil tener la certeza de que los datos son celebr, y qu caminos de
comunicaciones que utiliza el correo y por lo tanto cuyas reglas y regulaciones que necesita
para ajustarse a. Esto puede dar lugar a situaciones en las que una organizacin se enfrenta a
conflicting requisitos de un sistema de negocio que opera en muchos
pases.
Negocio se basa cada vez ms en las comunicaciones por correo correo electrnico, FTP y
similares e para vincular los empleados, socios y otros, con los datos sensibles se distribuyen
ampliamente sobre abierto enlaces de comunicaciones. Los proveedores estn respondiendo
al ofrecer productos e de los cuales los productos son Blackberry y VPN buenos ejemplos
electrnico que cifran estos enlaces, permitiendo seguro
comunicacin. Con ms y ms activos intelectuales detenidos y distribuidos
electrnicamente, diversas formas de derechos digitales Gestin se han desarrollado, muchos
relacionados con criptografa Raphy en alguna forma, aunque no todos los cifrar dichos datos.

La criptografa es cada vez ms ampliamente utilizado para apoyar firmas digitales, y para
garantizar la integridad de los datos. Con demasiada frecuencia, la existencia de la
criptografa subyacente no es evidente para el usuario o, una vez establecido, se ejecuta sin
la la necesidad de intervencin humana directa. Esto puede crear particular, problemas donde
las autoridades requieren acceso al texto sin formato de datos protegidos.
4. El actual entorno de control
Dos formas distintas de Control han surgido electrnico que respecta con el control de la
tecnologa de criptografa travs de las fronteras, y la relativa al acceso a datos protegidos
dentro de un pas.
4.1. Controles de exportacin / importacin
Muchos pases siguen las reglas sobre el control de la criptografa consagrado en el Acuerdo
de Wassenaar (el sucesor COCOM), aunque algunos (por ejemplo, el EE.UU.) Tiene
variaciones significativas en dichas normas. Muchos conservan la exportacin controles sobre
ciertos tipos de criptografa de correo en particular aquellos asociado particularmente con los
sistemas militares e o a cierta destinos (como aquellos pases considerados "terroristas").
Pocos pases imponen controles a la importacin o los controles sobre el uso dentro de un
pas. Sin embargo, todava hay pases que hacen cumplir los controles de exportacin,
importacin e incluso el uso o disposicin de criptogrfica la tecnologa dentro de su pas. Los
ejemplos incluyen los pases como China y Rusia. La mayora de los pases ofrecen exenciones
para "uso personal", la tecnologa de "dominio pblico", etc. dentro de sus controles de
exportacin, pero a menudo esto puede ser mal definida, sobre todo cuando se trata de una
utilizacin para actividades comerciales. En general, si bien estas normas deben estar bien
definidos, en la prctica Tice que a menudo estn abiertos a la interpretacin.
Por ejemplo, los EE.UU. est revisando su criptografa normas de control de exportacin de
nuevo. Las nuevas reglas aparentemente ofrecen algunas mejoras de procedimiento en el
status quo, sino tambin crear nuevos complejidades de regulacin y cargas administrativas
para los exportadores de productos de cifrado.
Pgina 3
Ms confusin se debe a una distincin hecha por muchos pases entre la criptografa
utilizados para el cifrado de datos de correo ocultando su contenido electrnico y la
criptografa utilizados para otra fines, tales como la comprobacin de integridad y firmas
digitales. Este ltimo uso es raramente electrnico controlado a menos que pueda ser mal
utilizada para otros fines tales como para cifrar los datos. A menudo relajada los controles se
aplican nicamente a los productos que contienen la criptografa La tecnologa que no puede
ser manipulado por alguien que no sea el proveedor del producto, y muchos pases requieren
que los proveedores proporcionar dichos productos para su inspeccin antes de una exencin
es concedido.
Una excelente fuente de informacin sobre los controles promulgado por las naciones de todo
el
mundo
se
mantiene
por
Bert-Jaas
Koops.
Su
sitio
web
(< http://rechten.uvt.nl/koops/cryptolaw/ >) Es una buena fuente de informacin sobre el
estado actual de la criptografa leyes y reglamentos relacionados con Raphy. Su tesis sobre el
tema, publicado en 1999, contribuy significativamente a la criptografa debate grafa.
4.2. reglamentos internos
Mientras que algunos pases hacen cumplir la normativa interna sobre el uso de la
criptografa, en los ltimos aos ha habido un importante avanzar hacia la promulgacin de
nuevas normas y reglamentos asociado con el acceso a los datos intangibles, ya sea
almacenada o En trnsito. Esto refleja el creciente uso de la criptografa por
negocio e incluso los individuos. Ya no puede Enforcement ley agencias de dependen de los
operadores de red para interceptar dante comunicaciones de texto, por ejemplo, como el
cifrado es a menudo aplicado a nivel de empresa y de aplicacin sobre la cual los operadores
de red no tienen ningn control. Como resultado, las naciones estn introduciendo requisitos,
donde los datos adquiridos legalmente est protegido, para el dante asociado texto que se
pone a disposicin. Algunos incluyen las leyes que exigen la gente para ayudar positivamente
en la provisin de acceso a las llaves donde no puede proporcionar acceso al texto sin
formato, de no hacerlo, siendo un delito. Esta tendencia refleja la creciente utilizacin de
sistemas de informacin y de Internet por los terroristas y carmes

inales, y la necesidad de hacer cumplir la ley para poder acceder Los datos adquiridos
legalmente en el curso de sus investigaciones que esta protegido. Esto plantea dos cuestiones
especficas. En primer lugar, el acceso a los datos y, en particular, las solicitudes de acceso a
el texto sin formato de los datos protegidos, por lo general siguen algunas formales proceso
judicial. Esto puede variar a travs de las naciones. Las personas y las organizaciones no
pueden entender si tales una solicitud es vlida, o lo que los procesos a seguir y precaucin
las que deben tomar en tales circunstancias. En segundo lugar, los individuos se pueden
afrontar las solicitudes de acceso
a datos protegidos que son incapaces de cumplir con las debido a la falta de conocimiento o
los medios para acceder a la asociado de texto sin formato de correo, por ejemplo, donde el
asociado los datos se han externalizado o est cifrada automticamente a nivel de red.
5. Implicaciones en el mundo real
El impacto de estas reglas y regulaciones se discute en tres diferentes contextos:
Las organizaciones de desarrollo y ejecucin de los sistemas de negocio all de las fronteras
nacionales. Las personas que utilizan los sistemas de negocio de forma remota o
independencia pendientemente de sus sistemas host, especialmente donde estn viajar fuera
de su pas de origen.
Organizaciones de desarrollo de productos y servicios que incor- cor- tecnologa de cifrado de
correo especial para cifrar los datos.
Cualquier discusin sobre las implicaciones de los controles sobre las leyes y regulaciones
que afectan el uso de la criptografa son complicaciones cado por la falta de coherencia entre
las naciones. Aunque
existen acuerdos globales e, como el de Wassenaar
Disposicin o Directivas de la UE correo a la que muchas naciones estn firmado,
interpretacin de dichas normas y reglamentos pueden difieren ampliamente entre las
naciones. A menudo, este tipo de normas, ya que hay dentro de una nacin sean redactados
de tal manera que estn abiertos a interpretacin. Como puede verse desde el sitio web BertJaap Koops, naciones tambin tienden a modificar y actualizar sus reglas de vez en tiempo y
no siempre son buenos para informar a la gente que cambia ha sido hecho.
5.1. Los sistemas de negocios
Todo lo que es demasiado fcil de desarrollar y poner en prctica un sistema de negocio all
de las fronteras nacionales sin darse cuenta de lo legal y implicaciones regulatorias. Las leyes
locales en materia de control de la criptografa rara vez figura en los temas considerados en
el diseo de tales sistemas. De hecho, con demasiada frecuencia, el uso de la criptografa es
casi dado cuenta, ya que es parte de los productos bsicos incorporados
en un sistema de negocio. Por ejemplo, una decisin puede ser tomada utilizar la tecnologa
VPN para asegurar los vnculos con trabajo de los servicios remota. Si bien esto puede, en la
superficie, no parece ser un problema, debe ser personal de aquellos que trabajan en ciertas
partes de la e mundo o incluso en trnsito a travs de enviarlas estarn sujetos a las leyes y
reglamentos locales que puedan afectar a la forma en que utilizan un enlace VPN legalmente.
La discusin sobre el uso de dispositivos Blackberry en India y los EAU es un buen ejemplo
actual. Mientras que la mayora de la discusin ha sido sobre el uso del correo electrnico a
travs de la
La red de Blackberry, las cuestiones de hecho van ms amplio e incluyen otros servicios
ofrecidos por RIM e como la siguiente cita de una noticia Revista SC reciente muestra:
Blackberry, fabricado por la firma canadiense Research In Motion (RIM), es
que opera fuera de la jurisdiccin de la legislacin nacional, los EAU de Autoridad Reguladora
de las Telecomunicaciones, en el comunicado. De acuerdo con la autoridad, los datos de
Blackberry forma de gestionar y
medios almacenados algunas aplicaciones Blackberry permiten que las personas hagan mal
uso de la Servicio. Esto podra hacer que la seguridad social, judicial y nacional seria
repercusiones, dijo la autoridad. "Los EAU est trabajando para resolver estos temas crticos
con el objetivo de encontrar una solucin que salva- guarda nuestros consumidores y opera
dentro de los lmites de EAU ley ", dijo el comunicado. La declaracin se produce despus de
que el estado del Golfo de Bahrein advertido en abril contra el uso de software de Blackberry
Messenger para
distribuir noticias locales.

Este ejemplo ilustra una serie de cuestiones. La mayora de los usuarios de Dispositivos
Blackberry ni siquiera sern conscientes de que utilizan cifrado, o que por debajo de los
servicios funcionen como lo hacen. Mientras
es muy fcil asumir que las organizaciones y las personas que trabajo, por ejemplo, en los
EAU, debe ser consciente de las leyes locales SE de la informacin tcnica guridad repor t 15
(2010) 2
pgina 4
y reglamentos relativos a su uso de los dispositivos, con demasiada a menudo esto no es
cierto.
Lo que es peor, habr muchas personas con dispositivos Blackberry pasando por la EAU
correo en trnsito correo que puede no ser consciente las leyes y los rompe sin querer. Casos
recientes de personas con medicamentos de libre acceso en su casa pas, pero proscrita en
los EAU, se han enfrentado a la misma
problema. El riesgo aqu es que una persona puede caer mal de leyes locales
accidentalmente, dando lugar a molestias personalesy, potencialmente, dao a su negocio.
Esos sistemas de negocio en desarrollo necesitan para asegurarse son plenamente
conscientes de las implicaciones legales y reglamentarios que surgen cuando se utiliza la
tecnologa criptogrfica, particular larmente en los sistemas que operan fuera del pas de
origen.
Las leyes locales sobre el acceso a las comunicaciones tambin pueden afectar servicios
gestionados y uso de servicios basados en aplicaciones de correo incluyendo "nubes". Muchos
de tales servicios manejan personal y
los datos comercialmente sensibles que deben ser cifrados. Dnde esos servicios se basan en
otro pas, la atencin tiene que ser tenido que usted, como propietario de la informacin, son
parte del proceso debido
que se sigue ante las autoridades locales tienen acceso a dichos datos protegidos.
5.2. Las personas
Los individuos son particularmente vulnerables a los caprichos de la controles criptogrficos,
las leyes y reglamentos locales y su solicitud. Es razonable esperar que una persona entender
todas las leyes y los controles que podan potenciales encuentro. Se pueden hacer frente a las
exigencias de las autoridades para el acceso a sus dispositivos, como ordenadores porttiles,
y la evidencia de licencias cuando sea necesario. Por ejemplo, el EE.UU. puede requerir
alguien que entra en el pas para presentar su ordenador porttil para inspeccin y, si
contiene datos protegidos, proporcionar acceso a el texto sin formato. Esto no slo requiere el
individuo para poder
para hacerlo, pero tambin tiene otras implicaciones comerciales y legales e por ejemplo en
relacin con la exposicin del personal confidencial o los datos comerciales.
La frase "Si tiene nothingto ocultar, tiene nothingto preocuparse por "est trotando a menudo
a cabo para demostrar que la mayora de la gente necesita No se preocupe por esas cosas. En
el mundo real esto puede conducir a un nivel de confianza falsa. Hay muchas razones por las
cuales una aparentemente persona inocente puede ser atrapado en tale ssituaciones. A
modo de ejemplo, se han producido muchos bien documentados
casos de personas que se dejaron de entrar o salir, el EE.UU. debido a que su nombre pasa a
coincidir con el de alguien en el Lista TSA reloj. Puede ser que la propia empresa es, por
alguna razn, de inters en un pas en particular. Ejemplos recientes son la detencin en los
EE.UU. de las personas que participan en juegos en lnea
empresas y los altos directivos de una empresa minera detenidos en China. Si bien ninguno
de los dos implicados acceso a datos celebrada localmente por ellos, esto demuestra que los
individuos pueden ser vulnerables a este tipo de acciones, simplemente a travs de la
asociacin con una organizacin en particular.
5.3. temas de desarrollo
Una organizacin el desarrollo de un producto o servicio puede decidir incorporar la
tecnologa criptogrfica para satisfacer identificado requerimientos de seguridad. Esto se
debe hacer con el conocimiento de los mercados de destino y la forma en que el producto o
servicio ser vendido e instalado. Por ejemplo, la tecnologa GSM era
diseada para permitir que varios algoritmos de cifrado para el enlace inalmbrico para
estaciones base con diferentes algoritmos fortalezas (de cero a fuerte) podran ser vendidos
en diferentes pases de conformidad con las leyes de control de exportacin europeos. Los
terminales de seleccionar automticamente el algoritmo apropiado

para la estacin base a la que se conectan. esto permiti ventas mundiales del producto a un
costo adicional mnimo
para cumplir con las normas de exportacin. Del mismo modo, las variantes de los
navegadores, tales como Microsoft Internet Explorer, fueron desarrollados originalmente para
diferentes mercados con diferentes niveles de encriptacin SSL capacidad.
Donde se desarrollan dichos productos o servicios, es importante asegurarse de que todas las
licencias generales apropiadas son adquiridos de todos los pases en los que el producto
puede ser usado que los requieren. Dado que esto puede ser una tarea costosa, sin garanta
de que todos los lugares posibles que podran utilizarse
sern cubiertos, puede ser ms fcil para dejar claro a los compradores que Es su
responsabilidad de verificar la necesidad de licencias en todo el pases que tengan la
intencin de usarlo E posiblemente proporcionando una informacin Pack macin sobre el
producto para apoyar este tipo de aplicaciones. Muy pocos pases imponen otros requisitos
especficos, en proveedores. Por ejemplo, China ha intentado forzar el uso de algoritmos
desarrollados internamente para su uso en reas especficas tales como la telefona
mvil. Mientras que tales propuestas pueden parecer poco realista en el mundo global
moderna, puede convertirse esencial para conformar donde el uso se limita
predominantemente dentro de una regin coherente.
6. Un camino a seguir
Podra parecer de lo anterior que la criptografa es una tecnologa problemtico que las
naciones todava estn tratando de controlar. Aunque esto es cierto hasta cierto punto, la
naturaleza de esa el control ha cambiado radicalmente. Las naciones estn motivados ahora
ms por las amenazas del terrorismo y la actividad criminal que
la seguridad nacional (a pesar de que todava se basa el continuo existencia de los controles
de exportacin y similares). En realidad, el camino a seguir en s no ha cambiado mucho en
los ltimos 20 aos ms o menos.
Si bien puede parecer excesivamente oneroso, es esencial establecer una poltica para el uso
de la criptografa. Esto debe considerarse como una cuestin de mitigacin de riesgos, lo que
permite una organizacin para decidir
lo niveles de control tanto internamente como con terceros son apropiadas. La creacin de
una poltica de este tipo se garantice que todos los sectores afines se han cubierto y se
pueden utilizar para demostrar que la organizacin no se ajusta a los documentos procesos
mentados por si surgen problemas e tales como formal, solicitud de acceso a datos
protegidos. Una parte esencial de tales una poltica es la necesidad de ser capaz de
demostrar que todos aquellos afectado tanto a los conocimientos de ella y entenderla. Que
dicha poltica requiere al menos a:
Definir el enfoque general para el uso de la criptografa Definir el proceso para decidir cul
ser la criptografa
usado, andinwhatform, tanto internallyandwith thirdparties. Definir la poltica en temas
regulatorios y legales, y que es responsable de su creacin y mantenimiento. s informacin
ECUR dad TCNICA reportar 15 (2010) 2 e7
5
pgina 5
Definir la poltica de gestin de claves, y la responsabilidad de su creacin y mantenimiento.
Definir responsabilidad de la ejecucin de la poltica, incluyendo la promulgacin a travs del
personal afectado, tanto internos y externa.
Definir cmo se revisar el cumplimiento de la poltica, y la forma en que se mantendr.
6.1. poltica general
Dado el uso ubicuo de la tecnologa criptogrfica a travs muchos productos de consumo, en
estos das es tan importante saber qu productos y servicios utilizan la criptografa de decidir
donde se va a utilizar. Todava es importante establecer poltica clara sobre la proteccin de
datos fuera de su control inmediato
e en dispositivos porttiles y medios de almacenamiento, cuando con tercero fiestas, etc., en
particular cuando se trate de datos personales. La Oficina britnica del Comisionado de
Informacin (COI) tiene organizaciones severamente castigados recientemente que han
perdido dispositivos porttiles que no han sido adecuadamente protegidos, y orientacin en
muchos pases ahora espera que dichos datos sean protegida mediante criptografa. Las
declaraciones de poltica que cubren esta rea ayudar a mitigar cualquier posible queja de

autoridades. En general, la decisin de usar la criptografa debe ser parte de una evaluacin
ms amplia de riesgo de negocio. Un rea en particular a considerar es la relacin con
proveedores de servicios gestionados y similares que se pueden utilizar encriptacin para
proteger sus datos. Se basan a menudo en otra pases cuyas regulaciones relacionadas con el
acceso a los datos pueden ser muy diferentes a los del pas de origen de la organizacin.
6.2. Implicaciones legales y reglamentarios
Una vez que hay una poltica clara de lo que la criptografa se utiliza cuando, es posible
establecer en qu medida legal y regulatorio cuestiones son relevantes. Esto depender del
origen del ducto UCTS, sistemas y servicios utilizados, as como donde se utilizan. Puede que
sea necesario para crear un inventario de tales productos y
los servicios antes de establecer estas cuestiones ae especialmente cuando la organizacin
opera en los pases que an imponen controles estrictos (como China). En muchos casos, el
proveedor puede sea el ms indicado para aconsejar sobre lo que se requiere, pero puede ser
necesario buscar el asesoramiento de expertos en los pases donde el orga- nizacin opera
para asegurarse de que todos los aspectos estn cubiertos. Es
importante no confiar nicamente en el testimonio de un proveedor de correo siempre
insisten en haber recibido una copia de las licencias requeridas del proveedor afirma haber
obtenido. En cualquier disputa ser su
organizacin, no el proveedor que estar en el banquillo. Tenga en cuenta que la situacin
puede cambiar rpidamente, como es demuestran las deliberaciones RIM actuales con los
EAU y la India. Hasta hace poco, el uso de un Blackberry en la mayora de los pases No se
observ a ser un problema, pero las implicaciones de estos
las discusiones sobre el uso de los Blackberry (y similares), dispositivos debe ser un
alojamiento no alcanza, podra ser grave.
6.3.La gestin de claves
La gestin de claves es una parte esencial de cualquier poltica. A menudo, la claves
utilizadas no estarn bajo el control directo de su orga- nizacin o sern creados
automticamente por el propio producto de tal como claves de sesin a travs de enlaces de
comunicaciones o la llaves en una sesin SSL. En otros casos, tales como el cifrado
de los datos en un ordenador porttil, las teclas pueden ser creados por el usuario o cuando el
porttil est configurado. Incluso donde las claves son auto- automticamente creado es
importante documentar esto por lo que puede ser muestran que las llaves no estn
disponibles una vez que la sesin tiene cerrados, por ejemplo, se debe hacer una solicitud de
las llaves. Donde las claves se generan por un usuario, las decisiones necesitan estar
hecha en cuanto a si deben ser custodiados de alguna manera electrnica es decir, puestos a
disposicin de la organizacin sin la conocimiento o participacin del usuario. Este es tambin
un Safe guardia en caso de que el usuario debe convertirse incapaz de proporcionar las teclas
por alguna razn y que la organizacin quiere acceder
a los datos. Teniendo en cuenta que, en la mayora de los casos, la polica quiere tener acceso
a el texto plano, por lo general las organizaciones pueden proporcionar datos especficos en
clara e por ejemplo, los datos cifrados sobre un enlace es casi Ciertamente se realizar en
claro en los servidores en cada extremo. una gran organizacin con el nmero de usuarios
que viajan con ordenadores porttiles que conecta regularmente con sus sistemas centrales
creadas una poltica donde cada usuario escogi su propia llave para su computadora porttil
como toda la informacin pertinente compaa en la computadora porttil fue tambin
celebrada en el centro de clara. En caso de aplicacin de la ley quieren tener acceso a el
ordenador porttil, su poltica dejado claro que slo el usuario tena
el acceso a las teclas que daban acceso a los datos en el ordenador porttil. El texto sin
formato sera proporcionada directamente por la organizacin. En general, una poltica de
gestin de claves se basa la forma en que una
organizacin puede responder a las solicitudes de acceso a la protegida datos dentro de su
esfera de operaciones, eliminando cualquier duda en cuanto a quien es capaz de responder a
dicha solicitud tcnicamente.
6.4. Promulgacin de la poltica
No menos importante es la promulgacin de la poltica, para que la gente entender sus
responsabilidades en caso de que se presente con una solicitud de acceso a datos protegidos,
o le pida que confirme que estn trabajando legalmente. En la prctica esto es
probablemente el ms aspecto difcil de cualquier poltica electrnico, pero es importante si
toda solicitud de acceso o queja se hace en criptografa grafa est involucrado. Cualquier

persona que trabaje en algn lugar donde el control de cripto tecnologa grfica no es simple
debe ser consciente de lo local
normas y reglamentos, y tener acceso a las licencias pertinentes e o conocer un punto de
contacto a la que la solicitud puede ser referido. Este es ahora slo una cuestin importante
en aquellos pocos pas donde intenta un control tan estricto todava se hace cumplir (como
China). De mayor preocupacin es la tendencia creciente de las naciones a la exigir el acceso
a dispositivos porttiles, etc., como parte del derecho ms amplio ejecucin o imperativos de
seguridad nacional. Las acciones de la TSA en los EE.UU. son un ejemplo. Los usuarios
necesitan saber cmo para reaccionar cuando se le presenta una situacin as lo comprueba
correo en caso de que hacer para verificar la validez de la solicitud; ellos la entrega de llaves,
o simplemente mostrar el texto sin formato; lo Safe
guardias que deben tomar para proteger comercial sensible o informacin personal; en caso
de que grabar lo que sucede, y, en caso afirmativo, en qu forma; en caso de que insistir en
contacto con alguien en su organizacin.
Lo ideal es un punto de contacto debe ser establecido para los cuales dichas solicitudes se
puede hacer referencia, aunque esto depender de SE de la informacin tcnica guridad
repor t 15 (2010) 2 e7
6
Pgina 6
el tamao de la organizacin y de la situacin particular. En Esencialmente, cada usuario debe
conocer sus derechos.
6.5 El cumplimiento y revisin
Ninguna poltica es efectiva si no se muestra a seguir. Igualmente,
polticas necesitan una revisin constante para mantenerlos al da. UN poltica de criptografa
no es diferente en este sentido.
7.Resumen
La criptografa ha sido el tema del gobierno nacional control para muchos aos. Durante los
ltimos 20 aos ms o menos la nfasis ha cambiado desde la prevencin de las naciones "no
amistosos" de la adquisicin de este tipo de tecnologa para el establecimiento de marcos
legales funciona dentro de la cual la polica puede obtener acceso a la
de texto sin formato de la informacin protegida legalmente adquiridos por ellos. Esto coloca
a diferentes obligaciones en las organizaciones y, en en particular, sobre sus usuarios, que
pueden estar revestidas con tales
solicitudes por razones no asociadas directamente con su negocio Ness. Un ejemplo es la
posibilidad de que algunos pases podran prohibir el uso de Blackberry (o al menos algunos
servicios de Blackberry) a no ser que RIM proporciona acceso al texto plano con certeza
servicios. Hay una tendencia a asumir que los gobiernos tienen
abandonado cualquier intento de controlar la tecnologa criptogrfica. Este es un error. Slo
el nfasis se ha cambiado. Organizacin todava tienen que asegurarse de que su uso de la
criptografa, si
integrado en producto bsico o incorporados en los negocios sistemas, se ajusta a los
requisitos legales, y que sus usuarios son conscientes de sus obligaciones legales. Tienen que
hacer esto de una entorno en el que existen diferencias entre las leyes y reglamentos en
diferentes pases, siendo as que estas leyes
y las regulaciones son a su vez abierta a la interpretacin. Como siempre, las empresas
necesitan para tomar una gestin de riesgos acercarse al uso de la criptografa, decidir en
qu medida que necesitan para poner en prctica lo que el nivel de la poltica para reducir el
riesgo de dao a la reputacin o de prdida o compromiso de los datos de
niveles aceptables.