Legislaţie - PC Magazine Romania, Ianuarie 2002

Tehnologia informaţiei din punct de vedere juridic

Criptografia (I) - O introducere în aspectele juridice

Av. MAGDALENA Marinescu

În numărul trecut, căutând răspunsul la întrebarea unuia dintre cititori în legătură cu folosirea incriptării şi consecinţele sale juridice, m-a surprins tocmai absenţa oricărei referinţe legale la criptare şi la consecinţele sale sociale şi juridice, ceea ce m-a determinat să purced la o documentare privind acest procedeu în legislaţiile internaţionale. Părea bizar să avem o lege în care se vorbeşte despre semnătura electronică şi despre criptare, fără a defini, în prealabil, criptografia. Dar despre criptosistem, chei publice şi private, steganografie, decriptare, algoritm criptografic? Nimic! Doar enunţându-le şi deja părăsisem domeniul juridic! Adevărul însă este că, vrând-nevrând, utilizând sau nu un computer şi internetul în mod curent, informaţiile despre noi conţinute în baze de date digitale (cont bancar, tranzacţii financiare on line, cazier judiciar, fişa medicală, ca să enumerăm numai câteva dintre cele mai folosite) circulă prin intermediul reţelelor de calculatoare. Iar din momentul în care suntem conştienţi de asta, devenim automat interesaţi de securitatea acestor reţele. Aproape la fel de interesaţi ca de siguranţa avionului cu care zburăm. Pasul următor îl reprezintă legiferarea utilizării anumitor sisteme de securitate şi consecinţele la care se pot aştepta cei ce le "sparg". Vrem să ne protejăm codul PIN şi numărul de cont, dar vrem să ne protejăm şi de vreo "invazie" a vreunui coleg/şef în declaraţiile fierbinţi trimise secretarei via e-mail. Criptarea, se spune, le rezolvă pe toate. Pentru mine, ca nespecialist, a fost o surpriză să aflu, documentându-mă (recte iniţiindu-mă) că acest procedeu a fost intens folosit de germani în timpul celui de-al doilea război mondial, de ruşi în timpul Războiului Rece (mesaje rămase până astăzi nedescifrate) sau de israelieni. Ceea ce m-a surprins însă cel mai tare a fost inventivitatea spărgătorilor de reţele, povestea despre TEMPEST pe care o puteţi citi pe larg la www.viacorp.com/crypto.html; articolul este excelent în ansamblu, în special pentru începători şi oameni de afaceri interesaţi de securizarea comunicaţiilor. TEMPEST este, pentru cei neiniţiaţi ca şi mine, un sistem prin care se poate bloca interceptarea informaţiei de pe monitorul unui computer, interceptare realizată cu ajutorul emanaţiilor electromagnetice ale ecranului!

Evenimentele tragice din Statele Unite au dat o nouă dimensiune noţiunii de securitate, iar în acest nou context internaţional creat în urma atentatelor din 11 septembrie, o lege a criptografiei reprezintă pasul necesar ce trebuie făcut de ţările ce încă nu au o asemenea lege. O analiză interesantă asupra posibilităţilor ce trebuie luate în calcul în legiferarea criptografiei în urma atacurilor de la WTC puteţi găsi în revista Crypto-Gram, la www.counterpane.com/crypto-gram-0109a.html.

Securizarea informaţiei în era digitală, deziderat major al prezentului, pare dificil de pus în practică şi cu atât mai greu de cuprins într-un text de lege. De la bun început americanii au considerat criptarea un procedeu de importanţă strategică şi au interzis exporturile aplicaţiilor si algoritmilor de criptare. Ceea ce este uşor de înţeles dacă ne gândim cât din infrastructura acestei ţări se află pe web. Deşi Statele Unite au încercat să impună restricţii privind criptologia şi exportul acesteia şi în alte părţi ale lumii, ele au întâmpinat rezistenţa multor guverne, care au decis că aceasta poate fi permisă la nivel individual şi fără obligaţia de a "depozita" cheile de decriptare într-un "seif" guvernamental. Câteva procese celebre (Karn, Bernstein şi Junger, despre care găsiţi informaţii destul de complete, mai ales prin link-urile date, la www.cdt.org/crypto/litigation/) au adus o uşoară relaxare, dar acum, după atentate, tot mai multe voci sunt pentru o mai mare securitate şi un tot mai mare control al guvernului, fie chiar şi cu preţul unor libertăţi cetăţeneşti sau al dreptului la viaţă intimă. După cum amintea şi cititorul nostru, impactul major al unor legi de restrângere a utilizării criptografiei sau a permiterii controlului statal (spre exemplu, prin măsuri de tipul back-door sau printr-un sistem de chei pus la dispoziţia autorităţilor) este asupra drepturilor omului. Atâta vreme cât există principiul de drept nemo tenetur edere contra se, - o persoană nu poate fi obligată să se auto-incrimineze -, principiu existent atât în dreptul romano-german cât şi în cel anglo-saxon, a cere unei persoane să-şi dezvăluie, împotriva voinţei sale, cheia de decriptare reprezintă - fără îndoială - o încălcare a acestui principiu. În plus, prezumţia de nevinovăţie este respectată în toate statele considerate civilizate şi, conform acesteia, obligaţia de a demonstra contrariul, deci vinovăţia, îi revine celui ce o afirmă. Este dificil din punct de vedere juridic să obţii permisiunea de a intercepta corespondenţa electronică fără o bănuială foarte serioasă şi însoţită de un mandat al procurorului/ judecătorului. În Statele Unite aceasta ar însemna o violare a celui de-al 5-lea Amendament, în timp ce în Europa s-ar opune prevederilor Convenţiei Europene asupra Drepturilor Omului. În termenii Codului de procedură penală al României, "sarcina administrării probelor în procesul penal revine organului de urmărire penală şi instanţei de judecată" (art. 65) şi "învinuitul sau inculpatul nu este obligat să probeze nevinovăţia sa" (art.66). Ce alte posibilităţi îi rămân legiuitorului? După legi extrem de restrictive în domeniul utilizării soft-ului de criptare de către marele public sau al exportului acestui tip de aplicaţii, Franţa a decis, în 1999, să "liberalizeze" uzul acestuia; spre deosebire de ea, Marea Britanie a rămas printre statele care exercită un control destul de riguros în continuare (la Crypto Law Survey,
cwis.kub.nl/~frw/people/koops/lawsurvy.htm puteţi găsi un foarte complet rezumat al situaţiei legislative din mai toate ţările).

Care este, aşadar, soluţia care se impune legislatorului, având în vedere practica şi reglementările internaţionale prea puţin unitare? Care este situaţia exportatorului român de software de criptare? Iată câteva din întrebările la care vom încerca să răspundem în numărul viitor.