Legislaţie - PC Magazine Romania, Februarie 2002

Tehnologia informaţiei din punct de vedere juridic

O tehnologie cu dublă utilizare: criptografia

Av. MAGDALENA Marinescu

Până mai ieri criptografia reprezenta, încă, în primul rând o modalitate foarte sofisticată de a proteja secrete militare sau diplomatice; de când hârtia a căzut în desuetudine, iar poştaşii livrează aproape numai presă şi cataloage de reclame, noile modalităţi de realizare a comunicaţiilor impun existenţa unui sistem de securizare disponibil la scară largă. Criptografia este, cu siguranţă, unul dintre cele mai bune, dar exportul şi importul acestui tip de soft poate pune probleme. De ce? Cu toate că sunt puţine statele care restricţionează comerţul cu soft de încriptare, cele care o fac sunt printre principalii creatori ai tehnologiei, în speţă Statele Unite. Raportul Comisiei Europene din 1998 se exprima în sensul dezvoltării fără restricţii a produselor criptografice. De ce atunci preocuparea unora pentru protejarea exportului de produse criptografice?

Pentru că, la nivel internaţional, anumite produse criptografice pot fi considerate drept tehnologie cu dublă utilizare: civilă (domestică şi comercială) dar şi militară. Exporturile de acest gen au fost reglementate, la nivel internaţional, de Acordul de la Wassenaar (Olanda) din 1995/6 pentru stabilirea, la nivel naţional, a standardelor de export pentru arme convenţionale şi tehnologii cu dublă utilizare, acord căruia i se adaugă, în 1998, ultimele anexe (www.wassenaar.org/list/). Prin aceste anexe, lista tehnologiilor considerate cu dublă utilizare se extinde şi la hardware-ul de încriptare precum şi la produsele software criptografice de peste 56 biţi (incluzând deci browserele Web, aplicaţiile e-mail, serverele de comerţ electronic). Produsele precum sistemele de operare pentru calculatoarele personale cu o putere de peste 64 biţi sunt supuse unui control permanent.

Acordul de la Wassenaar este unul din cele patru acorduri internaţionale ce încearcă să stabilească criterii de reglementare a exportului (aceste acorduri vizează, în general, controlul tehnologiilor nucleare şi militare). El defineşte criptografia ca fiind "disciplina ce întrupează principiile, mijloacele şi metodele utilizate pentru transformarea informaţiei, în scopul de a-i ascunde conţinutul, de a preveni modificarea sa ascunsă şi utilizarea sa fără autorizare. Criptografia este limitată la transformarea informaţiei prin folosirea unuia sau mai multor parametri secreţi (spre exemplu, criptovariabile) sau a unor perechi de chei."

În România lista tehnologiilor duale este stabilită prin H.G. nr. 1.020/1996 <00006778. htm> pentru modificarea Hotărârii Guvernului nr. 594/1992 <00018977.htm> privind regimul importurilor şi exporturilor de articole şi tehnologii supuse controlului destinaţiei finale, precum şi cel al controlului exporturilor pentru neproliferarea armelor nucleare, chimice si biologice şi a rachetelor purtătoare de asemenea arme, mai precis prin Anexa 1/1996 la această Hotărâre. Conform acesteia "calculatoarele, echipamentele aferente sau "software"-ul care realizează criptografia, criptanaliza, certificarea securităţii multinivel sau certificarea funcţiilor de utilizator izolat sau care limitează compatibilitatea electromagnetică (EMC), trebuie evaluate conform caracteristicilor de performanţă din Categoria 5 partea a 2-a ("Securitatea Informaţiilor")." Dar exportul de produse de încriptare este liber, reglementările interne sunt în concordanţă cu normele stabilite prin Acord. Atât Acordul de la Wassenaar, cât şi anexa 1/1996 consideră că nu se supune controlului la export "software"-ul care este

1. general disponibil publicului, fiind vândut din stoc în puncte de vânzare cu amănuntul, fără restricţie, prin tranzacţii la ghişeu, tranzacţii comandate prin poşta sau tranzacţii comandate prin telefon;
   
2. conceput pentru instalarea de către utilizator fără asistenţă suplimentară din partea furnizorului;
   
3. din "domeniul public".

Contextul legislativ internaţional este reglementat şi prin directivele Organizaţiei pentru Cooperare Economică şi Dezvoltare, forum internaţional care a elaborat în 1997 principiile politicii criptografice la nivel internaţional în urma unor intense dezbateri şi scindări între adepţii restricţionării criptografiei şi cei ai liberalizării acestei pieţe. Deşi au doar valoarea unei recomandări, un studiu realizat a concluzionat adoptarea acestor principii de către majoritatea statelor participante. Ele sunt, cf. Cryptography and Liberty 1999: An International Survey of Encryption Policy <http://www2.epic.org/reports/crypto1999.html> www2.epic.org/reports/crypto2000/overview.html), în număr de opt, dar cele mai interesante din punct de vedere juridic sunt: a) posibilitatea utilizatorului de a alege orice metodă criptografică şi b) respectul pentru drepturile fundamentale ale persoanei, respectiv dreptul la viaţă intimă prin respectarea secretului comunicaţiilor şi protecţia datelor personale, trebuie inserat în legiferările naţionale privind metodele criptografice. În România, recent adoptatele legi privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor şi cea a protecţiei persoanelor în privinţa prelucrării datelor personale şi libera circulaţie a acestor date, stipulează întocmai aceste principii. În continuare, aceste norme legislative internaţionale privind criptografia prevăd obligaţia ca, în cazurile în care se prevede prin lege responsabilitatea persoanelor fizice sau juridice ce oferă servicii criptografice sau au în păstrare chei-cifruri, îndatoririle acestora să fie prevăzute detaliat şi limitativ. Guvernele, se spune în continuare, vor coopera şi îşi vor coordona abordarea în domeniul criptografiei, evitând ca, în numele criptografiei, să fie create piedici nefondate pentru comerţul internaţional.

Prima dată cred că am întâlnit noţiunile de criptogramă şi criptoanaliză într-un roman al lui Jules Verne; care să fi fost oare romanul cu pricina? Sunt mulţi ani de atunci şi singurul lucru pe care mi-l amintesc este cum a reuşit un personaj să salveze un alt personaj de la moarte prin descifrarea unui mesaj criptat. Se vede treaba că acest procedeu trebuie să mi se fi părut cel puţin interesant, dacă este singurul detaliu pe care l-am reţinut. Multe din ficţiunile julesverniene sunt de mult realitate. Criptografia nu a fost însă, niciodată, pură ficţiune, deşi, aflând cam care sunt metodele de securizare realizate cu ajutorul ei, mă întreb dacă nu a devenit între timp.