El 26 de octubre, la Asamblea Popular Nacional de la República Popular China promulgó la esperada Ley de Cifrado (密码法)), que entrará en vigor el 1 de enero de 2020. El texto oficial de la ley puede consultarse aquí y un resumen en inglés aquí: La Ley es otra pieza del sistema integral de ciberseguridad que China está desplegando bajo su Ley de Ciberseguridad y el sistema MLPS 2.0 que describimos anteriormente en El nuevo programa de ciberseguridad de China: NO Place to Hide y China's New Cybersecurity System: NO hay lugar donde esconderse. El sistema que se está diseñando para China persigue un objetivo difícil: hacer que las redes sean opacas para los malos actores pero transparentes para el gobierno y el PCCh.
La criptografía es una tecnología clave que se utilizará para alcanzar estos objetivos. La criptografía debe utilizarse para proteger la confidencialidad de la información transmitida y almacenada en las redes, pero su uso plantea a los gobiernos un dilema: la misma criptografía que oculta información al público en general también puede utilizarse para ocultar información al propio gobierno. En este caso, al gobierno chino se le plantea el problema de cómo puede exigir criptografía sin dejar de mantener su acceso abierto al sistema de redes.
La Ley divide el cifrado en tres categorías: básico, común y comercial. El básico y el común están destinados a los sistemas que transmiten y almacenan secretos de Estado de la RPC. El cifrado comercial se destina al uso empresarial y privado. La Ley da la bienvenida a los proveedores extranjeros de cifrado comercial. Artículos 22-23. Los sistemas de cifrado extranjeros pueden venderse en China, siempre que hayan sido aprobados y certificados mediante un sistema de certificación que aún no se ha descrito. El uso del cifrado estará sujeto a las disposiciones de la Ley de Ciberseguridad y a la normativa MLPS 2.0 asociada. Artículo 26. La Administración Estatal de Criptografía (SCA), una oficina del CCP, tendrá autoridad para supervisar e inspeccionar la implementación y el uso del sistema de criptografía. Artículo 31.
Este sistema de tres clases ignora la forma en que se implementa normalmente la criptografía. Los sistemas criptográficos más importantes no son sistemas comerciales. La mayoría de los sistemas se basan en el sistema Gnu Privacy Guard. Se trata de un sistema completamente abierto. El código fuente está generalmente a disposición del público. Puede descargar el código fuente aquí. No es concebible que las organizaciones que ofrecen sistemas GPG cooperen con el gobierno de la RPC para obtener la revisión y certificación de su producto cuando todo su objetivo es permitir a empresas y particulares ocultar su información al gobierno. La cooperación con cualquier gobierno sería contraria a ese principio.
Esto nos lleva a la primera pregunta de la nueva Ley. La mayoría de los sistemas criptográficos pueden descargarse libremente como sistemas de código abierto. El gobierno de la RPC es libre de examinar el código fuente utilizado para implementar el GPG y otros sistemas de código abierto relacionados. Así que la verdadera cuestión es: ¿permitirá el gobierno de la RPC que las empresas y personas que operan en China utilicen GPG y sistemas relacionados, dado que estos sistemas NUNCA serán sometidos al gobierno de la RPC para su revisión y aprobación? Si la respuesta es negativa, entonces todo el conjunto de disposiciones relativas a los sistemas de cifrado extranjeros carece por completo de sentido. Si la respuesta es sí, entonces la designación "comercial" no tiene sentido.
Esto nos lleva a la cuestión más importante. Las técnicas criptográficas no son secretas. Los algoritmos más importantes son públicos y cualquiera puede utilizarlos. Los gobiernos saben exactamente cómo funcionan los algoritmos porque los gobiernos han sido los inventores de la mayoría de estos algoritmos. Así que la Ley de Ciberseguridad se centra en los productos criptográficos y no es más que una farsa. Lo crítico en criptografía no es la protección del algoritmo criptográfico; lo crítico es la protección de la clave que permite descifrar el mensaje o los datos cifrados.
La Ley de Criptografía guarda silencio sobre la cuestión del descifrado y también sobre la protección de las contraseñas y otras claves que impiden el descifrado. Su plan final es romper todas las formas de cifrado de extremo a extremo poniendo todas las contraseñas y claves de descifrado en manos del gobierno de la RPC y del PCCh. En otras palabras, opaco para el público pero transparente para el gobierno.
El artículo 31 de la Ley de criptografía prevé un sistema de inspección y control gubernamental aplicado por la SCA y sus agencias locales. Este sistema prevé que la SCA y sus agencias locales tengan acceso completo al sistema criptográfico y a los datos protegidos por dicho sistema. Los sistemas también están sujetos al sistema de supervisión y control MPS que se está implantando en virtud de la Ley de Ciberseguridad y el sistema MLPS 2.0 descrito aquí y aquí. Así pues, tanto la SCA (una oficina de la CCP) como el MPS (que trabaja con el MSS) tendrán pleno acceso a los servidores cifrados, incluido el pleno acceso a las claves de descifrado y a las contraseñas. Una vez conseguido este acceso, el cifrado de extremo a extremo desaparece. Para ver una descripción de cómo funciona, consulta esto.
Así que, al final, invitar a proveedores y usuarios extranjeros de criptografía no es más que una trampa para incautos. Una vez que los datos cruzan la frontera china en una red, el 100% de esos datos estarán 100% disponibles para el gobierno chino y el PCCh. La criptografía puede funcionar bien para impedir el acceso del público, pero todos estos datos serán un libro abierto para el gobierno de la RPC.
Esto plantea importantes problemas a las entidades estadounidenses y de otros países que confían en el cifrado de extremo a extremo en China como excepción a las normas estadounidenses de control de las exportaciones. Con el nuevo sistema chino, el cifrado de extremo a extremo dejará de existir en China y, por este motivo, esta exención de los controles de exportación estadounidenses dejará de ser efectiva. A medida que Estados Unidos amplíe el alcance de la tecnología sujeta a controles de exportación, los riesgos para las empresas extranjeras serán cada vez mayores.
Muchas entidades estadounidenses ven en la criptografía su vía de escape a la Ley de Ciberseguridad china, pero eso no funcionará porque el gobierno de la RPC no lo permitirá. El gobierno chino sabe exactamente lo que está haciendo. El gobierno chino ha establecido un sistema que le permitirá conseguir un sistema totalmente transparente.
No existe ninguna solución.
No hay lugar donde esconderse.
ACTUALIZACIÓN: Hemos estado escuchando rumores totalmente infundados de que las conversaciones para ratificar la "Fase 1" de un acuerdo comercial entre Estados Unidos y China estallaron por el enfado de Estados Unidos ante los esfuerzos de China por controlar y utilizar los datos de las empresas estadounidenses. El reciente testimonio del director del FBI, Wray, sobre el robo de propiedad intelectual por parte de China a una escala sin precedentes y su advertencia de que "China puede obligar a las empresas que hacen negocios en el país a entregar cualquier información que China desee" también puede haber influido.
