Legislaþie - PC Magazine Romania, Februarie 2002
Tehnologia informaþiei din punct de vedere juridic
O tehnologie cu dublã utilizare: criptografia
Av. MAGDALENA Marinescu
Criptografia
este disciplina ce întrupeazã principiile, mijloacele ºi metodele
utilizate pentru transformarea informaþiei, în scopul de a-i ascunde conþinutul,
de a preveni modificarea sa ascunsã ºi utilizarea sa fãrã autorizare.
Criptografia
este limitatã la tranformarea informaþiei prin folosirea unuia sau mai
multor
parametri secreþi (spre exemplu, criptovariabile) sau a unor perechi de
chei.
|
Pânã mai ieri criptografia reprezenta, încã, în primul rând o modalitate foarte
sofisticatã de a proteja secrete militare sau diplomatice; de când hârtia a
cãzut în desuetudine, iar poºtaºii livreazã aproape numai presã ºi cataloage
de reclame, noile modalitãþi de realizare a comunicaþiilor impun existenþa unui
sistem de securizare disponibil la scarã largã. Criptografia este, cu siguranþã,
unul dintre cele mai bune, dar exportul ºi importul acestui tip de soft poate
pune probleme. De ce? Cu toate cã sunt puþine statele care restricþioneazã comerþul
cu soft de încriptare, cele care o fac sunt printre principalii creatori ai
tehnologiei, în speþã Statele Unite. Raportul Comisiei Europene din 1998 se
exprima în sensul dezvoltãrii fãrã restricþii a produselor criptografice. De
ce atunci preocuparea unora pentru protejarea exportului de produse criptografice?
Pentru cã, la nivel internaþional, anumite produse criptografice pot fi considerate
drept tehnologie cu dublã utilizare: civilã (domesticã ºi comercialã) dar ºi
militarã. Exporturile de acest gen au fost reglementate, la nivel internaþional,
de Acordul de la Wassenaar (Olanda) din 1995/6 pentru stabilirea, la nivel naþional,
a standardelor de export pentru arme convenþionale ºi tehnologii cu dublã utilizare,
acord cãruia i se adaugã, în 1998, ultimele anexe (www.wassenaar.org/list/).
Prin aceste anexe, lista tehnologiilor considerate cu dublã utilizare se extinde
ºi la hardware-ul de încriptare precum ºi la produsele software criptografice
de peste 56 biþi (incluzând deci browserele Web, aplicaþiile e-mail, serverele
de comerþ electronic). Produsele precum sistemele de operare pentru calculatoarele
personale cu o putere de peste 64 biþi sunt supuse unui control permanent.
Acordul de la Wassenaar este unul din cele patru acorduri internaþionale ce
încearcã sã stabileascã criterii de reglementare a exportului (aceste acorduri
vizeazã, în general, controlul tehnologiilor nucleare ºi militare). El defineºte
criptografia ca fiind "disciplina ce întrupeazã principiile, mijloacele ºi metodele
utilizate pentru transformarea informaþiei, în scopul de a-i ascunde conþinutul,
de a preveni modificarea sa ascunsã ºi utilizarea sa fãrã autorizare. Criptografia
este limitatã la transformarea informaþiei prin folosirea unuia sau mai multor
parametri secreþi (spre exemplu, criptovariabile) sau a unor perechi de chei."
În România lista tehnologiilor duale este stabilitã prin H.G. nr. 1.020/1996
<00006778. htm> pentru modificarea Hotãrârii Guvernului nr. 594/1992 <00018977.htm>
privind regimul importurilor ºi exporturilor de articole ºi tehnologii supuse
controlului destinaþiei finale, precum ºi cel al controlului exporturilor pentru
neproliferarea armelor nucleare, chimice si biologice ºi a rachetelor purtãtoare
de asemenea arme, mai precis prin Anexa 1/1996 la aceastã Hotãrâre. Conform
acesteia "calculatoarele, echipamentele aferente sau "software"-ul care realizeazã
criptografia, criptanaliza, certificarea securitãþii multinivel sau certificarea
funcþiilor de utilizator izolat sau care limiteazã compatibilitatea electromagneticã
(EMC), trebuie evaluate conform caracteristicilor de performanþã din Categoria
5 partea a 2-a ("Securitatea Informaþiilor")." Dar exportul de produse de încriptare
este liber, reglementãrile interne sunt în concordanþã cu normele stabilite
prin Acord. Atât Acordul de la Wassenaar, cât ºi anexa 1/1996 considerã cã nu
se supune controlului la export "software"-ul care este
- general disponibil publicului, fiind vândut din stoc în puncte de vânzare
cu amãnuntul, fãrã restricþie, prin tranzacþii la ghiºeu, tranzacþii comandate
prin poºta sau tranzacþii comandate prin telefon;
- conceput pentru instalarea de cãtre utilizator fãrã asistenþã suplimentarã
din partea furnizorului;
- din "domeniul public".
Contextul legislativ internaþional este reglementat ºi prin directivele Organizaþiei
pentru Cooperare Economicã ºi Dezvoltare, forum internaþional care a elaborat
în 1997 principiile politicii criptografice la nivel internaþional în urma unor
intense dezbateri ºi scindãri între adepþii restricþionãrii criptografiei ºi
cei ai liberalizãrii acestei pieþe. Deºi au doar valoarea unei recomandãri,
un studiu realizat a concluzionat adoptarea acestor principii de cãtre majoritatea
statelor participante. Ele sunt, cf. Cryptography and Liberty 1999: An International
Survey of Encryption Policy <http://www2.epic.org/reports/crypto1999.html>
www2.epic.org/reports/crypto2000/overview.html),
în numãr de opt, dar cele mai interesante din punct de vedere juridic sunt:
a) posibilitatea utilizatorului de a alege orice metodã criptograficã ºi b)
respectul pentru drepturile fundamentale ale persoanei, respectiv dreptul la
viaþã intimã prin respectarea secretului comunicaþiilor ºi protecþia datelor
personale, trebuie inserat în legiferãrile naþionale privind metodele criptografice.
În România, recent adoptatele legi privind prelucrarea datelor cu caracter personal
ºi protecþia vieþii private în sectorul telecomunicaþiilor ºi cea a protecþiei
persoanelor în privinþa prelucrãrii datelor personale ºi libera circulaþie a
acestor date, stipuleazã întocmai aceste principii. În continuare, aceste norme
legislative internaþionale privind criptografia prevãd obligaþia ca, în cazurile
în care se prevede prin lege responsabilitatea persoanelor fizice sau juridice
ce oferã servicii criptografice sau au în pãstrare chei-cifruri, îndatoririle
acestora sã fie prevãzute detaliat ºi limitativ. Guvernele, se spune în continuare,
vor coopera ºi îºi vor coordona abordarea în domeniul criptografiei, evitând
ca, în numele criptografiei, sã fie create piedici nefondate pentru comerþul
internaþional.
Prima datã cred cã am întâlnit noþiunile de criptogramã ºi criptoanalizã într-un
roman al lui Jules Verne; care sã fi fost oare romanul cu pricina? Sunt mulþi
ani de atunci ºi singurul lucru pe care mi-l amintesc este cum a reuºit un personaj
sã salveze un alt personaj de la moarte prin descifrarea unui mesaj criptat.
Se vede treaba cã acest procedeu trebuie sã mi se fi pãrut cel puþin interesant,
dacã este singurul detaliu pe care l-am reþinut. Multe din ficþiunile julesverniene
sunt de mult realitate. Criptografia nu a fost însã, niciodatã, purã ficþiune,
deºi, aflând cam care sunt metodele de securizare realizate cu ajutorul ei,
mã întreb dacã nu a devenit între timp.
|