En Exabeam, no solo estamos interesados en desarrollar la ciberseguridad más reciente, sino que también nos fascina lo que podemos aprender de las tecnologías de seguridad más antiguas. Es por eso que recientemente creamos un Calendario de Historia de la Ciberseguridad 2019. Cada mes presenta fechas clave en el historial de ciberseguridad, junto con una pregunta de trivia relacionada y otras cosas de interés que ocurrieron en ese mes durante los años anteriores.
Este es el cuarto de una serie de publicaciones que incluyen el Calendario de Ciberseguridad donde observamos el ascenso y la caída del chip Clipper. Publicaremos más historia sobre las fechas de ciberseguridad que hemos investigado a lo largo del año. Si cree que nos perdimos una fecha importante (o que algo salió mal), háganoslo saber. También puedes compartir tus comentarios con nosotros en Twitter.
La privacidad también importaba en la era de sus padres
¿Cómo se sentiría si descubriera que su teléfono contenía un chip diseñado específicamente para entregar sus comunicaciones privadas al gobierno? Probablemente se sorprendería y exigiría respuestas al fabricante, como mínimo. Hoy en día, las personas se sienten irritadas por escuchas menores comparativamente, como los vendedores que usan los historiales de navegación de su computadora o el GPS de su teléfono móvil para alimentarles con publicidad dirigida. Ahora imagine cómo se sintió la gente en la década de 1990, cuando el gobierno de Estados Unidos desarrolló y promovió un conjunto de chips diseñado con una puerta trasera incorporada.
El 16 de abril de 1993, la Casa Blanca anunció el llamado «chip Clipper».»Oficialmente conocido como el MYK-78, fue diseñado para su uso en dispositivos de comunicación seguros como teléfonos criptográficos, que protegen las llamadas de la interceptación mediante el uso de algoritmos y claves criptográficas para cifrar y descifrar las señales. El algoritmo criptográfico del chip, conocido como Listado, fue desarrollado por la Agencia de Seguridad Nacional (NSA), la agencia de inteligencia militar profundamente secreta responsable de interceptar las comunicaciones de gobiernos extranjeros y romper los códigos que protegen dichas transmisiones.
Cada chip Clipper tenía una llave de unidad secreta programada durante la fabricación. Dado que cada chip tenía su propio número de serie y unidad clave, cada dispositivo de comunicaciones seguras que utilizara la tecnología sería único.
Pero en el caso del chip Clipper, la parte» segura » no se aplicaba realmente al gobierno. En un sistema de comunicación seguro como un teléfono criptográfico, tener las claves criptográficas correctas permite que un teléfono descifre las señales de voz para que la parte receptora pueda escuchar la llamada. Con el chip Clipper, los fabricantes de dispositivos tenían que entregar las claves criptográficas al gobierno. Obviamente, la intención era permitir que las agencias de inteligencia y de aplicación de la ley, como la CIA y el FBI, descifraran las llamadas de voz con fines de vigilancia.
Si bien hoy en día no parece algo que uno anunciaría públicamente, el concepto al menos intentó hacer un leve guiño a los derechos de las personas a la privacidad. Para proporcionar cierta protección contra el uso indebido por parte de las agencias de aplicación, los desarrolladores acordaron que la clave criptográfica de cada chip Clipper se mantendría en fideicomiso conjuntamente por dos agencias federales. Esencialmente, dividieron la Clave de la Unidad en dos partes, y cada mitad se entregaría a uno de los organismos. Reconstruir la clave de la unidad real requería acceder a la base de datos de ambas agencias, y luego volver a juntar las mitades utilizando un software especial.
Los defensores de la privacidad y los criptógrafos rápidamente se movieron para cortar las alas del chip
No es sorprendente que una reacción violenta pronto siguió al anuncio del chip Clipper. Organizaciones de derechos de privacidad como la Electronic Frontier Foundation y el Centro de Información de Privacidad Electrónica se opusieron a la propuesta de Clipper chip. Estos y otros opositores afirmaron que sometería a los ciudadanos comunes a la vigilancia ilegal del gobierno.
En un artículo de 1994, el New York Times fue tan lejos como para describir la reacción violenta entre los tecnólogos de Silicon Valley como la primera guerra santa de la autopista de la información.
«Los Cypherpunks consideran al Clipper la palanca que el Gran Hermano está usando para entrometerse en las conversaciones, mensajes y transacciones de la era de la computadora. Estos Venerados Paulistas de alta tecnología están tratando de movilizar a Estados Unidos contra el malvado presagio de un «estado policial del ciberespacio», como lo expresó una de sus jeremiadas de Internet. Uniéndose a ellos en la batalla hay una fuerza formidable, que incluye a casi todas las industrias de comunicaciones e informática, muchos miembros del Congreso y columnistas políticos de todo tipo.»
Por otro lado, la Casa Blanca de Clinton argumentó que el chip Clipper era una herramienta esencial para la aplicación de la ley. Cuando otros sugirieron que podría ser una herramienta para los terroristas, la administración dijo que en realidad aumentaría la seguridad nacional porque el gobierno podría escuchar sus llamadas.
La comunidad criptográfica también se quejó de que el cifrado del chip Clipper no podía ser evaluado adecuadamente por el público, ya que el algoritmo Skipjack estaba clasificado como secreto. Esto podría hacer que los dispositivos de equipos de comunicación seguros no sean tan seguros como se anuncia, afectando a las empresas y a las personas que dependerían de ellos.
En 1993, AT& T Bell produjo el primer y único dispositivo telefónico basado en el chip Clipper. Un año más tarde, Matt Blaze, un investigador de AT&T, publicó un fallo de diseño importante que podría permitir que una parte maliciosa manipule el software. Ese defecto parecía haber sido el último clavo en el ataúd de la tecnología. El dispositivo AT& T fue la primera y única tecnología de comunicación segura en usar el chip Clipper; en 1996 el chip ya no existía.
Mirando la fuerte respuesta al chip Clipper y su rápida desaparición, podemos aprender un poco de la historia sobre la ciberseguridad actual. Las tecnologías de ciberseguridad tienen que existir en un mundo para personas reales, y a las personas de hoy en día les importa mucho la privacidad personal. Ya sea que las innovaciones provengan del gobierno o de la industria, deben equilibrar la seguridad con las preocupaciones por el uso indebido de la tecnología. Después de todo, la mayoría de las personas no son criminales ni terroristas. También la incorporación de tecnologías de seguridad defectuosas en sistemas que se promocionan como» seguros » puede dejar a las personas y empresas que confían en estas herramientas vulnerables a los riesgos.