GHID

CRIPTAREA DATELOR

powered by
 Bruxelles, 11 Aprilie 2018

Grupul de lucru al protecției datelor ARTICOLUL 29

Declarația Grupului de Lucru 29 cu privire la criptarea datelor și la impactul asupra

protecției indivizilor cu privire la prelucrarea datelor acestora pe teritoriul Uniunii
Europene

Autoritățile de protecție a datelor din Uniunea Europeană, reprezentate în cadrul Grupului de

Lucru pe temeiul articolului 29 (WP29), consideră că disponibilitatea unei criptări puternice și
eficiente este o necesitate pentru a garanta protecția persoanelor cu privire la
confidențialitatea și integritatea datelor lor care reprezintă fundamentul elementar al
economiei digitale. Orice obligație care vizează reducerea eficacității acestor tehnici pentru a
permite accesul la datele criptate de către autoritățile de aplicare a legii ar putea afecta grav
viața privată a cetățenilor europeni.

Având în vedere nevoia stringentă de a echilibra diferitele interese publice, cum ar fi

încrederea în serviciile digitale pe de o parte și urmărirea efectivă a infracțiunilor pe de altă
parte, și pentru a proteja dreptul individual la confidențialitate și viață privată, Grupul de Lucru
comunică următoarele mesaje-cheie pe această temă.

1. Criptarea securizată este necesară pentu a asigura un flux bun și sigur al datelor
între cetățeni, întreprinderi și guverne.

Utilizarea pe scară largă a serviciilor oferite de tehnologiile informației și comunicațiilor a făcut

din criptare un instrument critic utilizat pe scară largă pentru a garanta faptul că datele sunt
securizate. Implementarea corectă a algoritmilor oferă o garanție rezonabilă în activități cum
ar fi cumpărarea de bunuri online, depunerea taxelor, utilizarea serviciilor bancare, trimiterea
sau primirea de e-mailuri sau programarea unei consultații la un medic pot fi făcute în
siguranță.

Fără criptare, viața privată și securitatea persoanelor pot fi compromise de fiecare dată când
doresc să întreprindă activități de zi cu zi. Într-adevăr, utilizarea tehnicilor de criptare ca mijloc
de garantare a confidențialității, a integrității datelor și în procesul de autentificare a
utilizatorilor au devenit condiții indispensabile pentru funcționarea normală a infrastructurilor
și a serviciilor digitale oferite de acestea fiind acum folosită de mai mulți operatori de date.
Prin urmare, criptarea este absolut necesară și de neînlocuit pentru a garanta o maximă
confidențialitate și integritate atunci când datele sunt transferate prin rețele deschise, cum ar
fi Internetul, sau stocate pe dispozitive mobile precum smartphone-urile. În mod ideal, această
criptare ar trebui să cuprindă întotdeauna întreaga comunicare, de la dispozitivul expeditorului
la cel al destinatarului (criptarea end-to-end).

Pentru a oferi încredere, criptarea de ultimă generație trebuie promovată și prezentată

publicului cu cea mai largă disponibilitate, criptare ce trebuie să fie puternică și fiabilă pentru
a permite controlul public. Acest lucru permite cercetătorilor să studieze un astfel de software
pentru a evalua și a îmbunătăți eficiența și robustețea acestuia, lucru ce ajută industria să
implementeze aceste tehnici pentru servicii ce prezintă încredere și nu în ultimul rând
fiabilitate. În acest sens, ar trebui luate în considerare capabilitățile de criptografie cuantică în
curs de dezvoltare.

1
 Bruxelles, 11 Aprilie 2018

Există, de asemenea, un interes public în implementarea criptării. Securizarea datelor cu

caracter personal în perioada de lucru și în perioada de repaus este o piatră de temelie a
încrederii de care avem nevoie pentru serviciile digitale, pentru a permite inovarea și creșterea
economiei noastre digitale.

2. Porțile de siguranță (backdoors) și chei de siguranță (master keys) conduc la

pierderea unor capabilități din criptare și determină la utilizarea criptării într-un mod
nesigur.

Criptarea permite, de asemenea, mascarea activităților infracționale. Aceasta reprezintă o

provocare pentru organele de aplicare a legii care încearcă să acceseze comunicațiile sau
datele în aceste cazuri.

Unii consideră că necesitatea aplicării legii de a accesa datele infractorilor suspectați poate fi
satisfăcută prin implementarea de "backdoors" (porți de siguranță - adică vulnerabilități
implementate în secret de către dezvoltator într-un anumit software) sau "master keys" (chei
de siguranță care permit decriptarea fiecărui mesaj criptat cu un software specific) în software-
ul de criptare. Acest lucru ar putea însemna că dezvoltatorii acestor tehnologii ar fi obligați să
includă și să pună la dispoziția acestor organe de aplicare a legii, permițându-le să decripteze
și să obțină accesul către datele respective.

Cu toate acestea, temelia matematică a criptologiei nu oferă baza pentru un ”backdoor” sigur,
iar numeroase exemple din istorie au arătat că aceste chei și porți de siguranță nu pot asigura
o securizare eficientă, uneori, chiar și agențiile de aplicare a legii1 sau companiile specializate
în acest domeniu nu reușesc:

• Bine cunoscuta descoperire a cheilor de siguranță din cadrul Administrației de

Securitate a Transportului (TSA), chei în materie fizică ce se folosesc pentru control la
majoritatea valizelor de pe planetă, se presupunea că sunt accesibile numai
personalului TSA iar prin faptul că au fost descoperite a condus la concluzia că oricine
poate deschide o încuietoare TSA.

• Cryptolocker-ul global WannaCry, care a infectat zeci de mii de calculatoare în sute

de organizații din întreaga lume, a folosit instrumente concepute pentru a exploata
vulnerabilitățile existente în protocoalele de partajare a fișierelor. Aceste instrumente,
create de o agenție națională de securitate majoră, au fost scoase la dispoziția
publicului și apoi folosite de infractori pentru a crea Cryptolocker-ul WannaCry.

• Compromiterea cheilor private a unui furnizor de certificate important a dus la

spargerea unor certificate folosite în servicii care sunt utilizate pe scară largă și la
compromiterea conturilor de e-mail ale activiștilor din Iran.

1
Poziția EUROPOL și ENISA - Pagină consultată la data de 29.05.2018
:https://www.enisa.europa.eu/publications/enisa-position-papers-and-opinions/onlawful-criminal-
investigation-that-respects-21st-century-data-protection.

2
 Bruxelles, 11 Aprilie 2018

Producătorii și furnizorii de servicii recunosc că nu pot asigura securitatea acestor porți de

siguranță care ar trebui să fie accesibile numai acestora2. Acest lucru infățișează riscurile
tehnologice care decurg din comportamentul organizațiilor de a păstra secretul
vulnerabilităților software.

Programele de criptare sunt utilizate la nivel mondial. Pentru a fi eficiente, porțile și cheile de
siguranță (”backdoors” și ”master keys”) ar trebui, să fie schimbate numai între organele de
aplicare a legii la nivel mondial. Acest lucru ar conduce la diseminarea pe scară largă a
acestora și, astfel, nu ar mai conduce la implificarea riscurilor ca acestea să fie compromise.

Fără criptare puternică și eficientă, datele cetățenilor, ale întreprinderilor și ale guvernelor sunt
supuse riscului. Având în vedere importanța securității serviciilor de zi cu zi - pe care ne bazăm
din ce în ce mai mult atât noi, întreprinderile cât și guvernele - orice scădere a protecției oferite
de criptare va conduce la daune mai mari decât cele prin care s-ar fi putut împiedica accesul
la datele criptate prin aplicarea legii.

Mai mult, impunerea unor ”backdoors” și a unor chei de siguranță (”master keys”) pentru
cetățenii și organizațiile care respectă legea nu ar fi o măsură eficientă împotriva infractorilor,
deoarece ar continua să utilizeze sau să adapteze cea mai puternică criptare pentru a-și
proteja datele, păstrându-le în siguranță, punând astfel organele de aplicare a legii în
dificultate. Ca rezultat, porțile și cheile de siguranță nu ar face decât să dăuneze cetățenilor
cinstiți făcând astfel ca datele lor să devină vulnerabile.

3. Organele de aplicare a legii au deja o serie de competențe legale și instrumente

specifice pentru a răspunde provocărilor criptării, permițându-le să acceseze datele
de care au nevoie pentru a investiga și a urmări astfel infractorii.

Organele de aplicare a legii din statele membre ale Uniunii Europene pot fi împuternicite din
punct de vedere juridic în moduri prin care să poată obține accesul la date criptate, inclusiv
date cu caracter personal, pentru investigații în circumstanțele vizate. De exemplu, în funcție
de legislația fiecărui stat membru, aceste agenții pot avea competența de a:

• Pot accesa comunicațiile datelor de tip meta (metadata) și datele necriptate deținute
de operatorii de date.

• Să folosească ingineria socială pentru a se infiltra în organizații infracționale.

• Să recurgă la obligarea infractorilor sau persoanelor de interes să predea cheile de

criptare.

• Să utilizeze instrumente de interceptare orientate, cum ar fi dispozitive IMSI

(instrument conceput pentru a intercepta comunicațiile mobile din apropierea celui
vizat) sau pot intercepta comunicațiile electronice, interceptare specifică prin

2
Poziția Apple- Pagină consultată la data de 29.05.2018: https://www.apple.com/customer-letter/.

3
 Bruxelles, 11 Aprilie 2018

accesarea furnizorilor de comunicații electronice și de internet.

• Să utilizeze instrumente specifice și direcționate pentru a ghici sau intercepta o parolă,

a accesa documente și/sau a înregistra tastele înainte de criptarea pe dispozitivul
expeditorului sau după decriptarea de către destinatar.

• Să obțină cheile de criptare individuale care sunt păstrate de operatorii de date sau de
servicii precum ”escrow key”.

Chiar dacă aceste competențe ridică probleme grave de confidențialitate și necesită garanții
juridice și tehnice semnificative, ele par mai proporționale și mai puțin periculoase decât prin
folosirea de porți sau chei de siguranță (backdoors și master keys).

Aceste puteri permit organelor de aplicare a legii să acceseze cantități semnificative de date
ca parte a competențelor acestora de investigare. Acestea ar putea fi susținute cu instrumente
cum ar fi ”e-evidence” care ar permite organelor de control să acceseze mai ușor și mai rapid
datele deja disponibile, sub controlul sistemului judiciar.

În plus, aplicarea legii ar trebui să se concentreze pe exercitarea în totalitate a competențelor

pe care le posedă deja: în unele jurisdicții s-ar fi putut acorda unele sau chiar toate
competențele enumerate mai sus, cu precizarea că încă aceștia nu au început încă să le
exercite practic. În numeroase cazuri, investigațiile ar fi putut fi de succes dacă s-ar îmbunătăți
doar capacitatea de interpretare a datelor deja existente.

4. Concluzii și recomandări

Grupul de Lucru pentru Articolul 29 consideră că:

1. Disponibilitatea unei criptări puternice și de încredere este o necesitate în lumea

digitală modernă. Astfel de tehnologii contribuie într-o manieră de neînlocuit la
intimitatea noastră și la securitatea și siguranța societății noastre.

2. Criptarea trebuie să rămână standardizată, puternică și eficientă, doar dacă furnizorii

nu ar fi obligați să includă backdoors sau să furnizeze master keys. Oricare ar fi soluția
tehnică, nu se garantează siguranța totală a fișierelor dacă furnizorii pentru servicii de
criptare își permit să includă porți sau chei de siguranță în programele lor.

3. Organele de aplicare a legii au deja acces la cantități mari de date prin puterile
învestite. Acest acces trebuie să rămână proporțional și obiectivizat. Acestea ar trebui
să se concentreze asupra îmbunătățirii capacităților acestora de a interpreta aceste
date pentru a investiga și a sancționa infractorii.

În numele Grupului de Lucru cu privire la Protecția Datelor pentru Articolul 29, Andrea Jelinek

Grupul de Lucru Protecția Datelor pentru Articolul 29

Material tradus și adaptat de Adrian Vasiu, student la Facultatea de Drept a ULSB

4
Fă-ți singur implementarea la
GDPR cu KIT-ul nostru!

contact@avocatoo.ro
legalup.avocatoo.ro

powered by