Búsqueda de texto completo en correo cifrado
Primero, un poco de contexto. Tutanota es uno de los pocos servicios de correo electrónico que encripta el correo entrante de forma predeterminada, como Protonmail, Posteo.de y Mailbox.org. Es decir, el correo se almacena en servidores de forma cifrada. El proveedor no puede descifrarlo, incluso si así lo desea.
Sin embargo, un fallo del Tribunal Regional de Colonia requirió la implementación de "una función que pueda rastrear buzones de correo individuales y leer correos electrónicos en texto sin formato".
Este no es un buen precedente para el sistema legal europeo.
Tutanota quiere presentar una denuncia contra esta decisión, pero no tiene efecto suspensivo, es decir, el solo hecho de presentar una denuncia no suspende la orden anterior, la cual debe seguirse.
"Así que tuvimos que empezar a desarrollar una función de seguimiento", dijo una portavoz de la empresa en un comentario para la revista c't. Si la queja tiene éxito, la función se eliminará.
La decisión del Tribunal Regional de Colonia es un precedente peligroso para el sistema legal europeo. Esta decisión difiere de las decisiones de otros tribunales. Por ejemplo, en el verano, el Tribunal de Distrito de Hannover fallóque Tutanota no proporciona ni participa en ningún "servicio de telecomunicaciones" en el sentido legal y, por lo tanto, no puede estar obligado a monitorear las telecomunicaciones. Los jueces de Hannover se refirieron a la famosa decisión de Gmail del Tribunal de Justicia de las Comunidades Europeas de 13 de junio de 2019 (asunto C-193/18). Según él, los servicios de correo electrónico no son servicios de comunicación. En consecuencia, Google no está obligado a registrar un identificador de telecomunicaciones para Gmail ni a establecer interfaces de interceptación.
Sin embargo, el tribunal de Colonia calificó a Tutanota de "partícipe" de los servicios de telecomunicaciones, aunque la empresa considera absurda esta sentencia y luchará por revocarla.
Equipo de trabajo Tutanota
De todos modos, antes del 31 de diciembre de 2020, Tutanota está obligada a programar una función que le dará a la Oficina Estatal de Policía Criminal de Renania del Norte-Westfalia acceso a los buzones de los usuarios, incluido el usuario en particular que inició esta historia.
Estamos hablando de la investigación de un caso penal en el que un sospechoso envió una carta amenazante a un concesionario de automóviles utilizando los servicios de un servicio de correo seguro.
Tutanota asegura que este incidente no cambiará nada para otros usuarios. Su correo seguirá estando cifrado de forma predeterminada cuando llegue al servidor. Sin embargo, la compañía considera que la omisión de cifrado por única vez es una amenaza para la protección y la seguridad de los datos para todos los clientes.
Aquí hay un diagrama de cómo se cifran y almacenan los mensajes en el servidor en el caso de usar cifrado de extremo a extremo (izquierda) y sin él (derecha):
A diferencia de PGP, algunos metadatos también están cifrados, no solo el cuerpo del mensaje.
La compañía enfatiza que la puerta trasera solo permitirá ver el contenido de nuevos correos electrónicos entrantes no cifrados . No puede descifrar datos previamente cifrados, así como otros correos electrónicos cifrados de extremo a extremo en Tutanota. En términos relativos, la "puerta trasera" es el siguiente algoritmo:
def encrypt_mail(email): if email.user=="badperson": store(email) else: store(encrypt(email))
Quizás el Hannoveriano Tutanota ahora lamenta no haber elegido otra jurisdicción. Por otro lado, esta historia puede verse como una especie de relaciones públicas para una empresa que está tratando de hacer todo lo que está a su alcance. En una entrevista, dicen que pueden considerar mudarse a otro país (Suiza), pero es poco probable que esto suceda: “La situación legal y la constitución alemana son generalmente muy buenas y protegen la privacidad de las personas. El activismo comunitario también nos ayuda a prevenir o debilitar leyes problemáticas (vigilancia) ”.
La empresa publica periódicamente un informe de transparencia y certificación canariapor su servicio. Un certificado canario es la única forma de divulgar legalmente información que no está permitida.
El cifrado es la única razón por la que la policía utilizó el procedimiento legal. Algunos creen que en los canales abiertos utilizarían más las escuchas telefónicas sin molestarse en obtener permisos. Y solo la criptografía protege a la sociedad de la arbitrariedad de las fuerzas del orden.
