Se produjo un hecho legal entre curioso e interesante que se narra con detalle en News.com: Un juez dice que los fiscales no pueden obligar a un acusado a divulgar sus contraseñas.
Salvando las diferencias en los sistemas legales, que hacen que allí esto siente precedente más rápidamente que aquí (España), que parece que todavía cabe posibilidad de recurso, y los matices sobre el famoso «derecho a no declarar contra uno mismo», el caso se resume en que un juez considera que revelar unas contraseñas puede suponer dar acceso a información en cierto modo autoincriminatoria, lo cual sería equivalente a autoinculparse o declarar contra uno mismo, algo que violaría los derechos de los acusados (al menos en Estados Unidos, está incluido en la quinta enmienda a su Constitución).
El fiscal había pedido en un juicio que el acusado revelara sus «frases de contraseña» (passphrases; contraseñas largas compuestas por una frase, más seguras que las palabras únicas convencioanles) para PGP, el programa de cifrado con el que encontraron información en su portátil. Es un tanto asombroso que hasta ahora no hubiera habido casos relevantes donde se hubiera dado esta situación de una forma tan clara como para sentar precedentes, pero al parecer sólo había literatura al respecto, posturas a favor y en contra, pero no se había cuestionado de forma firme en un caso práctico.
Metafóricamente, es comparable a pedirle a alguien que entregue la llave de una caja fuerte donde hay documentos incriminatorios contra él. Por lo general, la ley obliga a entregar la llave, igual que los acusados están obligados a entregar muestras de sangre o sus huellas digitales, que también podrían resultar incriminatorias.
Una interesante fórmula alternativa que se manejó en la lista de los cypherpunks hace más de una década, ante ese «vacío legal» sobre si las autoridades podrían obligar a alguien a revelar su contraseña o no era la siguiente: utilizar como contraseña una frase… realmente autoincriminatoria. Como por ejemplo:
El 4 de agosto de 1992 conduje a 200 km por hora por la autopista @@@
ZZZ Tengo un cadáver enterrado debajo del tercer árbol de mi jardín, según se sale a la derecha
Copié en el examen de acceso a la universidad, oh, sssssi, lo hice
La frase puede ser real o inventada. Pero entonces cuando las autoridades la requieren, bastaría alegar que no se puede revelar porque la propia frase supondría inculparse… realmente.
Actualización: También explicado en Kriptópolis, bajo el título Juez considera inadmisible obligar a un sospechoso a revelar su contraseña de cifrado.
(Vía sssssh reddit.)