¿Le llego la hora de morir a PGP o no?

El Experto en Criptografía, Investigador  y Profesor de Informática de la Universidad Johns Hopkins en Maryland – USA, Matthew Green, ha alegado múltiples problemas con la encriptación de correo electrónico PGP – un cifrado open source end-to-end para asegurar el email, sostuvo que es “hora de PGP muera”, además describe este software de alta calidad como “francamente desagradable”.

Con esto no digo que deben de abandonar el cifrado PGP, solamente es un informativo con el porque de los fundamentos de su investigación.

    PGP o Pretty Good Privacy, es una aplicación escrita en 1991, utiliza la criptografía simétrica de clave pública y hash que permite tanto Privacidad y Seguridad, así como la autenticidad. Privacidad y Seguridad aseguran a los usuarios intercambiar mensajes de forma segura y autenticidad demuestra el origen de esos mensajes.

Algo más sobre PGP , como siempre, recurriendo a la Biblioteca Online: Wikipedia. 🙂
Comencemos con que PGP, es un proceso de varios pasos complicados, lo que requiere que los usuarios realicen un seguimiento de las claves públicas de otros usuarios con el fin de comunicarse. A pesar de la “torpeza” de la aplicación PGP, los gigantes de Internet como Google y Yahoo! han esperado para integrarlo en sus servicios de email.
Gestión de Claves
Según el investigador, la gestión de claves PGP “es una mierda.” 

Como dice Green, “transparente (o al menos translúcida) gestión de claves, es el sello de todos los sistemas seguros de cifrado end-to-end de éxito.”

También, dice que no hay “la necesidad de confiar en una autoridad central para distribuir las claves”

Como sabemos, que Google, Yahoo y otros proveedores de email importantes pronto ofreceran el cifrado PGP a sus usuarios, en otras palabras, lo harán convertiendose en la autoridad central para distribuir las claves entre sus usuarios. 
Una posible consecuencia de esto es que los usuarios pueden ser engañados para aceptar una llave de reemplazo falsa de un servidor de claves o de alguna otra manera confundir su gestión de claves hasta el punto de corromper una ruta de comunicación que antes era segura y que permite a un oyente en el medio.
Supongamos, que pasaria si estas autoridades centrales son las agencias que imparten la ley o las Gubernamentales, adios privacidad, adios libertad de expresión, game over!, por pocos, pagan muchos.
Muy racional, la forma de pensar de Green o no ? , se lo dejo a cada quien, es libre de aceptarlo o no.

Confidencialidad 

Green nos dice tambien que:

“Many PGP-enabled mail clients make it ridiculously easy to send confidential messages with encryption turned off, to send unimportant messages with encryption turned on, to accidentally send to the wrong person’s key (or the wrong subkey within a given person’s key),” he wrote. “They demand you encrypt your key with a passphrase, but routinely bug you to enter that passphrase in order to sign outgoing mail — exposing your decryption keys in memory even when you’re not reading secure email.”

Habran muchos clientes de correo con el PGP habilitado para que sea ridículamente fácil enviar mensajes confidenciales con cifrado desactivado, para enviar mensajes sin importancia con el cifrado activado, enviar accidentalmente a la clave de la persona equivocada (o la subclave mal dentro de la llave de una determinada persona). Exigirian cifrar la key con una contraseña, pero un bug pediria que introduzca esa contraseña con el fin de firmar el correo saliente, exponiendo las claves de descifrado en la memoria incluso cuando usted no está leyendo email seguro.
Esto tambien incluye a las PGP public keys, así que nada del paquete se libra, en el post original del blog de Matthew Green podran encontrar mayores detalles técnicos con respecto a su investigación.
A principios del mes, Yahoo! anunció que usara un fork end-to-end de Google. El resultado es que tanto Gmail y Yahoo! Mail se mueven hacia el soporte PGP para encriptar correo. “Como transparente y fácil de usar, son fundamentalmente sólo reimplementaciones de OpenPGP”.
Según Green, la solución del problema es dejar de conectar el software de cifrado en sistemas de correo electrónico de texto plano en la actualidad, y en su lugar construir redes que se diseñen desde el nivel base para proteger los mensajes de miradas indiscretas. Sugirió TextSecure y DarkMail como proyectos potencialmente interesantes. 
Definitivamente nuestro patio de juegos, esta cambiando y muy rapido. Que hacer, que no, para no ser arrastrado por la marea, solo estar preparado y tratar de cambiar el mundo, dejando nuestro granito de arena, que entre muchos lo lograremos…….
Para que se relajen un poco, luego de leer todo esta publicación, algo de música, disfrutenla:

y hasta otro post lectores, buenas vibras.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s