Suscriptor digital

OpenPGP está OK, pero hay una noticia peor

Crédito: Steve Snodgrass/Flickr bajo licencia CC BY 20
Ariel Torres
(0)
15 de mayo de 2018  • 12:00

Sí, es verdad, en otro éxito rutilante de la inseguridad informática , dos bien conocidas y muy usadas tecnologías para cifrar el correo electrónico parecerían tener vulnerabilidades. Pero no, no es algo nuevo. Y no, tampoco es cierto que PGP sea vulnerable.

La tecnología de cifrado que sí está fallada es S/MIME, que se usa para encriptar contenidos multimedia. "Esta falla no tiene que ver con Open PGP. S/MIME es diferente de OpenPGP y su vulnerabilidad es muy difícil de corregir", me dice Andy Yen, responsable de ProtonMail, que publicó hoy más temprano un muy claro post sobre las revelaciones dadas a conocer ayer por un grupo de investigadores alemanes.

Para simplificar, aquí va un resumen de lo que realmente está pasando.

OpenPGP no está roto

Pretty Good Privacy (PGP) es un clásico de la informática y se lo usa para encriptar correos electrónicos. De hecho, lleva 27 años entre nosotros, un récord para cualquier tecnología digital. Fue lanzada en 1991 por Phil Zimmermann, que sufrió una feroz embestida judicial porque, en aquella época, el software de cifrado con claves de más de 40 bits era considerado munición de guerra. Zimmermann, para Estados Unidos, estaba exportando munición de guerra.

La cosa es muy diferente hoy, y de cierta forma eso causó la ola de pánico de ayer. PGP está hoy por todos lados, y la revelación por parte de un grupo de investigadores alemanes de que es realmente posible explotar una falla de PGP es una muy mala noticia. Al punto de que, en este post, Sebastian Schinzel, líder del equipo de seguridad informática de la Universidad de Münster, llama al error Efail. En particular, según se sabía ayer, la falla estaba en OpenPGP, el estándar de Internet para la implementación de PGP, nacido de una controversia relacionada con patentes.

Pero, en rigor, OpenPGP está OK (salvo que se use una biblioteca obsoleta de esta tecnología). La (esforzada y comprometida) comunidad de desarrolladores de OpenPGP publicó ayer un enérgico comunicado en este sentido .

Las que están mal -y esto es muy común en criptografía- son las implementaciones. De las más conocidas, la Electronic Frontier Foundation, que avaló los hallazgos de Schinzel, alerta sobre tres: Thunderbird con Enigmail, Apple Mail con GPGTools y Outlook con GPG4Win.

S/MIME sí tiene una falla

En el caso de S/MIME, otro estándar de Internet para el cifrado de datos que no sean texto plano (las siglas son por Multipurpose Internet Mail Extensions), el error es propio del estándar y no de sus implementaciones. Y esto es muy grave, según explica Yen en su post, porque S/MIME es muy utilizado en las corporaciones y la industria militar, entre otras.

En ambos casos, el de las malas implementaciones de OpenPGP y en el estándar S/MIME, un atacante podría acceder al mensaje descifrado. No obstante, como también aclaran desde ProtonMail, las condiciones para llevar adelante el ataque requieren que "se tenga una copia del mail encriptado y al mismo tiempo la capacidad de reenviarlo a la víctima (modificado para explotar la falla)". Esto, asegura el post de Yen, "reduce dramáticamente el alcance de la vulnerabilidad".

Los detalles técnicos pueden leerse en los posts de Schinzel y Yen. Desactivar extensiones que implementan mal OpenPGP es una medida saludable. Pero OpenPGP "sigue siendo critpográficamente robusto", asegura Yen. Lo que debería ponerse en foco es en realidad el estándar S/MIME.

ENVÍA TU COMENTARIO

Ver legales

Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales. Aquel usuario que incluya en sus mensajes algún comentario violatorio del reglamento será eliminado e inhabilitado para volver a comentar. Enviar un comentario implica la aceptación del Reglamento.

Para poder comentar tenés que ingresar con tu usuario de LA NACION.

Usa gratis la aplicación de LA NACION, ¿Querés descargala?