[HACK] PGP

merce at grn.es merce at grn.es
Thu May 31 16:00:13 CEST 2001 

Ahi va eso tambien

M&M

----------------------------------------------------

17:13 9/04/01


DIEZ AÑOS CON PGP


Mercè Molist
Muchas  cosas  han  pasado  desde  que,  en  junio  de  1991,  Phillip
Zimmermann  regalara  al  mundo un programa de cifrado de documentos y
correo  electrónico, llamado Pretty Good Privacy (PGP). Con el tiempo,
incluso el gobierno norteamericano aprendió a tolerarlo y PGP saltó de
la  línea  de comando a las ventanitas. Hoy, diez millones de personas
lo usan. Pero su creador y seguidores están cada vez menos contentos.

"Como  muchos  usuarios  de  PGP  sabrán, Network Associates Inc (NAI)
compró  mi compañía, PGP Inc, en diciembre de 1997. Durante tres años,
he estado en NAI como asesor, para guiar técnicamente el desarrollo de
PGP  y  asegurar  su  integridad.  Pero no puedo seguir. En estos tres
años,  NAI  ha  creado una visión diferente para el futuro de PGP y ha
llegado  el  momento  de  irme  a  otros proyectos más acordes con mis
objetivos  de  proteger  la  privacidad  personal".  Así empezaba Phil
Zimmermann  una  nota  dirigida a los usuarios de PGP, que recorrió el
planeta a principios de febrero.

Diez años después del inicio de la aventura, su carismático líder, sin
el  que  no puede entenderse este fenómeno, da el portazo, se va a una
empresa  independiente  y dublinesa, Hush, conocida por el servicio de
correo  web  cifrado y gratuito, HushMail, y deja al legendario PGP en
manos  de  una  multinacional  que  hace  negocios  con  los servicios
secretos  norteamericanos,  como  un  reciente acuerdo con la National
Security Agency para hacer una versión segura de Linux.

¿Significa  esto  que el programador abandona a sus usuarios? "No está
en  mis planes dejarlos solos. Lo que estoy haciendo ahora es ayudar a
las compañías a implementar el estándar OpenPGP, que dará más opciones
para  escoger  a  la  hora de tener productos de cifrado de correo que
puedan  interoperar  con PGP. Eso será mejor que permitir que algo tan
importante  como  PGP se ofrezca sólo desde una compañía", confirma al
Ciberpaís  Philip Zimmermann, quien utiliza para sus comunicaciones la
última  versión de su programa, la 7.0.3., convencido de que "se puede
confiar en ella".

Y  es  que, en el paranoico mundo de la criptología, el destino de PGP
ha  sido  también  una  historia  de  locos.  Cuenta José Luís Martín,
consultor   de   seguridad   y   presidente   de  la  organización  de
ciberderechos  CPSR-España:  "En 1991 empieza a extenderse el rumor en
Estados  Unidos  de  que  el  gobierno quiere prohibir el empleo de la
criptografía  en  líneas  de  comunicación.  Por  ello, el programador
Phillip  Zimmermann,  combinando el mejor algoritmo existente de clave
única,  el IDEA, con el mejor de clave pública, el RSA, y añadiendo el
MD5  para  las  firmas digitales, crea el programa PGP y lo distribuye
como  "freeware" (gratuito) por decenas de BBSs. Su intención, como él
mismo  declaró  más  adelante,  era  conseguir  que una tecnología tan
poderosa  llegara  a  la  gente  y  que  no se quedara en manos de los
gobiernos".

Lo  consiguió.  A  través  de  los  grupos  de noticias de Usenet, PGP
traspasó las fronteras de Estados Unidos, obviando que la criptografía
era  considerada  arma  de  guerra  y, por tanto, no exportable, según
aquel  gobierno.  Zimmermann  estuvo cinco años bajo investigación. La
comunidad   llegó  a  una  solución  alternativa,  con  dos  versiones
paralelas  de  PGP,  una  para Norteamérica y otra, distribuida por el
MIT, internacional, mientras Zimmermann era llamado a declarar ante el
Congreso  de  los  Estados  Unidos,  en  1993. Lo hizo, en un tono más
didáctico que culpable.

Episodios  dignos  de  "La Guerra de las Galaxias", como pasar todo el
código  de PGP a un libro para poderlo llevar fuera de Estados Unidos,
trufaron  esta  etapa,  en  la  que  empezaron  a correr rumores sobre
presiones  gubernamentales  sobre  su  autor  e instalación de puertas
traseras  en  el  programa,  para  aliviarlas.  En 1996, el FBI dejaba
oficialmente  de  hurgar  en  la  vida  de  Zimmermann  y, en 1997, el
programador vendía su programa a Network Associates.

Así  nació  la  primera  versión  para  Windows,  la  5.  Románticos y
paranoicos no pasarían nunca de la sólo para comandos 2.6.3. Mientras,
Zimmermann  se  concentraba  en  el  proyecto  de un estándar abierto,
llamado  OpenPGP,  en el que se basa uno de los pocos aspirantes a ser
la  alternativa al popular programa de cifrado: GNU Privacy Guard, con
la versión gráfica aún en desarrollo.

Miguel Ángel Gallardo, de la empresa CITA, quien conoció personalmente
a  Zimmermann  en  Cambridge,  en  noviembre de 1994, y tiene previsto
traerlo  a  España  en otoño, lo describe como "un activista en muchos
terrenos".   Conseguir   que   no  se  prohibiera  la  exportación  de
criptografía  fuerte  en Estados Unidos era una guerra complicada, que
no  libró  sólo  un  hombre:  "Ha  habido  gente  que  ha  sufrido una
decepción,  gente que ha estado trabajando horas en esto. Los hubo que
hicieron  mucho por PGP", afirma Gallardo. Esta decepción llegó con la
venta a Network Associates Inc, que para algunos fue una deslealtad.

La  decisión,  por parte de NAI, de no publicar el código fuente desde
la   versión   6.5.8.,  no  permitiendo  así  estudiar  libremente  la
integridad del programa, alteró aún más los ánimos. José Manuel Gómez,
editor  de Kripópolis, muestra toda su incredulidad más incrédula: "El
hecho  de  que  se  deje  de  publicar  el  código  fuente es bastante
significativo.  Personalmente,  no  puedo  confiar  en  un programa de
cifrado  cuyo  código  fuente no sea público. Por tanto, o continuamos
utilizando  versiones  antiguas  de  PGP,  o  nos  pasamos con armas y
bagajes a GnuPG. ¿PGP sin código fuente? No, gracias".

También  Jorge  Dávila  Muro,  presidente de la Asociación Española de
Criptología  y  Seguridad  Informática, se muestra sorprendido por los
últimos  sucesos:  "La  razón  no  está clara. Zimmermann ha declarado
públicamente  que  da fe que no hay puertas traseras y, dicho esto, se
larga  de  NAI.  La presencia de puertas traseras sólo se puede probar
cuando  se  localizan éstas. La sospecha sobre su presencia no deja de
ser  eso,  una sospecha. Pero, en general, no es recomendable utilizar
programas  de  seguridad  y  cifrado sin conocer los códigos fuentes".
Aunque,  se  lamenta: "Me da la sensación de que a las empresas no les
importa  realmente  el  nivel de seguridad; con el hecho de comprar un
programa  a  una  empresa  americana  "respetable"  ya  se  quedan tan
contentos".

Para  Dávila, lo difícil es saber qué pasará ahora con PGP: "El actual
incluye   un   montón   de  funcionalidades  para  la  protección  del
almacenamiento y de las comunicaciones IP, por lo que -me temo-, ya ha
llegado  a  una  madurez  tal  que, a partir de ahora, sólo aparecerán
refinamientos, mejoras de la conectividad con otras aplicaciones, etc.
No  creo  que  vaya  a  sufrir  grandes  cambios". Donde siempre habrá
movimiento  es  en la duda sobre su seguridad y es que, dice Gallardo,
"nadie,  absolutamente  nadie,  puede  asegurar que no existen puertas
traseras  en una montaña de código del tamaño de PGP. Pueden jurar que
ellos no las conocen, pero no deben confundir perversamente asegurando
que no existen".

Quizás  no  puertas  traseras,  pero  sí  ataques  hechos  con toda la
intención  pueden  derrumbar  al  programa  de  Zimmermann.  Desde  la
contraseña   olvidada   en  un  'post-it',  hasta  la  estrategia  más
sofisticada,  usando  fallos  de otros programas, pasando por mensajes
descifrados  y no borrados o técnicas de criptoanálisis. Regularmente,
la comunidad se convulsiona con el rumor de un nuevo y oscuro ataque.

El  último,  en  marzo, contra PGP y OpenPGP, anunciado por los checos
ICZ,  se  ha  calificado  de  difícil,  ya que para llevarlo a cabo es
necesario  hacerse  con  la  clave  privada  de  la  víctima,  que  si
practicase  la  seguridad  más  segura no la guardaría en el ordenador
sinó  en algún disco. Por las mismas fechas aparecía otro, que permite
instalar  un  troyano  o  ejecutar cualquier código en el ordenador de
quien, simplemente, compruebe una firma digital.

Oscuridades  aparte,  diez años después y armado aún con un Macintosh,
desde  su  último  comunicado  Zimmermann anima a seguir en la brecha:
"PGP  se  diseñó originalmente para aplicaciones de derechos humanos y
para  proteger la privacidad y las libertades civiles, en la era de la
información.  Haciendo proliferar el estándar OpenPGP, podemos renovar
esta  promesa  y  continuar  la  lucha  por la privacidad personal que
capturó  la  imaginación  y  la  participación de millones por todo el
mundo".



Phil Zimmermann
http://philzimmermann.com
http://web.mit.edu/prz

The International PGP Home Page
http://www.pgpi.org

Hush
http://www.hush.com
http://www.hushmail.com

PGP. Criptografía para Internet
http://www.arnal.es/free/cripto/pgp/index.htm

Informe sobre mi viaje a Inglaterra
http://www.cita.es/textos/inglater.htm

¿PGP sin fuentes? ¡No, gracias!
http://www.kriptopolis.com/jmg/20010314.html

Asociación Española de Criptología
http://aecsi.rediris.es

Consorcio OpenPGP
http://openpgp.org

GnuPG
http://www.gnupg.org/gph/es

ICZ
http://www.i.cz

"Nuevo y gravísimo fallo en PGP"
http://www.kriptopolis.com/jmg/20010419.html




CÓMO FUNCIONA


El   programa   PGP   (Pretty  Good  Privacy)  permite  cifrar  correo
electrónico  y  textos  en  el ordenador, además de autentificar estos
mensajes  y  documentos  y  asegurar  su integridad, mediante la firma
electrónica.  Se  basa  en la criptografía llamada "de clave pública",
presentada  en  1976  por  Whitfield  Diffie  y  Martin  Hellman. Este
sistema, que puede operar en un entorno descentralizado como Internet,
es la base del éxito de PGP, y también su única complicación: entender
como  funciona  es  traspasar  una  puerta.  A  pesar de que PGP es el
sistema criptológico más utilizado, desde terroristas hasta ciudadanos
de a pie, las estadísticas dicen que sólo la han cruzado diez millones
de personas.

La  criptografía  de clave pública utiliza dos llaves para el juego de
cifrar-descifrar mensajes. Lo cuenta José Luis Martín, en su manual de
PGP:  "Cada  usuario  tiene  dos  claves,  una secreta o privada y una
pública.  La  clave secreta ha de quedar sólo en poder del dueño, pero
la  clave  pública  puede  y  debe distribuirse. Cualquiera que quiera
enviarnos  mensajes  cifrados,  habrá  de  hacerse  con  nuestra clave
pública  y  utilizarla.  Una  vez  cifrado  así el mensaje, sólo podrá
descifrarse  con  nuestra  clave  privada. Ni siquiera podrá el que ha
cifrado  el  mensaje.  Por  otro  lado, el conocer la clave pública no
permite de ninguna manera deducir la clave privada".

Aprendida la lección, el resto es fácil, ya que desde la versión 5 PGP
funciona  también  para  Windows,  con  iconos, ventanitas y un manual
realmente útil, que puede leerse en una tarde de sábado.


Cómo trabaja PGP
http://www.arnal.es/free/cripto/pgp/trabaja.htm
PGP en una hora
http://www.kriptopolis.com/pgp/index.html

More information about the hacking mailing list