[HACK] pgp

merce at grn.es merce at grn.es
Sat Nov 24 12:58:59 CET 2001 


¿HAY VIDA DESPUÉS DE PGP?


Mercè Molist
Se lo preguntan cada vez más aficionados a la criptología, después que
la empresa norteamericana Network Associates hiciese pública su
decisión de poner a la venta y no seguir desarrollando el programa de
cifrado de archivos y correo, Pretty Good Privacy (PGP). El anuncio,
que significa el despido de 250 personas, ha añadido leña a la
desconfianza hacia el programa, la más popular aplicación
criptográfica de escritorio. Sus usuarios vuelven ahora los ojos hacia
otro producto, basado en PGP pero libre y de origen alemán: GNU
Privacy Guard (GnuPG o GPG).

Network Associates había comprado en 1997 el programa a su autor, Phil
Zimmermann,  quien  el pasado febrero abandonaba la empresa, aduciendo
problemas de entendimiento sobre el futuro de PGP, que este año cumple
su  décimo  aniversario  y  al  que  se calculan unos diez millones de
usuarios.  PGP  nació  gratuito  ("freeware")  y con acceso libre a su
código  fuente.  Network Associates le añadió una versión de pago para
uso  comercial,  que  no ha funcionado, y la entrada al mundo Windows.
Pero  la empresa puso cada vez más problemas al acceso libre al código
fuente  y,  desde  la  versión  6.5.8 hasta la actual, 7.0.3, no se ha
hecho público.

La  venta  a  Network  Associates,  que  colabora abiertamente con los
servicios  secretos  norteamericanos,  la  huída  de  Zimmermann y los
problemas   de   acceso   al   código  acrecentaron  los  rumores,  no
demostrados,   de   "puertas  traseras"  que  permitirían  a  terceros
descifrar  los  mensajes. El criptólogo Manuel Lucena añade: "PGP dejó
de  ser  digno  de  confianza  cuando su código fuente llegó a ser tan
grande  que una verificación externa se convertía en algo imposible de
acometer.  Se  convirtió  en una especie de hidra de siete cabezas, se
estaba  "microsoftizando",  según  algunos  de  mis colegas, añadiendo
multitud  de  chorraditas  inútiles,  que  multiplicaban  los posibles
fallos de seguridad y engordaban tremendamente el código fuente".

En  1999  se presentaba, como alternativa a PGP, la primera versión de
una  nueva herramienta, GnuPG, obra del alemán Werner Koch, que pronto
consiguió  la  simpatía  de  la  comunidad. GnuPG es un programa libre
(puede intercambiarse y modificarse), bajo licencia GNU y basado en el
protocolo  no  propietario  OpenPGP,  auspiciado  por  Zimmermann como
estándar  de  la  Internet  Engineering Task Force, para garantizar la
interoperabilidad de los productos de cifrado. Dice Lucena: "Cualquier
programa  que sea de código abierto -aunque no sea libre- y que cumpla
ese  estándar  debería ser considerado, a priori, fiable. Yo uso GnuPG
1.0.6, con un interfaz de ventanitas compatible con muchas plataformas
(entre ellas, Windows y Linux)".

El  problema  de  GnuPG  es  que no es "plug&play" ni fácil para el no
iniciado,  aunque  la  creciente  popularidad  y  una  subvención  del
gobierno alemán auguran su evolución hacia el "userfriendly". De todas
formas,  dice Lucena: "Es muy importante separar el auténtico programa
de  cifrado  -GnuPG-  del  "azúcar",  o  sea,  las  ventanitas y demás
chorradas  que,  en  realidad,  no  son  'software' de seguridad, sinó
interfaces  con el usuario. Sinceramente, me parece que GnuPG ya puede
ser  considerado  "mayor  de  edad",  aunque  funciona  sobre línea de
comandos.   El  precio  que  hay  que  pagar  para  obtener  seguridad
-aprenderse un par de comandos- no es tan elevado".

La  migración  a  GnuPG  ha traspasado los círculos criptológicos y se
extiende  entre los usuarios avanzados, especialmente los de programas
libres,  como Javi Polo, que canta sus excelencias: "Soporta distintos
tipos de cifrado, es libre, es sencillo, es completo, vamos, que me da
lo  que  quiero  y  más".  Lo  que  gusta  de  GnuPG es que no utiliza
algoritmos patentados y, al ser de dominio público, está exento de las
restricciones de exportación del tratado de Wassenaar.

Pero la mayoría sigue aún con PGP, también su autor, que ha proclamado
hasta  la  saciedad  la seguridad de las últimas versiones, sin código
fuente  público.  Zimmermann  recibía  con sorpresa, según "Wired", la
puesta  en  venta  del  programa y prometía asegurar su supervivencia:
"PGP  es  una  institución más grande que una simple compañía. Seguirá
adelante  con  o  sin  Network  Associates".  También  el  experto  en
espionaje  y  control electrónicos, Arturo Quirantes, afirma: "No creo
que  sea  el  final  de  PGP.  Probablemente lo adquiera otra empresa,
aunque sea por su valor de marchamo".

La  recomendación  del  presidente  de la sección española de Computer
Professionals  for Social Responsability (CPSR), José Luis Martín Mas,
es  que  no  cunda  el pánico: "Cualquier versión de PGP con el código
fuente  público, hasta la 6.5.8, es útil. Si lo eran antes, no dejarán
de  serlo  por  una  nota  de  prensa,  sólo  si  se  descubre  alguna
vulnerabilidad.  Y, mientras, esperar un mayor desarrollo de GnuPG. No
hay por ahora alternativas viables, porque no hay ningún otro programa
tan  extendido y probado como PGP, y el resto de 'software' de calidad
es comercial".



CARA PRIVACIDAD


La  puesta  en venta de la división de PGP de Network Associates se ha
relacionado  con  la  ola  anticriptología después del 11-S, aunque la
empresa  lo  ha  negado,  y con el cierre, el 22 de octubre, de la red
Freedom,  una  iniciativa  de  Zero-Knowledge  Systems,  con  el mismo
objetivo  que PGP: preservar la privacidad de la comunidad internauta.
Freedom,  nacida en 1998, usaba diversas tecnologías, como "proxies" y
"cookies",  para mantener el anonimato de sus usuarios, que pagaban 50
dólares  al  año.  Entre sus creadores, gurús de la seguridad como Ian
Goldberg o Adam Shostack.

Un  portavoz  concluía,  durante el anuncio del cierre de Freedom, que
"el  mercado de masas no está buscando cifrado y anonimato". José Luis
Martín  Mas,  de  CPSR-es,  discrepa:  "En  el caso de PGP, tenemos un
producto  de  calidad,  pero  que no encajaba en una versión comercial
para  empresas.  En  el  caso de Freedom, se trataba de un servicio de
baja  calidad:  un  alto  nivel  de seguridad, pero imposible de hacer
funcionar en una Internet con el ancho de banda actual. Las conexiones
resultaban demasiado lentas e ineficaces".


PGP Internacional
http://www.pgpi.org
GNU Privacy Guard
http://www.gnupg.org/es
OpenPGP
http://www.openpgp.org
Phil Zimmermann
http://web.mit.edu/prz

More information about the hacking mailing list