Cifrado PGP roto?

Últimamente han estado surgiendo nuevas noticias sobre vulnerabilidades en el sistema de cifrado PGP, conocido también como Efail. Sin embargo, a pesar de estos informes que indican lo contrario, PGP no está en verdad roto, como se explicará en este artículo.

Este informe de vulnerabilidad vino desde el propio sitio de Efail, lo que ha traído muchos titulares indicando lo que se ha dicho anteriormente, dichos informes también traen recomendaciones para desactivar el uso de los complementos de  PGP. Esto no fue ayudado por el hecho de que hasta el día de hoy, los detalles completos de dicha “vulnerabilidad” no habían sido revelados a la comunidad. Sin embargo, ahora que esta información es pública y se ha completado el análisis por parte de ProtonMail, se puede decir que estas informaciones son incorrectas, y que las recomendaciones para dejar de usar los complementos de PGP son incorrectas. Desde ProtonMail nos han dejado sus propias recomendaciones y se las dejaré más adelante en este mismo post.

Vulnerabilidad del PGP

Primeramemnte, ProtonMail no se ve afectado por las vulnerabilidades de Efail PGP. Esto incluye sus aplicaciones web y móviles, y también su software ProtonMail Bridge para escritorio.También es importante señalar que, además de una excepción menor, Efail no es una vulnerabilidad en PGP. Lo que hicieron los autores de Efail fue catalogar una lista de clientes de PGP con errores en su implementación de PGP. En el peor de los casos, estos defectos pueden llevar a descifrar correos electrónicos cifrados, pero para esto, los atacantes deben tener una copia del correo encriptado y la capacidad para reenviarlo.

PGP security y Efail

PGP tiene una historia muy larga, que se remonta a más de 20 años, y aunque algunos pueden usarlo como excusa para afirmar que PGP está “desactualizado”, esto también significa que PGP es una prueba de tiempo y batalla. En otras palabras, es la mejor manera de encriptar correos electrónicos, y debido a que el protocolo es abierto, ha tenido más de dos décadas por pares de revisión y auditorías de seguridad. Lo que siginifica que es muy poco probable que haya vulnerabilidades no descubiertas.

Sin embargo, en la criptografía, como en muchas otras cosas, el diablo está en los detalles, y la implementación segura de PGP es realmente un desafío. Muchas de las bibliotecas y complementos de software de PGP no se han sometido al mismo nivel de escrutinio que el protocolo OpenPGP. De hecho, algunas de las vulnerabilidades divulgadas en Efail son conocidas por la comunidad de desarrolladores de PGP desde 1999 y algunos complementos de PGP siguen siendo vulnerables.

Como estándar abierto, cualquiera puede implementar PGP, y algunos lo hacen mejor que otros, por lo que no debería sorprender que algunas implementaciones de PGP tengan vulnerabilidades de seguridad. Sin embargo, esto no debe tomarse como una acusación formal de PGP. En esencia, PGP sigue siendo criptográficamente sólido, y usar algunas malas implementaciones para afirmar que “PGP tiene un defecto grave” es falso.

Recomendaciones para los usuarios de PGP

Las recomendaciones para deshabilitar los complementos de PGP y detener el cifrado de los correos electrónicos son completamente injustificadas y podrían poner vidas en riesgo. La respuesta correcta a las implementaciones vulnerables de PGP no debe ser dejar de usar PGP, sino utilizar implementaciones seguras de PGP. Si se descubre una vulnerabilidad en su sistema operativo, no tire su computadora. En cambio, lo actualizas y aplicas parches. Cuando se trata de vulnerabilidades en las implementaciones de PGP, se aplica el mismo principio. Si eres un usuario de PGP, te recomendamos la misma estrategia. Aplique actualizaciones a su software PGP cuando estén disponibles (si es necesario). Debido a que las vulnerabilidades están en las implementaciones de PGP y no en el protocolo OpenPGP en sí, estos errores son muy fáciles de corregir para los desarrolladores de complementos de PGP. O puede pasar a usar ProtonMail que no es susceptible a las vulnerabilidades de Efail.

Como el proveedor de correo electrónico seguro más grande del mundo, se toman la seguridad muy en serio y al parecer continuarán innovando para garantizar que nuestros datos permanezcan seguros y privados, tanto hoy como en el futuro.

Saludos cordiales a nuestros seguidores y al equipo de ProtonMail que se tomó el tiempo de darnos más detalles sobre lo que en verdad pasó.

Advertisements

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.