Tabla de contenido:
En mayo de 2013, Edward Snowden comenzó su lanzamiento de documentos de cuenca que sacudiría nuestra percepción de las comunicaciones digitales encriptadas. Los expertos en seguridad, las personas que confían en el cifrado e incluso los propios creadores de las aplicaciones de cifrado ahora están preocupados de que sea imposible volver a confiar en el cifrado.
¿Qué no es de confiar?
Es un problema complicado, especialmente porque parece que las matemáticas detrás del cifrado siguen siendo sólidas. Lo que se ha cuestionado durante el año pasado es cómo se ha implementado el cifrado. Organizaciones, como el Instituto Nacional de Normas y Pruebas (NIST) y Microsoft, están en el candelero por supuestamente comprometer los estándares de cifrado y coludir con agencias gubernamentales.
En noviembre de 2013, Snowden publicó documentos que acusaban al NIST de debilitar su algoritmo de encriptación, permitiendo a otras agencias gubernamentales llevar a cabo la vigilancia. Al ser acusado, el NIST tomó medidas para reivindicarse. Según Donna Dodson, asesora principal de seguridad cibernética del NIST en este blog, "los informes de noticias sobre documentos clasificados filtrados han causado preocupación en la comunidad criptográfica sobre la seguridad de los estándares y lineamientos criptográficos del NIST. NIST también está profundamente preocupado por estos informes, algunos de los cuales tienen cuestionó la integridad del proceso de desarrollo de normas NIST ".
El NIST está legítimamente preocupado: no contar con la confianza de los expertos en criptografía del mundo sacudiría los cimientos de Internet. El NIST actualizó su blog el 22 de abril de 2014, agregando los comentarios públicos recibidos sobre el NISTIR 7977: Proceso de desarrollo de pautas y estándares criptográficos del NIST, comentario de expertos que estudiaron el estándar. Con suerte, NIST y la comunidad criptográfica pueden llegar a una solución agradable.
Lo que sucedió con el proveedor de software gigante Microsoft fue un poco más nebuloso. Según Redmond Magazine, tanto el FBI como la NSA le pidieron a Microsoft que construyera una puerta trasera para BitLocker, el programa de cifrado de unidades de la compañía. Chris Paoli, autor del artículo, entrevistó a Peter Biddle, jefe del equipo de BitLocker, quien mencionó que Microsoft fue colocado en una posición incómoda por las agencias. Sin embargo, encontraron una solución.
"Si bien Biddle niega haber construido en una puerta trasera, su equipo trabajó con el FBI para enseñarles cómo podrían recuperar datos, incluido el objetivo de las claves de cifrado de respaldo de los usuarios", explicó Paoli.
¿Qué pasa con TrueCrypt?
El polvo casi se asentó alrededor del BitLocker de Microsoft. Luego, en mayo de 2014, el secreto equipo de desarrollo de TrueCrypt conmocionó al mundo de la criptografía y anunció que TrueCrypt, el principal software de cifrado de código abierto, ya no estaba disponible. Cualquier intento de acceder al sitio web TrueCrypt fue redirigido a esta página web de SourceForge.net que mostraba la siguiente advertencia:
Incluso antes del lanzamiento del documento Snowden, este tipo de anuncio habría sorprendido a quienes confían en TrueCrypt para proteger sus datos. Agregue prácticas de cifrado cuestionables, y el shock se convierte en una angustia grave. Además, los defensores de código abierto que respaldaron TrueCrypt ahora se enfrentan al hecho de que los desarrolladores de TrueCrypt recomiendan que todos usen BitLocker, propiedad de Microsoft.
No hace falta decir que los teóricos de la conspiración han tenido un día de campo con esto. Hay muchas opiniones diferentes en cuanto a las razones detrás de la decisión. Al principio, expertos como Dan Goodin y Brian Krebs pensaron que el sitio web había sido pirateado, pero después de verificarlo ambos descartaron esa noción.
Dos teorías populares que se alinean con esta discusión:
- Microsoft compró TrueCrypt para eliminar la competencia (las instrucciones de migración de BitLocker alimentaron esta teoría).
- La presión del gobierno obligó a los desarrolladores de TrueCrypt a cerrar el sitio web (similar a lo que le sucedió a Lavabit).
Esa falta de fe en el código continúa hoy. El hecho de que los criptógrafos estén realizando una revisión intensa de TrueCrypt (IsTrueCryptAuditedYet) es un excelente ejemplo de la incertidumbre que sigue existiendo.
¿En qué podemos confiar?
Tanto Edward Snowden como Bruce Schneier han dicho que el cifrado sigue siendo la mejor solución para mantener las miradas indiscretas lejos de la información personal y de la empresa.
Snowden, durante su entrevista de SXSW con el tecnólogo principal de ACLU Christopher Soghoian y Ben Wizner, también de ACLU, dijo: "La conclusión es que el cifrado funciona. No debemos pensar en el cifrado como un arte oscuro y arcano, sino como una protección básica para el mundo digital ".
Snowden luego ofreció un ejemplo personal. La NSA ha estado trabajando duro para descubrir qué documentos filtró, pero no tienen idea, simplemente porque no pueden descifrar sus archivos. Bruce Schneier también participa en lo que respecta al cifrado. Aun así, Schneier atemperó su apoyo con una advertencia.
"El software de código cerrado es más fácil para la NSA de puerta trasera que el software de código abierto. Los sistemas que dependen de secretos maestros son vulnerables a la NSA, ya sea por medios legales o más clandestinos", dijo.
Con un poco de ironía, el comentario de Schneier también se hizo mucho antes de que se cerrara TrueCrypt, y antes de que los desarrolladores de TrueCrypt comenzaran a sugerir que la gente usara BitLocker. La ironía: TrueCrypt es de código abierto, mientras que BitLocker es de código cerrado.