Dos decisiones de esta pasada semana dejan claro que vivimos en un momento de completa redefinición de internet: por un lado, WhatsApp culmina finalmente el muy esperado desarrollo de su cifrado de extremo a extremo y lo despliega para sus mil millones de usuarios en todo el mundo – aún con algunas objeciones, pero con todo el peso cuantitativo que ello conlleva.
Por otro, WordPress se une al proyecto HTTPS Everywhere de la Electronic Frontier Foundation, pasa a utilizar Let’s Encrypt (como hicimos en esta misma página hace ahora algo más de un mes) y anuncia HTTPS gratuito para el más de un millón de dominios hospedados en WordPress.com. Dado que WordPress ya había convertido a HTTPS todas las páginas con su propio dominio en 2014, y hablamos del que es, con mucho, el sistema de gestión de contenidos más popular de toda la web, con más de sesenta millones de páginas y el 23.3% de los diez millones de sitios más importantes, esto implica que un porcentaje elevadísimo de toda la web y de las comunicaciones de sus usuarios para a estar cifrado.
Hace mucho tiempo que sostengo que el futuro de la web que la totalidad de la información contenida y las comunicaciones que circulan por ella estén completamente cifradas. Una simple cuestión de naturaleza humana lleva a que la única manera de preservar el ideal de una red abierta que proporcione acceso a toda la información del mundo sea, paradójicamente, cifrar toda esa información. Mejoras progresivas en el protocolo, como SPDY y HTTP/2 han llevado a una reducción progresiva del diferencial de prestaciones entre tráfico cifrado y no cifrado que permite ofrecer información y servicios con plena satisfacción. El único problema que el Transport Layer Security (TLS) tiene a día de hoy es que no es utilizado lo suficiente: todo lo demás puede ser optimizado. La decisión de Google de considerar la disponibilidad de conexión segura como un criterio positivo a la hora de elaborar su ranking de relevancia ha sido otro factor fundamental.
Esto es un camino sin retorno: cada vez más, servicios de todo tipo, incluyendo los más populares, recurrirán a conexiones cifradas por pura lógica. Aquellos que no lo hagan de manera inmediata, se verán pronto obligados a hacerlo por una simple dinámica de mercado: si tienes una página web, sea para lo que sea, vete asumiéndolo y poniéndote manos a la obra. Como usuarios, tenemos que ser plenamente conscientes de esto. Si aún no lo has hecho, instala el plugin de HTTPS Everywhere en tu navegador, y empieza a exigir a aquellas páginas que consultes de manera habitual que ofrezcan una conexión segura. Los tiempos de la información que recorría la red en paquetes abiertos y sin cifrar a la vista de cualquiera que quisiera mirarlos han terminado.
ACTUALIZACIÓN (24/04/2016): Amaya Quincoces me cita en su artículo en La Vanguardia, «¿Hasta qué punto son seguras las telecomunicaciones cifradas?»
ACTUALIZACIÓN (07/03/2017): en marzo de 2017, según un estudio de la EFF, la mitad de todo el tráfico web ya está cifrado.
ACTUALIZACIÓN (15/09/2018): tras tres años de su fundación, Let’s Encrypt ha expedido ya 380 millones de certificados HTTPS en 129 millones de dominios, y se ha convertido en el mayor certificador de toda la web. El 75% de los datos que circulan a través de Firefox están ya cifrados.
ACTUALIZACIÓN (28/02/2020): Let’s Encrypt alcanza los mil millones de certificados emitidos.
This article is also available in English in my Medium page, “Redefining the internet: the move toward full encryption«
La seguridad en la red no está tanto en lo potente que sea el cifrado, como que tu mensaje no llame la atención dentro de la red. Si nadie cifra y tu si, eres el objetivo de cualquiera «policia» de la red, y existiendo super ordenadores cualquier encriptado suele ser cuestión de segundos desencriptarlo, pero si TODOS ciframos, la cosa cambia, porque dedicar el super ordeador para desencriptar TODOS los documentos cifrados, es dedicar unos segundos por cada página, es decir no hay posibilidad de desencriptar la TOTALIDAD de la información encriptada, por lo cual, sólo podrán dedicar su esfuerzo, a desencriptar sólamente los de los «sospechosos», si tu consigues no llamar la atención, nadie se molestará en desencriptarte, y esa será tu mayor seguridad.
Ya es triste que nos tengamos que proteger de nuestro propios «protectores», pero así es el mundo que nos ha tocado vivir.
Lo que comentas no se corresponde en absoluto con la realidad, se pueden utilizar (y se utilizan) cifrados que ningún ordenador es capaz de descifrar.
Hay cifrados indescifrables, pero los que se utilizan en el cifrado extremo a extremo no lo son
A ver, acabo de consultarlo y WhatsApp sin ir más lejos utiliza un cifrado AES-256, considerado indescifrable con la tecnología actual. Salvo que haya algún error de implementación o algún otro tipo de fallo de seguridad, no hay manera de descifrarlo.
según leo
El estándar de cifrado (encriptación) avanzado AES, Advanced Encryption Standard (AES), es uno de los algoritmos más seguros y más utilizados hoy en día
Ser uno de los algoritmos «mas seguros» no es ser indescifrable, que tambien los hay, sino solo difícil de descifrar con los medios a tu alcance, que distan mucho de los que pueden utilizar los grandes servicios de «control», de Norteamerica, China, y posiblemente una docena de servicios secretos más .
Al encriptar el mensaje, éste se eleva a la potencia de la clave y lo que queda es dividido por un producto fijo de dos números primos. Al repetir el proceso con la otra clave, el texto simple o claro puede ser recuperado de nuevo
Basta ir probando por alguna de las posibles claves de descifrado hasta dar con una que de un texto compresible. Hay millones de claves posibles pero es cuestión de tiempo dar con la adecuada y con un superordenador lo de «tiempo» es algo relativo. SE sospecha que el FBI a desencriptado lo que pedía a Apple que descifrara, por eso han dejado de dar la tabarra.
Gorki:
No te empeñes, nadie ha conseguido descifrar AES de 128 bits, ni aún mucho menos de 256, que es lo que usa Whatsapp.
El cifrado responde a una necesiad de protección por parte de ataques en diversos frentes (gobiernos, FBI, hackers, etc) por primera vez nos conciencia sobre el uso de protección en contra de esas entidades, y como tal los programadores esforzaran para facilitarse su uso al la gente común: recuerdo cuando usar PGP en sólo consola de comando, y ahora Wa tienen cifrado similar integrado con minima interacción tecnica por parte del usuario.
Recordemos como en Arpanet original el cifrado de comunicaciones no existía tardaron treinta años en aparecer y esa considerado un plus extravagante pero con el caso FBI-Apple la gente ahora, lentamente se moverá hasta dispositivos cifrados para que no espien sus cosas.
Conviene destacar que Whatsapp está usando el protocolo e incluso las librerías de Signal (que son soft libre), un programa de mensajería que es considerado seguro por el mismísimo Snowden. Los creadores de Signal, de hecho, han participado en la implementación del cifrado de Whatsapp.
A propósito de Snowden, a él le tenemos que agradecer que la comunidad tecnológica fuese consciente del espionaje masivo al que estábamos siendo sometidos los ciudadanos de todo el planeta. Los de Whatsapp y WordPress son solo 2 ejemplos (aunque importantes) de lo que está siendo un movimiento a escala mundial para pararle los pies a los gobiernos supuestamente democráticos con sueños húmedos orwelianos. Verdaderamente Snowden es alguien que ha conseguido cambiar el curso de la Historia.
Pero esto es solo el principio. El correo electrónico también debería ir cifrado de estremo a extremo. Apple ya hace tiempo que encripta el «disco duro» del iPhone y Android también ha empezado a hacerlo. Cada vez más modelos de móvil incluyen lector de huellas. Asegurar la red es importante, pero también los terminales que a ella conectan deben ser seguros.
Precisamente esta semana hemos presentado nuestra red social global para amantes del libro. En nuestra mente está encriptarla cuando vayamos dando los pasos. Aún somos un proyecto BETA, pero todo se andará. Nos resultó muy interesante el tema de https que compartió Enrique. Lo estamos estudiando para ponerlo en marcha cuando nos sea posible.
Otro elemento relacionado es que para coordinarnos, nos comunicamos con Signal las distintas personas de nuestro equipo, que está en ambas orillas del Atlántico.
En fin, os cuento todo esto para que veáis que no solo las grandes empresas, corporaciones y proyectos tratan de unirse a esta corriente protectora de nuestra intimidad, sin proyectos humildes como el nuestro, ubicado en Nueva York, pero con alma global deseamos que no haya un ojo que todo lo ve espiando lo que hacen nuestros usuarios/as o nosotros mismos/as.
Saludos afectuosos,
Juan Navidad
Ya he expuesto mi opinión sobre HttpsEverywhere y no voy a insistir. Esta vez voy a analizar los motivos para encriptarlo todo (referente a la Web).
Empezaré obviando los motivos por los que se ha usado el cifrado SSL TLS en el pasado, puesto que son razones válidas y con las que comulgo. A saber, proteger información privada, credenciales de acceso, cuentas bancarias, etc. Entonces nos queda el cifrado de blogs como este o páginas en las que hay información abierta a todo el que tenga una conexión. ¿Cuál es el motivo habitual para usar https en estos casos? Probablemente ocultar las cosas que leemos o vemos en la web a terceros, como pueden ser gobiernos, o hackers. ¿Estáis de acuerdo en que este es el motivo principal? Si la respuesta es no, no sigáis leyendo y responded con vuestros motivos.
El problema es que la IP y el dominio de los sítios web a los que accedemos no pueden encriptarse, pues de ello depende que la comunicación funcione. El resto de la URL sí que se encripta, pero puesto que hemos dicho que vamos a acceder a sitios web abiertos, por ejemplo en este blog, basta con coger todas las URLs posibles tipo «/2016/04/redefiniendo-internet-la-evolucion-hacia-una-red-completamente» y usar la fuerza bruta con la URL cifrada para deducir qué artículo concreto hemos estado leyendo. Esto sin contar con las vulnerabilidades del protocolo que están ahí, digamos, por «accidente». El enemigo lleva décadas debilitando por activa y por pasiva los sistemas que usamos habitualmente. Aunque nos parezca lo contrario, visitar un blog no es una comunicación privada. No es equiparable a la mensajería. Si nuestro objetivo es permanecer anónimos, es mejor usar la red TOR.
Por último, quiero destacar que el que Google haya decidido que va a dar prioridad en los resultados a las páginas que tengan certificado, no deja de ser arbitrario. Y en buena medida depende del nivel de implantación del cifrado para todo. De todas formas, lo mejor es no usar Google si puedes evitarlo. Son ellos los que más nos vigilan. Por poner un ejemplo, el que no se pueda ver un vídeo de forma anónima, apesta. Y lo peor es que proliferan los blogs que exigen identificación de Facebook o de Google para poder ver sus entradas. Es decir, que dentro de poco vamos a tener que meter el DNI para poder navegar. Por todo lo dicho este intento de cifrar todo el tráfico es absurdo y sólo nos lleva a despilfarrar el ancho de banda en un cifrado (que siempre ocupa más que el original) sin sentido.