Publicado en Kriptópolis (http://www.kriptopolis.org/)
Por admin
Creado 08/11/2007 - 10:32am
Lo reconozco. Soy muy poco proclive a delegar cualquier tema de seguridad en servicios web, por mucha política de privacidad chachi-piruli que exhiban, e incluso aunque el código fuente esté disponible. Por eso no me gustan nada tampoco los sistemas de almacenamiento o backup on line, y ya no digamos nada los sistemas que anuncian cifrados inviolables.
Y no es de ahora. Hace más de año y medio, un lector me "reprochaba" [0] mi patente falta de entusiasmo ante Hushmail, el servicio on-line de cifrado por excelencia, que proclamaba -y aún proclama [1]- que "ni siquiera un empleado de Hushmail puede leer su correo cifrado, porque cada mensaje es cifrado de forma única antes de abandonar su ordenador".
Pues bien; odio decirlo, pero ya avisé entonces [2] de un grave inconveniente de Hushmail, cuyas consecuencias están dando mucho que hablar ahora mismo...
La noticia es la siguiente: a Hushmail le ha faltado tiempo para responder al requerimiento de un tribunal canadiense y remitir a éste doce CDs repletos de jugosos mensajes en claro, presuntamente protegidos por ese cifrado que ni los empleados de Hushmail podían vencer.
El asunto plantea muchos flecos interesantes. Por un lado Hushmail dispone de dos servicios diferentes [3]. El más potente (y el único al que se refieren probablemente las afirmaciones de la empresa) requiere que el usuario se descargue un applet de Java a su ordenador. En principio no hay ningún problema: el código es abierto y cualquiera puede examinarlo. Lo que nadie garantiza es que la versión compilada que el usuario descarga haya sido construida en base a ese mismo código fuente. Sin duda, un interesante argumento para quienes gustan de sembrar sospechas sobre el mundo del software libre.
Pero al parecer no ha sido ése el servicio que ha sido explotado para obtener los mensajes en claro, sino otro, más cómodo para el usuario (una vez más, aparece la comodidad como enemiga de la seguridad), que ni siquiera requiere la descarga del applet, sino que delega el cifrado a los propios servidores de Hushmail, que durante breves instantes (pero desde luego suficientes para almacenarla o remitirla a ciertas oficinas), tienen acceso a la frase utilizada como contraseña.
Insisto una vez más: las cosas importantes (y la privacidad lo es) se gestionan sólo en casa.
Encrypted E-Mail Company Hushmail Spills to Feds [4] [Wired].
URL originalhttp://www.kriptopolis.org/hushmail-tocado
Enlaces[1] http://www.hushmail.com/about-who[2] http://www.kriptopolis.org/hushmail#comment-5876[3] https://www.hushmail.com/hushmail/showHelpFile.php?file=compatibility/java/index.html[4] http://blog.wired.com/27bstroke6/2007/11/encrypted-e-mai.html
No hay comentarios:
Publicar un comentario