Llegamos a ustedes gracias a:



Noticias

Mathematical Mesh promete una mejor encriptación

De extremo a extremo

[04/08/2020] Uno de los principales desafíos que plantea la Internet ha sido la necesidad de asegurar las comunicaciones a través de una enorme maraña de redes públicas y privadas. Los expertos en seguridad coinciden en que la encriptación de las comunicaciones de extremo a extremo es el mejor medio de defender a los usuarios de la interceptación por parte de terceros, o de infracciones que podrían exponer el contenido potencialmente sensible.

Sin embargo, la encriptación de extremo a extremo ha sido más un sueño que una realidad, en particular debido al surgimiento de los "jardines amurallados" encabezados por gigantes de Internet como Google, Facebook y Amazon. Cada uno de ellos mantiene siempre alguna forma de acceso a las comunicaciones de sus usuarios.

En la conferencia HOPE (Hackers of Planet Earth) de este año, el reconocido criptógrafo Phillip Hallam-Baker, que actualmente es uno de los científicos principales de Comodo y fue miembro del equipo del CERN que diseñó la World Wide Web, entre muchos otros logros, introdujo silenciosamente un nuevo enfoque para el cifrado de extremo a extremo llamado Mathematical Mesh o Malla Matemática.

¿Qué es la criptografía con umbral?

"La infraestructura de clave pública (PKI) no es suficiente", señaló Hallam-Baker, refiriéndose a la infraestructura para crear, distribuir y almacenar certificados digitales utilizados en el sistema criptográfico que subyace a los actuales medios de cifrado de extremo a extremo. "Tenemos que ir un poco más allá y empezar a aplicar un tipo de criptografía llamada umbral. Vamos a necesitar una infraestructura de claves con umbral".

La criptografía con umbral implica cortar los secretos, o las claves, en bits más pequeños, de modo que un receptor de comunicaciones cifradas necesita poseer un nivel de "umbral" de bits para descifrar las comunicaciones. Aunque las infraestructuras con umbral han sido utilizadas por el ejército y el gobierno desde principios del decenio de 1990, la tecnología se está poniendo lentamente a disposición del público. El Instituto Nacional de Normalización y Tecnología (NIST, por sus siglas en inglés), por ejemplo, ha propuesto recientemente una hoja de ruta para crear esquemas criptográficos con umbral estándar que podrían hacer más frecuente su uso.

Todo el mundo espía; la información es el objetivo

Abordar la seguridad en Internet significa captar algunos hechos fundamentales, según Hallam-Baker. "Primero, la seguridad no depende de la geografía. China no es la única amenaza a la seguridad. No es el único país que espía; no es el único país que compra y usa computadoras", indicó. "Rusia espía usando computadoras, y todos ellos han hackeado servidores en los EE.UU. en los últimos meses. Eso es solo un hecho de la vida. Y, ¿saben qué? Incluso hay rumores de que, en algún momento, los Estados Unidos podrían empezar a hacer lo mismo".

Otra realidad es que "el dinero es el motivo", anotó Hallam-Baker. "Para la mayoría de la gente, la mayoría de las veces, los actores de la amenaza que preocupan son los atacantes que buscan robar dinero, y ese es incluso el caso de la mayoría del espionaje chino. La mayoría es espionaje comercial. Y la mayor parte está dirigida a otras empresas chinas. La razón por la que tienen dificultades para entender nuestra queja es que es la forma en que hacen negocios".

El hecho de que "todo el mundo está espiando a todos los demás" para obtener una ventaja financiera plantea otra realidad significativa, que es que la información es el objetivo, anotó Hallam-Baker. A los atacantes no les importa si obtienen datos de una llamada de Zoom, el servicio más reciente criticado por no tener encriptación de extremo a extremo, o de una hoja de cálculo de Excel.

Todo el sistema digital está lleno de inseguridades, sostuvo Hallam-Baker. "¿Cuántos correos electrónicos envía y recibe cada día? ¿Cuántos de ellos tienen información confidencial? ¿Cifra sus documentos sensibles? Bueno, tal vez podría, pero si lo hace, lo más probable es que los encripte bajo una contraseña y luego envíe la contraseña junto con el archivo que fue encriptado. Si vamos a por las cosas poco a poco, vamos a estar atrapados en la misma situación dentro de diez años... lo cual no es nada particularmente seguro", advirtió.

Donde entra Mathematical Mesh

Una cosa que sí funciona, según Hallam-Baker, es reducir el número de partes confiables de manera que solo hay que confiar en el punto final de las comunicaciones, y no en cada red por la que deben pasar las comunicaciones. "Si tiene que confiar en cinco personas, es mucho mejor que si tiene que confiar en 500".  Sin embargo, no basta con reducir el número de personas de confianza.

"Se trata de la separación de funciones, la separación de los deberes para que no haya un solo empleado que pueda conseguir [claves de raíz y hacer cosas terribles con ellas]. Cuando aplicamos nuestra separación de funciones a nivel criptográfico, necesitamos introducir más claves".

La criptografía actual de clave pública solo da dos claves: una pública y otra privada. "Si queremos tener más control, tenemos que ser capaces de empezar a dividir las claves", señaló Hallam-Baker. "Si vamos a hacer un uso efectivo de la criptografía con umbral, vamos a necesitar una infraestructura de clave con umbral", que es donde el sistema de Mathematical Mesh de Hallam-Baker entra en juego.

Ese sistema ya está disponible en versión "pre-alfa" en Github, y Hallam-Baker dijo que está muy cerca de poder hacer una versión de características, aunque está nervioso por ello. "Bueno, ya saben, ustedes hackean cosas", anotó.

Hallam-Baker señaló que está buscando aplicaciones del sistema mesh que proporcionen a los usuarios pioneros un valor real, incluso si nadie más lo utiliza. Un ejemplo de ello es una bóveda de contraseñas segura de extremo a extremo, que utiliza criptografía con umbral para asegurar los datos en la nube, pero no permite que la nube se desencripte. Cree que esta aplicación llenará un vacío en el mercado empresarial.

Quiere que las empresas den un paso adelante y prueben su nuevo sistema. "Este es un llamado de ayuda aquí, la participación corporativa. Creo que podemos hacer algo que podría ser realmente especial. Hagámoslo".