Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Experto advierte que el tiempo de vida del cifrado PGP ha terminado

La complejidad en la implementación de PGP, a final de cuentas, termina por provocar que la herramienta sea más bien insegura.

El cifrado PGP, o Prety Good Privacy, es un estándar de código abierto para el envío de correo cifrado de punto a punto. Fue escrito en 1991 e implementa un sistema criptográfico simétrico basado en llave pública que permite privacidad, seguridad y autenticidad en las comunicaciones por correo electrónico. Sin embargo, implementar PGP requiere seguir una complicada serie de procesos en los que se incluye estar al tanto de la llave pública de cualquier usuario con el que se desee establecer una comunicación.

La complejidad en la implementación de PGP, a final de cuentas, termina por provocar que la herramienta sea más bien insegura. De acuerdo con el profesor Matthew Green, experto en ciencias de la computación y cifrado, de la Universidad Johns Hopkins en Maryland, Estados Unidos, "es tiempo de que el PGP muera". Green señala varios problemas fundamentales en el cifrado PGP en un documento publicado por The Hacker News.

El problema de PGP, explica Green, recae en la naturaleza de las llaves públicas PGP, estas llaves son largas cadenas de información que son difíciles de comparar manualmente e incluso imprimirlas en una tarjeta de presentación.

"Ya que las llaves PGP no están diseñadas para los humanos, es necesario moverlas electrónicamente. Pero los humanos aún deben verificar la autenticidad de las llaves recibidas, por su puesto, ya que aceptar una llave pública de un atacante podría ser catastrófico."

Agrega que "PGP soluciona esto con una mezcla de servidores de llaves identificadores de llaves públicas. Estos componentes proveen una transferencia (no confiable) de datos y un pequeño token que un humano puede verificar manualmente. Mientras que en teoría esto suena bien, en la práctica añade complejidad, que siempre es un enemigo de la seguridad."

El investigador considera que la administración de llaves PGP "apesta", ya que el manejo "transparente (o al menos traslúcido) de llaves es el sello de todo sistema exitoso de cifrado de punto a punto."

Además, comentó que "existe la necesidad de confiar en una autoridad central para distribuir las llaves". Esta autoridad central podría ser Google, Yahoo! o cualquier otro proveedor que realice una implementación de PGP para sus usuarios, por lo que una posible consecuencia de la necesidad de una autoridad central es que los usuarios sean engañados para aceptar un remplazo falso para una llave emitida por el servidor de llaves, lo que comprometería la comunicación entre dos partes.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close