16:55 29/10/01
 

¿HAY VIDA DESPUÉS DE PGP?
 

Mercè Molist
Se lo preguntan cada vez más aficionados a la criptología, después que la empresa norteamericana Network Associates hiciese pública su decisión de poner a la venta y no seguir desarrollando el programa de cifrado de archivos y correo, Pretty Good Privacy (PGP). El anuncio, que significa el despido de 250 personas, ha añadido leña a la desconfianza hacia el programa, la más popular aplicación criptográfica de escritorio. Sus usuarios vuelven ahora los ojos hacia otro producto, basado en PGP pero libre y de origen alemán: GNU Privacy Guard (GnuPG o GPG).

Network Associates había comprado en 1997 el programa a su autor, Phil Zimmermann, quien el pasado febrero abandonaba la empresa, aduciendo problemas de entendimiento sobre el futuro de PGP, que este año cumple su décimo aniversario y al que se calculan unos diez millones de usuarios. PGP nació gratuito ("freeware") y con acceso libre a su código fuente. Network Associates le añadió una versión de pago para uso comercial, que no ha funcionado, y la entrada al mundo Windows. Pero la empresa puso cada vez más problemas al acceso libre al código fuente y, desde la versión 6.5.8 hasta la actual, 7.0.3, no se ha hecho público.

La venta a Network Associates, que colabora abiertamente con los servicios secretos norteamericanos, la huída de Zimmermann y los problemas de acceso al código acrecentaron los rumores, no demostrados, de "puertas traseras" que permitirían a terceros descifrar los mensajes. El criptólogo Manuel Lucena añade: "PGP dejó de ser digno de confianza cuando su código fuente llegó a ser tan grande que una verificación externa se convertía en algo imposible de acometer. Se convirtió en una especie de hidra de siete cabezas, se estaba "microsoftizando", según algunos de mis colegas, añadiendo multitud de chorraditas inútiles, que multiplicaban los posibles fallos de seguridad y engordaban tremendamente el código fuente".

En 1999 se presentaba, como alternativa a PGP, la primera versión de una nueva herramienta, GnuPG, obra del alemán Werner Koch, que pronto consiguió la simpatía de la comunidad. GnuPG es un programa libre (puede intercambiarse y modificarse), bajo licencia GNU y basado en el protocolo no propietario OpenPGP, auspiciado por  Zimmermann como estándar de la Internet Engineering Task Force, para garantizar la interoperabilidad de los productos de cifrado. Dice Lucena: "Cualquier programa que sea de código abierto -aunque no sea libre- y que cumpla ese estándar debería ser considerado, a priori, fiable. Yo uso GnuPG 1.0.6, con un interfaz de ventanitas compatible con muchas plataformas (entre ellas, Windows y Linux)".

El problema de GnuPG es que no es "plug&play" ni fácil para el no iniciado, aunque la creciente popularidad y una subvención del gobierno alemán auguran su evolución hacia el "userfriendly". De todas formas, dice Lucena: "Es muy importante separar el auténtico programa de cifrado -GnuPG- del "azúcar", o sea, las ventanitas y demás chorradas que, en realidad, no son 'software' de seguridad, sinó interfaces con el usuario. Sinceramente, me parece que GnuPG ya puede ser considerado "mayor de edad", aunque funciona sobre línea de comandos. El precio que hay que pagar para obtener seguridad -aprenderse un par de comandos- no es tan elevado".

La migración a GnuPG ha traspasado los círculos criptológicos y se extiende entre los usuarios avanzados, especialmente los de programas libres, como Javi Polo, que canta sus excelencias: "Soporta distintos tipos de cifrado, es libre, es sencillo, es completo, vamos, que me da lo que quiero y más". Lo que gusta de GnuPG es que no utiliza algoritmos patentados y, al ser de dominio público, está exento de las restricciones de exportación del tratado de Wassenaar.

Pero la mayoría sigue aún con PGP, también su autor, que ha proclamado hasta la saciedad la seguridad de las últimas versiones, sin código fuente público. Zimmermann recibía con sorpresa, según "Wired", la puesta en venta del programa y prometía asegurar su supervivencia: "PGP es una institución más grande que una simple compañía. Seguirá adelante con o sin Network Associates". También el experto en espionaje y control electrónicos, Arturo Quirantes, afirma: "No creo que sea el final de PGP. Probablemente lo adquiera otra empresa, aunque sea por su valor de marchamo".

La recomendación del presidente de la sección española de Computer Professionals for Social Responsability (CPSR), José Luis Martín Mas, es que no cunda el pánico: "Cualquier versión de PGP con el código fuente público, hasta la 6.5.8, es útil. Si lo eran antes, no dejarán de serlo por una nota de prensa, sólo si se descubre alguna vulnerabilidad. Y, mientras, esperar un mayor desarrollo de GnuPG. No hay por ahora alternativas viables, porque no hay ningún otro programa tan extendido y probado como PGP, y el resto de 'software' de calidad es comercial".
 
 

CARA PRIVACIDAD
 

La puesta en venta de la división de PGP de Network Associates se ha relacionado con la ola anticriptología después del 11-S, aunque la empresa lo ha negado, y con el cierre, el 22 de octubre, de la red Freedom, una iniciativa de Zero-Knowledge Systems, con el mismo objetivo que PGP: preservar la privacidad de la comunidad internauta. Freedom, nacida en 1998, usaba diversas tecnologías, como "proxies" y "cookies", para mantener el anonimato de sus usuarios, que pagaban 50 dólares al año. Entre sus creadores, gurús de la seguridad como Ian Goldberg o Adam Shostack.

Un portavoz concluía, durante el anuncio del cierre de Freedom, que "el mercado de masas no está buscando cifrado y anonimato". José Luis Martín Mas, de CPSR-es, discrepa: "En el caso de PGP, tenemos un producto de calidad, pero que no encajaba en una versión comercial para empresas. En el caso de Freedom, se trataba de un servicio de baja calidad: un alto nivel de seguridad, pero imposible de hacer funcionar en una Internet con el ancho de banda actual. Las conexiones resultaban demasiado lentas e ineficaces".
 

PGP Internacional
http://www.pgpi.org
GNU Privacy Guard
http://www.gnupg.org/es
OpenPGP
http://www.openpgp.org
Phil Zimmermann
http://web.mit.edu/prz