17:13 9/04/01
 

DIEZ AÑOS CON PGP
 

Mercè Molist
Muchas cosas han pasado desde que, en junio de 1991, Phillip Zimmermann regalara al mundo un programa de cifrado de documentos y correo electrónico, llamado Pretty Good Privacy (PGP). Con el tiempo, incluso el gobierno norteamericano aprendió a tolerarlo y PGP saltó de la línea de comando a las ventanitas. Hoy, diez millones de personas lo usan. Pero su creador y seguidores están cada vez menos contentos.

"Como muchos usuarios de PGP sabrán, Network Associates Inc (NAI) compró mi compañía, PGP Inc, en diciembre de 1997. Durante tres años, he estado en NAI como asesor, para guiar técnicamente el desarrollo de PGP y asegurar su integridad. Pero no puedo seguir. En estos tres años, NAI ha creado una visión diferente para el futuro de PGP y ha llegado el momento de irme a otros proyectos más acordes con mis objetivos de proteger la privacidad personal". Así empezaba Phil Zimmermann una nota dirigida a los usuarios de PGP, que recorrió el planeta a principios de febrero.

Diez años después del inicio de la aventura, su carismático líder, sin el que no puede entenderse este fenómeno, da el portazo, se va a una empresa independiente y dublinesa, Hush, conocida por el servicio de correo web cifrado y gratuito, HushMail, y deja al legendario PGP en manos de una multinacional que hace negocios con los servicios secretos norteamericanos, como un reciente acuerdo con la National Security Agency para hacer una versión segura de Linux.

¿Significa esto que el programador abandona a sus usuarios? "No está en mis planes dejarlos solos. Lo que estoy haciendo ahora es ayudar a las compañías a implementar el estándar OpenPGP, que dará más opciones para escoger a la hora de tener productos de cifrado de correo que puedan interoperar con PGP. Eso será mejor que permitir que algo tan importante como PGP se ofrezca sólo desde una compañía", confirma al Ciberpaís Philip Zimmermann, quien utiliza para sus comunicaciones la última versión de su programa, la 7.0.3., convencido de que "se puede confiar en ella".

Y es que, en el paranoico mundo de la criptología, el destino de PGP ha sido también una historia de locos. Cuenta José Luís Martín, consultor de seguridad y presidente de la organización de ciberderechos CPSR-España: "En 1991 empieza a extenderse el rumor en Estados Unidos de que el gobierno quiere prohibir el empleo de la criptografía en líneas de comunicación. Por ello, el programador Phillip Zimmermann, combinando el mejor algoritmo existente de clave única, el IDEA, con el mejor de clave pública, el RSA, y añadiendo el MD5 para las firmas digitales, crea el programa PGP y lo distribuye como "freeware" (gratuito) por decenas de BBSs. Su intención, como él mismo declaró más adelante, era conseguir que una tecnología tan poderosa llegara a la gente y que no se quedara en manos de los gobiernos".

Lo consiguió. A través de los grupos de noticias de Usenet, PGP traspasó las fronteras de Estados Unidos, obviando que la criptografía era considerada arma de guerra y, por tanto, no exportable, según aquel gobierno. Zimmermann estuvo cinco años bajo investigación. La comunidad llegó a una solución alternativa, con dos versiones paralelas de PGP, una para Norteamérica y otra, distribuida por el MIT, internacional, mientras Zimmermann era llamado a declarar ante el Congreso de los Estados Unidos, en 1993. Lo hizo, en un tono más didáctico que culpable.

Episodios dignos de "La Guerra de las Galaxias", como pasar todo el código de PGP a un libro para poderlo llevar fuera de Estados Unidos, trufaron esta etapa, en la que empezaron a correr rumores sobre presiones gubernamentales sobre su autor e instalación de puertas traseras en el programa, para aliviarlas. En 1996, el FBI dejaba oficialmente de hurgar en la vida de Zimmermann y, en 1997, el programador vendía su programa a Network Associates.

Así nació la primera versión para Windows, la 5. Románticos y paranoicos no pasarían nunca de la sólo para comandos 2.6.3. Mientras, Zimmermann se concentraba en el proyecto de un estándar abierto, llamado OpenPGP, en el que se basa uno de los pocos aspirantes a ser la alternativa al popular programa de cifrado: GNU Privacy Guard, con la versión gráfica aún en desarrollo.

Miguel Ángel Gallardo, de la empresa CITA, quien conoció personalmente a Zimmermann en Cambridge, en noviembre de 1994, y tiene previsto traerlo a España en otoño, lo describe como "un activista en muchos terrenos". Conseguir que no se prohibiera la exportación de criptografía fuerte en Estados Unidos era una guerra complicada, que no libró sólo un hombre: "Ha habido gente que ha sufrido una decepción, gente que ha estado trabajando horas en esto. Los hubo que hicieron mucho por PGP", afirma Gallardo. Esta decepción llegó con la venta a Network Associates Inc, que para algunos fue una deslealtad.

La decisión, por parte de NAI, de no publicar el código fuente desde la versión 6.5.8., no permitiendo así estudiar libremente la integridad del programa, alteró aún más los ánimos. José Manuel Gómez, editor de Kripópolis, muestra toda su incredulidad más incrédula: "El hecho de que se deje de publicar el código fuente es bastante significativo. Personalmente, no puedo confiar en un programa de cifrado cuyo código fuente no sea público. Por tanto, o continuamos utilizando versiones antiguas de PGP, o nos pasamos con armas y bagajes a GnuPG. ¿PGP sin código fuente? No, gracias".

También Jorge Dávila Muro, presidente de la Asociación Española de Criptología y Seguridad Informática, se muestra sorprendido por los últimos sucesos: "La razón no está clara. Zimmermann ha declarado públicamente que da fe que no hay puertas traseras y, dicho esto, se larga de NAI. La presencia de puertas traseras sólo se puede probar cuando se localizan éstas. La sospecha sobre su presencia no deja de ser eso, una sospecha. Pero, en general, no es recomendable utilizar programas de seguridad y cifrado sin conocer los códigos fuentes". Aunque, se lamenta: "Me da la sensación de que a las empresas no les importa realmente el nivel de seguridad; con el hecho de comprar un programa a una empresa americana "respetable" ya se quedan tan contentos".

Para Dávila, lo difícil es saber qué pasará ahora con PGP: "El actual incluye un montón de funcionalidades para la protección del almacenamiento y de las comunicaciones IP, por lo que -me temo-, ya ha llegado a una madurez tal que, a partir de ahora, sólo aparecerán refinamientos, mejoras de la conectividad con otras aplicaciones, etc. No creo que vaya a sufrir grandes cambios". Donde siempre habrá movimiento es en la duda sobre su seguridad y es que, dice Gallardo, "nadie, absolutamente nadie, puede asegurar que no existen puertas traseras en una montaña de código del tamaño de PGP. Pueden jurar que ellos no las conocen, pero no deben confundir perversamente asegurando que no existen".

Quizás no puertas traseras, pero sí ataques hechos con toda la intención pueden derrumbar al programa de Zimmermann. Desde la contraseña olvidada en un 'post-it', hasta la estrategia más sofisticada, usando fallos de otros programas, pasando por mensajes descifrados y no borrados o técnicas de criptoanálisis. Regularmente, la comunidad se convulsiona con el rumor de un nuevo y oscuro ataque.

El último, en marzo, contra PGP y OpenPGP, anunciado por los checos ICZ, se ha calificado de difícil, ya que para llevarlo a cabo es necesario hacerse con la clave privada de la víctima, que si practicase la seguridad más segura no la guardaría en el ordenador sinó en algún disco. Por las mismas fechas aparecía otro, que permite instalar un troyano o ejecutar cualquier código en el ordenador de quien, simplemente, compruebe una firma digital.

Oscuridades aparte, diez años después y armado aún con un Macintosh, desde su último comunicado Zimmermann anima a seguir en la brecha: "PGP se diseñó originalmente para aplicaciones de derechos humanos y para proteger la privacidad y las libertades civiles, en la era de la información. Haciendo proliferar el estándar OpenPGP, podemos renovar esta promesa y continuar la lucha por la privacidad personal que capturó la imaginación y la participación de millones por todo el mundo".
 
 

Phil Zimmermann
http://philzimmermann.com
http://web.mit.edu/prz

The International PGP Home Page
http://www.pgpi.org

Hush
http://www.hush.com
http://www.hushmail.com

PGP. Criptografía para Internet
http://www.arnal.es/free/cripto/pgp/index.htm

Informe sobre mi viaje a Inglaterra
http://www.cita.es/textos/inglater.htm

¿PGP sin fuentes? ¡No, gracias!
http://www.kriptopolis.com/jmg/20010314.html

Asociación Española de Criptología
http://aecsi.rediris.es

Consorcio OpenPGP
http://openpgp.org

GnuPG
http://www.gnupg.org/gph/es

ICZ
http://www.i.cz

"Nuevo y gravísimo fallo en PGP"
http://www.kriptopolis.com/jmg/20010419.html
 
 
 

CÓMO FUNCIONA
 

El programa PGP (Pretty Good Privacy) permite cifrar correo electrónico y textos en el ordenador, además de autentificar estos mensajes y documentos y asegurar su integridad, mediante la firma electrónica. Se basa en la criptografía llamada "de clave pública", presentada en 1976 por Whitfield Diffie y Martin Hellman. Este sistema, que puede operar en un entorno descentralizado como Internet, es la base del éxito de PGP, y también su única complicación: entender como funciona es traspasar una puerta. A pesar de que PGP es el sistema criptológico más utilizado, desde terroristas hasta ciudadanos de a pie, las estadísticas dicen que sólo la han cruzado diez millones de personas.

La criptografía de clave pública utiliza dos llaves para el juego de cifrar-descifrar mensajes. Lo cuenta José Luis Martín, en su manual de PGP: "Cada usuario tiene dos claves, una secreta o privada y una pública. La clave secreta ha de quedar sólo en poder del dueño, pero la clave pública puede y debe distribuirse. Cualquiera que quiera enviarnos mensajes cifrados, habrá de hacerse con nuestra clave pública y utilizarla. Una vez cifrado así el mensaje, sólo podrá descifrarse con nuestra clave privada. Ni siquiera podrá el que ha cifrado el mensaje. Por otro lado, el conocer la clave pública no permite de ninguna manera deducir la clave privada".

Aprendida la lección, el resto es fácil, ya que desde la versión 5 PGP funciona también para Windows, con iconos, ventanitas y un manual realmente útil, que puede leerse en una tarde de sábado.
 

Cómo trabaja PGP
http://www.arnal.es/free/cripto/pgp/trabaja.htm
PGP en una hora
http://www.kriptopolis.com/pgp/index.html
 
 

<-BACK