Entre Bits y Valores: El Debate Ético en Torno al Cifrado de Extremo a Extremo

Entre Bits i Valors: El Debat Ètic a Torn al Xifrat d'Extrem a Extrem

Esquema explicativo de cifrado de extremo a extremo

 Què és el xifratge extrem a extrem i per què és important?

Al llarg de la darrera dècada, la seguretat de la informació ha anat cobrant més importància i conscienciació, on un dels aspectes de la seguretat ha estat conversar de manera privada evolucionant els sistemes arcaics de transmissió d'informació en clar per sofisticats mecanismes de xifrat extrem a extrem. 

El xifratge d'extrem a extrem (E2EE – End to End Ecryption) és un mecanisme de seguretat informàtica que permet garantir la confidencialitat i la integritat de les dades en una comunicació entre dues parts mitjançant un canal potencialment insegur. Consisteix a xifrar les dades a l'extrem origen i desxifrar-les a la destinació (client-client) sense que això es faci al servidor del proveïdor de serveis, assegurant que un tercer no aconsegueixi interceptar les dades en clar sense la clau de desxifrat pertinent. El parell de claus asimètric [1], es genera entre el remitent i el destinatari, cosa que implica que només aquestes dues parts tenen accés a les claus necessàries per desxifrar les dades. Per tant, la pèrdua del parell de claus impediria l'accés als missatges transmesos.

Un exemple pràctic es troba en aplicacions de missatgeria instantània com Signal, projecte de codi obert fent ús de xifrat robust Extended Triple Diffie-Hellman [2] o Post-Quantum Extended Diffie-Hellman [3] a prova d'ordinadors quàntics. En aquesta es garanteix la privadesa des del punt de vista tecnològic l'única dada vinculada del qual és el número de telèfon. Encara que pugui semblar una aplicació ideal des del punt de vista de la privadesa, el principal desavantatge que presenta és el seu ús poc estès. Altres aplicacions molt conegudes com WhatsApp també es basen en el mateix esquema [4], on la privadesa de les converses es manté intacta (sempre que no hagis estat reportat per un usuari [5]). Per contra, la gran quantitat d'altres dades i metadades de l'usuari no xifrades i recopilades als seus servidors podria posar en perill la privadesa [6].

Una altra arquitectura oposada al xifratge extrem a extrem és el xifrat de dades en trànsit, que consisteix xifrar el missatge a l'extrem emissor, desxifrar-lo al servidor, tornar a xifrar-lo en aquest i desxifrar-lo finalment a l'extrem receptor (client-servidor-client) . Igual que l'anterior, protegeix la informació durant la transmissió, però permet que el servidor intermediari pugui fer ús dels missatges transmesos [7].

Un exemple d‟aquesta arquitectura és l‟aplicatiu Telegram, on els missatges privats utilitzen el núvol per allotjar i processar les dades transmeses. Tot i això, l'aplicatiu també ofereix l'opció de xifrar extrem a extrem la comunicació mitjançant els 'missatges secrets' [8].

Com es pot observar, les tecnologies en la privadesa són molt sofisticades, on malgrat l'arquitectura o els xifrats emprats, hi ha factors no tecnològics com les condicions i la gestió ofertes per les proveïdores de serveis que poden influir de manera indirecta en la privadesa de lusuari. 

Tenint en compte l'auge del xifratge E2EE no només en l'àmbit de la missatgeria instantània amb funcions bàsiques molt comunes entre elles, sinó també al correu electrònic, videoconferència o altres, hi ha un punt d'inflexió on els usuaris amb intencions fraudulentes podrien aprofitar les avantatges de la tecnologia per transmetre contingut il·legal sense ser detectat. Tant és així que les institucions governamentals podrien implementar restriccions en l'ús dels protocols extrem a extrem [9]  en veure's entorpits en el control massiu de contingut il·lícit mitjançant paraules clau o altres mètodes, tal com va passar el 1993 amb Phil Zimmermann [10] sota investigació per haver publicat PGP (Pretty Good Privacy). Una possible mesura podria consistir a obligar les empreses tecnològiques a implementar mecanismes de control o escanejats de contingut a cada extrem abans del xifratge i la seva emissió al receptor, deixant la característica principal del protocol inutilitzat.

Per recapitular, independentment del dilema moral fins on s'ha de permetre l'accés de les autoritats a la nostra privadesa, es recomana l'ús d'aplicacions que recullin el menor nombre de dades possibles, si és possible de codi obert i no controlats per una companyia geganta coneguda pels seus fins comercials. Addicionalment es recomana protegir l'extrem més feble, el terminal, no només a nivell d'aplicatius amb possible codi maliciós incrustat, vulnerabilitats explotables o backdoors, sinó també mitjançant la protecció d'una contrasenya robusta o l'ús de doble factor de verificació. 

Què opines sobre prohibir l'ús de xifrats d'extrem a extrem? 

I sobre lús daquests protocols?

Està renyida la privadesa la finalitat de la comunicació?

Referències

[1] J. Ramió Aguirre, «Class4crypt c4c10.4 Algorisme RSA,» [En línia]. Available: https://youtu.be/w5dWeZwfK8w?si=70Arkine_WmHy3jX

[2] Wikipedia, [En línia]. Available: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman

[3] Web. [En línia]. Available: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman

[4] WhatsApp, [En línia]. Available: https://faq.whatsapp.com/820124435853543/?locale=ca_LA

[5] WhatsApp, [En línia]. Available: https://faq.whatsapp.com/414631957536067/?helpref=hc_fnav

[6] Xataka, «Signal vs Telegram vs WhatsApp: quines són les diferències i quina cuida més la teva privadesa,» [En línia]. Available: https://www.xataka. com/basics/signal-vs-telegram-vs-whatsapp-cuales-diferències-cual-cuida-la teva-privacitat

[7] «Què és el xifratge d'extrem a extrem i per què ho necessites?» [En línia]. Available: https://www.kaspersky.es/blog/what-is -end-to-end-encryption/23862/

[8] Telegram, [En línia]. Available: https://core.telegram.org/api/end-to-end

[9] «Leaked Government Document Shows Spain Wants to Ban End-to-End Encryption,» [En línia]. Available: https://www.wired.com/story/europe-break -encryption-leaked-document-csa-law/

[10] «Critical Hole at the Heart of Our Cell Phone Networks,» [En línia]. Available: https://www.wired .com/2016/04/the-critical-hole-at-the-heart-of-cell-phone-infrastructure/


Arturo Fernández,  Analista de Ciberseguretat a Zerolynx.

Tornar al bloc

Deixa un comentari

Tingueu en compte que els comentaris s'han d'aprovar abans que es publiquin.