Entre Bits y Valores: El Debate Ético en Torno al Cifrado de Extremo a Extremo

Bit eta balioen artean: Enkriptazio amaierako eztabaida etikoa

Esquema explicativo de cifrado de extremo a extremo

 Zer da end-to-end enkriptatzea eta zergatik da garrantzitsua?

Azken hamarkadan, informazioaren segurtasuna garrantzi eta kontzientzia handiagoa hartzen ari da, non segurtasunaren alderdietako bat pribatuan solasean aritzea izan den, enkriptazio mekanismo sofistikatuen bidez informazio argia transmititzeko sistema arkaikoak garatuz. 

End-to-end enkriptatzea (E2EE – End to End End encryption) segurtasun-mekanismo informatiko bat da, bi alderdien arteko komunikazio batean datuen konfidentzialtasuna eta osotasuna bermatzen dituena, segurua ez den kanal baten bidez. Datuak iturri-muturrean enkriptatzean eta helmugan (bezero-bezeroa) deszifratzean datza, hori zerbitzu-hornitzailearen zerbitzarian egin gabe, hirugarren batek datuak argi eta garbi atzeman ezin dituela ziurtatuz dagokion deszifratze-gakorik gabe. Gako-bikote asimetrikoa [1], igorlearen eta hartzailearen artean sortzen da, eta horrek esan nahi du bi alderdi hauek bakarrik dituztela. datuak deszifratzeko beharrezkoak diren gakoetarako sarbidea. Hori dela eta, gako bikotea galtzeak igorritako mezuetarako sarbidea galaraziko luke.

Adibide praktiko bat berehalako mezularitzako aplikazioetan dago, hala nola Signal, kode irekiko proiektu batean, Extended Triple Diffie-Hellman zifratze sendoa erabiltzen duena [2] edo Post-Quantum Extended Diffie-Hellman [3] ordenagailu kuantikoen froga. Horrek pribatutasuna bermatzen du ikuspegi teknologikotik, eta horri lotuta dagoen datu bakarra telefono zenbakia da. Pribatutasunaren ikuspegitik aplikazio aproposa dirudien arren, bere desabantaila nagusia erabilera mugatua da. WhatsApp bezalako beste aplikazio ezagun batzuk ere eskema berean oinarritzen dira [4], non pribatutasuna. elkarrizketek oso-osorik jarraitzen dute (betiere erabiltzaile batek jakinarazi ez dizun bitartean [5]). Aitzitik, bere zerbitzarietan bildutako beste erabiltzaile datu eta metadatu zifratu gabeko kopuru handiak pribatutasuna arriskuan jar dezake [6].

Mutur-muturreko enkriptatzeari kontrako beste arkitektura bat garraiatzeko datuen zifratzea da, hau da, mezua bidaltzen duen muturrean enkriptatzean, zerbitzarian deszifratzean, zerbitzarian berriro enkriptatzean eta, azkenik, hartzailean deszifratzean ( bezero-zerbitzari-bezero). . Aurrekoak bezala, informazioa igortzen duen bitartean babesten du, baina bitartekari zerbitzariari transmititutako mezuak erabiltzeko aukera ematen dio [7].

Arkitektura horren adibide bat Telegram aplikazioa da, non mezu pribatuek hodeia erabiltzen duten transmititutako datuak ostatatzeko eta prozesatzeko. Hala ere, aplikazioak komunikazioa muturreraino enkriptatzeko aukera ere eskaintzen du "mezu sekretuak" erabiliz [8].

Ikus daitekeenez, pribatutasun-teknologiak oso sofistikatuak dira, non erabilitako arkitektura edo enkriptatzea izan arren, teknologikoak ez diren faktoreak dauden, hala nola zerbitzu-hornitzaileek eskaintzen dituzten baldintzak eta kudeaketa, erabiltzailearen pribatutasunean zeharka eragin dezaketenak. 

E2EE enkriptatzeari dagokionez, haien artean oinarrizko funtzioak oso ohikoak dituen berehalako mezularitzaren alorrean ez ezik, posta elektronikoan, bideokonferentzian edo bestelakoetan ere izan duen gorakada kontuan hartuta, badago abantailak aprobetxatu ditzaketen iruzurrezko asmoa duten erabiltzaileek. teknologia legez kanpoko edukiak detektatu gabe transmititzeko. Hainbesteraino, non gobernu-erakundeek mugak ezar ditzakete muturreko protokoloen erabileran [9] , gako-hitz edo beste metodo batzuen bidez legez kanpoko edukiaren kontrol masiboa eragotzita, 1993an Phil Zimmermannekin [10] ikertzen ari dira PGP (Pretty Good Privacy i>) argitaratu izanagatik ). Neurri posible bat izan liteke teknologia-enpresek kontrol-mekanismoak edo eduki-eskaneaketak ezartzera behartzea mutur bakoitzean zifratu eta hargailura igorri aurretik, protokoloaren ezaugarri nagusia erabilezin utziz.

Berrikusteko, dilema morala edozein dela ere agintariei zenbateraino sartzea baimendu behar zaien gure pribatutasunera, ahalik eta datu gutxien biltzen duten aplikazioak erabiltzea gomendatzen da, ahal izanez gero kode irekia eta enpresa erraldoi ezagun batek kontrolatzen ez dituena. beren helburu komertzialak. Gainera, mutur ahulena, terminala, babestea gomendatzen da, ez bakarrik malware txertatua, ahultasun ustiagarriak edo atzeko ateak dituzten aplikazioen mailan, baita pasahitz sendo bat babestuz edo egiaztapen-faktore bikoitzak erabiliz ere. 

Zer iruditzen zaizu end-to-end enkriptatzea debekatzeari buruz? 

Eta protokolo horien erabilerari buruz?

Pribatutasuna kontraesan al dago komunikazioaren xedearekin?

Erreferentziak

[1] J. Ramió Aguirre, “Class4crypt c4c10.4 RSA Algorithm”, [Online]. Eskuragarri: https://youtu.be/w5dWeZwfK8w?si=70Arkine_WmHy3jX

[2] Wikipedia, [Online]. Eskuragarri: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman

[3] Web. [Online]. Eskuragarri: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman

[4] WhatsApp, [Online]. Eskuragarri: https://faq.whatsapp.com/820124435853543/?locale=es_LA

[5] WhatsApp, [Online]. Eskuragarri: https://faq.whatsapp.com/414631957536067/?helpref=hc_fnav

[6] Xataka, «Signal vs Telegram vs WhatsApp: zein diren desberdintasunak eta zeinek zaintzen duen gehiago zure pribatutasuna,» [Online]. Eskuragarri: https://www.xataka. com/basics/signal-vs-telegram-vs-whatsapp-zer-diferentziak-zure-pribatutasuna-zaintzen-zuten

[7] «Zer da end-to-end enkriptatzea eta zergatik behar duzu?» [Online]. Eskuragarri: https://www.kaspersky.es/blog/what-is -end-to-end-encryption/23862/

[8] Telegrama, [Online]. Eskuragarri: https://core.telegram.org/api/end-to-end

[9] «Leaked Government Documents Shows Espainiak End-to-End Enkriptatzea debekatu nahi duela,» [Online]. Eskuragarri: https://www.wired.com/story/europe-break -encryption-leaked-document-csa-law/

[10] «The Critical Hole at the Heart of Our Cell Phone Networks,» [Online]. Eskuragarri: https://www.wired .com/2016/04/the-critical-hole-at-the-heart-of-cell-phone-infrastructure/


Arturo Fernández, Zibersegurtasun Analista Zerolynx.

Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.