La venta del sistema PGP para cifrado preocupa a 10 millones de usuarios
Network Associates, que hab¨ªa comprado el programa hace cuatro a?os, despide a los 250 desarrolladores. La alternativa al incierto futuro del PGP es el programa alem¨¢n GnuPG, m¨¢s complicado de usar.
Hace cuatro a?os lo compraron. Ahora lo ponen en venta. Despedidos los 250 desarrolladores. El padre de la criatura abandona la empresa. Diez millones de usuarios se quedan en la incertidumbre de qu¨¦ va a a pasar con el programa de cifrado de archivos y correo m¨¢s popular, el Pretty Good Privacy (PGP).
La empresa norteamericana Network Associates no seguir¨¢ desarrollando el PGP. El anuncio ha a?adido m¨¢s desconfianza hacia el programa, la m¨¢s popular aplicaci¨®n criptogr¨¢fica Sus usuarios vuelven los ojos hacia otro producto, basado en PGP, pero libre y de origen alem¨¢n: el GNU Privacy Guard (GnuPG o GPG).
Network Associates hab¨ªa comprado en 1997 el programa a su autor, Phil Zimmermann, quien en febrero abandon¨® la empresa. Adujo problemas de entendimiento sobre el futuro de PGP, que este a?o cumple su d¨¦cimo aniversario.
Desde que Network Associates compr¨® PGP, las cosas no fueron iguales. PGP naci¨® gratuito (freeware) y con acceso libre a su c¨®digo fuente. Network Associates le a?adi¨® una versi¨®n de pago para uso comercial, que no ha funcionado. Tambi¨¦n se acerc¨® al mundo Windows. La empresa puso cada vez m¨¢s problemas al acceso libre al c¨®digo fuente y desde la versi¨®n 6.5.8 hasta la actual, 7.0.3, no se hicieron p¨²blicas.
La venta a Network Associates, que colabora abiertamente con los servicios secretos norteamericanos, la huida de Zimmermann y los problemas de acceso al c¨®digo acrecentaron los rumores, no demostrados, de puertas traseras para que terceros pudieran descifrar los mensajes.
PGP bajo sospecha
El cript¨®logo Manuel Lucena a?ade: 'PGP dej¨® de ser digno de confianza cuando su c¨®digo fuente lleg¨® a ser tan grande que una verificaci¨®n externa se convert¨ªa en algo imposible de acometer. Se convirti¨® en una especie de hidra de siete cabezas; se estaba microsoftizando seg¨²n algunos de mis colegas, a?adiendo multitud de programitas in¨²tiles, que multiplicaban los posibles fallos de seguridad y engordaban tremendamente el c¨®digo fuente'.
Como alternativa al PGP, en 1999 se presentaba la primera versi¨®n de una nueva herramienta, GnuPG, obra del alem¨¢n Werner Koch, que pronto consigui¨® la simpat¨ªa de la comunidad.
GnuPG es un programa libre (puede intercambiarse y modificarse), bajo licencia GNU y basado en el protocolo sin propietario OpenPGP, auspiciado por Zimmermann como est¨¢ndar de la Internet Engineering Task Force, para garantizar la interoperabilidad de los productos de cifrado.
'Cualquier programa que sea de c¨®digo abierto', dice Lunena, 'aunque no sea libre, y que cumpla ese est¨¢ndar, deber¨ªa ser considerado, a priori, fiable. Yo uso GnuPG 1.0.6, con un interfaz de ventanitas compatible con muchas plataformas, como Windows y Linux'.
GnuPG no es un programa de instalar y funcionar autom¨¢ticamente, ni f¨¢cil para el no iniciado, aunque la creciente popularidad y una subvenci¨®n del Gobierno alem¨¢n auguran su evoluci¨®n hacia la facilidad de uso. De todas formas, 'es muy importante', dice Lucena, 'separar el aut¨¦ntico programa de cifrado (GnuPG) de las ventanitas que, en realidad, no son software de seguridad, sino interfaces con el usuario. Sinceramente, me parece que GnuPG ya puede ser considerado mayor de edad, aunque funciona sobre l¨ªnea de comandos. El precio que hay que pagar para obtener seguridad -aprenderse un par de comandos- no es tan elevado'.
La migraci¨®n a GnuPG ha traspasado los c¨ªrculos criptogr¨¢ficos y se extiende entre los usuarios avanzados, especialmente los de programas libres, como Javi Polo, que canta sus excelencias: 'Soporta distintos cifrados, es libre, sencillo y completo'. Lo que gusta de GnuPG es que no usa algoritmos patentados y, al ser de dominio p¨²blico, est¨¢ exento de las restricciones de exportaci¨®n del tratado de Wassenaar.
Pero la mayor¨ªa sigue a¨²n con PGP, tambi¨¦n su autor, que ha proclamado hasta la saciedad la seguridad de las ¨²ltimas versiones, sin c¨®digo fuente p¨²blico. Zimmermann recib¨ªa con sorpresa, seg¨²n la revista Wired, la venta del programa y promet¨ªa asegurar su supervivencia: 'PGP es una instituci¨®n m¨¢s grande que una empresa. Seguir¨¢ adelante con o sin Network Associates'.
La recomendaci¨®n del presidente de la secci¨®n espa?ola de Computer Professionals for Social Responsability (CPSR), Jos¨¦ Luis Mart¨ªn Mas, es que no cunda el p¨¢nico: 'Cualquier versi¨®n de PGP con el c¨®digo fuente p¨²blico, hasta la 6.5.8, es ¨²til. Si lo eran antes, no dejar¨¢n de serlo por una nota de prensa. Mientras, hay que esperar un mayor desarrollo de GnuPG. Por ahora no hay alternativas viables, porque no hay ning¨²n otro programa tan extendido y probado como PGP'.
Demasiada seguridad para una red lenta
La venta de la divisi¨®n de PGP en Network Associates se ha relacionado con la ola anticriptolog¨ªa tras el 11-S. La empresa lo ha negado, pero a ello se a?adi¨® el 22 de octubre el cierre de la red Freedom, una iniciativa de Zero-Knowledge Systems, con el mismo objetivo que PGP: preservar la intimidad de la comunidad internauta. Freedom, nacida en 1998, usaba diversas tecnolog¨ªas, como proxies y cookies, para mantener el anonimato de sus usuarios, que pagaban 50 d¨®lares al a?o. Entre sus creadores est¨¢n gurus de la seguridad como Ian Goldberg y Adam Shostack. En el cierre de Freedom, su portavoz reconoci¨® que 'el mercado de masas no est¨¢ buscando cifrado y anonimato'. Mart¨ªn Mas, de CPSR-es, discrepa: 'En el caso de PGP, tenemos un producto de calidad, pero que no encajaba en una versi¨®n comercial para empresas. Con Freedom, se trataba de un servicio de baja calidad: un alto nivel de seguridad, pero imposible de funcionar en una Internet con el ancho de banda actual. Las conexiones eran demasiado lentas e ineficaces'.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.