Otros programas derivados del PGP


Debido al gran éxito de PGP, Zimmermann y los programadores que colaboraron con él han seguido desarrollando otros programas basados en PGP, a la vez que decenas de entusiastas han desarrollado pequeños complementos al programa.

Entre estos últimos se puede hablar de los front-ends. Al ser PGP un programa de línea de comandos, se han desarrollado muchas interfaces gráficas que, utilizando menús y botones llaman a los comandos de PGP. Algunas son freeware y shareware, y suelen estar disponibles en websites dedicados a PGP.


PRODUCTOS DESARROLLADOS POR PGP Inc.


La compañía de Zimmermann ha creado diversos programas comerciales cuya venta está restringida por la normativa ITAR a Estados Unidos y Canadá. Entre ellos cabe destacar PGPMail, un programa que integra PGP como una parte más del programa de e-mail Eudora, facilitando mucho la tarea en el entorno Windows, y PGPDisk, un programa diseñado específicamente para la protección de discos duros.

También han desarrollado un interesante programa freeware, PGPfone (Pretty Good Privacy Phone), aún en versión beta. Es un programa que permite realizar llamadas telefónicas normales vía modem encriptándolas y haciendo así inútil que el teléfono sea pinchado. PGPfone capta la voz de un micrófono y continuamente la va digitalizando, comprimiendo y encriptando para después enviarla al receptor, que también está usando PGPfone. El programa de cada uno de los hablantes negocia transparentemente con el otro los algoritmos de encriptación y las claves a utilizar, sin que los usuarios deban hacer nada. El algoritmo de clave pública que se utiliza para este intercambio de claves es el DH.

Los algoritmos de encriptación que se pueden elegir para usar en la comunicación son CAST, Blowfish y DES triple. CAST (Carlisle Adams & Stafford Tavares, sus creadores, de la compañía Northern Telecom) es similar al algoritmo IDEA y utiliza claves de 128 bits. Es rápido, gratuito, y ha resistido los mismos ataques criptoanalíticos en los que cayó el algoritmo DES, por lo que ha resultado ser un candidato ideal para usarse. Blowfish fue diseñado por Bruce Schneier en 1995. Hasta ahora ha resistido el criptoanálisis, pero al ser un algoritmo relativamente nuevo todavía no puede asegurarse su total invulnerabilidad. Por último, DES triple es una variante del DES original que emplea una clave de 112 bits, y que por ahora es impenetrable. Sin embargo, es mucho más lento que CAST y Blowfish.
seguridad internet


Para la autenticación, PGPfone utiliza lo que sus autores denominan "signaturas biométricas". Este sistema va más allá de un simple reconocimiento de voz, y está diseñado para protegerse de pinchazos en los que el atacante se interpusiera en la comunicación de la siguiente manera : supongamos que un atacante sabe que Manolo y Pepe se comunican habitualmente. El atacante pincha el medio de comunicación de ambos interponiendo un ordenador y espera a que se vayan a comunicar. Cuando Manuel llama a Pepe, el atacante responde a su llamada como Pepe y a su vez establece conexión con Pepe haciéndose pasar por Manolo (teniendo así a la vez en ejecución dos copias de PGPfone). Cuando Manolo habla a quien él considera que es Pepe, el atacante graba sus palabras, después las reencripta y se las envía a Pepe, y viceversa. Pepe y Manolo pueden hablar sin saber que alguien les escucha.

El punto débil del atacante es que las dos conexiones son distintas, y utilizan claves distintas. El programa incluye una larga lista de palabras de dos y tres sílabas (en inglés). Cuando dos PGPfone establecen la conexión, seleccionan mediante un algoritmo dos listas de algunas de esas palabras. El programa de Manolo presenta por pantalla algunas de esas palabra para que Manolo se las diga a Pepe. Pepe comprueba si esas palabras son las que tiene él, y a su vez le dice a Manolo su lista de palabras. Si ambas coinciden, nadie está interceptando la comunicación. Similarmente a como ocurría con el algoritmo MD5, PGPfone selecciona las listas de tal manera que está asegurado que dos comunicaciones distintas jamás tendrán las mismas listas.

Por último, para la compresión de voz, PGPfone utiliza el algoritmo GSM, el mismo de los teléfonos móviles digitales.

El uso de PGPfone está restringido por la ITAR a Estados Unidos y Canadá. Sin embargo, al igual que ocurrió hace años con PGP, alguien lo exportó, y ya está disponible en varios websites fuera de Estados Unidos. Realmente no tengo claro si el Gobierno americano consideraría legal su uso fuera de Estados Unidos aunque puedas demostrar que tu copia la conseguiste fuera, pero... :-)

No hay comentarios :