Xifrat a les comunicacions

Introducció

Quan un usuari utilitza aplicacions que es connecten a Internet per comunicar-se amb altres persones, es crea un canal de comunicació entre l’usuari que envia el missatge i el receptor. Tot i que aquest canal és invisible per l’usuari, la comunicació no es crea per art de màgia. Els missatges que s’intercanvien passen per un camí determinat i hi ha certs agents intermedis que poden veure la comunicació.

Partint de l’exemple de dues persones enviant-se missatges, a grans trets aquest seria el camí per on passarien aquests missatges (pots trobar informació més detallada a l’entrada Què és Internet?:

  1. L’usuari escriu el missatge i clica el botó d’enviar
  2. El missatge surt del dispositiu de l’usuari i va cap al router
  3. El router l’envia a l’ISP (Internet Service Provider), l’empresa que ofereix servei d’Internet a la casa de l’usuari. A Espanya, podria ser Movistar, Vodafone, Orange…
  4. L’ISP envia el missatge al servidor de l’empresa que ha desenvolupat l’aplicació
  5. El servidor mira el destinatari i li envia
  6. El missatge acaba arribant a l’ISP que té contractat el destinatari
  7. L’ISP envia el missatge al router del destinatari
  8. Finalment el missatge acaba arribant al dispositiu del destinatari i aquest pot llegir el missatge
Connexió entre el router i l’ISP

Com pots veure a aquest exemple, hi ha 5 agents que intervenen en la comunicació (en realitat n’hi ha més, però no entraré en tant detall):

  • Dispositiu origen
  • ISP origen
  • Servidor
  • ISP destí
  • Dispositiu destí

Si et preocupa la privacitat, ràpidament hauràs detectat que la conversa privada entre dues persones en realitat no és tan privada com sembla.

Comunicació no xifrada

En el pitjor dels casos, la comunicació no va xifrada. Això implica que els missatges no només els veuen els usuaris, sinó també les empreses que ofereixen el servei d’Internet (ISP), l’empresa que ha desenvolupat l’aplicació i altres agents intermedis com autoritats i governs, empreses d’espionatge i criminals.

Actualment, les aplicacions i programes més coneguts xifren totes les seves comunicacions. Moltes vegades perquè la normativa ho obliga. És el famós HTTPS i el candau verd que mostra el navegador quan accedim a pàgines que xifren les comunicacions.

Comunicació xifrada punt a punt

L’immensa majoria d’aplicacions que xifren les seves comunicacions ho fan punt a punt (Point to Point Encryption, P2PE). Bàsicament, l’aplicació de l’origen crea un canal de comunicació xifrat entre l’origen i el servidor de l’empresa que ofereix el servei. El missatge arriba a l’empresa, l’empresa el pot llegir sense cap tipus de problema i a continuació crea un segon canal xifrat cap al destinatari:

Esquema xifrat punt a punt

Fixa’t en el detall que el servidor el te les claus per desxifrar ambdues comunicacions. Això ho fan per poder veure qui és el destinatari del missatge per poder-lo reenviar, però això implica que també poden llegir el missatge.

Els comunicacions xifrades mitjançant aquesta tècnica eviten que agents intermedis com autoritats, governs, empreses d’espionatge i criminals no puguin llegir el missatge. No obstant això, l’empresa que ha desenvolupat l’aplicació sí que pot veure’n el contingut i podria tenir pactes de compravenda d’informació amb tercers.

Alguns exemples:

  • Telegram
  • LINE
  • Whatsapp fins al 2016
  • Gmail
  • Outlook

Per tant, es pot concloure que qualsevol aplicació que utilitzi un sistema centralitzat de comunicació, és a dir que tot el tràfic ha de passar si o si pels servidors de l’empresa que ofereix el servei, encara que xifri els canals amb xifrat punt a punt, hi ha els següents riscos:

  1. L’empresa privada pot llegir tot el que envies
  2. Les autoritats podrien aconseguir tota la teva informació si presenten una ordre judicial a l’empresa que ofereix el servei

Comunicació xifrada extrem a extrem

Per reduir els riscos mencionats a l’apartat anterior es pot utilitzar comunicacions xifrades extrem a extrem (End to End Encryption, E2EE). Aquesta consisteix en que en lloc de crear dos canals de comunicació, només se’n crea un entre l’origen i el destí:

D’aquesta manera, la comunicació està protegida contra qualsevol agent intermedi, incloent l’empresa que ofereix el servei, ja que només els usuaris origen i destí tenen les claus necessàries per veure el contingut en clar.

Per tant, si utilitzes per exemple Protonmail, pots estar segur que Protonmail només sabrà a qui envies els emails i podrà llegir l’assumpte (per limitacions de la tecnologia PGP). Però serà incapaç de llegir el contingut del correu electrònic ja que aquest està xifrat i les claus només les tens tu i el destinatari.

Alguns exemples:

  • Signal
  • Wire
  • Protonmail
  • Tutanota
  • Whatsapp a partir del 2016
  • Telegram, només xats secrets

Els dos riscos dels sistemes centralitzats a l’apartat anterior queden mitigats, ja que l’empresa privada no té accés al contingut dels missatges i per tant, tampoc pot donar informació a les autoritats.

Nota: que les comunicacions es xifrin extrem a extrem, no vol dir que no existeixin altres tècniques que poden utilitzar les empreses que controlen l’aplicació per llegir els missatges. Ho indico perquè no pensis que el xifrat extrem a extrem ja fa que Whatsapp i Telegram siguin aplicacions segures que protegeixen la privacitat de l’usuari. Facebook o Telegram podrien tenir una clau mestre per desxifrar-ho tot.

Conclusions

Un indicador clau per saber si una aplicació es preocupa per la privacitat dels usuaris és si tenen implementat correctament el xifrat extrem a extrem. No hauries d’utilitzar cap aplicació que no tingui com a mínim E2EE.

No obstant això, també t’has de fixar amb altres coses com el país el on té la seu l’empresa per assegurar-te que no estigui dins dels “14 eyes”, la política de privacitat, si tenen política “zero knowledge”, etc.

Referències

Xifrat Whatsapp: enllaç

Deixa un comentari