Hushmail, o los riesgos del cifrado por delegación

Enviado por admin el 8. Noviembre 2007 - 10:32.

Lo reconozco. Soy muy poco proclive a delegar cualquier tema de seguridad en servicios web, por mucha política de privacidad chachi-piruli que exhiban, e incluso aunque el código fuente esté disponible. Por eso no me gustan nada tampoco los sistemas de almacenamiento o backup on line, y ya no digamos nada los sistemas que anuncian cifrados inviolables.

Y no es de ahora. Hace más de año y medio, un lector me "reprochaba" mi patente falta de entusiasmo ante Hushmail, el servicio on-line de cifrado por excelencia, que proclamaba -y aún proclama- que "ni siquiera un empleado de Hushmail puede leer su correo cifrado, porque cada mensaje es cifrado de forma única antes de abandonar su ordenador".

Pues bien; odio decirlo, pero ya avisé entonces de un grave inconveniente de Hushmail, cuyas consecuencias están dando mucho que hablar ahora mismo...

La noticia es la siguiente: a Hushmail le ha faltado tiempo para responder al requerimiento de un tribunal canadiense y remitir a éste doce CDs repletos de jugosos mensajes en claro, presuntamente protegidos por ese cifrado que ni los empleados de Hushmail podían vencer.

El asunto plantea muchos flecos interesantes. Por un lado Hushmail dispone de dos servicios diferentes. El más potente (y el único al que se refieren probablemente las afirmaciones de la empresa) requiere que el usuario se descargue un applet de Java a su ordenador. En principio no hay ningún problema: el código es abierto y cualquiera puede examinarlo. Lo que nadie garantiza es que la versión compilada que el usuario descarga haya sido construida en base a ese mismo código fuente. Sin duda, un interesante argumento para quienes gustan de sembrar sospechas sobre el mundo del software libre.

Pero al parecer no ha sido ése el servicio que ha sido explotado para obtener los mensajes en claro, sino otro, más cómodo para el usuario (una vez más, aparece la comodidad como enemiga de la seguridad), que ni siquiera requiere la descarga del applet, sino que delega el cifrado a los propios servidores de Hushmail, que durante breves instantes (pero desde luego suficientes para almacenarla o remitirla a ciertas oficinas), tienen acceso a la frase utilizada como contraseña.

Insisto una vez más: las cosas importantes (y la privacidad lo es) se gestionan sólo en casa.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Yo diría aún más

Enviado por anónimo el 8. Noviembre 2007 - 11:26.

Yo diría aún más, en casa, con la ventana cerrada y con un ojo en el teclado por si tienes un Keylogger u otro bichito espia.

Ha se tenerse claro que la seguridad total no existe, lo que nos lleva a no ser nunca lo suficientemente paranoico con la ella. Lo único que se puede hacer es disminuir la posibilidad de una intrusión.

Nuestos ancestros ponían 7 llaves a los cofres con cosas de valor, no seamos nosotros tan ingenuos de tener solo una y encima dejarsela al vecino.

Complicado dilema

Enviado por anónimo el 8. Noviembre 2007 - 11:55.

A priori, yo no veo mal que la "Justicia" (entendiendo como tal algo que, desafortunadamente, se asemeja poco a lo que nos encontramos en la vida real) pueda obtener acceso a cuantos elementos precise para cumplir su cometido, ya sean emails encriptados o el contenido de cajas fuertes en Suiza. El derecho a la privacidad no debería poder ser abusado para cometer delitos, y de igual manera la prevención de tales delitos no debería poder ser usada de manera abusiva para otros fines. El problema es que las legalidades a las que sirven los miles de "justicias" que hay en el mundo no siempre son éticas, o incluso pueden entrar (y de hecho lo hacen) en conflicto unas con otras.

Así las cosas, y visto que la "seguridad/privacidad total" es una entelequia del mismo calibre que la "Justicia", creo que se obtendrían más beneficios a largo plazo trabajando por que la Justicia competente en estos casos quede en manos de una entidad supranacional lo más libre posible de las rémoras políticas que actualmente lastran los cuerpos judiciales nacionales.

Hay cosas peores

Enviado por anónimo el 8. Noviembre 2007 - 13:14.

Me gustaría saber entonces que opinas del OpenID :P

Ya lo he dicho

Enviado por admin el 8. Noviembre 2007 - 13:28.

No lo compro ;)

Y también en esto parece que no voy a tener que cambiar de idea.

completamente de acuerdo

Enviado por anónimo el 8. Noviembre 2007 - 19:34.

"Insisto una vez más: las cosas importantes (y la privacidad lo es) se gestionan sólo en casa"

Confiar en un servicio de cifrado on-line

Enviado por mced el 8. Noviembre 2007 - 21:48.

Confiar en un servicio de cifrado on-line es como apuntarse a un casino web y esperar que la bolita de la ruleta caiga en los distintos números por un puro proceso de azar.

hushmail o secretitos

Enviado por ghostDancer el 8. Noviembre 2007 - 22:54.

Hombre, en la peli "L.A. Confidential" la revista para la que trabaja Danny de Vito creo recordar que se llama "Hush Hush" y aqui la traducen como secretitos, y que es lo que hace? contarle todo a todo el mundo. por lo menos los de Hushmail sólo se lo han contado a los jueces ;-) que sepamos.

Los trapos sucios se lavan en casa han dicho siempre nuestros padres, pero como ahora hasta la comida la encargamos fuera, pasa lo que pasa, cuando el restaurante no es de fiar, salmonelosis al canto (y a veces hasta cuando es de fiar también).

Donde esté la cocina casera...

No fiarse

Enviado por anónimo el 9. Noviembre 2007 - 11:47.

De todas formas, si no nos podemos fiar ni siquiera de lo que tenemos en casa, por mucho cuidado que tengamos y mucha seguridad que usemos, ¿cómo nos vamos a fiar de "algo"(un sistema de cifrado online en este caso) que ni siquiera controlamos?

bah!

Enviado por anónimo el 11. Noviembre 2007 - 5:04.

Yo uso Hushmail (pagando) desde el 2004 y no me parece que sea tan tan tan grave lo que aqui se comenta. Dentro de TODOS los webmails disponibles para mi ese es el mejor no por ser suuuuper anonimo y cifrado, sino porque con ese cifrado ya vale para lo que lo usamos el 90% de la poblacion.

Peor son Hotmail, Gmail, Yahoo en ese sentido, que al menos Hush ofrece algo, que menos da una piedra.

Total, cuestion de gustos.

El 10%

Enviado por mortadelo el 12. Noviembre 2007 - 8:42.

¿Y si uno de esos del 10% de la población, que supongo que te refieres a delicuentes y gente de poco escrupulos, trabaja en hushmail, se hace pasar por un organismo público o lo que sea... y consigue acceder a tus correos?

Mis secretos son mios y yo decido con quien los comparto. Solo puede valer una confidencialidad del 100%

12siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
7 + 8 =
Resuelve esta sencilla operación e introduce el resultado.