Facebook implementa el cifrado OpenPGP en notificaciones y correos

Antonio José Ruiz
20 12 14
Noticias » Internet
La red social líder en el mundo publica en su web oficial que desde hoy comienza a implementar el cifrado de sus notificaciones y correos electrónicos. Facebook ya contaba con certificado de seguridad HTPS e incluso ofrecía la posibilidad de conectarse mediante la red supersegura Tor, pero ahora la compañía de Mark Zuckerberg quiere ser aún más segura mediante el cifrado end-to-end.

Uno de los puntos más vulnerables que hasta ahora tenía Facebook (y el resto de webs) era que la protección que se ha estado usando para las notificaciones y correos era en tránsito de tipo TLS, esto significa que esa información podía ser interceptada por un tercero que accediese a nuestro correo y ser recuperada como texto plano.


Ahora el nuevo mecanismo de cifrado utilizará el estándar de código abierto denominado OpenPGP diseñado por Phil Zimmermann. Este sistema de cifrado está basado en el uso de claves públicas que el usuario debe configurar en su propio perfil, entrando en la sección About o de Información y en la categoría de Información básica y de contacto. Cuando se configure la clave tendremos que seleccionar si deseamos que Facebook la utilice para cifrar nuestras notificaciones o correos y si queremos que alguien más pueda verla.

Al parecer el modelo que propone Facebook consiste en una clave propia OpenPGP de la red social a largo plazo sumado a un conjunto de claves secundarias para el corto plazo. Esto permitirá por tanto una rotación de las claves activas, además de la utilización durante prolongados periodos de tiempo. Por último destacar que este tipo de cifrado se implementará de forma progresiva y sólo estará disponible de momento para el acceso a Facebook desde su versión web.
14 comentarios
  1. Toda mejora en seguridad es bienvenida, aunque solo utilizo el facebook para 4 chorradas no esta mal saber que mejoran en seguridad
  2. Mi no entender, creo.

    Entonces.....si alguien entra a tu facebook ve la clave privada con la que se encriptan estos datos?
  3. Pesequis escribió:si alguien entra a tu facebook ve la clave privada con la que se encriptan estos datos?

    No. Tu clave privada sólo la tienes tú. Les das la pública a ellos y se cifran con ella e-mails que te lleguen.
  4. No entiendo de que va esto.

    Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

    Y si entro yo? Tampoco los veo? Entonces ces que coño?

    No me entero, como va esto.
  5. End to End ? :O
    COJONUDO !!!!
  6. Todo lo que sea mejorar bienvenido sea
  7. Daicon escribió:No entiendo de que va esto.

    Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

    Y si entro yo? Tampoco los veo? Entonces ces que coño?

    No me entero, como va esto.

    Podrás ver tus correos de Facebook si los descifras con tu clave privada. Tú tienes dos claves, una privada y una pública, de modo que cuando cifras un mensaje con una clave, solo puedes descifrarlo con su opuesta. Por ejemplo, si alguien te manda un correo cifrado con tu clave pública, solo tú podrás descifrarlo con tu clave privada, que solo tú conoces. Así garantizas la confidencialidad, esto es, que solo tú puedes ver los correos que te llegan. Y esto es lo que va a aplicar Facebook.

    Lo que dicen los de Facebook es que, como es lógico, hasta ahora solo tenían protegidas las comunicaciones dirigidas directamente a ellos, lo que viene siendo conectarte a la web, usando TLS. Pero el mandarte el correo encriptado no depende de ellos, sino de la seguridad que quiera aplicar tu proveedor de correo (gmail, hotmail, etc.). Ellos como mucho pueden proteger el correo desde que sale de sus servidores hasta los del servidor de correo.

    Por poner una analogía para que se entienda la noticia, imaginaos que sois una conservera de sardinas. Envasáis sardinas y lo vendéis a clientes por dos vías: directamente o a través de Correos. Si lo vendéis directamente, lo entregáis en mano al cliente aplicando vuestro propio protocolo de securización que llamaremos TLS, que para no alargarnos mucho, es algo probado que funciona en muchas otras conserveras de sardinas, usado en todo el mundo y que funciona. Ahora, si lo vendéis a través de Correos, como mucho podéis protegerlo hasta la oficina de Correos, pero de ahí en adelante no os queda otra que confiar en la seguridad de Correos y que nadie abra la lata de sardinas... a no ser que uséis OpenPGP.

    Con OpenPGP lo que pasa es que cada cliente tiene un candado con dos llaves por así decirlo: una llave pública, que conoce todo el mundo, y otra privada, que solo él tiene y que sólo el puede usar. El candado solo se puede abrir si usas una detrás de la otra. Es decir, que si cierras el candado con la llave pública, solo podrás abrirlo con la privada, y viceversa. Usando este mecanismo, ¿qué se os ocurre hacer? Fácil: cerrar la lata de sardinas con la llave pública del cliente, de la que todo el mundo (incluido nosotros) tiene copia. Así, hagan lo que hagan los de Correos, solo se podrá abrir la lata con su llave opuesta: la llave privada, o la clave privada. Luego solo el cliente podrá abrir la lata de sardinas.

    (me he flipado un poco pero bueno, espero que se entienda [+risas] )

    El problema es que, hasta donde yo sé, ninguno de los grandes proveedores de mailing (gmail, outlook, yahoo...) tiene integrado en su versión de navegador gestores de cifrado/descifrado, ni con OpenPGP ni con otras tecnologías alternativas como S/MIME, por lo que en el navegador no se pueden ver los correos que te lleguen cifrados. Si quieres ver un correo que te llega cifrado con OpenPGP tienes que tirar de otros gestores de correo. Thunderbird por ejemplo sé que tiene plugins dedicados, con lo que podrías ver tus correos cifrados. Espero que los de Facebook hayan aclarado este punto, porque me estoy viendo venir a miles de usuarios sin poder ver los correos que le lleguen cifrados de Facebook...
  8. Hyde92 escribió:
    Daicon escribió:No entiendo de que va esto.

    Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

    Y si entro yo? Tampoco los veo? Entonces ces que coño?

    No me entero, como va esto.

    Podrás ver tus correos de Facebook si los descifras con tu clave privada. Tú tienes dos claves, una privada y una pública, de modo que cuando cifras un mensaje con una clave, solo puedes descifrarlo con su opuesta. Por ejemplo, si alguien te manda un correo cifrado con tu clave pública, solo tú podrás descifrarlo con tu clave privada, que solo tú conoces. Así garantizas la confidencialidad, esto es, que solo tú puedes ver los correos que te llegan. Y esto es lo que va a aplicar Facebook.

    Lo que dicen los de Facebook es que, como es lógico, hasta ahora solo tenían protegidas las comunicaciones dirigidas directamente a ellos, lo que viene siendo conectarte a la web, usando TLS. Pero el mandarte el correo encriptado no depende de ellos, sino de la seguridad que quiera aplicar tu proveedor de correo (gmail, hotmail, etc.). Ellos como mucho pueden proteger el correo desde que sale de sus servidores hasta los del servidor de correo.

    Por poner una analogía para que se entienda la noticia, imaginaos que sois una conservera de sardinas. Envasáis sardinas y lo vendéis a clientes por dos vías: directamente o a través de Correos. Si lo vendéis directamente, lo entregáis en mano al cliente aplicando vuestro propio protocolo de securización que llamaremos TLS, que para no alargarnos mucho, es algo probado que funciona en muchas otras conserveras de sardinas, usado en todo el mundo y que funciona. Ahora, si lo vendéis a través de Correos, como mucho podéis protegerlo hasta la oficina de Correos, pero de ahí en adelante no os queda otra que confiar en la seguridad de Correos y que nadie abra la lata de sardinas... a no ser que uséis OpenPGP.

    Con OpenPGP lo que pasa es que cada cliente tiene un candado con dos llaves por así decirlo: una llave pública, que conoce todo el mundo, y otra privada, que solo él tiene y que sólo el puede usar. El candado solo se puede abrir si usas una detrás de la otra. Es decir, que si cierras el candado con la llave pública, solo podrás abrirlo con la privada, y viceversa. Usando este mecanismo, ¿qué se os ocurre hacer? Fácil: cerrar la lata de sardinas con la llave pública del cliente, de la que todo el mundo (incluido nosotros) tiene copia. Así, hagan lo que hagan los de Correos, solo se podrá abrir la lata con su llave opuesta: la llave privada, o la clave privada. Luego solo el cliente podrá abrir la lata de sardinas.

    (me he flipado un poco pero bueno, espero que se entienda [+risas] )

    El problema es que, hasta donde yo sé, ninguno de los grandes proveedores de mailing (gmail, outlook, yahoo...) tiene integrado en su versión de navegador gestores de cifrado/descifrado, ni con OpenPGP ni con otras tecnologías alternativas como S/MIME, por lo que en el navegador no se pueden ver los correos que te lleguen cifrados. Si quieres ver un correo que te llega cifrado con OpenPGP tienes que tirar de otros gestores de correo. Thunderbird por ejemplo sé que tiene plugins dedicados, con lo que podrías ver tus correos cifrados. Espero que los de Facebook hayan aclarado este punto, porque me estoy viendo venir a miles de usuarios sin poder ver los correos que le lleguen cifrados de Facebook...



    Sigue habiendo algo que no cuadra en tu explicación.
    Dices que depende de los correos que la gente usa que se pueda leer o no leer los correos, ya que haría falta configurar tu clave privada. ¿Entonces?
    Estariamos en las mismas.... Tu coges configuras tu openPGP en el gestor de tu correos, y supongo que deberas de introducir una vez la clave privada, o sea que si te hackean el correo como ya esta configurado el PpenPGP ya van a seguir viendo esos correos....

    Lo único que queda es que tengas la opción de tener que escribir la clave cada vez que quieras ver un coreo de Facebook, pero vaya.... su usabilidad seria 0.
  9. La clave privada nunca sale de tu ordenador. Cuando Hyde92 decía "tu correo" se refería al cliente de correo local en tu ordenador, no al servicio en sí.
  10. Hyde92 escribió:
    Daicon escribió:No entiendo de que va esto.

    Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

    Y si entro yo? Tampoco los veo? Entonces ces que coño?

    No me entero, como va esto.

    Podrás ver tus correos de Facebook si los descifras con tu clave privada. Tú tienes dos claves, una privada y una pública, de modo que cuando cifras un mensaje con una clave, solo puedes descifrarlo con su opuesta. Por ejemplo, si alguien te manda un correo cifrado con tu clave pública, solo tú podrás descifrarlo con tu clave privada, que solo tú conoces. Así garantizas la confidencialidad, esto es, que solo tú puedes ver los correos que te llegan. Y esto es lo que va a aplicar Facebook.

    Lo que dicen los de Facebook es que, como es lógico, hasta ahora solo tenían protegidas las comunicaciones dirigidas directamente a ellos, lo que viene siendo conectarte a la web, usando TLS. Pero el mandarte el correo encriptado no depende de ellos, sino de la seguridad que quiera aplicar tu proveedor de correo (gmail, hotmail, etc.). Ellos como mucho pueden proteger el correo desde que sale de sus servidores hasta los del servidor de correo.

    Por poner una analogía para que se entienda la noticia, imaginaos que sois una conservera de sardinas. Envasáis sardinas y lo vendéis a clientes por dos vías: directamente o a través de Correos. Si lo vendéis directamente, lo entregáis en mano al cliente aplicando vuestro propio protocolo de securización que llamaremos TLS, que para no alargarnos mucho, es algo probado que funciona en muchas otras conserveras de sardinas, usado en todo el mundo y que funciona. Ahora, si lo vendéis a través de Correos, como mucho podéis protegerlo hasta la oficina de Correos, pero de ahí en adelante no os queda otra que confiar en la seguridad de Correos y que nadie abra la lata de sardinas... a no ser que uséis OpenPGP.

    Con OpenPGP lo que pasa es que cada cliente tiene un candado con dos llaves por así decirlo: una llave pública, que conoce todo el mundo, y otra privada, que solo él tiene y que sólo el puede usar. El candado solo se puede abrir si usas una detrás de la otra. Es decir, que si cierras el candado con la llave pública, solo podrás abrirlo con la privada, y viceversa. Usando este mecanismo, ¿qué se os ocurre hacer? Fácil: cerrar la lata de sardinas con la llave pública del cliente, de la que todo el mundo (incluido nosotros) tiene copia. Así, hagan lo que hagan los de Correos, solo se podrá abrir la lata con su llave opuesta: la llave privada, o la clave privada. Luego solo el cliente podrá abrir la lata de sardinas.

    (me he flipado un poco pero bueno, espero que se entienda [+risas] )

    El problema es que, hasta donde yo sé, ninguno de los grandes proveedores de mailing (gmail, outlook, yahoo...) tiene integrado en su versión de navegador gestores de cifrado/descifrado, ni con OpenPGP ni con otras tecnologías alternativas como S/MIME, por lo que en el navegador no se pueden ver los correos que te lleguen cifrados. Si quieres ver un correo que te llega cifrado con OpenPGP tienes que tirar de otros gestores de correo. Thunderbird por ejemplo sé que tiene plugins dedicados, con lo que podrías ver tus correos cifrados. Espero que los de Facebook hayan aclarado este punto, porque me estoy viendo venir a miles de usuarios sin poder ver los correos que le lleguen cifrados de Facebook...


    Muchas gracias por la explicación socio.
Ver más comentarios »