Hace cosa de un año escuché la conferencia de Eduardo Robles en la Akademy-es 2010, hablaba del cifrado punto a punto en html5 con khtml. Resulta que Eduardo estaba desarrollando esta idea para su proyecto fin de carrera y por lo que he leido estos días en el planet de kde parece que ya la tiene implementada.
La idea es la siguiente, cuando nosotros nos comunicamos con otro usuario a través de internet lo solemos hacer a través de un servidor, un ejemplo muy claro es cuando enviamos un correo-e o nos comunicamos por mensajería instantanea. Cuando nuestro mensaje sale de nuestra máquina y viaja por internet recorre el siguiente camino, si es un sistema centralizado va de nuestra máquina al servidor centralizado y luego de este a nuestro destinatario. En un sistema descentralizado como los que hemos puesto de ejemplo (correo-e o mensajería instantanea tipo jabber) el camino que sigue es de nuestra máquina a nuestro servidor, de nuestro servidor al de nuestro destinatario y por último de este al destinatario.
Suponiendo que la comunicación entre nosotros y nuestro servidor va cifrada, típicamente con ssl / tls, que la comunicación entre nuestro servidor y el del destinatario también lo está y la del servidor de nuestro destinatario y él mismo también, aún así tendríamos uno o varios puntos, dependiendo si es un sistema centralizado o no, donde nuestros datos serían visibles. Y es que resulta que los servidores siempre van a recibir los datos en plano ya que ellos si van a poder descifrarlos en el proceso de comunicación, por lo que se produce un problema de seguridad de servidor en medio o «server in the middle».
Para solucionar este problema se utiliza típicamente gpg, por ejemplo es muy sencillo cifrar nuestros correos mediante gpg o incluso clientes como kopete ofrecen la posibilidad de hacerlo con lo que obetenemos un cifrado punto a punto y resolvemos el problema. Pero ¿qué sucede en el caso del web?, pues que se utiliza ssl pero nos servidores están leyendo todos los datos, y no hay que irse muy lejos para ver que esto sucede ya que todos los sitemas de webmail leen nuestros datos para ofrecernos publicidad.
Lo que propone Eduardo es extender las etiquetas de html5 para que soporten cifrado por gpg, de forma que nuestro navegador cifre los datos antes de enviarlos y sólo el destinatario pueda leerlos cuando los recupere también mediante su navegador.
En los tiempos que corremos donde todos los datos van a la nube y donde los proveedores de estos servicios utilizan nuestros datos para hacer negocio y vulnerar nuestra privacidad, es extraño que no exista ninguna herramienta que nos permita protegernos de esto. La idea de Eduardo nos permitiría rodear este problema, proteger nuestros datos y mantener nuestra privacidad.
Ojalá termine implementandose como un estandar y lo veamos pronto en nuestros navegadores web.
Cheli
