Imagina que guardamos información confidencial en nuestros ordenadores, en un fichero o disco cifrado, y que somos obligados a dar nuestras credenciales para acceder a esos datos, por chantaje, amenazas o por la fuerza. Parece ser que, por ejemplo, en Reino Unido, un investigador (policía, se entiende) puede obligarte a darle lo que necesite (contraseña...) para acceder a tus datos cifrados.
He leído todo esto en el último Phrack Magazine, el número 65, concretamente en el artículo The only laws on the Internet are assembly and RFCs. No es una idea nueva, otros ya han hablado de ello, aunque yo, personalmente, no lo había oído. Me ha parecido muy interesante. Expone otras ideas, pero comentarlas se merece al menos una entrada aparte.
Al lío: una contramedida tecnológica en caso de que alguien sea obligado a dar credenciales para acceder a ficheros cifrados, es la posibilidad de negar que la información que se quiere proteger esté en ese fichero cifrado. Se trataría, básicamente, de generar duda sobre si la información que el investigador está buscando está ahí o no. Se indican tres herramientas que emplean este tipo de estrategia:
- TrueCrypt: conocidísima utilidad de cifrado de disco. Hasta que sea descifrado, el espacio que ocupa un fichero o un disco cifrado tiene la apariencia de basura. Además, está la posibilidad de crear volúmenes ocultos.
- OTR (Off-the-Record messaging): proporciona cifrado fuerte para aplicaciones de mensajería instantánea. Después de autenticar al usuario, todos los mensajes son cifrados pero no firmados digitalmente, de forma que no se puede asegurar el origen.
- 2c2/4c: tomará como entrada dos ficheros, y generará como salida un único fichero que contendrá a los dos. Dependiendo de la contraseña que se introduzca para descifrar el fichero generado, devolverá uno u otro de los de la entrada.
¿A que es una buena cosa?
No hay comentarios:
Publicar un comentario