Cómo intercambiar mensajes cifrados en cualquier sitio web

Después de que las revelaciones del año pasado sobre la vigilancia de Internet en EE. UU. aumentaran el interés en las herramientas de privacidad, Google y yahoo ambos anunciaron que estaban trabajando en un software que permitiera a las personas que usan sus servicios de correo electrónico intercambiar fácilmente mensajes encriptados.





ahora un prototipo de extensión de navegador llamada ShadowCrypt , realizado por investigadores de la Universidad de California, Berkeley y la Universidad de Maryland, va aún más allá. Facilita el envío y la recepción de texto cifrado en Twitter, Facebook o cualquier otro sitio web.

Usando ShadowCrypt, una persona que escribe o está autorizada para leer un tweet o correo electrónico ve texto normal. El operador del sitio o cualquier otra persona que mire o intercepte la publicación vería una cadena confusa de letras y números.

ShadowCrypt se creó para demostrar que el cifrado fuerte se puede hacer fácil de usar y compatible con servicios populares como Twitter, dice Devdatta Akhawe , un ingeniero de seguridad de Dropbox que ayudó a desarrollar ShadowCrypt como estudiante de posgrado en Berkeley. Queríamos mostrar cómo se puede hacer un mecanismo práctico, rápido y fácil de usar, dice. Akhawe y sus colegas probaron ShadowCrypt en 17 servicios web principales diferentes; funcionó más o menos perfectamente en 14, incluidos Facebook, Twitter y Gmail.



PGP, software lanzado por primera vez en 1991, es probablemente el software más conocido para mensajería encriptada, pero es notoriamente difícil de dominar. En general, las herramientas existentes para la mensajería cifrada tienden a requerir cambiar a un nuevo servicio, como Silent Circle (consulte Una aplicación mantiene a los espías alejados de su teléfono), o son muy torpes.

Para usar ShadowCrypt, instala la extensión y luego crea claves de cifrado para cada sitio web con el que deseas usarla. Un pequeño ícono de candado en la esquina de cada cuadro de texto es la única indicación de que ShadowCrypt está ocultando la versión encriptada distorsionada que se enviará cuando presione el botón enviar o publicar.

Otras personas pueden leer ese texto si les proporciona la clave de cifrado utilizada para crearlo y agregarlo a su propia configuración de ShadowCrypt. Después de que hayan hecho eso, cualquier texto que vean que haya sido encriptado con esa clave les parecerá normal.



Por ejemplo, el tweet a continuación es perfectamente legible para cualquier persona que haya instalado ShadowCrypt, porque fue encriptado usando la clave predeterminada de la extensión para Twitter.com. Se pueden crear varias claves para cualquier sitio y es fácil elegir entre ellas. Puede utilizar uno diferente para cada persona a la que desee enviar un correo electrónico seguro, por ejemplo.

ShadowCrypt sigue siendo un proyecto de investigación, pero el investigador de criptografía independiente Justin Troutman dice que su diseño demuestra un nuevo enfoque útil para la seguridad en línea.



Eso es porque ofrece una forma para que las personas tomen el control de la seguridad de los datos que ingresan en un servicio web, dice. Más a menudo, se presta más atención a la protección de los datos solo cuando viajan hacia y desde los servidores de los proveedores de servicios. Es un paso hacia la construcción de una superficie más benigna para interactuar con aplicaciones web, dice Troutman.

Un papel en ShadowCrypt, cuyo código es de código abierto, se presentará en el Conferencia ACM sobre Seguridad Informática y de las Comunicaciones esta semana.

esconder