Olvid | Otra promesa de la mensajería segura

La era Post-Snowden es una realidad, y con cada año que pasa, se puede evidenciar cómo se van haciendo ecos nuevas alternativas “seguras” en cuanto a la comunicación en línea y también de otros apartados de interés. En este caso, en específico, siempre resulta de bastante interés comparar una alternativa de gran referencia vs las nuevas alternativas que van surgiendo, ejemplo: “¿Cuál es más segura XYZ vs. Signal?” Y etcétera. En pocas palabras, hay dos respuestas: siempre puede ser un gran descubrimiento o una gran decepción.

Al momento en que escribo este artículo, puedo afirmar que la documentación de Olvid parece estar muy completa, aunque solo está oficialmente disponible en dos idiomas, el inglés y el francés. Por lo tanto, toda la información recolectada y el entendimiento en este artículo se basan en las traducciones artificiales correspondientes, las cuales no pueden ser tan fiables.

¿Qué es Olvid?

No hay explicación más completa qué la oficial, por lo que me remito a plasmar la traducción hecha de la documentación:

Olvid es una aplicación segura de mensajería instantánea que comparte funcionalidades con otras aplicaciones populares como WhatsApp, Signal y Citadel. Su arquitectura se compone de dos módulos independientes: un motor criptográfico encargado de todas las operaciones criptográficas y una solicitud (la interfaz de usuario de mensajería instantánea) que trabaja sobre este motor, permitiendo el intercambio de mensajes de texto y archivos adjuntos de cualquier tipo. Este motor es “genérico”, lo que significa que su API podría utilizarse para cualquier tipo de comunicación entre personas. La capa de aplicación no implementa ninguna forma de operación criptográfica, por lo que está fuera del alcance de este documento.

Olvid permite a los usuarios crear claves criptográficas, intercambiar material de claves (utilizando varios métodos), utilizar este material para enviar mensajes de forma segura y crear canales seguros que pueden ser utilizados por la capa de aplicación.

La arquitectura de Olvid se basa en un modelo de confianza entre usuarios y en la conexión/relación en el mundo real, sin asumir ningún tercero de confianza. Los mensajes intercambiados entre usuarios transitan a través de servidores, similar al protocolo SMTP utilizado en el correo electrónico. Cada usuario utiliza un servidor Olvid específico para recibir mensajes, pero varios servidores Olvid pueden coexistir. A diferencia de SMTP, los mensajes de un usuario determinado se cargan directamente a su servidor Olvid y no se transmiten a través de varios servidores. Los servidores de Olvid actúan como “buzones” donde cualquiera puede depositar mensajes de forma anónima, notificando al destinatario cuando hay un nuevo mensaje disponible. La seguridad de Olvid se basa en los protocolos criptográficos implementados en el motor criptográfico y en la confianza entre usuarios.

Las principales hipótesis del modelo de seguridad de Olvid incluyen:

  • Los dispositivos del usuario (teléfono inteligente, computadora, etc.) en los que se ejecuta la aplicación Olvid son saludables y se puede confiar en que ejecutarán los protocolos criptográficos tal como se implementaron.
  • Los usuarios que intercambian mensajes a través de Olvid tienen una conexión/relación en el mundo real y tienen cierto nivel de confianza entre ellos. Dependiendo de la naturaleza de esta conexión, se implementan diferentes protocolos para iniciar una comunicación segura en Olvid.
  • Los servidores son en su mayoría “honestos pero curiosos”. Esto significa que los servidores no son de confianza, se les considera adversarios, pero aún así se comportan como se espera la mayor parte del tiempo, intentando aprender todo lo que puedan sobre los usuarios y lo que intercambian, pero tratando de pasar desapercibidos y operar el servicio normalmente la mayor parte del tiempo. NOTA: Está parte hace énfasis en que no se debe de confiar en ningun servidor, por lo que bajo su modelo el servidor nunca conoce la información y la relación de la misma.

En cristiano, por favor

Bueno, realmente leyendo toda la documentación oficial y los datos técnicos, puedo sacar una conclusión la cual transmitir de una forma más simple para las personas no técnicas, por lo cual destaco en viñetas las partes más importantes:

  • Su clientes de las diferentes plataformas disponibles son software libre (AGPL- 3.0).
  • Sus servidores son cerrados, según bajo el argumento de qué, quedarían más expuestos a ataques de denegación de servicio y otras vulnerabilidades. Además, la naturaleza de la plataforma hace que no sea necesario confiar en el servidor, debido a que este se encarga de solo colocar el mensaje encriptado en espera hasta que se conecte el remitente para entregarle el mensaje y posteriormente borrarse del servidor, por lo que no guarda ningún dato o relación directa con el usuario; agregan de qué en un futuro apenas se tenga controlada más la API de la plataforma y sus protocolos de seguridad, abrirán los servidores.
  • Su modelo de financiación está basado en planes, por lo que, el plan gratuito es sustentado por los planes de pago, generando una plataforma autosustentable y sin dependencia financiera de terceros. Al momento de comparar las características gratuitas vs las de pago, puedo concluir qué la diferencia no es mucha y es aceptable, se puede aplaudir este modelo, las únicas limitaciones son; qué en el plan gratuito solo puedes recibir llamadas de audio seguras, no puedes tú realizarlas, tampoco tienes derecho a mantener tu conexión simultanea en diferentes dispositivos a la vez, de resto todo lo normal (Mensajes ilimitados, archivos adjuntos ilimitados, discusiones grupales seguras, cancelar envío y editar mensajes, eliminación remota, mensajes efímeros , múltiples perfiles , mención de usuario , markdown , Olvid Web).
  • Cuenta con múltiples certificaciones y un equipo de criptógrafos muy preparados… aunque, muchas de esas auditorias según lo que entiendo es de su mismo equipo, por lo que, no sé, no lo considero tan imparcial. Además, el gobierno francés ha sacado el pecho por ellos al ser una alternativa local, lo cual me hace pensar demasiado acerca de su doble moral, cuando en otros casos han tratado de proponer debilitar el cifrado, lo cual no es muy acorde, pero es solo mi opinión, que al no ser local no puedo interpretar al 100% realmente cómo el gobierno se inclina hacia la seguridad de los datos y la privacidad, de si toda una bancada de ministros están en contra o solo unos pocos.
  • Lanzado en mayo de 2019 por Thomas Baignères, Matthieu Finiasz, Jacques-André Bondy y Cédric Sylvestre.
  • No depende de leyes extraterriotriales: “Corresponde a cada individuo responder según la naturaleza de sus actividades y el grado de confidencialidad de los temas que trata”.
  • En cuanto a la criptografía Post- Cuántica dicen: “La criptografía simétrica utilizada hoy en Olvid ya es resistente a este tipo de máquinas, pero no es el caso de las primitivas de clave pública. La razón es que, a día de hoy, no existe ningún estándar “post-cuántico”.

Mis primeras impresiones

Realmente está alternativa me gusto bastante, no entiendo cómo no la conocí antes a pesar de que se lanzo desde hace varios años, ahora es que puedo ver que nuevamente se está haciendo eco (desde hace 6 meses en Reddit). La documentación y los datos técnicos que poseen son muy completos, se puede llegar a entender muy bien el cómo opera la plataforma y cuales son sus inclinaciones, a pesar de que la licencia de los servidores no es abierta, ¡qué debería!, para realmente sumar más confianza al proyecto y confirmar que realmente cumple lo que dice, pues, siguiendo sus narrativas, el servidor nunca suma/resta en cuestiones de seguridad, al no quedarse con nada o identificar al usuario.

Me gusta que el proyecto parece ser una combinación de otras alternativas destacadas, como tener una combinación entre Signal y SimpleX Chat. El poder crear cuantos perfiles se desee con datos mínimos (nombre y listo) es una característica muy destacable. Además, el tema de la verificación es una cuestión que poco he visto en otras mensajerías. Es que, a pesar de que agregas a tus amigos por medio de ID, este pide a ambos usuarios confirmar un código que solo puedes confirmar si realmente estás comunicándote con la persona que dice que es. Es un paso extra de verificación que es intuitivo, fácil y que suma bastante a la seguridad. Y sí, me dirán que eso mismo ya existe hace demasiado en Matrix, pero allí es mucho más engorroso cuando no tienes la persona físicamente para confirmar el QR o para acertar los emojis random que te salen visualmente en pantalla.

En lo único que creó que deberían de mejorar es en el aspecto visual, si es demasiado opaco gráficamente comparado a otras alternativas, no por ser robusto en seguridad significa que tiene que ser feo jaja, el caso, es que es discutible, para los reyes del minimalismo puede que les encante, otra costa discutible es el tema del plan gratuito y es qué ¿Cómo no poder realizar una llamada de voz segura? Eso de solo poder recibir me parece un poco pasado y el no poder tener la cuenta en múltiples dispositivos a la vez también, es una característica que se ve nativamente en otras mensajerías sin problemas, acá no debería ser la excepción.

¿XYZ es mejor que Signal?

Destaco una publicación de un usuario en Reddit que nos deja una gran enseñanza referente a este tipo de comparativas que les encanta a muchos internautas:

Donde XYZ es una aplicación de la que nunca había oído hablar (esta semana es Olvid) siempre es “No” por dos razones.

La primera es que nadie está usando una aplicación de la que nunca ha oído hablar, por lo que incluso suponiendo que XYZ fuera tan seguro o más seguro que Signal, sería mucho menos probable que pudieras cambiar tus conversaciones a ese chat sin convencer básicamente a todos. contacto individual (que también puede ser el caso con Signal, para ser justos, pero al menos es algo de lo que probablemente hayan oído hablar y asocian con privacidad/protección y no una aplicación aleatoria que suena como si fuera una marca de productos sin lactosa). productos lácteos).

La segunda es que nadie está realmente revisando un producto lácteo sin lactosa al azar; disculpe, me refiero a una aplicación de mensajería encriptada de la que nunca han oído hablar, para asegurarse de que realmente haga lo que dice o de que no haya llegado la última versión, con un error que accidentalmente socava su seguridad o lo que sea, mientras que Signal, debido a su popularidad, recibe mucha atención tanto de los entusiastas que prueban cada versión como de las revisiones periódicas por parte de profesionales de la seguridad.

En fin, muchas gracias por leer; quedo atento a cualquier corrección o surgerencia; saludos.

Imagen sacada de acá
CategoríasgeneralEtiquetas,

Autor: Gatooscuro

Co-fundador del extinto quey.la #bloguero desde el 2014, Forum traslater, ex-moderador #quey.org , Colaborador DarkOnion, traductor de algunos anuncios de la comunidad #GNU #Linux y pensador Colombiano.Todo tiene una razón de ser.Blog oficial: https://gatooscuro.xyz

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *