Diferencia entre revisiones de «Trabajo:Comparación de privacidad y seguridad entre aplicaciones de mensajería»

De FdIwiki ELP
Saltar a: navegación, buscar
(Tabla comparativa (basada en la scoreboard de la EFF y actualizada por nosotros en 2018))
Línea 1: Línea 1:
 
==Integrantes==
 
==Integrantes==
Somos un grupo de ELP de 4ºA formado por:
+
Somos el grupo de ELP de 4ºA formado por:
  
 
   - Alejandro Rodríguez Chacón
 
   - Alejandro Rodríguez Chacón
Línea 9: Línea 9:
  
 
==Introducción==
 
==Introducción==
En esta era digital la seguridad de la información se ha convertido en un asunto de importancia capital, por ello el uso algoritmos de cifrado que aseguren la confidencialidad e integridad de los datos que enviamos es un elemento indispensable y una faceta cada vez a tener más en cuenta. Pero tan importante como el implementar este tipo de software y de la técnica, es informar a los desarrolladores sobre las ventajas que ofrece cada tipo de cifrado y lograr que sean bien adaptados en sus aplicaciones.
+
 
  
 
==Descripción del Trabajo==
 
==Descripción del Trabajo==
Nuestro grupo pretende hacer un análisis de los distintos algoritmos y protocolos criptograficos utilizados por las aplicaciones de mensajería más utilizados, explicar de forma breve su funcionamiento, sus ventajas y vulnerabilidades (en caso de haberlas), cuales de ellos son susceptibles a ser atacados, cuales están quedando obsoletos, etc.
 
  
Los resultados de este análisis nos servirán para realizar una pequeña guía dirigida a aquellas personas que están pensando en crear su propia aplicación de mensajería, explicando cuales son las mejores practicas a la hora de implementar la seguridad y que otras cosas se deben evitar, para que al final el usuario pueda escoger los protocolos que mejor se ajusten a sus necesidades.
 
  
 
==Planificación==
 
==Planificación==
* Recopilación de información sobre los algoritmos y protocolos usados por algunas aplicaciones de mensajería
+
* Recopilar información sobre el estado actual de las aplicaciones incluidas en el artículo de la EFF.
* Análisis y comparativa de los algoritmos
+
* Creación de una nueva tabla que incluya las información actualizada sobre estas aplicaciones, e incluir otras aplicaciones que hayan surgido en los últimos años o no hayan sido consideradas por la EFF.
* Creación de una guía que recopile los resultados del análisis y nuestras conclusiones
+
* Publicación de la nueva tabla comparativa y difusión.
  
 
==Sobre la EFF==  
 
==Sobre la EFF==  
EFF: La EFF(Electronic Frontier Foundation) es una organización sin ánimo de lucro fundada el 6 de julio
+
La EFF (Electronic Frontier Foundation) es una organización sin ánimo de lucro fundada el 6 de julio de 1990 con sede en San Francisco, Estados Unidos. Su objetivo es luchar por las libertades civiles y por la conservación de los derechos de libertad de expresión en el ámbito de las tecnologías de la era digital mediante la educación de la sociedad civil en estos temas.
de 1990 con sede en San Francisco, Estados unidos. Su objetivo es luchar por las libertades civiles y por la conservación
+
de los derechos de libertad de expresión en el ámbito de las tegnologías de la era digital mediante la educación de la socidad civil en estos temas.
+
  
La EFF ha logrado un gran impacto social gracias a su trabajo, que consiste principalmente en:
+
La organización ha logrado un gran impacto social gracias a su trabajo, que consiste principalmente en:
  
 
*Proporcionar asesoramiento.
 
*Proporcionar asesoramiento.
Línea 34: Línea 30:
 
*Distribuyendo guias y analizando las propiedades de las nuevas tecnologías emergentes.
 
*Distribuyendo guias y analizando las propiedades de las nuevas tecnologías emergentes.
  
==Apartados (Aún por Implementar)==
+
En 2014 publicaron un artículo en el que comparaban la seguridad de las aplicaciones de mensajería más usadas, y asignaban una calificación (de 0 a 7) a cada una dependiendo de si cumplían unos criterios que la EFF consideraba necesarios para que una aplicación sea considerada segura. En su día era la mejor referencia a la hora de buscar aplicaciones con buenas politicas de seguridad y privacidad, pero dejo de actualizarse en marzo del 2016, por lo que la información ha quedado desfasada, y además no incluye aquellas aplicaciones que han surgido en los últimos 2 años.
* '''¿Por qué se deben encriptar los datos?'''
+
* '''¿Son todos los algoritmos/protocolos igual de seguros?'''
+
* '''¿Puedo implementar mi propio algoritmo de encriptación?'''
+
* '''Algoritmos y Protocolos más utilizados'''
+
* '''Comparación - Ventajas, Vulnerabilidades y Ataques Conocidos'''
+
* '''Conclusiones'''
+
* '''Guía'''
+
  
==Impacto==
+
==Investigación==
Hoy en día cualquier persona puede acceder a la información necesaria (tutoriales, vídeos, cursos online, etc.) para aprender a codificar y construir sus propias aplicaciones, y no resulta raro encontrarse con personas que buscan crear su propia aplicación de mensajería (ya sea por curiosidad o desconfianza de las que ya existen).  
+
La investigación ha sido llevada a cabo por distintos miembros del grupo, y ha consistido mayormente en la búsqueda de artículos que apoyasen/negaran algunos aspectos de seguridad mencionados en el artículo original, comunicados oficiales de los desarrolladores/compañías, documentación y auditorías del código fuente.
  
Pero aunque muchos de ellos tienen el conocimiento necesario para diseñar y crear este tipo de aplicaciones, una gran mayoría no son expertos en seguridad, y desconocen los métodos utilizados por las grandes compañías para proteger sus mensajes de personas ajenas, o como verificar que los mensajes no han sido modificados desde la salida del emisor hasta la llegada al receptor.
+
A lo largo de esta fase, nos encontramos con distintos escenarios:
 +
* Muchas aplicaciones cambiaron sus politicas de privacidad/seguridad, y apostaron por la implementación de mejores protocolos criptograficos para proteger la información de los usuarios
 +
* Otras aplicaciones, por el contrario, siguen utilizando los politicas/protocolos que utilizaban en 2016
 +
* Las aplicaciones emergentes en los últimos 2 años si tenían en cuenta la seguridad, y casi todas ofrecían encriptación punto-a-punto por defecto
 +
* Algunas aplicaciones dejaron de ofrecer sus servicios (parcial o completamente)
  
Creemos que nuestro trabajo facilitara y agilizara el aprendizaje de cuales son las herramientas y protocolos que los desarrolladores tienen a su disposición para asegurar la privacidad de sus futuros usuarios.
+
También cabe destacar que muchas aplicaciones no contaban con páginas que explicasen los protocolos criptograficos empleados, o el tratamiento que hacían de los datos de usuario, y solo se limitaban a mencionar que la información de sus usuarios estaba 'protegida' frente a terceros.
  
 +
==Impacto==
 +
Tras completar la tabla, decidimos crear una página web en WordPress para publicar los resultados al público.
 +
Actualmente, la página cuenta con +250 visitas, pero esperamos que este número aumente en los próximos días tras compartir el enlace por redes sociales.
  
 
==Tabla comparativa (basada en la scorecard de la EFF y actualizada por nosotros en 2018)==
 
==Tabla comparativa (basada en la scorecard de la EFF y actualizada por nosotros en 2018)==
 
En esta tabla se estudian diversos puntos entre diferentes plataformas de mensajería:
 
En esta tabla se estudian diversos puntos entre diferentes plataformas de mensajería:
  
#¿Comunicaciones encriptadas?
+
#'''¿Comunicaciones encriptadas?'''
 
#: Todas las comunicaciones que realiza el usuario están encriptadas para cualquier enlace usado por él mismo
 
#: Todas las comunicaciones que realiza el usuario están encriptadas para cualquier enlace usado por él mismo
#¿Encriptación punto a punto?
+
#'''¿Encriptación punto a punto?'''
 
#: Cualquier mensaje o dato sensible está encriptado de cara a los administradores del sistema, sólo los propios usuarios de la comunicación
 
#: Cualquier mensaje o dato sensible está encriptado de cara a los administradores del sistema, sólo los propios usuarios de la comunicación
 
#: tienen la clave para descifrar
 
#: tienen la clave para descifrar
#¿La aplicación cuenta con verificación de cuentas?
+
#'''¿La aplicación cuenta con verificación de cuentas?'''
 
#: Cada cuenta tiene un mecanismo de verificación de usuario. Posibles mecanismos:
 
#: Cada cuenta tiene un mecanismo de verificación de usuario. Posibles mecanismos:
 
#:* Interfaz que permita acceder al hash de cada correspondiente clave pública
 
#:* Interfaz que permita acceder al hash de cada correspondiente clave pública
 
#:* Protocolo de intercambio de claves con una pequeña autenticación de caracteres
 
#:* Protocolo de intercambio de claves con una pequeña autenticación de caracteres
#¿Las comunicaciones realizadas en el pasado están protegidas si las claves son robadas?
+
#'''¿Las comunicaciones realizadas en el pasado están protegidas si las claves son robadas?'''
 
#: Cada comunicación está encriptada con claves efímeras ó de corto plazo, borradas constantemente.
 
#: Cada comunicación está encriptada con claves efímeras ó de corto plazo, borradas constantemente.
 
#: Hay que tener en cuenta que esta característica está relacionada con la segunda  
 
#: Hay que tener en cuenta que esta característica está relacionada con la segunda  
#¿El código está abierto a revisiones de entidades independientes?
+
#'''¿El código está abierto a revisiones de entidades independientes?'''
 
#: El código fuente publicado debe ser suficiente para que otras entidades puedan realizar revisiones de bugs, back-doors, problemas estructurales, etc
 
#: El código fuente publicado debe ser suficiente para que otras entidades puedan realizar revisiones de bugs, back-doors, problemas estructurales, etc
#¿El diseño de la criptografía empleada está bien documentado?
+
#'''¿El diseño de la criptografía empleada está bien documentado?'''
 
#: Todos los mecanismos criptográficos que usa la aplicación están explicados de forma clara y detallada en documentos,
 
#: Todos los mecanismos criptográficos que usa la aplicación están explicados de forma clara y detallada en documentos,
 
#: preferiblemente en formato papel. De esta forma podría ser revisado por una audiencia de criptógrafos profesionales
 
#: preferiblemente en formato papel. De esta forma podría ser revisado por una audiencia de criptógrafos profesionales
#¿Hubo recientemente alguna auditoría?
+
#'''¿Hubo recientemente alguna auditoría?'''
 
#: Para este punto se estudia si la aplicación fue auditada por alguna organización independiente dentro de los 12 meses anteriores a la evaluación del mismo.
 
#: Para este punto se estudia si la aplicación fue auditada por alguna organización independiente dentro de los 12 meses anteriores a la evaluación del mismo.
 
#: Esta revisión debe cubrir tanto el diseño como la implementación de la app, al igual que debe haberse realizado por alguna renombrada empresa auditora  
 
#: Esta revisión debe cubrir tanto el diseño como la implementación de la app, al igual que debe haberse realizado por alguna renombrada empresa auditora  

Revisión de 19:11 19 ene 2018

Integrantes

Somos el grupo de ELP de 4ºA formado por: 

 - Alejandro Rodríguez Chacón
 - Daniel Francisco Bastarrica Lacalle
 - Ederson Aldair Funes Castillo
 - Javier Antón Alonso
 - Nicolás Nahuel Alcaine Camilli

Introducción

Descripción del Trabajo

Planificación

  • Recopilar información sobre el estado actual de las aplicaciones incluidas en el artículo de la EFF.
  • Creación de una nueva tabla que incluya las información actualizada sobre estas aplicaciones, e incluir otras aplicaciones que hayan surgido en los últimos años o no hayan sido consideradas por la EFF.
  • Publicación de la nueva tabla comparativa y difusión.

Sobre la EFF

La EFF (Electronic Frontier Foundation) es una organización sin ánimo de lucro fundada el 6 de julio de 1990 con sede en San Francisco, Estados Unidos. Su objetivo es luchar por las libertades civiles y por la conservación de los derechos de libertad de expresión en el ámbito de las tecnologías de la era digital mediante la educación de la sociedad civil en estos temas.

La organización ha logrado un gran impacto social gracias a su trabajo, que consiste principalmente en:

  • Proporcionar asesoramiento.
  • Organizar acciones políticas.
  • Apoyar a las tecnologías que respetan las libertades del individuo, frente a aquellas que no lo hacen.
  • Proporcionando financiación y defensa legal en los tribunales.
  • Distribuyendo guias y analizando las propiedades de las nuevas tecnologías emergentes.

En 2014 publicaron un artículo en el que comparaban la seguridad de las aplicaciones de mensajería más usadas, y asignaban una calificación (de 0 a 7) a cada una dependiendo de si cumplían unos criterios que la EFF consideraba necesarios para que una aplicación sea considerada segura. En su día era la mejor referencia a la hora de buscar aplicaciones con buenas politicas de seguridad y privacidad, pero dejo de actualizarse en marzo del 2016, por lo que la información ha quedado desfasada, y además no incluye aquellas aplicaciones que han surgido en los últimos 2 años.

Investigación

La investigación ha sido llevada a cabo por distintos miembros del grupo, y ha consistido mayormente en la búsqueda de artículos que apoyasen/negaran algunos aspectos de seguridad mencionados en el artículo original, comunicados oficiales de los desarrolladores/compañías, documentación y auditorías del código fuente.

A lo largo de esta fase, nos encontramos con distintos escenarios:

  • Muchas aplicaciones cambiaron sus politicas de privacidad/seguridad, y apostaron por la implementación de mejores protocolos criptograficos para proteger la información de los usuarios
  • Otras aplicaciones, por el contrario, siguen utilizando los politicas/protocolos que utilizaban en 2016
  • Las aplicaciones emergentes en los últimos 2 años si tenían en cuenta la seguridad, y casi todas ofrecían encriptación punto-a-punto por defecto
  • Algunas aplicaciones dejaron de ofrecer sus servicios (parcial o completamente)

También cabe destacar que muchas aplicaciones no contaban con páginas que explicasen los protocolos criptograficos empleados, o el tratamiento que hacían de los datos de usuario, y solo se limitaban a mencionar que la información de sus usuarios estaba 'protegida' frente a terceros.

Impacto

Tras completar la tabla, decidimos crear una página web en WordPress para publicar los resultados al público. Actualmente, la página cuenta con +250 visitas, pero esperamos que este número aumente en los próximos días tras compartir el enlace por redes sociales.

Tabla comparativa (basada en la scorecard de la EFF y actualizada por nosotros en 2018)

En esta tabla se estudian diversos puntos entre diferentes plataformas de mensajería:

  1. ¿Comunicaciones encriptadas?
    Todas las comunicaciones que realiza el usuario están encriptadas para cualquier enlace usado por él mismo
  2. ¿Encriptación punto a punto?
    Cualquier mensaje o dato sensible está encriptado de cara a los administradores del sistema, sólo los propios usuarios de la comunicación
    tienen la clave para descifrar
  3. ¿La aplicación cuenta con verificación de cuentas?
    Cada cuenta tiene un mecanismo de verificación de usuario. Posibles mecanismos:
    • Interfaz que permita acceder al hash de cada correspondiente clave pública
    • Protocolo de intercambio de claves con una pequeña autenticación de caracteres
  4. ¿Las comunicaciones realizadas en el pasado están protegidas si las claves son robadas?
    Cada comunicación está encriptada con claves efímeras ó de corto plazo, borradas constantemente.
    Hay que tener en cuenta que esta característica está relacionada con la segunda
  5. ¿El código está abierto a revisiones de entidades independientes?
    El código fuente publicado debe ser suficiente para que otras entidades puedan realizar revisiones de bugs, back-doors, problemas estructurales, etc
  6. ¿El diseño de la criptografía empleada está bien documentado?
    Todos los mecanismos criptográficos que usa la aplicación están explicados de forma clara y detallada en documentos,
    preferiblemente en formato papel. De esta forma podría ser revisado por una audiencia de criptógrafos profesionales
  7. ¿Hubo recientemente alguna auditoría?
    Para este punto se estudia si la aplicación fue auditada por alguna organización independiente dentro de los 12 meses anteriores a la evaluación del mismo.
    Esta revisión debe cubrir tanto el diseño como la implementación de la app, al igual que debe haberse realizado por alguna renombrada empresa auditora
    e independiente de su equipo de desarrollo



 Encrypted in transit? Encrypted so the provider can’t read it? Can you verify contacts’ identities? Are past comms secure if your keys are stolen? Is the code open to independent review? Is security design properly documented? Has there been any recent code audit?
AIM discontinued discontinued discontinued discontinued discontinued discontinued discontinued
BlackBerry Messenger YES YES* (Depends on type of devices used in the communication) * NO NO * *
BlackBerry Protected YES YES * NO NO YES *
Chat secure + Orbot YES YES YES YES YES YES YES
Ebuddy XMS discontinued discontinued discontinued discontinued discontinued discontinued discontinued
Facebook Chat YES YES(Not the default option) YES YES* (Ephemeral key keypairs) Yes (Group Chats) YES* YES
FaceTime YES YES * YES NO YES YES
Google Hangouts/Chat "off the record" YES NO * NO * * *
Hushmail * * * * * * *
iMessage YES YES NO YES NO YES YES
iPGmail YES YES YES NO NO YES NO
Jitsi + Ostel * * * * * * *
Kik messenger * * * * * * *
Mailvelope * * * * * * *
Mxit discontinued discontinued discontinued discontinued discontinued discontinued discontinued
Off-the-record Messaging for Mac (Adium) YES YES YES YES YES YES *
Off-The-Record Messaging for Windows (Pidgin) YES YES YES YES YES YES *
PGP for Mac (GPGTools) YES YES YES NO YES YES NO
PGP for Windows (GPG4win) YES YES YES NO YES YES NO
QQ YES NO NO NO NO NO *
RetroShare YES YES YES YES YES YES NO (Last Revision on 2016)
Signal YES YES YES YES YES YES YES
StartMail YES NO YES NO NO YES NO
Viber YES YES YES YES NO YES NO (Last audit on 2014)
WhatsApp YES YES YES YES NO YES NO (No records of new audit has been found)
Wickr YES YES YES YES YES YES NO (Last audit was on 2014)
Wire YES YES YES YES YES YES YES
Obtenido de «http://wikis.fdi.ucm.es/ELP/index.php?title=Trabajo:Comparación_de_privacidad_y_seguridad_entre_aplicaciones_de_mensajería&oldid=13200»