En el mundo de la criptografía y la privacidad digital, pocas figuras han sido han jugado un papel tan crucial como el de Phil R. Zimmermann, el creador de la aplicación Pretty Good Privacy (más conocido como 'PGP').
PGP se caracteriza por usar un sistema de clave pública, donde los usuarios generan un par de claves (una pública y una privada): la clave pública se puede compartir con cualquier persona, mientras que la clave privada se mantiene en secreto.
Los mensajes se cifran con la clave pública del destinatario y solo pueden ser descifrados con su clave privada correspondiente.
PGP es más conocido por su capacidad para encriptar correos electrónicos —asegurando que solo el destinatario previsto pueda leerlos—, pero también se puede utilizar para encriptar archivos y otras formas de datos digitales.
vía ProtonMail
La historia de un enfrentamiento legal
Zimmermann explicaba, años más tarde, la razón que le movió a desarrollar su aplicación:
"Es personal. Es privado. No le incumbe a nadie más que a ti. Puede que estés planeando una campaña política, discutiendo tus impuestos o hablando con un amor secreto. O puede ser que te estés comunicando con un disidente político en un país represivo. Sea como fuere, no quieres que tu email privado o tus documentos confidenciales sean leídos por nadie más. No hay nada de malo en reivindicar tu privacidad".
"La información de aquellas personas que no son sospechosas de cometer crímenes no debe ser recopilada y guardada en una base de datos".
Una reivindicación que no está nada de actualidad hoy en día por estos lares. No, para nada.
La historia de PGP comienza en 1991, cuando Zimmermann, un ciudadano estadounidense de 37 años, lanzó la aplicación en respuesta a la propuesta de la Ley 266 del Senado de EE. UU, que planteaba obligar a los fabricantes de equipos de comunicaciones seguras a incorporar puertas traseras en sus productos, lo que representaba una amenaza (o, más bien, una anulación) de la privacidad y la seguridad de las comunicaciones.
En seguida, nuestro protagonista y su creación se vieron implicados en problemas legales. Pocos meses después de su lanzamiento, en 1992, RSA Security demandó a Zimmermann por haber violado, presuntamente, sus patentes en el desarrollo de PGP.
Sin embargo, el mayor problema llegó de la mano de la difusión gratuita del programa a través de Internet —por aquel entonces, un canal de comunicación aún minoritario para el gran público—, pues violaba las leyes de exportación de EE.UU. Concretamente, la relativa a la exportación de armamento.
Espera, ¿qué?
Como lo lees: las International Traffic in Arms Regulations (ITAR) clasificaban el cifrado fuerte como "arma", colocándolo en la misma categoría que cualquier otra tecnología militar.
Y es que las autoridades estadounidenses estaban preocupadas por el hecho de que la tecnología de cifrado desarrollada en EE.UU. pudiera ser utilizada por enemigos extranjeros para proteger sus comunicaciones contra la CIA y el resto de las agencias estadounidenses.
Como resultado, la exportación de cualquier forma de cifrado fuerte, incluido PGP, requería una licencia del Departamento de Estado. En resumen: Zimmermann había violado las ITAR, y fue sometido a una investigación penal por parte del gobierno de EE.UU.
El caso de Zimmermann se convirtió en un foco de debate sobre el control del cifrado y la libertad de expresión. Y los amigos y aliados de Zimmermann decidieron agudizar el ingenio y poner en práctica una solución creativa a su problema: decidieron exportar no el binario del software, sino su código fuente.
¿No puede ser tan fácil, no? ¿Acaso el código fuente no es tan 'software' como los binarios compilados? Ah, pero la genialidad es que optaron por imprimir dicho código fuente, y exportarlo en formato de libro…
…cuya libre distribución está protegida por las normas estadounidenses como libertad de expresión. Así, el libro fue llevado físicamente fuera del país, eludiendo las restricciones de exportación de software, y se reimprimió en Europa, donde el código fuente se digitalizó, se recompiló y se distribuyó nuevamente como software.
La decisión de Zimmermann y sus colaboradores de utilizar un libro para difundir su software fue no sólo una astucia legal (que permitió, a partir de ese momento, la libre distribución global de PGP), sino también un inteligente acto de protesta que planteó preguntas fundamentales sobre la regulación del software y la libertad de expresión en los comienzos de la nueva era digital.
No es que supusiera la absolución inmediata de Zimmermann, claro: éste llegó a ingresar en prisión, donde tuvo ocasión de conocer al astrónomo Carl Sagan (el de la serie 'Cosmos' original), al actor Martin Sheen (el Presidente Bartlet de 'El Ala Oeste') y al soplón de los Papeles del Pentágono, Daniel Ellsberg. Los habían arrestado por haber invadido el centro de ensayos nucleares de Nevada.
Pero, finalmente, el caso contra Zimmermann se desestimó en 1996 sin cargos, en parte debido a la presión pública y al creciente reconocimiento de que el cifrado era una herramienta vital para la privacidad personal. En los años siguientes, las regulaciones sobre la exportación de software de cifrado se relajaron significativamente.
E-mail cifrado con (Open)PGP, antes de ser sometido al descifrado
PGP se hizo de pago, pero su tecnología de encriptación es muy libre
Pero PGP era una aplicación gratuita, no 'open source'. De modo que, en 2010, la compañía de ciberseguridad Symantec adquirió PGP Corp., y el programa se convirtió en una solución de pago. ¿Cómo? ¿Tanta historia con el activismo y las libertades públicas para acabar así?
Bueno, no exactamente: en 1997, el propio Zimmerman envió una propuesta de estándar al Internet Engineering Task Force para crear un protocolo compatible con PGP, pero disponible para otros programas de cifrado, que podrían así interactuar con las claves generadas por el original. A aquello se le denominó OpenPGP.
Y sobre la base de ese estándar, Werner Koch creó dos años más tarde, en 1999, GnuPG (Gnu Privacy Guard), una alternativa libre a PGP que los usuarios pueden descargar, modificar, distribuir y usar para cifrar/descifrar archivos. Hoy en día, es la solución compatible con PGP de uso más extendido.
Además, en los últimos años, varios servicios de correo electrónico populares han integrado compatibilidad con OpenPGP, lo que facilita a los usuarios enviar y recibir correos electrónicos cifrados. Entre esos servicios destacan algunos enfocados en la privacidad, como:
- ProtonMail: Los usuarios pueden enviar correos electrónicos cifrados a destinatarios que no usan ProtonMail, y también pueden importar sus propias claves PGP.
- Tutanota: Aunque usa su propia solución de cifrado, es compatible con estándares de cifrado como PGP para comunicarse con usuarios fuera de la plataforma de Tutanota.
- Mailfence: Ofrece integración directa con OpenPGP. Permite a los usuarios gestionar sus claves PGP dentro del servicio, facilitando el envío de correos electrónicos cifrados a cualquier usuario, independientemente de si utilizan Mailfence o no.
Además, recurriendo a complementos (plugins, extensiones, etc.), el poder de la criptografía puede llegar a muchos otros clientes de e-mail, aún más populares, como:
- Gmail: los usuarios pueden implementar PGP en Gmail utilizando extensiones de navegador como Mailvelope o Flowcrypt. Estas extensiones permiten gestionar las claves PGP y cifrar/descifrar correos electrónicos directamente en la interfaz web de Gmail.
- Outlook: MS Outlook no tiene soporte nativo para PGP, pero se puede integrar con PGP utilizando complementos o software adicional. Herramientas como Gpg4win (con su componente GpgOL) permiten utilizar PGP en clientes de Outlook.
Imagen | Marcos Merino mediante IA
Ver 7 comentarios