Defectos del protocolo PGP:

Esta semana trataré el protocolo PGP, el cual se encarga de la firma digital en los mensajes de correo electrónico. Su objetivo final es la seguridad, para que así la persona que recibe el correo que le enviamos, tenga la certeza de que se lo hemos mandado nosotros y que no está alterado. Pero pese a todo, este protocolo deja mucho que desear, por una serie de defectos, que son los que indicaré a continuación.

Enumeración de los defectos del protocolo PGP:

  1. El primer problema es que no es una herramienta sencilla o que pueda estar al alcance de la mayoría, porque PGP es conceptualmente difícil y además no ofrece una versión en español (válida para Windows).
  2. Muchas veces sucede que el mensaje es auténtico pero la firma digital no puede ser comprobada satisfactoriamente por problemas técnicos. Los caracteres especiales (acentos, eñes, etc), los sistemas de codificación del mensaje y los diferentes programas de correo pueden descabalar la firma digital, de forma que parece un mensaje falso, sin serlo realmente.
  3. Por otro lado, el uso de PGP impone ciertas exigencias o limitaciones. Por ejemplo, la firma digital de PGP es incompatible con los mensajes en formato HTML: La firma digital rompe esa estructura y lo que se transmite finalmente es un mensaje sin el formato original.
  4. Otra cosa: PGP exige que las líneas del mensaje tengan un tamaño limitado (normalmente inferior a 80 caracteres). El usuario no tiene que preocuparse de hacer las líneas cortas, porque el PGP se encarga de "fragmentarlas" automáticamente. Pero al final esto genera nuevos problemas. Por ejemplo, si queremos poner una URL de 96 caracteres el receptor la recibirá rota en dos trozos:
    1. http://www.mcafee-at-home.com/international/spain/products/pgp-personal-sec
    2. urity/default.asp?M=6
      Así, el receptor que pinche en esa dirección no podrá acceder a la página que queríamos sugerirle; y tendrá que percatarse de cual es el error para recomponer las 2 líneas e introducir el resultado en el navegador, manualmente.
  5. Finalmente, PGP no resuelve los problemas de autentificación e integridad que pretende solventar. Puesto que la firma digital va dentro del cuerpo del mensaje, no salvaguarda muchos otros problemas del correo. Así, un usuario podría coger un mensaje auténtico (recibido) y reenviarlo a otra persona o grupo, sin autorización del autor original... y manteniendo la firma digital original, siempre que el cuerpo del nuevo mensaje sea idéntico al recibido. Y además, es posible modificar el título (asunto, tema o subject) del mensaje, lo cual puede resultar determinante... y PGP no detecta esa alteración no autorizada.

Resumiendo, respecto a la autentificación de mensajes, PGP es demasiado difícil para la mayoría de usuarios; añade problemas nuevos (como las líneas cortas); no soluciona totalmente ninguno de los problemas e inseguridades del correo electrónico, porque las inseguridades son intrínsecas al protocolo SMTP encargado de gestionar el correo. Así pues, no se llegará a una situación de seguridad razonable, en tanto no se modifique ese protocolo SMTP.

 

Imprimir
Hacer Página de Inicio
Volver al Indice