En un principio, parece una contradicción. Entre los expertos en seguridad, la idea es un sacrilegio. Simplificar los procedimientos de cifrado de modo tal que sean más fáciles de usar en un entorno general puede llevar a una pérdida de seguridad, pero el desarrollador de la extensión MiniLock no cree que esto deba ser así. En teoría, todo lo que se necesita es arrastrar archivos y usar una “frase” para cifrar el contenido, aunque su concepto está siendo muy resistido…
Con la NSA espiando hasta debajo de las piedras y los ciberataques multiplicándose, todos sabemos (de una forma u otra) que la criptografía es una aliada. Aún así, tiene un problema: Es definitivamente “anti-usuario”. La historia nos dice que Edward Snowden creó un tutorial de 12 minutos para que los periodistas instalen PGP, y ni siquiera eso fue suficiente. La criptografía es segura, pero también demanda la asimilación de una gran cantidad de conocimiento en poco tiempo, lo que afecta directamente sus niveles de adopción. No es la primera vez que escuchamos hablar sobre métodos para simplificar el cifrado de datos, y no será la última. Sin embargo, la comunidad se preocupa, y tiene razones de sobra. Una mala implementación combinada con una falsa sensación de seguridad podría ser catastrófica.
En los últimos días la Web ha visto circular a algo llamado MiniLock, una creación de Nadim Kobeissi. Los conceptos de clave pública y privada son bien conocidos, pero la diferencia más importante está en que MiniLock deriva ambas claves de una “frase” que el usuario debe recordar. Se recomienda que tenga más de 30 caracteres, y que use la mayor cantidad posible de símbolos especiales. Con esto se elimina la necesidad de administrar claves o generar nuevas cuentas. La clave pública es transformada en un “MiniLock ID”, mientras que la clave privada real es desconocida para el usuario. El MiniLock ID es corto, lo suficiente como para entrar en un tweet, haciendo más sencilla su transmisión.
Kobeissi planea presentar la especificación de MiniLock en la próxima conferencia HOPE X, que se llevará a cabo entre el 18 y el 20 de julio. Por otro lado, se calcula que deberá enfrentar una tremenda oposición: Si hacemos un poco de memoria, Kobeissi es el creador de Cryptocat, una extensión para mantener conversaciones seguras en el navegador. Lo cierto es que las versiones iniciales de Cryptocat tuvieron varios inconvenientes, y desde entonces, la comunidad de expertos ve más a Kobeissi como “mediático”, y no como alguien que domina la criptografía. De hecho, la ha pasado bastante mal en Reddit. Algunos creen que los bits de entropía en MiniLock no serán suficientes. Otros que derivar ambas claves de una frase instala un vector para ataques offline. Kobeissi tiene once días por delante para preparar todo… y eso incluye algo similar a un sitio oficial.