Claves PGP falsas en Tails permitirían robar la identidad de desarrolladores

El sistema operativo Tails se hizo conocido tanto por ser utilizado por Edward Snowden, como por su funcionalidad orientada al anonimato, en tiempos en que la privacidad es una gran preocupación para todos.

Se han descubierto claves PGP falsas entre sus desarrolladores, lo que permitiría a un tercero acciones como leer y enviar correos con la identidad de un desarrollador. Curiosamente, estas credenciales fueron dadas de alta dos días después de la creación de otras credenciales PGP falsas, en ese caso de desarrolladores de TOR.

La tecnología PGP (o Pretty Good Privacy) consiste en una combinación de técnicas criptográficas que permiten tanto proteger la información manipulada en Internet como validar su autenticación. En palabras simples y a modo de ejemplo, el envío de un correo electrónico utilizando PGP permitirá tanto cifrarlo para protegerlo, como validar la identidad del emisor.

Ahora, ¿cómo funciona en detalle?

Pensemos nuevamente en el envío de un correo electrónico. El emisor cifrará el mensaje utilizando una clave aleatoria generada en el momento, válida para ser utilizada una sola vez. Además del mensaje cifrado, esta clave también será cifrada. En este proceso se utilizará la clave pública del receptor del mensaje (es necesario conocerla previamente). Las claves públicas suelen divulgarse; por ejemplo, las de los desarrolladores de Tails se encuentran disponibles en su sitio web.

Al recibir el mensaje y la clave, el receptor descifrará esta última utilizando su clave privada. Ya contando con ella, la utilizará para discifrarel mensaje y poder verlo como corresponde.

El descubrimiento de las claves falsas            

Recientemente Tails presentó su versión 1.0. Pero esta no ha sido la única noticia importante alrededor del sistema operativo: se ha hecho público en tor-talk (una de las listas de correos de Tor) el conocimiento de dos claves PGP falsas, vinculadas a direcciones de correo de desarrollador de Tails. Las claves son las siguientes:

EB24 9600 79A3 E2B9 3BFE 48B5 05F8 BB78 B38F 4311

C3BA A4BF E369 B2B8 6018 B515 0E08 AC78 06C0 69C8

Este incidente no es único del proyecto Tails, ya que, por ejemplo, también se descubrieron claves PGP de desarrollador falsas en el proyecto TOR. Y eso no es todo: hay un detalle más que llama la atención. Si se observa la fecha de creación de ambos grupos de claves, se podrá notar que fueron creadas con sólo dos días de diferencia. Además, el tiempo de vida de los dos es el mismo.

La utilización de una clave PGP falsa permitiría a un usuario malintencionado acceder a los beneficios de un desarrollador. Por ejemplo, podría enviar correos en ese papel y utilizar Ingeniería Social para obtener información sensible. Además, podría interceptar correo y descifrarlo (en caso de que el emisor utilice la clave falsa). Por todo esto, se recomienda no confiar en los correos con las claves falsas.