PGP está en una encrucijada. A la ruptura de la comunidad, con dos estándares incompatibles, se une ahora un aumento de las críticas sobre el protocolo en sí. Sería absurdo no reconocer todo lo que le debemos a esta herramienta, que permitió acercar el cifrado moderno a la comunidad. Pero han pasado más de treinta años desde su nacimiento, y el mundo de la seguridad ha cambiado radicalmente.
Las críticas al protocolo OpenPGP y su filosofía tienen más de una década. Hace demasiadas cosas para hacerlas todo lo bien que sería necesario. Es un protocolo excesivamente complejo, lo que lo hace propenso a errores. Y finalmente, reconozcámoslo, es difícil de entender y de usar bien. De esto último puedo dar fe tras más de una década usándolo en las prácticas de mis asignaturas en la Universidad de Jaén. Esto ha hecho que tome fuerza una corriente que aboga por dejar el protocolo, agradecerle los servicios prestados, y pasar página, en favor de herramientas más simples, más modernas, y menos propensas a errores. El último clavo en el ataúd fue la aparición de la web pgp.fail a principios de este año (actualmente parece que ha desaparecido), poniendo de manifiesto múltiples problemas de seguridad, a distintos niveles, en las implementaciones de referencia del protocolo (GnuPG y Sequoia-PGP).
Este mazazo a la credibilidad del protocolo PGP llega en plena batalla entre GnuPG y Sequoia-PGP, derivada del proceso de modernización del protocolo OpenPGP, para actualizar la última versión del estándar (RFC 4880). El resultado ha sido que GnuPG, escrita en C, y de largo la implementación de PGP más usada (por ahora), no ha aceptado el nuevo OpenPGP (RFC 9580), y ha hecho su propia actualización, denominada LibrePGP, e incompatible con la otra. El otro contendiente es Sequoia-PGP, escrita en Rust, pero mucho menos madura que la anterior. Diversos actores en la industria están tomando partido por una u otra. Y esto no es una buena noticia.
En medio de toda esta polémica he decidido actualizar el capítulo sobre PGP del libro. Espero poder publicar pronto la versión actualizada. Por mi parte, he actualizado mi clave PGP (se puede descargar de keys.openpgp.org) y voy a incorporar una firma adicional con minisign a las nuevas actualizaciones del libro.
No hay comentarios:
Publicar un comentario