Ir al contenido

Cryptocat

De Wikipedia, la enciclopedia libre
Cryptocat
Información general
Tipo de programa Comunicación Segura
Desarrollador Nadim Kobeissi
Lanzamiento inicial 19 de mayo de 2011
Licencia GNU General Public License
Idiomas Multilenguaje
Información técnica
Programado en JavaScript
Versiones
Última versión estable 2.0.37 (info) ( 11 de febrero de 2013 (11 años, 9 meses y 18 días))
Última versión en pruebas 3.1.2411 de mayo de 2016
Enlaces

Cryptocat fue una aplicación web libre destinado a permitir conversar en línea de forma cifrada y segura.[1][2]​ Cryptocat cifra las conversaciones (chats) en el lado del cliente (usuario), confiando solo en el servidor con datos ya cifrados. Cryptocat se ofrece como una aplicación para GNU/Linux y MacOS, como una extensión para los navegadores Mozilla Firefox, Google Chrome,[3]​ y Apple Safari.

Cryptocat proporciona un medio para comunicaciones cifrado interrumpido, proporcionando mayor privacidad que servicios como Google Talk, al mismo tiempo que mantiene un nivel más de accesibilidad que otras plataformas de cifrado de alto nivel,[4][5]​ y además permite múltiples usuarios en una sala de chat.[6]

Historia

[editar]

Fue lanzado como una aplicación web en mayo de 2011. Al siguiente año, en junio, el desarrollador y creador fue detenido en la frontera de Estados Unidos y fue cuestionado sobre su aplicación.[7]​ En junio de 2013 el investigador Steve Thomas descubrió un bug de seguridad que se podía usar para desencriptar mensajes de grupos enviados entre septiembre de 2012 y abril de 2013.[8]​ Sin embargo, los mensajes privados entre individuales no se veían afectados, el problema fue resuelto en un mes con una actualización de seguridad e informando a los usuarios sobre las conversaciones que fueron comprometidas.[9]

En febrero de 2014 una auditoría de seguridad de la firma iSec Partners criticó el modelo de autenticación de Cryptocat como insuficiente,[10]​ los desarrolladores respondieron con una mejora en la autenticación de los usuarios y una mejora en la detección de ataques man-in-the-middle.[11]​ En el año 2016 el proyecto entró en suspensión,[12]​ para ser relanzado meses después con el código fuente completamente reescrito y una nueva aplicación para escritorio.[13]

Cómo funciona

[editar]

Cryptocat usa el protocolo Off-the-Record Messaging (OTR) para cifrar mensajes privados. A partir de que Cryptocat genera pares de llaves para cada conversación (chat), implementa un formulario confidencialidad directa perfecta (perfect forward secrecy ).[14]​ Cryptocat también puede ser utilizado de manera conjunta con Tor a fin de mantener anónima los detalles de conexión de cliente del servidor. El proyecto también planea crear una versión embebida o integrada para dispositivos Raspberry Pi.[15][16]

Arquitectura

[editar]

Usa un algoritmo Double Ratchet Algorithm y se establece una sesión segura con un handshake usando criptografía de curvas elípticas, una manera similiar de garantizar la seguridad como la usada por la aplicación Signal. El objetivo de Cryptocat es que sus mensajes obtengan confidencialidad, integridad, autenticidad de la fuente, seguridad e indistinguibilidad incluso a través de una red controlada por un atacante activo.[17]

Cryptocat utiliza el estándar de encriptación avanzada Galois/Counter para cifrado autenticado, Curve25519, Diffie-Hellman de curva elíptica, HMAC-SHA256 para derivación de clave y Ed25519 para firmar los mensajes. Para limitar el efecto de una clave comprometida, las claves a largo plazo se usan exclusivamente una vez para el intercambio de clave autenticado inicial, y una vez para firmar una preclave firmada de plazo intermedio generada recientemente.

Problemas de seguridad

[editar]

Versiones anteriores de Cryptocat fueron cuestionadas por no utilizar fuentes de entropía apropiadas.[18]​ De todas maneras, versiones más recientes se basan en la generación de números aleatorios incluida en los navegadores web.[19]

El desarrollador de Cryptocat Nadim Kobeissi fue arrestado e interrogado en la frontera de Estados Unidos por el Departamento de Seguridad Nacional de los Estados Unidos en junio de 2012 sobre la resistencia a la censura.[6]​ Y difundió el incidente en Twitter; lo que provocó cobertura de los medios y un incremento en la popularidad de Cryptocat.[20][21]

El 2013, la red de Cryptocat migró a Bahnhof, el proveedor de alojamiento web sueco conocido por estar construido en el interior de un refugio antinuclear de la Guerra Fría.[22]

Véase también

[editar]

Referencias

[editar]
  1. Dachis, Adam (9 de agosto de 2011) Creates an Encrypted, Disposable Chatroom on Any Computer with a Web Browser. Lifehacker. Consultado el 8 de abril de 2012
  2. Giovannetti, Justin (4 de febrero de 2012). [https://web.archive.org/web/20120206195256/http://montreal.openfile.ca/blog/curator-blog/exclusive/2012/encrypted-messages-chatting-safely-cryptocat Archivado el 6 de febrero de 2012 en Wayback Machine.. OpenFile. Consultado el 8 de abril de 2012
  3. «Cryptocat on the Chrome Web Store». Chrome.google.com. Archivado desde el original el 15 de junio de 2012. Consultado el 28 de julio de 2012. 
  4. Greenberg, Andy (27 de mayo de 2011). «Crypto.cat Aims To Offer Super-Simple Encrypted Messaging». Forbes. Consultado el 8 de abril de 2012. 
  5. Curtis, Christopher (17 de febrero de 2012). «Free encryption software Cryptocat protects right to privacy: inventor». Montréal Gazette. Archivado desde el original el 19 de febrero de 2012. Consultado el 8 de abril de 2012. 
  6. a b «Nadim Kobeissi creator of a secure chat program has freedom in mind» (en inglés). The New York Times. 28 de noviembre de 2017. 
  7. «Detaining developer at US border increases Cryptocat popularity» (en inglés). Forbes. 28 de noviembre de 2017. 
  8. «Decryptocat» (en inglés). Tobtu. 28 de noviembre de 2017. 
  9. «New critical vulnerability in Cryptocat details» (en inglés). Crypto.cat. 28 de noviembre de 2017. Archivado desde el original el 5 de julio de 2013. 
  10. «iSec Cryptocat iOS» (en inglés). GitHub. 28 de noviembre de 2017. 
  11. «Recent audits and coming improvements» (en inglés). Crypto.cat. 28 de noviembre de 2017. Archivado desde el original el 15 de octubre de 2014. 
  12. «How the US fights encryptionland also helps develop it» (en inglés). The Wall Street Journal. 28 de noviembre de 2017. 
  13. «Cryptocat Release Announcement» (en inglés). Crypto.cat. 28 de noviembre de 2017. Archivado desde el original el 22 de diciembre de 2016. Consultado el 2 de enero de 2018. 
  14. "Cryptocat Protocol Specification"
  15. Knowles, Jamillah (3 de marzo de 2012). «Raspberry Pi network plan for online free-speech role». BBC News. Consultado el 8 de abril de 2012. 
  16. Kirk, Jeremy (14 de marzo de 2012). «Cryptocat Aims for Easy-to-use Encrypted IM Chat». PCWorld. Archivado desde el original el 17 de diciembre de 2012. Consultado el 8 de abril de 2012. 
  17. «Cryptocat Axolotl Implementation» (en inglés). GitHub. 28 de noviembre de 2017.  (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
  18. "JavaScript crypto in the browser is pointless and insecure."
  19. «Mozilla Developer Network: Random Values» (en inglés). Mozilla.org. 28 de noviembre de 2017. 
  20. Jon Matonis (18 de abril de 2012). «Detaining Developer At US Border Increases Cryptocat Popularity». Forbes. Consultado el 28 de julio de 2012. 
  21. «Developer's detention spikes interest in Montreal's Cryptocat». Itbusiness.ca. 8 de junio de 2012. Consultado el 28 de julio de 2012. 
  22. Nadim Kobeissi. «Cryptocat Network Now in Swedish Nuclear Bunker». Archivado desde el original el 7 de abril de 2013. Consultado el 9 de febrero de 2013. 

Enlaces externos

[editar]