Hoy en nuestra sección Security Chrome Add-Ons (SCADs), os presentamos el plugin de Google Chrome para la aplicación Cryptochat.
¿Qué es?
Cryptochat es una aplicación web open source, que te permite llevar a cabo conversaciones de chat cifradas (AES-256) de hasta 21 usuarios en cualquier Sistema y/o dispositivo, pues es compatible con Android, iPhone y Blackberry.
Además, la aplicación esta preparada para integrarse con TOR, por lo que además de proporcionar "confidencialidad", al usarla junto a TOR, añadiríamos "Privacidad/Anonimato".
¿Cómo funciona?
Una vez creada la sala, se generara una contraseña "secreta" que será la llave para cifrar los mensajes, esta será totalmente transparente al usuario. Cada usuario accede a la sala mediante la introducción del nombre de la sala creada, y se le asigna una huella (Fingerprint) para su identificación.
El cifrado de las conversaciones se realizan en lado del navegador, utiliza las librerías ( crypto-js) para realizar las tareas de cifrado, además cada mensaje esta sometido a controles de integridad, todo ello realizado en el propio navegador, de modo que la conversación se origina cifrada en el propio navegador web del usuario, evitando que la interceptación de las comunicación entre el navegador y el servidor web, puedan comprometer la información del mensaje.
Si esto fuera poco, la comunicación entre el servidor web y el navegador utiliza HTTPS, cifrando a su ves la comunicación con SSL.
¿Que aporta el Plugins de Chrome?
Según el autor, la ventaja del add-ons radica en que los algoritmos de cifrado (scripts / librerías) son descargado una sola vez y se almacena en local, de forma que cada vez que se utilice cryptochat todo el proceso se origina en el navegador web local.
Además todas las conversaciones se eliminan de forma segura al cabo de 1 hora de inactividad. A continuación un vídeo del autor, que explica el funcionamiento.
Pruebas
En las pruebas que he realizado, para acceder a la sala basta con introducir el nombre de la SALA!, ¿Donde se pone/introduce la supuesta clave? (ver vídeo).
En este caso, si el nombre de la sala es muy evidente, por ejemplo: Testing. Cualquier persona que introduzca ese nombre al crear una sala accederá a la misma sala previamente creada, sin necesidad de ninguna clave adicional. Supongo, por un mensaje que aparece al acceder a Chat, que las clave son generadas automáticamente y de forma transparente para el usuario. El vídeo esta anticuado!, ahora para mantener secreto el acceso al chat, se debe proteger el nombre de la Sala!. Supongo e imagino que utilizará el nombre de la sala de chat, como semilla para la generación de la clave de cifrado de los mensajes.
En la nueva versión (si se le puede llamar así) del cryptochat se ha introducido un apartado donde se puede ver un "fingerprint" asociado a cada usuario, ¿Esto para que sirve? Es una forma de verificar la identidad del usuario que esta al otro lado! O al menos ese es el uso romántico del fingerprint, no? .. Esto no se explica en ningún lado.
En este caso, si el nombre de la sala es muy evidente, por ejemplo: Testing. Cualquier persona que introduzca ese nombre al crear una sala accederá a la misma sala previamente creada, sin necesidad de ninguna clave adicional. Supongo, por un mensaje que aparece al acceder a Chat, que las clave son generadas automáticamente y de forma transparente para el usuario. El vídeo esta anticuado!, ahora para mantener secreto el acceso al chat, se debe proteger el nombre de la Sala!. Supongo e imagino que utilizará el nombre de la sala de chat, como semilla para la generación de la clave de cifrado de los mensajes.
En la nueva versión (si se le puede llamar así) del cryptochat se ha introducido un apartado donde se puede ver un "fingerprint" asociado a cada usuario, ¿Esto para que sirve? Es una forma de verificar la identidad del usuario que esta al otro lado! O al menos ese es el uso romántico del fingerprint, no? .. Esto no se explica en ningún lado.
Por tanto, mi recomendación para crear sala de chat, sería utilizar un nombre de sala "robusto", se me ocurre utilizar un SHA1 o MD5 sobre el nombre que se te ocurra, y utilizarlo para generar la sala de chat! Ese valor de MD5 sería el que se tendría que proporcionar a los demás usuarios, y acceder al chat, introduciendo el MD5 en el momento de crear la sala.
Ejemplo:
Nombre: testingMd5 Hash: fa6a5a3224d7da66d9e0bdec25f62cf0
La aplicación advierte, que a pesar de proporcionar un nivel de cifrado robusto, no hay que olvidar que no sustituye a sistemas como GPG (implementación libre de PGP - OpenPGP), y que debe usarse con cuidado. (ver imagen).
Fuente: Kriptopolis
0 comentarios:
Publicar un comentario