Antes, el cifrado sólo se consideraba necesario para cosas _muy_ confidenciales. Tu banco, páginas gubernamentales, sitios restringidos... Sin embargo, a medida que Internet ha ido creciendo, cada vez se han ido extendiendo más las páginas seguras. Por poner un ejemplo, cuando se lanzó Gmail, lo normal era conectarse sin ningún tipo de protección. Ahora, ya no sólo funciona sólo con HTTPS sino que hasta el buscador, que no suele tener tanta información confidencial, usa conexiones seguras por defecto.
¿Por qué este empuje? Por una parte, al trasladar cada vez más nuestra vida e información a Internet, tenemos que protegernos de posibles atacantes. Pero por otra, las filtraciones sobre la NSA revelan un gran atacante global con el que no se contaba. Por eso mismo, la IAB ha hecho una propuesta bastante rompedora: que cifremos por defecto todo el tráfico de Internet.
Antes de nada: ¿qué es la IAB? Es una entidad algo desconocida pero bastante importante: es la que está detrás de órganos como la IANA (Internet Assigned Numbers Authority) o la IETF (Internet Engineering Task Force), y también la encargada de editar los RFC, las especificaciones sobre protocolos de Internet. Aunque no tenga una autoridad real, es un órgano de referencia en Internet.
Y lo que propone no es nada sencillo. Es todavía más radical que la propuesta para hacer de HTTP 2.0 un protocolo cifrado, ya que incluiría no sólo HTTP sino cualquier tipo de protocolo que viaje a través de Internet.
Para ello necesitarían que desarrolladores y administradores se pusiesen manos a la obra. Y es que no sólo estamos hablando de cosas como poner HTTPS en las páginas web, sino también dejar de usar protocolos inseguros, como FTP o SMTP; o cifrar tráfico entre servidores propios, como están haciendo algunas empresas.
Si se lleva a cabo esta propuesta, los usuarios tendríamos más privacidad y seguridad, y evitaríamos que se usase Internet como fuente de información ilimitada por parte de ciertas agencias sin escrúpulos. Pero no todo es tan bonito.
Las dificultades y desventajas de cifrarlo todo
El primer problema es que enviar datos cifrados suele ser más lento que hacerlo sin cifrar. Normalmente, para cifrar datos se necesita información y hacer un _handshake_ o saludo entre los dos ordenadores que se conecta, lo que implica más paquetes que enviar y esperar y más tiempo hasta establecer una conexión. De hecho, es lo más relevante: en CPUs modernas, la diferencia entre cifrar un dato o no hacerlo es insignificante. Puede influir cuando estamos hablando de miles o millones de datos a cifrar, pero en general no es una preocupación.
También está la parte técnica, por supuesto. No siempre es fácil desarrollar programas que se comuniquen de forma segura. Un ejemplo rápido: los fallos de seguridad de Whatsapp, una empresa con cientos de millones de usuarios a la que le ha costado conseguir un nivel de seguridad decente.
Y hay otra parte a tener en cuenta, que es cómo diseñamos una infraestructura para soportar todo un Internet cifrado. Pensad en HTTPS, que necesita entidades certificadoras (las CA) para que nadie pueda suplantar a un servidor seguro. Sobre el papel suena bien, pero sufre de fallos si esas entidades certificadoras no son de plena confianza: no sería la primera vez que alguien obtiene certificados fraudulentos a través de entidades estatales (China, por ejemplo), atacadas o que cometen fallos al procesar peticiones. No sería fácil encontrar un sistema infalible que valga para algo tan ambicioso.
Desde luego, lo que propone la IAB es todo un reto, tanto a nivel de implementación como de diseño. También requiere un cambio de mentalidad: como veíamos antes con el ejemplo de Whatsapp, para muchas _startups_ la seguridad es algo secundario y no una característica imprescindible que haya que tener en cuent siempre.
Pero por otro lado, es hacia donde se está moviendo todo: más cifrado, más seguridad y más privacidad. Tiene sentido que la IAB haga esta propuesta, la cuestión es cuándo se llevará a cabo.
Imagen | Intel Free Press
Ver 5 comentarios
5 comentarios
melibeotwin
En teoría ayuda a posicionar en los buscadores.
darkyshadow
Cifrar el canal no el contenido, es un reto mucho mas grande de lo que parece...
Implicaria cambios muy profundos en como se estructura internet ahora.
Y habría que renovar casi todo el hardware de red para que fuera de verdad funcional
fdavidcl
Bueno, a ver, la mayor parte de internet trabaja sobre HTTP. HTTP/2 está basado en gran medida en el protocolo SPDY del proyecto Chromium, y aunque vaya cifrado es mucho más rápido que HTTP/1.x. SPDY compensa la latencia del handshake TLS con la compresión de datos y funcionalidades como las sesiones (conexiones persistentes) y "server push". Los demás protocolos también deberán evolucionar para compensar las latencias del cifrado, pero creo que es posible.
Sí que es cierto que la gestión de los certificados para las conexiones cifradas será un tema delicado. Y la migración a los nuevos protocolos que vayan saliendo de aquí será lenta, pero por ejemplo Google y Twitter ya han implementado HTTP/2 experimentalmente, así que el cambio hacia lo que propone la IAB ya ha empezado :)