Menú principal

sábado, 19 de julio de 2014

Apple cifrará con TLS el intercambio de e-mails en iCloud

Apple ha decidido dar un paso adelante para aumentar la seguridad del servicio de correo electrónico iCloud añadiendo cifrado extremo a extremo para los mensajes enviados desde me.com e icloud.com. El cambio de Apple, viene por la presión que tienen las grandes empresas, especialmente las que disponen de servicios de correo electrónico. El objetivo que se marcó Apple es cifrar los datos en tránsito tanto como sea posible para dificultar a las agencias de inteligencia, como la NSA que puedan obtener la información, al menos públicamente.

En otras palabras, agencias como la NSA disponen de la capacidad de recopilar grandes cantidades de datos sin cifrar. Algunos proveedores de correo electrónico, como por ejemplo Google o Microsoft, han estado utilizando el cifrado TLS desde hace tiempo. Apple ha decidido utilizar TLS, Transport Layer Security, para llevar a cabo el cifrado en la capa de transporte cuando un mensaje es enviado entre servidores de correo de Apple iCloud y Me.com

Lo que es cierto es que existen ciertos problemas debido a la naturaleza de la criptografía de clave pública que sustenta a TLS. Ambas partes, es decir tanto servidor que envía como servidor que recibe deben utilizar este mecanismo para conseguir que los mensajes permanezcan ilegibles por terceros que tengan la capacidad de interceptar dicho tráfico.

Figura 1: Funcionamiento del túnel TLS cifrado entre dominios de iCloud

Lo que es algo que, a priori, puede parecer lógico y sencillo de montar tiene sus problemas. Generalmente, los usuarios pueden utilizar distintos proveedores de correo electrónico, por lo que para que un servidor de Apple pueda cifrar el tráfico en tránsito con el servidor de correo electrónico de otro proveedor puede suponer algún que otro problema. Entonces, los mensajes enviados desde iCloud para servidores de correo de otros proveedores sin soporte TLS son entregados sin cifrar.

Funcionamiento TLS

El protocolo TLS proporciona una capa de seguridad a los paquetes que se envían en la capa de transporte. Para ello se debe crear este canal seguro, por lo que existe una fase de intercambio de mensajes entre los servidores, extremo a extremo, para poder fijar el canal seguro.

El primer mensaje enviado es quién inicia la comunicación. Mediante el envío de un mensaje ClientHello se especifica un listado de cifrados, métodos de compresión disponibles por parte del cliente. Además, se añade la versión del protocolo más alta conocida y unos bytes aleatorios, los denominados Challenge de cliente o desafío. El servidor responde con un ServerHello, en el que el servidor elige ciertos parámetros de conexión, en función de lo que haya expuesto el cliente en el mensaje previo. Cuando estos parámetros son conocidos, cliente y servidor intercambian certificados, actualmente del tipo X.509.

Figura 2: Negociación de desafío

En este punto, tanto cliente y servidor negocian la clave secreta, la cual es denominada master secret. La clave secreta se engloba dentro de la criptografía simétrica. Generalmente, esta master secret se envía cifrándola con una clave pública del destinatario y enviándola. Al llegar la clave secreta es descifrada con la clave privada del receptor. En otras ocasiones se puede utilizar el algoritmo de intercambio de Diffie-Hellman para distribuir la clave secreta. Los datos restantes referidos a claves se derivan a partir del master secret. Ahora, ambos extremos disponen de la información necesaria para poder enviar información de manera segura extremo a extremo. Para mayor detalle se puede consultar los RFC pertenecientes a TLS:
Ejemplo técnico 1: Envío entre proveedores con soporte TLS

A continuación hablamos de un ejemplo en el que el usuario alice@me.com envía un correo a bob@mac.com. Ambos usuarios tienen un correo electrónico perteneciente a Apple y el correo electrónico será enviado entre servidores de la compañía con soporte TLS. Cuando Alice genere el correo electrónico y lo envíe el servidor de correo saliente realizará la generación de la comunicación segura con el servidor de correo entrante, también puede ser conocido como destino. El escenario quedaría como el siguiente:

El servidor me.com realiza el ClientHello como se explicó anteriormente hasta lograr el conocido como "Encrypted TLS Tunnel". Todo el contenido del correo electrónico circula por dicho túnel y se encuentra protegido. Esto es importante para que ninguna corporación o propietario de elementos de red que haya en medio en el camino pueda interceptar los mensajes o saber del contenido de los correos electrónicos.

Ejemplo técnico 2: Envío entre proveedores con y sin soporte TLS

En el sencillo, y altamente probable, caso de alice@me.com envíe un correo electrónico a un amigo, joshua@mailnoseguro.com, que tenga como proveedor de correo electrónico la empresa ficticia mailnoseguro.com no se podrá llevar a cabo la protección del canal cuando el correo salga del servidor de me.com. En este caso puede haber interceptación de correos electrónicos por entidades con el poder para colocarse en medio, o simplemente porque el tráfico pasa por ellos.

Conclusiones

Esta medida ha sido la última de una serie de modificaciones técnicas y declaraciones públicas de Apple para conseguir que el público quite el foco sobre que los correos electrónicos de los usuarios de Apple es visualizado por agencias de inteligencia. La sombra de que Apple ha cooperado con el gobierno de los EEUU ha hecho daño en la imagen internacional de la compañía. Apple sigue anunciando que la privacidad para ellos es algo prioritario, y que sus usuarios utilizan el hardware y software más seguro del mundo, pero los hechos constatados hacen pensar que esto no es así al cien por cien.

Figura 3: Porcentaje de correos entrantes y salientes de iCloud

Google ha puesto a disposición de los usuarios un sitio web dónde se puede visualizar el porcentaje de correos electrónidos entrantes y salientes que se canalizan a través del propio Gmail u otros proveedores, por ejemplo iCloud. En la siguiente imagen se puede visualizar los números pertenecientes a iCloud. Los datos que se arrojan desde este sitio web es que los usuarios están siendo protegidos mediante la implementación de TLS en sus servidores.

Las gráficas sobre iCloud indican que desde hace una semana casi todo el correo electrónico entrante y saliente se encuentra cifrado. Esto es un cambio respecto a lo que Google publicó a principios de verano, dónde se mostró que casi ninguno de los correos entrantes y saliente de los dominios de Apple se cifraban.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares