Contra los posibles ataques destinados a averiguar qué se
dice en un mensaje de correo electrónico enviado mediante un
“remailer” y a quién se le dice, hay distintas medidas de
seguridad que se van uniendo.
En primer lugar el mensaje deberá cifrarse con la clave
pública del destinatario. Esto impide al atacante conocer el
texto, pero aún está a su disposición la cuenta
del destinatario y los datos de reenvío que se proporcionan al
“remailer”.
La solución está en cifrar, a su vez, todo el
mensaje, incluyendo las indicaciones al remailer, con la clave
pública de éste.
El “asunto” del mensaje es otro problema serio. Asumiendo que
todos los mensajes que entran y salen de un remailer están
siendo “monitorizados”, el "asunto" será una señal
inequívoca de identidad que delatará tanto al remitente
como al destinatario. Los remailers han solucionado esto modificando
automáticamente el campo del “asunto”.
El tamaño del mensaje es otro elemento característico
que permitirá identificarlo y, por tanto, que delatará
a los corresponsales. Contra esto existen varias técnicas de
defensa. En primer lugar el tiempo de “latencia”. Un mensaje que
entra en un remailer, no saldrá de él inmediatamente,
sino después de un tiempo determinado que los fisgones
desconocen. Otra variante del tiempo de latencia, es el “pool” o
depósito. Los mensajes son mantenidos en depósito, al
menos hasta que entra un número determinado de mensajes
nuevos, luego se elige alguno de los almacenados, al azar,
y se envía.
Aún así, el atacante tiene varias posibilidades de
solventar este inconveniente. Puede lanzar un ataque de denegación
de servicio, de forma que impida que ningún mensaje nuevo
entre en el pool hasta que éste esté vacío. Con esto
neutraliza los efectos del tiempo de latencia. También puede,
si el remailer ha tomado la precaución de no dar salida a
ningún mensaje hasta que otros nuevos entren, introducir en él
un número masivo de mensajes nuevos para provocar el vaciado
del pool. Aún mejor, puede interceptar el mensaje entrante que
quiere rastrear, a su entrada al remailer, y remitir un número
masivo de copias, esperando ver quién recibe, poco después,
un número igual de mensajes de similar tamaño. Los
remailers se defienden de estos ataques bloqueando el “span” o,
en el caso de las cuentas “nyms” (ya se verá qué
son) No dando salida a más de un mensaje con idéntica
“firma” cifrada.
El problema del tamaño también ha sido resuelto de
dos formas: añadiendo datos inútiles al mensaje para
modificar éste, o dividiéndolo en partes iguales
que sólo se unirán al final de la cadena, esto en el
supuesto de que se enlacen varios remailers.
Otro medio de aumentar la seguridad es, como se acaba de decir, el
enlace de varios remailers. Naturalmente, alguien interesado en
interceptar mensajes siempre tiene la posibilidad de creael suyo propio y cazar en él a sus víctimas como a conejos.
Al establecer una cadena de sucesivos remailer, el compromiso de uno
de ellos, no compromete la seguridad del mensaje. Éste viaja
cifrado, de forma anidada, con las claves públicas de todos
los remailers por los que ha de pasar de forma que, cada uno de ellos
sólo sabe de dónde le llegó y a dónde lo
ha de enviar, pero desconoce el origen real y el destino real, salvo
el último de la cadena que, naturalmente sabrá cual es
el destinatario final.
La primera aplicación que reunió todos estos
sistemas de defensa contra los ataques de análisis de tráfico
fue “Mixmaster”.
Los remailer de tipo Mixmaster cifran los mensajes con una triple
llave DES; mantienen una lista de mensajes enviados de forma que a
ninguno se le de salida más de una vez; enlazan,
sistemáticamente, varios remailers de forma que cada uno de
ellos sólo pueda conocer de dónde le llega cierto
mensaje y a dónde lo envía; y dividen los mensajes en
partes iguales de 10 Kb y cada una de estas partes las trata como
mensajes independientes que sólo se unirán al final de
la cadena. Además, el mensaje original también podrá
ser cifrado con la clave pública del destinatario de modo que,
ni aún el último remailer de la cadena, pueda conocer su
contenido.
Uso en Windows.
En Windows existen varios clientes de correo para uso del
protocolo Mixmaster. El que aquí se va a ver es, posiblemente,
el de más fácil uso y cuyo funcionamiento está
probado, también, en Windows Vista.
Antes de continuar es preciso volver a repetir que la proposición
Windows y seguridad, es una contradicción en los términos,
pero en materia de manejo de clientes de correo para los remailers de
tipo II (Mixmaster) y tipo III (Mixminion) Desgraciadamente, este
sistema operativo es el único que dispone de aplicaciones lo
suficientemente sencillas como para que estén al alcance de
cualquier usuario.
No obstante, la elección ha de hacerse sabiendo que la
seguridad de estas comunicaciones puede estar comprometida gravemente
desde el principio y, especialmente, en Windows
Vista, sobre todo teniendo en cuenta que la NSA, la
agencia estadounidense de espionaje, ha colaborado, según
informó el Washignton
Post, en su desarrollo.
Desde distribuciones Linux, naturalmente, también es
posible su uso, pero sólo desde línea de comandos y de
forma considerablemente menos intuitiva que en el caso Windows.
Pues bien, teniendo esto presente, pasamos a la instalación
y configuración del que nos parece el servidor de correo para
remailers de tipo II más sencillo de utilizar: Quick Silver.
El programa de instalación se baja desde esta página.
Terminada la descarga, bastará pinchar sobre el icono del
ejecutable para que comience la instalación. Ésta es
similar a la de cualquier programa para Windows, salvo que, en cierto
momento, la aplicación solicitará los datos de los
servidores de entrada y salida, pop y smtp, respectivamente. En
cualquier caso, los datos de estos servidores se podrán
cambiar posteriormente desde la opción herramientas (tools)
del menú.
No obstante, aquí sí debe hacerse alguna anotación.
En principio, para incluir un servidor de salida smtp, el programa
solicita un usuario, por ejemplo “theshadow@gmail.com”; un
Host, que en el caso del ejemplo sería: smtp.gmail.com; y
una contraseña, la propia de la cuenta de correo correspondiente
al servidor smtp.
Por alguna razón que se nos escapa pero que, posiblemente,
tenga que ver con los puertos de conexión, dato que el
programa no permite modificar, el envío con servidores de
gmail y otros, provoca errores y el mensaje no puede salir. Esto no
ocurre con cuentas de Yahoo, así que o se prueban distintos
servicios hasta que uno funcione o se utiliza un servidor de salida
de Yahoo.
Cuando el programa esté instalado, al abrirlo aparecerá
esta pantalla. Pulsando en “File” aparecerá un menú
con la opción “New” y dentro de ella “New mesage”
Pulsando en dicha opción aparecerá una
nueva ventana como la siguiente:
Se trata de la ventana en la que se escribirá el
mensaje y en la que aparece una cabecera por defecto. De ella, en
principio, lo único que habrá que asegurarse es que en
el campo Host, está el servidor de salida smtp que se
introdujo durante la instalación del programa.
En el campo “Chain” se escribirá, separados
con comas, los distintos remailers a través de los cuales
viajará el mensaje. En el caso del ejemplo lo que se ve son
asteriscos. Esto significa que el programa elegira ocho remailers, de forma aleatoria, de entre todos los que en
el momento del envío del mensaje, estén en
funcionamiento. El programa, antes de enviar el correo, actualizará
automáticamente, la lista de remailers que estén
funcionando.
Evidentemente, en el campo “To” habrá que
escribir la cuenta de correo del destinatario y, en el campo
“Subject”, el asunto del mensaje, si es que se quiere.
Ahora es importante recordar que, entre el final de la
cabecera y el inicio del texto del mensaje ha de dejarse una línea
en blanco.
Antes de enviar el correo, es posible ordenar su
cifrado con la clave del destinatario. Para eso Quick Silver tiene
una extensión que no se instala por defecto. Es necesario
actualizar el programa pulsando en la opción “Help” y, a
continuación, en “Updates”. Se abrirá, entonces, la
siguiente ventana:
En la lista que aparece buscaremos, sucesivamente, todo
lo que tenga que ver con PGP. Con un doble click del ratón
comenzará su descarga y su posterior instalación.
Con la extensión PGP instalada, será
necesario importar, usando el menú correspondiente, las claves
públicas de los destinatarios de los mensajes y nuestro propio
par de claves. Cuando esto esté hecho, antes de enviar el
mensaje, habrá que pulsar sobre el icono que aparece en la
venta de envío con un candado dibujado. A continuación,
al pulsar el botón de enviar (Send) se abrirá un
ventana con las distintas claves PGP disponibles para que
seleccionemos (doble click) La correspondiente al destinatario. A
partir de ese momento, comienza el envío del mensaje. Primero
el programa realizará el cifrado del texto, luego actualizará
la lista de remailers válidos, cifrará todo el mensaje
con las claves de los remailers elegidos y enviará el mensaje.
Por alguna razón que también se nos
escapa, en las ventanas que van apareciendo durante el envío
del mensaje, aparece una con la opción de chequear errores
marcada. Si no se quita la marca de esa opción, el envío
quedará abortado provocando al usuario serias dudas sobre su
capacidad intelectual y su cordura. Bien, parece ser que el problema,
como se acaba de decir, queda solucionado quitando la marca en la
casilla “Chek errors”.
Por fin, si todo se ha hecho correctamente, nuestro
mensaje comienza a viajar, convenientemente cifrado y despedazado en
trozos iguales, a lo largo de la cadena de remailers que le hayamos
indicado. Evidentemente, cuanto más larga sea esa cadena,
mayor será la seguridad del envío, pero,
desgraciadamente, también serán mayores las
posibilidades de que alguno de esos remailers haya dejado de
funcionar. En ese caso, el correo jamás llegará a su
destino. Si todo va bien, en uno o dos días, como máximo,
ha de llegar a la bandeja de entrada del destinatario.
Considero aconsejable, pese a este problema, que no se
utilicen cadenas inferiores a seis remailers y que, además, se
permita, mediante asteriscos, que el programa los elija
aleatoriamente.
Por último, hay que asegurar que el programa
funciona, por lo tanto, si en los primeros intentos se producen
errores o problemas, es recomendable la perseverancia y la aplicación
del método de ensayo y error.
En la próxima entrada, haremos referencia a la
instalación y uso de Mixmaster en Linux, concretamenteen
Ubuntu, para ocuparnos después de los remailers de tipo III.