Cryptocat es una aplicación de escritorio de código abierto descontinuada destinada a permitir el chat en línea cifrado disponible para Windows , OS X y Linux . [2] Utiliza cifrado de extremo a extremo para proteger todas las comunicaciones con otros usuarios de Cryptocat. Los usuarios tienen la opción de verificar de forma independiente las listas de dispositivos de sus amigos y se les notifica cuando se modifica la lista de dispositivos de un amigo y todas las actualizaciones se verifican a través del descargador de actualizaciones incorporado. [3]
Autor (es) original (es) | Nadim Kobeissi |
---|---|
Desarrollador (es) | Nadim Kobeissi y colaboradores [1] |
Versión inicial | 19 de mayo de 2011 |
Repositorio | |
Escrito en | JavaScript |
Sistema operativo | Multiplataforma |
Disponible en | 3 idiomas |
Tipo | Comunicación segura |
Licencia | Licencia pública general GNU |
Sitio web | cripto |
Cryptocat fue creado por Nadim Kobeissi y desarrollado junto con una comunidad de colaboradores de código abierto y se publica bajo los términos de la licencia GPLv3 , aunque desde entonces ha sido descontinuado.
Historia
Cryptocat se lanzó por primera vez el 19 de mayo de 2011 como una aplicación web .
En junio de 2012, Kobeissi dijo que el DHS lo detuvo en la frontera de Estados Unidos y le preguntó sobre la resistencia a la censura de Cryptocat. Posteriormente, tuiteó sobre el incidente, lo que generó una cobertura mediática y un aumento en la popularidad del software. [4] [5]
En junio de 2013, el investigador de seguridad Steve Thomas señaló un error de seguridad que podría usarse para descifrar cualquier mensaje de chat grupal que haya tenido lugar usando Cryptocat entre septiembre de 2012 y el 19 de abril de 2013. [6] [7] Los mensajes privados no se vieron afectados y el error se había resuelto un mes antes. En respuesta, Cryptocat emitió un aviso de seguridad, solicitó que todos los usuarios se aseguraran de que se habían actualizado e informó a los usuarios que las conversaciones grupales anteriores pueden haberse visto comprometidas. [7]
En febrero de 2014, una auditoría de iSec Partners criticó el modelo de autenticación de Cryptocat como insuficiente. [8] En respuesta, Cryptocat realizó mejoras en la autenticación de usuarios, facilitando que los usuarios se autentiquen y detecten ataques de intermediarios . [9]
En febrero de 2016, citando la insatisfacción con el estado actual del proyecto después de 19 meses sin mantenimiento, Kobeissi anunció que desconectaría temporalmente Cryptocat y suspendería el desarrollo de su aplicación móvil, a la espera de una reescritura y relanzamiento completos del software. [10] En marzo de 2016, Kobeissi anunció el relanzamiento de Cryptocat, reescrito por completo como software de escritorio en lugar del software de aplicación web original, como una versión beta pública y la reanudación del servicio. [11] El nuevo enfoque centrado en el escritorio permitió a Cryptocat beneficiarse de una integración de escritorio más sólida, en un estilo similar al de Pidgin .
En febrero de 2019, se anunció que se suspendería Cryptocat. [12] A diciembre de 2019, el dominio cryptocat está a la venta y tiene enlaces al sitio para Wire messenger . [13]
Características
Cryptocat permite a sus usuarios configurar conversaciones de chat cifradas de extremo a extremo . Los usuarios pueden intercambiar mensajes uno a uno, archivos cifrados, fotos, así como crear y compartir grabaciones de audio / video. Todos los dispositivos vinculados a las cuentas de Cryptocat recibirán mensajes seguros de reenvío , incluso cuando estén desconectados.
Todos los mensajes, archivos y grabaciones de audio / video enviados a través de Cryptocat están encriptados de extremo a extremo. Los usuarios de Cryptocat vinculan sus dispositivos a su cuenta Cryptocat al conectarse, y pueden identificar los dispositivos de los demás a través del administrador de dispositivos del cliente para evitar ataques de intermediarios . Cryptocat también emplea un mecanismo de confianza en el primer uso para ayudar a detectar cambios en la clave de identidad del dispositivo.
Cryptocat también incluye un mecanismo de actualización automática incorporado que realiza automáticamente una verificación de firma en las actualizaciones descargadas para verificar la autenticidad, y emplea la fijación de certificados TLS para evitar ataques de suplantación de identidad en la red.
Originalmente en 2013, Cryptocat ofrecía la posibilidad de conectarse a Facebook Messenger para iniciar una conversación encriptada con otros usuarios de Cryptocat. [14] Según los desarrolladores, la función estaba destinada a ayudar a ofrecer una alternativa al modelo de chat habitual de Cryptocat, que no ofrecía listas de contactos a largo plazo. [15] Esta función se desconectó en noviembre de 2015.
Recepción y uso
En junio de 2013, el periodista Glenn Greenwald utilizó Cryptocat mientras estaba en Hong Kong para reunirse con el denunciante de la NSA Edward Snowden por primera vez, después de que otro software de cifrado no funcionara. [dieciséis]
En noviembre de 2013, Cryptocat fue prohibido en Irán , poco después de la elección del nuevo presidente de Irán, Hassan Rouhani, quien había prometido leyes de Internet más abiertas. [17]
Cryptocat fue incluido en la "Tarjeta de puntuación de mensajería segura" de Electronic Frontier Foundation desde el 4 de noviembre de 2014 hasta el 13 de marzo de 2016. Durante ese tiempo, Cryptocat obtuvo una puntuación de 7 de 7 puntos en la tarjeta de puntuación. Había recibido puntos por tener comunicaciones encriptadas en tránsito, tener comunicaciones encriptadas con claves a las que el proveedor no tenía acceso ( encriptación de extremo a extremo ), posibilitando que los usuarios verifiquen de forma independiente las identidades de sus corresponsales, teniendo las comunicaciones pasadas seguras si el las claves fueron robadas ( sigilo hacia adelante ), tener su código abierto a revisión independiente ( código abierto ), tener sus diseños de seguridad bien documentados y haber completado una auditoría de seguridad independiente. [18]
Arquitectura
Cifrado
Cryptocat utiliza un algoritmo de doble trinquete para obtener el secreto hacia adelante y hacia el futuro en los mensajes, después de que se establece una sesión mediante un protocolo de enlace Diffie-Hellman de curva elíptica de cuatro direcciones . El protocolo de enlace combina claves de identidad a largo plazo, una clave previa firmada de plazo intermedio y una clave previa de uso único. [19] El enfoque es similar al protocolo de cifrado adoptado para la mensajería cifrada por la aplicación móvil Signal . El objetivo de Cryptocat es que sus mensajes obtengan confidencialidad, integridad, autenticidad de la fuente, sigilo hacia adelante y en el futuro e indistinguibilidad incluso a través de una red controlada por un atacante activo. [3] Las características de confidencialidad directa del protocolo que utiliza Cryptocat son similares a las introducidas por primera vez por la mensajería extraoficial .
Cryptocat utiliza el estándar de cifrado avanzado en el modo Galois / contador para el cifrado autenticado, Curve25519 para el acuerdo secreto compartido de curva elíptica Diffie-Hellman, HMAC-SHA256 para la derivación de claves y Ed25519 para la firma. [20] Con el fin de limitar el efecto de un compromiso de clave de identidad a largo plazo, las claves a largo plazo se utilizan exclusivamente una vez para el Intercambio de claves autenticado inicial y una vez para firmar una clave previa firmada de plazo intermedio recién generada.
Para la capa de transporte, Cryptocat adopta el estándar OMEMO Multi-End Message and Object Encryption , que también brinda compatibilidad con múltiples dispositivos Cryptocat y permite la mensajería fuera de línea. [3]
La red
La red de Cryptocat se basa en una configuración XMPP servida a través de WebSockets . Según la declaración de misión del proyecto, la red de Cryptocat solo transmite mensajes encriptados y no almacena ningún dato. [1] Además del protocolo de cifrado de extremo a extremo del cliente Cryptocat, la comunicación cliente-servidor está protegida por TLS .
Distribución
Desde marzo de 2011 hasta marzo de 2016, Cryptocat se distribuyó oficialmente a través de Google Chrome Web Store , Apple App Store y otros canales oficiales controlados por plataformas específicas. Después de la reescritura de Cryptocat en el software de escritorio en marzo de 2016, el software se distribuyó exclusivamente a través de los propios servidores de Cryptocat, que también manejan la entrega de actualizaciones firmadas. [21]
Ver también
- Comparación de clientes de mensajería instantánea
- Libertad de información
- Proyecto GNU
- Hacktivismo
- Privacidad en Internet
Referencias
- ^ a b Cryptocat. "Declaración de misión de Cryptocat" . Archivado desde el original el 7 de abril de 2016 . Consultado el 22 de abril de 2016 .
- ^ "Cryptocat" . crypto.cat . Consultado el 29 de marzo de 2016 .
- ^ a b c "Cryptocat - Seguridad" . crypto.cat . Archivado desde el original el 7 de abril de 2016 . Consultado el 29 de marzo de 2016 .
- ^ Jon Matonis (18 de abril de 2012). "Detener al desarrollador en la frontera de Estados Unidos aumenta la popularidad de Cryptocat" . Forbes . Consultado el 28 de julio de 2012 .
- ^ "La detención del desarrollador aumenta el interés en el Cryptocat de Montreal" . Itbusiness.ca. 8 de junio de 2012 . Consultado el 28 de julio de 2012 .
- ^ Steve Thomas. "DecryptoCat" . Consultado el 10 de julio de 2013 .
- ^ a b Blog de desarrollo de Cryptocat. "Nueva vulnerabilidad crítica en Cryptocat: detalles" . Archivado desde el original el 5 de julio de 2013 . Consultado el 7 de julio de 2013 .
- ^ https://isecpartners.github.io/publications/iSEC_Cryptocat_iOS.pdf
- ^ Cryptocat. "Auditorías recientes y próximas mejoras" . Archivado desde el original el 15 de octubre de 2014 . Consultado el 22 de junio de 2014 .
- ^ Paletta, Damian (22 de febrero de 2016). "Cómo Estados Unidos lucha contra el cifrado y también ayuda a desarrollarlo" . El Wall Street Journal . News Corp . Consultado el 24 de febrero de 2016 .
- ^ "Anuncio de lanzamiento de Cryptocat" . crypto.cat . Archivado desde el original el 22 de diciembre de 2016 . Consultado el 22 de abril de 2016 .
- ^ Cryptocat (5 de febrero de 2019). "Vamos a interrumpir el servicio Cryptocat a partir de mañana. El software ya no se mantiene" . @cryptocatapp . Consultado el 5 de febrero de 2019 .
- ^ "crypto.cat" . 7 de noviembre de 2019. Archivado desde el original el 7 de noviembre de 2019 . Consultado el 5 de diciembre de 2019 .
- ^ Norton, Quinn (12 de mayo de 2014). "Cryptocat crea una sala de chat codificada y desechable en cualquier computadora con un navegador web" . La bestia diaria . Consultado el 22 de junio de 2014 .
- ^ Cryptocat. "Cryptocat, ahora con chat de Facebook cifrado" . Archivado desde el original el 11 de noviembre de 2014 . Consultado el 22 de junio de 2014 .
- ^ Greenwald, Glenn (13 de mayo de 2014). No hay lugar para esconderse: Edward Snowden, la NSA y el Estado de Vigilancia de EE . UU . Libros metropolitanos. pag. 59 . ISBN 978-1627790734. Consultado el 22 de junio de 2014 .
- ^ Franceschi-Bicchierai, Lorenzo (21 de noviembre de 2013). "Irán bloquea el servicio de chat cifrado a pesar de las afirmaciones de libertad en Internet" . Mashable . Consultado el 22 de junio de 2014 .
- ^ "Tarjeta de puntuación de mensajería segura. ¿Qué aplicaciones y herramientas protegen realmente sus mensajes?" . Fundación Frontera Electrónica. 4 de noviembre de 2014. Archivado desde el original el 15 de noviembre de 2016 . Consultado el 21 de abril de 2016 .
- ^ "Implementación de Cryptocat Axolotl" . github.com . Consultado el 22 de abril de 2016 .[ enlace muerto permanente ]
- ^ "Primitivas criptográficas Cryptocat" . github.com . Consultado el 22 de abril de 2016 .[ enlace muerto permanente ]
- ^ Cryptocat. "Servidor de descarga de Cryptocat" . Archivado desde el original el 18 de enero de 2019 . Consultado el 22 de abril de 2016 .
Otras lecturas
- Greenberg, Andy (27 de mayo de 2011). "Crypto.cat tiene como objetivo ofrecer mensajería cifrada súper simple" . Forbes .
- Curtis, Christopher (17 de febrero de 2012). "El software de cifrado gratuito Cryptocat protege el derecho a la privacidad: inventor" . Gaceta de Montreal . Archivado desde el original el 19 de febrero de 2012.
- Dwyer, Jim (17 de abril de 2012). "Usar sus habilidades de software con libertad, no es un gran pago, en mente" . New York Times .
- Knowles, Jamillah (3 de marzo de 2012). "Plan de red Raspberry Pi para la función de libertad de expresión en línea" . BBC News .
- Kirk, Jeremy (14 de marzo de 2012). "Cryptocat tiene como objetivo el chat de mensajería instantánea cifrado fácil de usar" . PCWorld . Archivado desde el original el 17 de diciembre de 2012.
enlaces externos
- Página web oficial
- Cryptocat en GitHub