Facebook implementa el cifrado OpenPGP en notificaciones y correos

Toda mejora en seguridad es bienvenida, aunque solo utilizo el facebook para 4 chorradas no esta mal saber que mejoran en seguridad

Mi no entender, creo.

Entonces.....si alguien entra a tu facebook ve la clave privada con la que se encriptan estos datos?

Pesequis escribió:si alguien entra a tu facebook ve la clave privada con la que se encriptan estos datos?

No. Tu clave privada sólo la tienes tú. Les das la pública a ellos y se cifran con ella e-mails que te lleguen.

No entiendo de que va esto.

Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

Y si entro yo? Tampoco los veo? Entonces ces que coño?

No me entero, como va esto.

End to End ?
COJONUDO !!!!

Todo lo que sea mejorar bienvenido sea

Daicon escribió:No entiendo de que va esto.

Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

Y si entro yo? Tampoco los veo? Entonces ces que coño?

No me entero, como va esto.

Podrás ver tus correos de Facebook si los descifras con tu clave privada. Tú tienes dos claves, una privada y una pública, de modo que cuando cifras un mensaje con una clave, solo puedes descifrarlo con su opuesta. Por ejemplo, si alguien te manda un correo cifrado con tu clave pública, solo tú podrás descifrarlo con tu clave privada, que solo tú conoces. Así garantizas la confidencialidad, esto es, que solo tú puedes ver los correos que te llegan. Y esto es lo que va a aplicar Facebook.

Lo que dicen los de Facebook es que, como es lógico, hasta ahora solo tenían protegidas las comunicaciones dirigidas directamente a ellos, lo que viene siendo conectarte a la web, usando TLS. Pero el mandarte el correo encriptado no depende de ellos, sino de la seguridad que quiera aplicar tu proveedor de correo (gmail, hotmail, etc.). Ellos como mucho pueden proteger el correo desde que sale de sus servidores hasta los del servidor de correo.

Por poner una analogía para que se entienda la noticia, imaginaos que sois una conservera de sardinas. Envasáis sardinas y lo vendéis a clientes por dos vías: directamente o a través de Correos. Si lo vendéis directamente, lo entregáis en mano al cliente aplicando vuestro propio protocolo de securización que llamaremos TLS, que para no alargarnos mucho, es algo probado que funciona en muchas otras conserveras de sardinas, usado en todo el mundo y que funciona. Ahora, si lo vendéis a través de Correos, como mucho podéis protegerlo hasta la oficina de Correos, pero de ahí en adelante no os queda otra que confiar en la seguridad de Correos y que nadie abra la lata de sardinas... a no ser que uséis OpenPGP.

Con OpenPGP lo que pasa es que cada cliente tiene un candado con dos llaves por así decirlo: una llave pública, que conoce todo el mundo, y otra privada, que solo él tiene y que sólo el puede usar. El candado solo se puede abrir si usas una detrás de la otra. Es decir, que si cierras el candado con la llave pública, solo podrás abrirlo con la privada, y viceversa. Usando este mecanismo, ¿qué se os ocurre hacer? Fácil: cerrar la lata de sardinas con la llave pública del cliente, de la que todo el mundo (incluido nosotros) tiene copia. Así, hagan lo que hagan los de Correos, solo se podrá abrir la lata con su llave opuesta: la llave privada, o la clave privada. Luego solo el cliente podrá abrir la lata de sardinas.

(me he flipado un poco pero bueno, espero que se entienda )

El problema es que, hasta donde yo sé, ninguno de los grandes proveedores de mailing (gmail, outlook, yahoo...) tiene integrado en su versión de navegador gestores de cifrado/descifrado, ni con OpenPGP ni con otras tecnologías alternativas como S/MIME, por lo que en el navegador no se pueden ver los correos que te lleguen cifrados. Si quieres ver un correo que te llega cifrado con OpenPGP tienes que tirar de otros gestores de correo. Thunderbird por ejemplo sé que tiene plugins dedicados, con lo que podrías ver tus correos cifrados. Espero que los de Facebook hayan aclarado este punto, porque me estoy viendo venir a miles de usuarios sin poder ver los correos que le lleguen cifrados de Facebook...

Hyde92 escribió:

Daicon escribió:No entiendo de que va esto.

Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

Y si entro yo? Tampoco los veo? Entonces ces que coño?

No me entero, como va esto.

Podrás ver tus correos de Facebook si los descifras con tu clave privada. Tú tienes dos claves, una privada y una pública, de modo que cuando cifras un mensaje con una clave, solo puedes descifrarlo con su opuesta. Por ejemplo, si alguien te manda un correo cifrado con tu clave pública, solo tú podrás descifrarlo con tu clave privada, que solo tú conoces. Así garantizas la confidencialidad, esto es, que solo tú puedes ver los correos que te llegan. Y esto es lo que va a aplicar Facebook.

Lo que dicen los de Facebook es que, como es lógico, hasta ahora solo tenían protegidas las comunicaciones dirigidas directamente a ellos, lo que viene siendo conectarte a la web, usando TLS. Pero el mandarte el correo encriptado no depende de ellos, sino de la seguridad que quiera aplicar tu proveedor de correo (gmail, hotmail, etc.). Ellos como mucho pueden proteger el correo desde que sale de sus servidores hasta los del servidor de correo.

Por poner una analogía para que se entienda la noticia, imaginaos que sois una conservera de sardinas. Envasáis sardinas y lo vendéis a clientes por dos vías: directamente o a través de Correos. Si lo vendéis directamente, lo entregáis en mano al cliente aplicando vuestro propio protocolo de securización que llamaremos TLS, que para no alargarnos mucho, es algo probado que funciona en muchas otras conserveras de sardinas, usado en todo el mundo y que funciona. Ahora, si lo vendéis a través de Correos, como mucho podéis protegerlo hasta la oficina de Correos, pero de ahí en adelante no os queda otra que confiar en la seguridad de Correos y que nadie abra la lata de sardinas... a no ser que uséis OpenPGP.

Con OpenPGP lo que pasa es que cada cliente tiene un candado con dos llaves por así decirlo: una llave pública, que conoce todo el mundo, y otra privada, que solo él tiene y que sólo el puede usar. El candado solo se puede abrir si usas una detrás de la otra. Es decir, que si cierras el candado con la llave pública, solo podrás abrirlo con la privada, y viceversa. Usando este mecanismo, ¿qué se os ocurre hacer? Fácil: cerrar la lata de sardinas con la llave pública del cliente, de la que todo el mundo (incluido nosotros) tiene copia. Así, hagan lo que hagan los de Correos, solo se podrá abrir la lata con su llave opuesta: la llave privada, o la clave privada. Luego solo el cliente podrá abrir la lata de sardinas.

(me he flipado un poco pero bueno, espero que se entienda )

El problema es que, hasta donde yo sé, ninguno de los grandes proveedores de mailing (gmail, outlook, yahoo...) tiene integrado en su versión de navegador gestores de cifrado/descifrado, ni con OpenPGP ni con otras tecnologías alternativas como S/MIME, por lo que en el navegador no se pueden ver los correos que te lleguen cifrados. Si quieres ver un correo que te llega cifrado con OpenPGP tienes que tirar de otros gestores de correo. Thunderbird por ejemplo sé que tiene plugins dedicados, con lo que podrías ver tus correos cifrados. Espero que los de Facebook hayan aclarado este punto, porque me estoy viendo venir a miles de usuarios sin poder ver los correos que le lleguen cifrados de Facebook...

Sigue habiendo algo que no cuadra en tu explicación.
Dices que depende de los correos que la gente usa que se pueda leer o no leer los correos, ya que haría falta configurar tu clave privada. ¿Entonces?
Estariamos en las mismas.... Tu coges configuras tu openPGP en el gestor de tu correos, y supongo que deberas de introducir una vez la clave privada, o sea que si te hackean el correo como ya esta configurado el PpenPGP ya van a seguir viendo esos correos....

Lo único que queda es que tengas la opción de tener que escribir la clave cada vez que quieras ver un coreo de Facebook, pero vaya.... su usabilidad seria 0.

La clave privada nunca sale de tu ordenador. Cuando Hyde92 decía "tu correo" se refería al cliente de correo local en tu ordenador, no al servicio en sí.

Hyde92 escribió:

Daicon escribió:No entiendo de que va esto.

Dicen que así te aseguras que si entran a tu correo no puedan ver el que? Los emails de Facebook?

Y si entro yo? Tampoco los veo? Entonces ces que coño?

No me entero, como va esto.

Podrás ver tus correos de Facebook si los descifras con tu clave privada. Tú tienes dos claves, una privada y una pública, de modo que cuando cifras un mensaje con una clave, solo puedes descifrarlo con su opuesta. Por ejemplo, si alguien te manda un correo cifrado con tu clave pública, solo tú podrás descifrarlo con tu clave privada, que solo tú conoces. Así garantizas la confidencialidad, esto es, que solo tú puedes ver los correos que te llegan. Y esto es lo que va a aplicar Facebook.

Lo que dicen los de Facebook es que, como es lógico, hasta ahora solo tenían protegidas las comunicaciones dirigidas directamente a ellos, lo que viene siendo conectarte a la web, usando TLS. Pero el mandarte el correo encriptado no depende de ellos, sino de la seguridad que quiera aplicar tu proveedor de correo (gmail, hotmail, etc.). Ellos como mucho pueden proteger el correo desde que sale de sus servidores hasta los del servidor de correo.

Por poner una analogía para que se entienda la noticia, imaginaos que sois una conservera de sardinas. Envasáis sardinas y lo vendéis a clientes por dos vías: directamente o a través de Correos. Si lo vendéis directamente, lo entregáis en mano al cliente aplicando vuestro propio protocolo de securización que llamaremos TLS, que para no alargarnos mucho, es algo probado que funciona en muchas otras conserveras de sardinas, usado en todo el mundo y que funciona. Ahora, si lo vendéis a través de Correos, como mucho podéis protegerlo hasta la oficina de Correos, pero de ahí en adelante no os queda otra que confiar en la seguridad de Correos y que nadie abra la lata de sardinas... a no ser que uséis OpenPGP.

Con OpenPGP lo que pasa es que cada cliente tiene un candado con dos llaves por así decirlo: una llave pública, que conoce todo el mundo, y otra privada, que solo él tiene y que sólo el puede usar. El candado solo se puede abrir si usas una detrás de la otra. Es decir, que si cierras el candado con la llave pública, solo podrás abrirlo con la privada, y viceversa. Usando este mecanismo, ¿qué se os ocurre hacer? Fácil: cerrar la lata de sardinas con la llave pública del cliente, de la que todo el mundo (incluido nosotros) tiene copia. Así, hagan lo que hagan los de Correos, solo se podrá abrir la lata con su llave opuesta: la llave privada, o la clave privada. Luego solo el cliente podrá abrir la lata de sardinas.

(me he flipado un poco pero bueno, espero que se entienda )

El problema es que, hasta donde yo sé, ninguno de los grandes proveedores de mailing (gmail, outlook, yahoo...) tiene integrado en su versión de navegador gestores de cifrado/descifrado, ni con OpenPGP ni con otras tecnologías alternativas como S/MIME, por lo que en el navegador no se pueden ver los correos que te lleguen cifrados. Si quieres ver un correo que te llega cifrado con OpenPGP tienes que tirar de otros gestores de correo. Thunderbird por ejemplo sé que tiene plugins dedicados, con lo que podrías ver tus correos cifrados. Espero que los de Facebook hayan aclarado este punto, porque me estoy viendo venir a miles de usuarios sin poder ver los correos que le lleguen cifrados de Facebook...

Muchas gracias por la explicación socio.

Daicon escribió:Sigue habiendo algo que no cuadra en tu explicación.
Dices que depende de los correos que la gente usa que se pueda leer o no leer los correos, ya que haría falta configurar tu clave privada. ¿Entonces?
Estariamos en las mismas.... Tu coges configuras tu openPGP en el gestor de tu correos, y supongo que deberas de introducir una vez la clave privada, o sea que si te hackean el correo como ya esta configurado el PpenPGP ya van a seguir viendo esos correos....

Lo único que queda es que tengas la opción de tener que escribir la clave cada vez que quieras ver un coreo de Facebook, pero vaya.... su usabilidad seria 0.

Claro, tú para ver el contenido de un correo cifrado tienes que introducir tu clave privada. En la práctica (te hablo del Thunderbird que es el que conozco) lo que haces es introducir una contraseña que te desbloquea la clave privada, y esa contraseña te la pide para el primer correo cifrado que leas, para los siguientes ya recuerda la contraseña hasta que cierres sesión (salgas del Thunderbird), de modo que al volver a entrar empiezas de cero. Es que sino es lo que dices, no tendría utilidad.

Gracias @melado por la aclaración, efectivamente me refería a clientes de correo.

Hyde92 escribió:El problema es que, hasta donde yo sé, ninguno de los grandes proveedores de mailing (gmail, outlook, yahoo...) tiene integrado en su versión de navegador gestores de cifrado/descifrado, ni con OpenPGP ni con otras tecnologías alternativas como S/MIME, por lo que en el navegador no se pueden ver los correos que te lleguen cifrados.

Yahoo está en ello y de hecho tenía publicado el código de su API para auditarlo por quien quiera antes de implementarlo definitivamente.

Creo que está en github. Te lo digo de memoria porque ya hace lo menos un par de meses que lo leí y vi. Te dejo que lo busques a tí

De todas formas, personalmente, no me gusta este mecanismo por la implicación de un tercero en el proceso. La simplificación, en seguridad, lleva a la inseguridad.

Me alegro del impulso a PGP/GnuPG, pero no así. No tiene tanta dificultad usar PGP o GnuPG desde tu escritorio y con tu cliente de correo, como para implicar a un tercero.

A pesar de eso nunca publiquéis vuestra vida privada. Facebook es como esas piedras vidente, nunca se sabe quien más puede estar mirando.

El usuario estándar no va a entender nada de esto...

Y total, tanta seguridad para que luego cara-libro nos venda al mejor postor.

Paso de esta red, no aporta nada más que perder el tiempo leyendo chorradas.