nadim.jpg

Lo dice Nadim Kobeissi, un conocido desarrollador involucrado en proyectos criptográficos como MiniLock o Cryptocat, que ahora a través de su cuenta de twitter ha denunciado las –según él– presiones recibidas para introducir backdoors en su última creación llamada Peerio, un servicio de mensajería cifrado y basado en la nube.

Designado para ser seguro y al mismo tiempo fácil de usar (como siempre el gran reto de la criptografía), en Peerio los datos viajan de forma cifrada de extremo a extremo mediante una conexión TLS y se vendía como especialmente interesante para su uso dentro de organizaciones o grupos de trabajo en empresas.

Al igual que pasa con Minilock en el que está en gran parte basado, está disponible en forma de plugin para Chrome, además de para sistemas operativos GNU/Linux, Windows y OS X.

Como ocurre en servicios similares el cliente es open source y todo el proceso de cifrado ocurre en el navegador de forma local mediante JavaScript, mientras mantienen la parte del servidor cerrado (algo que siempre crea dudas por la posible retención de metadatos).

Hasta ahora las informaciones que teníamos sobre Peerio, era que ofrecía un servicio de cifrado seguro y que había sido sometido a auditorías externas de las que había salido bastante bien parado (quitando una vulnerabilidad importante tipo XSS), sin embargo lo que nos dice Kobeissi en twitter, es cuando menos alarmante para todo aquel que esté usando sus servicios:

nadim-twitter.jpg

En resumidas cuentas lo que viene a denunciar Kobeissi, es que fue presionado –según él, de no muy buenas formas– para poner puertas traseras en el software para después vender esa característica a clientes privados y que ese fue el motivo que se desligara del proyecto hace ya unos cuantos meses.

Supongo que la gente de Peerio tendrá algo que decir al respecto, de ser así actualizaremos la noticia.

Actualizado 19/01: los responsables de Peerio niegan las acusaciones de Kobeissi

La respuesta a los comentarios de Kobeissi en Twitter no se ha hecho esperar demasiado y lo ha hecho mediante su directora técnica Florencia Herra-Vega, que amablemente nos ha dejado un comentario que podéis leer unas lineas más abajo, en el que desmiente cualquier tipo de backdoor en su software tal como han demostrado auditorias externas recientes y que en realidad estaríamos hablando de implementar un proceso de recuperación de cuentas para algunos casos específicos.

Asimismo niega cualquier tipo de presión o chantaje referente a los derechos sobre MiniLock, así como cualquier tipo de demanda judicial que se haya emprendido contra Kobeissi, por romper algún tipo de acuerdo de confidencialidad.

Imagen: Frederic Jacobs (CC BY 2.0)

Fuente: lamiradadelreplicante

¿Quién está en línea?

Hay 6460 invitados y ningún miembro en línea