Más allá de un servidor: descentralización de la mensajería grupal segura

En mayo, WhatsApp realizó algunos cambios controvertidos en sus términos de servicio, dejando a los usuarios de WhatsApp con una opción: aceptar los términos o verse obligados a irse.

Del mismo modo, los periodistas y activistas que están preocupados por la interceptación o el espionaje de sus mensajes, especialmente en países con garantías de libertad de expresión más débiles, se enfrentan a una elección con respecto a cómo la aplicación maneja sus mensajes: aceptar los términos o abandonar la aplicación.

«En este momento, las empresas de aplicaciones de mensajería están a cargo de los usuarios, cuando en realidad debería ser al revés», dice Matthew Weidner, Ph.D. estudiante asesorado por Heather Miller de CyLab en el Departamento de Ciencias de la Computación de la Universidad Carnegie Mellon. «Los usuarios deben tener la libertad de elegir cómo se manejan sus mensajes».

Es por eso que Weidner sostiene que los servicios que utilizan las aplicaciones de mensajería grupal, como el cifrado de extremo a extremo o la administración de grupos, deben descentralizarse. Es decir, los usuarios no deben estar atados al servidor de una sola empresa, lo que los deja a merced de la empresa.

En un nuevo estudio presentado en la Conferencia ACM sobre seguridad informática y de comunicaciones de la semana pasada, Weidner definió un nuevo protocolo de seguridad que podría hacer realidad esta idea de descentralización.

«La idea de nuestro trabajo es brindar a los usuarios la misma seguridad, pero admitir una red más flexible, lo que da más poder a los usuarios», dice Weidner, quien se desempeñó como autor principal del estudio. «Si su hilo de mensajes se enruta a través de un servidor y la empresa aumenta los precios o cierra, puede cambiar a otro servidor sin problemas».

El núcleo del trabajo de Weidner es lo que se llama acuerdo de clave de grupo continuo (CGKA), un protocolo de seguridad desarrollado previamente que permite a un grupo de personas unirse y dejar un hilo de mensajes grupales después de que se ha creado y no tener que depender de un administrador de grupo de mensajes. CGKA también evita la necesidad de preocuparse por cuándo o cuánto tiempo están conectados los miembros del grupo. Por lo general, los mensajes grupales se enrutan a través de un solo servidor que aplica CGKA, pero Weidner y sus colegas se propusieron estudiar hasta qué punto era posible la mensajería segura para redes descentralizadas más flexibles. Por lo tanto, definen CGKA descentralizada o DCGKA.

«Lo que hace que nuestro periódico sea diferente es que trabajamos en un entorno descentralizado, donde no asumimos necesariamente que hay un servidor central para enrutar mensajes y ayudar a mantener el grupo», dice Weidner. «En cambio, los usuarios pueden enviarse mensajes entre ellos como quieran».

Un modelo descentralizado presenta varios desafíos, dice Weidner. Los mensajes pueden retrasarse o entregarse en un orden inconsistente, y sin una autoridad central, no existe una única fuente de verdad. Para resolver esto, los mensajes se diseñan cuidadosamente para que tengan el mismo efecto sin importar en qué orden se reciban. De esa manera, incluso si sucede algo raro pero inusual, como dos usuarios que se retiran del grupo simultáneamente, todo el grupo eventualmente ve el mismo resultado.

Entonces, ¿cómo influye esto en la vida de los periodistas o activistas que intentan comunicarse de forma segura en países con derechos de libertad de expresión más débiles? Weidner dice que DCGKA ofrece una solución.

«Si los periodistas están usando un servidor central administrado por una empresa para comunicarse, pero se bloquea o apaga, podrían cambiar a un servidor ‘autohospedado’ que esté físicamente en una de sus casas», dice Weidner. «Si eso también está bloqueado, o si todo Internet está apagado, podrían cambiar a una red de malla en la que los dispositivos cercanos se conectan a través de Bluetooth. Incluso si algunos mensajes se retrasan o se reordenan durante la transición, DCGKA seguirá funcionando y brindando seguridad. . »