La venta del sistema PGP para cifrado preocupa a 10 millones de usuarios

Hace cuatro años lo compraron. Ahora lo ponen en venta. Despedidos los 250 desarrolladores. El padre de la criatura abandona la empresa. Diez millones de usuarios se quedan en la incertidumbre de qué va a a pasar con el programa de cifrado de archivos y correo más popular, el Pretty Good Privacy (PGP).

La empresa norteamericana Network Associates no seguirá desarrollando el PGP. El anuncio ha añadido más desconfianza hacia el programa, la más popular aplicación criptográfica Sus usuarios vuelven los ojos hacia otro producto, basado en PGP, pero libre y de origen alemán: el GNU Privacy Guard (GnuPG o GPG).

Network Associates había comprado en 1997 el programa a su autor, Phil Zimmermann, quien en febrero abandonó la empresa. Adujo problemas de entendimiento sobre el futuro de PGP, que este año cumple su décimo aniversario.

Desde que Network Associates compró PGP, las cosas no fueron iguales. PGP nació gratuito (freeware) y con acceso libre a su código fuente. Network Associates le añadió una versión de pago para uso comercial, que no ha funcionado. También se acercó al mundo Windows. La empresa puso cada vez más problemas al acceso libre al código fuente y desde la versión 6.5.8 hasta la actual, 7.0.3, no se hicieron públicas.

La venta a Network Associates, que colabora abiertamente con los servicios secretos norteamericanos, la huida de Zimmermann y los problemas de acceso al código acrecentaron los rumores, no demostrados, de puertas traseras para que terceros pudieran descifrar los mensajes.

PGP bajo sospecha

El criptólogo Manuel Lucena añade: 'PGP dejó de ser digno de confianza cuando su código fuente llegó a ser tan grande que una verificación externa se convertía en algo imposible de acometer. Se convirtió en una especie de hidra de siete cabezas; se estaba microsoftizando según algunos de mis colegas, añadiendo multitud de programitas inútiles, que multiplicaban los posibles fallos de seguridad y engordaban tremendamente el código fuente'.

Como alternativa al PGP, en 1999 se presentaba la primera versión de una nueva herramienta, GnuPG, obra del alemán Werner Koch, que pronto consiguió la simpatía de la comunidad.

GnuPG es un programa libre (puede intercambiarse y modificarse), bajo licencia GNU y basado en el protocolo sin propietario OpenPGP, auspiciado por Zimmermann como estándar de la Internet Engineering Task Force, para garantizar la interoperabilidad de los productos de cifrado.

'Cualquier programa que sea de código abierto', dice Lunena, 'aunque no sea libre, y que cumpla ese estándar, debería ser considerado, a priori, fiable. Yo uso GnuPG 1.0.6, con un interfaz de ventanitas compatible con muchas plataformas, como Windows y Linux'.

GnuPG no es un programa de instalar y funcionar automáticamente, ni fácil para el no iniciado, aunque la creciente popularidad y una subvención del Gobierno alemán auguran su evolución hacia la facilidad de uso. De todas formas, 'es muy importante', dice Lucena, 'separar el auténtico programa de cifrado (GnuPG) de las ventanitas que, en realidad, no son software de seguridad, sino interfaces con el usuario. Sinceramente, me parece que GnuPG ya puede ser considerado mayor de edad, aunque funciona sobre línea de comandos. El precio que hay que pagar para obtener seguridad -aprenderse un par de comandos- no es tan elevado'.

La migración a GnuPG ha traspasado los círculos criptográficos y se extiende entre los usuarios avanzados, especialmente los de programas libres, como Javi Polo, que canta sus excelencias: 'Soporta distintos cifrados, es libre, sencillo y completo'. Lo que gusta de GnuPG es que no usa algoritmos patentados y, al ser de dominio público, está exento de las restricciones de exportación del tratado de Wassenaar.

Pero la mayoría sigue aún con PGP, también su autor, que ha proclamado hasta la saciedad la seguridad de las últimas versiones, sin código fuente público. Zimmermann recibía con sorpresa, según la revista Wired, la venta del programa y prometía asegurar su supervivencia: 'PGP es una institución más grande que una empresa. Seguirá adelante con o sin Network Associates'.

La recomendación del presidente de la sección española de Computer Professionals for Social Responsability (CPSR), José Luis Martín Mas, es que no cunda el pánico: 'Cualquier versión de PGP con el código fuente público, hasta la 6.5.8, es útil. Si lo eran antes, no dejarán de serlo por una nota de prensa. Mientras, hay que esperar un mayor desarrollo de GnuPG. Por ahora no hay alternativas viables, porque no hay ningún otro programa tan extendido y probado como PGP'.