Muy interesante post de Securitybydefault empleando un cliente por comandos de Twitter el cual encripta y desencripta cada tweet enviado en base a una clave, que debe utilizarse tanto por el que envía como por el receptor.
Lo que me gusta del programa es especialmente el uso, no voy a probarlo, pero es muy interesante el tema de encriptar tweets, si bien no es necesario para el uso que le «quieren dar» en el post original (llamado Twitter para terrorismo) encriptar tweets porque bastaría con crear una cuenta en Twitter y en las opciones de cuenta (pestaña Account en Settings) marcar la casilla para conseguir poner lo mismo, también se pueden usar otros sistemas, sms…… ya que todo puede estar controlado por los gobiernos, alguien del gobierno podría ver tweets protegidos simplemente exigiéndolo a Twitter, pero es lo mismo que si lo dejas visible y lo encriptas, si ni el OpenPGP que es mucho más complejo, requiere tener la llave de descodificación, etc. es desencriptable (con muchísima complejidad eso sí, es muy seguro tal y como nos aporta YJ en su comentario), mucho más lo será con una clave de 4 caracteres que no requiere tener la llave de desencriptación sino que tendríamos el ejecutable disponible para poder hacerle ingeniería inversa (averiguar su código fuente). Aclaración de YJ: El programa permite una clave variable en número de caracteres, bien 4, 20, 50, 100… Y el código fuente está disponible aquí así que no hace falta ni ingeniería inversa ni nada por el estilo.
Pero si lo que nos interesa es encriptar tweets concretos, sería una opción muy interesante para aplicar a otros clientes de Twitter con más opciones. Con todo, la idea del post es muy interesante y podría dar muchos usos e ideas.
Me gustaría un debate abierto, ¿qué más usos le daríais a tweets encriptados? Comentarios, gracias.
Via: securitybydefault (pista de @andresdml)
5 comentarios
carthesian · 17 septiembre 2008 a las 16:30
Pues a mi me parece que no sirve para nada en el caso de twitter. Si quieres que una información no sea leída por ciertas personas, lo primero es que no haya opción a que la vean ni siquiera encriptada.
Así que esto lo veo como un juego infantil para provocar o un juguete de un techie que no ha pensado si su trabajo serviria para algo.
Aunque… de cosas inicialmente inútiles que luego se convierten en indispensables está el mundo lleno.
zoipi · 17 septiembre 2008 a las 18:21
Intereante. Se podría usar para enviar tweewts a un grupo específico de amigos, por ejemplo, para que queden en un lugar para hacer algo y que nadie se entere. Más barato que enviar SMS a toos tus amigos, sobre todo si tienes mucho, además. Al menos a mí me parece una buena idea.
YJ · 17 septiembre 2008 a las 20:39
Hola compañeros, yo he escrito el post original y dado que que habéis iniciado un pequeño debate, espero no os importe que aporte un par de puntualizaciones. Si habéis ojeado el post original, veréis que está escrito con mucha sorna con idea de que entrara mas en la categoría de ‘humor’ que en la de seguridad (de hecho, la gente de microsiervos lo ha catalogado como humor/seguridad). El objetivo del post era hablar de Twitter de una forma diferente, por no caer en el «mas-de-lo-mismo». Respecto a la seguridad, usar RC4 como algoritmo no es lo mas optimo, pero si lo mas practico (es un algoritmo que cifra con tamaños de clave variable y en modo stream, lo que facilita mucho las cosas a la hora de cifrar en tan poco espacio). Respecto al comentario sobre GPG, te aseguro que una clave RSA de 2048 bits es de las cosas mas seguras e irrompibles que se pueda emplear hoy día y sobre el papel, (estudios en la mano) ese algoritmo con ese tamaño, no está ni de lejos roto y por tanto no es crackeable. Saludos
YJ · 17 septiembre 2008 a las 20:52
Y añado … sobre lo que comenta javi, RC4 no es un algoritmo de clave publica/privada, no necesitas hacer ingeniería inversa al ejecutable porque el código fuente lo publiqué aquí http://www.security-projects.com/misc/ciphertwitter.tgz RC4 es un algoritmo SIMÉTRICO y para cifrar/descifrar solo es necesario una clave, que, no tiene porque ser de 4 caracteres, eso era tan solo un ejemplo, tu puedes, tranquilamente usar una contraseña de 100 caracteres si así lo deseas, haciendo, por tanto, mas difícil de crackear el tweet. Y para ser totalmente purista, GPG tampoco usa clave publica / privada para cifrar propiamente los datos, eso es totalmente suboptimo, lo que hace es cifrar con un algoritmo simétrico los datos y cifrar la contraseña con la clave publica
javi · 17 septiembre 2008 a las 22:16
Gracias por vuestros comentarios. YJ, muy interesantes tus comentarios al post, he hecho un par de correcciones al mismo y de paso he aprendido un poco más de criptografía que hace años que no leo nada al respecto.