La cadena de bloques y la verificación de la identidad

IMAGE: Pete Linforth - Pixabay

Esta idea me ha parecido muy interesante por lo obvio del planteamiento y porque parece un encaje muy bueno para la tecnología que propone como solución: utilizar la cadena de bloques para verificar que quien está detrás de una dirección de correo electrónico es, en efecto, quien dice ser.

El desarrollo de la idea, conocida como Key Transparency, lo ha llevado a cabo Proton Mail, un servicio de correo electrónico que llevo utilizando muchos años por sus robustos planteamientos acerca de la privacidad de sus usuarios, y es tan sencillo como lo que dice: utilizar la cadena de bloques como un libro de contabilidad inmutable que contiene las claves públicas de los usuarios, lo que impide su suplantación o su modificación.

Por supuesto, Proton Mail utiliza cifrado de extremo a extremo, lo que garantiza que solo el destinatario previsto pueda leer la información. Pero la cuestión es garantizar que la clave pública realmente pertenezca al destinatario previsto, dado que, a partir de cierto nivel de interés por simular un correo de otro usuario, podríamos encontrarnos con ataques sofisticados de tipo man-in-the-middle, como que, por ejemplo, la NSA crease una clave pública falsa vinculada al mismo, y de alguna manera lograsen engañarlo para cifrar datos con esa clave pública falsa.

Poner las claves públicas de los usuarios en una cadena de bloques genera un registro que garantiza que esas claves realmente les pertenecen, con lo cual solo es necesario hacer una referencia cruzada cada vez que otros usuarios envían correos electrónicos. Gracias a esto, la verificación de la clave pública pasa a ser pública e inmutable, sin posibilidad de cambios.

A partir de ahí, lo único que hay que hacer es una búsqueda para garantizar que la clave pública coincida con el destinatario previsto, y si no fuese así, y si no hubiese ninguna coincidencia, mostrar inmediatamente una advertencia al usuario. La función, además, será activada automáticamente para los usuarios de Proton.

Por el momento, Proton ha lanzado la versión beta de Key Transparency sobre su propia cadena de bloques privada para hacer la prueba de concepto, pero la idea es que pase a estar sobre una cadena de bloques publica para poderse beneficiar así de una escala muchísimo mayor y completamente descentralizada, e impedir o dificultar enormemente la posibilidad de un ataque a una cadena de bloques más pequeña.

La funcionalidad, desde mi punto de vista, más allá de ser una medida de seguridad que podría ser tal vez un poco excesiva para un usuario normal, es un punto más en el desplazamiento de todas las transacciones hacia la cadena de bloques, en eso que conocemos como la Web3: la cadena de bloques como protocolo adicional en la web que recoge todo lo que hacemos, y se convierte en una forma de embeber la confianza en el propio sistema, de manera que no te tengas que fiar de lo que ves, sino que todo lo que haces esté ahí reflejado de forma fehaciente.

El crecimiento de Proton Mail a lo largo de los últimos años ha sido muy significativo, y la ha llevado a superar ya los cien millones de usuarios, la mayoría atraídos por una garantía de privacidad que se contrapone a la existente en otros servicios de correo electrónico más extendidos como Gmail. Personalmente, yo llevo utilizándolo mucho tiempo como correo para entregar cuando quiero protegerme de posible spam, pero sus características están llevando a que me resulte cada vez más atractivo para un uso más general. Si siguen por este camino, es muy posible que termine planteándomelo así.


This article is also available in English on my Medium page, «Using the blockchain to verify email addresses sounds pretty smart«

21 comentarios

  • #001
    Gorki - 16 noviembre 2023 - 23:02

    ¿Alguien conoce alguien, que conozca a alguien, que en la memoria de su computador conserva una copia de cadena de bloques de lo que sea?

    • Benji - 17 noviembre 2023 - 00:16

      Tengo algunas criptomonedas en monederos locales. Un parte de esa cadena de bloques está conmigo

      • Gorki - 17 noviembre 2023 - 01:41

        Solución Juan Palomo, ¿Y la comparas frecuentemente con los cientos de copias que hay por ahí?

        • Benji - 17 noviembre 2023 - 15:40

          No, no lo hago. Debe haber copias descentralizadas de mi monedero por ahí (de eso se encargan los logaritmos que lo hagan). La diferencia es que solo yo tengo mi clave.

          Y si quieren cambiarla o transferir su contenido deben hacer un ataque del 51%. Es decir, que mas de la mitad de la potencia de cálculo total de todas las máquinas conectadas valide algo falso a la vez.

          Al menos hasta la era cuántica, seré inhackeable

          • Gorki - 18 noviembre 2023 - 00:05

            Solo es curiosidad y supongo que esta solucionado .ero no se como.
            Supongamos que Benji decide mañana comprar un Bitcoin mas, Acude a una monedero, se lo venden y le dan el Blockchain con un paso mas, la compra de BENJI, y se quedan con una copia que acaba con la copia de BENJI como respaldo. Perfecto

            Pero ellos han tenido el Blockchain sin la última transacción y han podido hacer una copia de ese Blockchain. ¿Que pasa si voy yo a compra un Bitcoin y me dan esa misma cadena sin la compra de BENJI, pero con mi compra, me dan una «copia falsa» y se queda con otra. ¿Como puedo saber yo si el fichero que me han largado es el guay del Paraguay o una copia fraudulenta».

            • Enrique Dans - 18 noviembre 2023 - 00:18

              Las transacciones en la cadena de bloques se anotan en TODAS las copias de la cadena de bloques, no en un sitio, ni en un exchange determinado, ni en un monedero. A eso se refiere la descentralización. Si se anota una transacción en la cadena, se actualiza en todas sus copias. El monedero solo almacena la dirección de la cadena en la que están las transacciones que contiene.

          • Gorki - 21 noviembre 2023 - 16:31

            ¿Quieres decir que cada vez que se hace una transacción, se efectúan cientos de actualizaciones en cientos de ordenadores privados?. Y si unos cuantos se encuentra desconectados ¿Que pasa?.

            ¿No cabe la posibl ilidad que un hacker efectue una actualizacion por ese medio adjudicándose la propiedad del Bitcoin?

            Cada vez que me entero mas de lo sobre los blockchain me parece menos creíble.

      • f3r - 17 noviembre 2023 - 09:15

        Ten cuidado Benji, algunas personas van a estar desde ayer, por lo que sea, un par de semanitas algo «raros».

        • Chipiron - 17 noviembre 2023 - 12:11

          Lo dices por la reelección de Sánchez? Si es así, que tiene que ver con lo que dice Benji?

        • Benji - 17 noviembre 2023 - 15:41

          Agradezcamos que aquí no haya política casi en el blog…

  • #011
    f3r - 17 noviembre 2023 - 09:20

    La verdad es que me daría mucha curiosidad una red social rollo twitter donde solo se pueda entrar con certificado de identidad. ¿Seguiría la gente enfrentándose a la primera de cambio? ¿Intentarían decir las cosas de manera más razonada y más respetuosa?.

    PD: para los que estén picajosos últimamente, por lo que sea, antes de que contesten. Sé que es difícil de creer, pero en la vida real hablo con la misma franqueza que en mis posts.

    • David Garcia - 17 noviembre 2023 - 09:50

      Si existiera una red social con un sistema de verificación tipo blockchain entonces dejaríamos de tener cuentas falsas y, además, más de uno se callaría las cosas que ahora dice muy alegremente, porque quedaría retratado por el resto de su vida.

    • Lua - 17 noviembre 2023 - 10:06

      XDDDD

      comparto tu postdata… :P

      Lo de la identidad, ya lo intento G+ y FB cuando dijeron que nada de alias, que nombres reales. Recuerdo cuando aun andaba por FB recibir un privado por su parte indicando que debia remitir una copia de mi DNI o cualquier documento que me acreditase (creo que fue porque alguien me denuncio un/unos post). Nanai. La gente no estaria por la labor.

      Pero sin duda, una medida asi, en todas las RRSS, relajaria la «tension» (y los bulos, fakes y ataques gratuitos).

    • Gorki - 17 noviembre 2023 - 11:43

      Lo han intentado de siempre los periódicos con las «Cartas al Director» señores que con su nombre y apellidos escribían su opinión, La realidad es que eso no ha funcionado, Lo que escriben no interesa a nadie.

      En mi opinión el pseudónimo te permite escribir mas libre. Claro está. si eres mal educado, se te notará mas.

      Señal de que gusta escribir con pseudónimo, es que el 90% de los comentaristas lo utilizan. Que yo recuerde, firman con su nombre, (o es un alias y no lo parece), por supuesto Enrique Dans, y además Javier Lux ¿?, Moises A. Groeiro. ( creo que solo ha escrito un comentario), Michel Henric-Coll , (que además muestra su rostro)… y alguno más habrá, pero desde luego son una pequeña minoría.

      • Chipiron - 17 noviembre 2023 - 12:18

        Pues te doy toda la razón. Saber la identidad tiene sus cosas buenas y cosas malas.

        Como cosa positiva, la gente diría las cosas de forma más educada y después de pensar dos veces lo que pone. Probablemente habría menos agresividad y menos ataques personales.

        La mala es que haría las discusiones más aburridas y la libertad total de decir lo que se quiera quedaría parcialmente anulada por miedo al que dirán.

        Una de cal y otra de arena. Lo de las cartas al director que has puesto es un buen ejemplo, aunque tengo que decir que en su momento yo era un lector habitual de las mismas…

        En el fondo, a pesar lo que diga f3r, todos tenemos diferentes personalidades, o si se quiere nos comportamos de forma diferente, en cada situación. Sin ir más lejos, a mucha gente se le transforma la personalidad cuando se pone detrás del volante de un coche, suele haber muy mala educación en la carretera.

        • c3po - 17 noviembre 2023 - 14:37

          «todos tenemos diferentes personalidades, o si se quiere nos comportamos de forma diferente»

          y alias diferentes
          Katchondo !!

          • Chipiron - 17 noviembre 2023 - 20:06

            Yo, en este blog, jamás he cambiado mi alias… Enrique puede dar fe de ello!

      • c3po - 17 noviembre 2023 - 14:31

        En el Alcazar, yo era Juan Español y bramaba en 1957 contra los reformistas de la democracia cristiana de Ruiz Gimenez, Tamames y demás progres

        PS: comentario Fake.

        Abrimos porra con lo del lanzamiento del Starship?

        • Chipiron - 17 noviembre 2023 - 20:07

          Vale!

          Yo apuesto a que el starship llega a realizar el vuelo suborbital.

  • #020
    David Garcia - 17 noviembre 2023 - 09:48

    Pues yo he estado estudiando durante unos años el servicio de Proton | Privacy by Default hasta que (recientemente) he dado el salto.

    El propio servicio de correo tiene una herramienta de importación de datos desde Gmail (y otros proveedores) que hace todo el proceso de migración muy cómodo y sencillo, pero que en la práctica tiene cuatro problemas:

    1. Que puede no ser perfecta (por ejemplo, he visto que no mantiene las etiquetas para todos los mensajes importados, por lo que uno puede perder el etiquetado de mensajes que le puedan ser importantes; aunque siguen existiendo y pueden ser buscados, las funciones de búsqueda son bastante más limitadas en Proton que en Gmail).

    2. La organización de Gmail (con etiquetas anidadas, que no carpetas) hace que la importación genere nuevas etiquetas con nombres muy largos (porque no se pueden crear etiquetas dentro de otras etiquetas) que no se pueden leer con facilidad en el menú lateral. Además, si intentamos recrear la misma estructura con carpetas, existe un límite de 3 niveles, por lo que una micro-organización no resulta posible del todo.

    3. Existe el «problema» de que los contactos pasan a estar almacenados (y cifrados) como parte de la App del correo (muy seguro, pero totalmente inútil para los móviles, que no pueden acceder a dichos datos cifrados), por lo que aún es necesario depender de un servicio como Apple iCloud o Google Contacts si queremos que el móvil nos muestre nombres cuando recibimos llamadas.

    4. La gestión de cuentas, dado que con Google Workspace se pueden crear tantas cuentas como sea necesario (por ejemplo, para que a nivel familiar tengamos cada uno una cuenta) pero en Proton existe un límite de 6 cuentas. Además, no es posible crear «listas de distribución» (por ejemplo: todos@familia.com), por lo que si tenías una dirección para mandar una copia de un mensaje a todos los miembros de la familia ahora ya no resulta posible. Por otro lado, no existe una función de reenvío, por lo que no es posible hacer que un buzón reciba el mensaje y mande copias al resto.

    A pesar de estos problemas, en mi caso, he iniciado un proceso de migración desde Google Workspace a Proton, y espero y confío en que con el paso del tiempo puedan implementar las funciones necesarias. Especialmente porque también tiene sus ventajas:

    1. En una única cuota (10€/mes la más cara), se incluyen múltiples servicios de pago como Correo y Calendarios (6.90€/mes en Google Workspace en su plan más barato) + Servicio de VPN (NordVPN cuesta otros 5€/mes en su plan más barato) y gestor de contraseñas (donde 1Password cuesta alrededor de 3€/mes + IVA en su plan más barato). Tenemos que con Proton pagamos 10 EUR mientras que con otros 3 proveedores pagamos alrededor de 16-17 EUR al mes. Con el paso del tiempo, es un ahorro significativo.

    2. El servicio de Proton Pass (gestor de contraseñas) incluye el servicio de SimpleLogin totalmente integrado, por lo que pasamos a tener opciones de crear tantos Alias de correo como queramos (así pues cada vez que nos registramos en un servicio damos una dirección de email diferente, por lo que si recibes SPAM puedes eliminar esa dirección y crear otra, y todo solucionado).

    3. El servicio de cifrado del correo es sumamente útil cuando tienes que enviar información o datos más sensibles, pues esta información se mantiene cifrada y protegida con contraseña e incluso con un tiempo límite para acceder al contenido (aunque a mucha gente le pueda parecer una pérdida de tiempo, hay muchos otros que quieren mantener un número de cuenta bancaria para recibir un pago en un entorno más seguro que no sea en texto plano en la cuenta de Google, para que sea otro dato más vinculado a tu perfil y así saber con que bancos trabajas).

    Por ahora, seguiré usando el servicio de Proton y esperaré a que terminen de implementar las funciones que un número cada vez más grande de usuarios está pidiendo.

  • #021
    c3po - 17 noviembre 2023 - 14:35

    proton? Quien está detrás no es de fiar. Full Stop. Preguntar a Capetox

Dejar un Comentario

Los comentarios están cerrados