|
P:
¿Que tipo de criptografía emplea VaultletSuite 2 Go?
P:
¿Por qué ofrecen otro programa de criptografía, ¿no es suficiente PGP?
P:
¿Por qué no usa PGP/GPG VaultletSuite 2 Go?
P:
¿Con qué sistemas operativos funciona VaultletSuite 2 Go?
P:
¿Qué tiene de especial código libre/FOSS?
P:
¿Que parte van a publicar como código libre/FOSS?
P:
Tengo entendido que SHA1 ya no sirve. ¿Cómo le afecta VaultletSuite 2 Go??
P: ¿Que tipo de criptografía emplea VaultletSuite 2 Go?
R: VaultletSuite 2 Go emplea cifrado estándar de 2048 bits RSA y 256 bits AES, que está implementado por el proyecto Bouncy Castle Lightweight Crypto API, además de la biblioteca Moonbounce Crypto Wrapper API.
...arriba
P: Por qué ofrecen otro programa de criptografía, ¿no es suficiente PGP?
R: 1) Seríamos los primeros en admitir que PGP/GPG es todo un logro técnico. Dicho eso, hay que reconocer que no es nada fácil de instalar, configurar y usar para los usuarios más humildes.
¡Ojo!: El hecho de que nadie ha tenido mucho éxito en empaquetar y vender PGP/GPG con interfaces fáciles de usar para los que no son informáticos no quiere decir que su historia (inglés) no fuera digna de comentar.
¡Ojo! 2: De hecho, Phil Zimmermann también cree que PGP no es fácil de usar (inglés).
2) VaultletSuite 2 Go no una biblioteca de algoritmos criptográficos, es un conjunto de soluciones informáticas que aprovecha las llaves generadas por sus usuarios para proteger correo electrónico, contraseñas y ficheros.
3) El usar las llaves es transparente. Los usuarios no tienen que saber nada de la criptografía de llave pública para aprovecharla.
4) Es completamente portátil, y se puede usar en cualquier ámbito informático. Además de eso, se actualiza automáticamente y se puede usar vaya donde con un memoria USB.
5) VaultletMail no es solamente correo electrónico seguro, es correo electrónico buenísimo: le brinda al usuario capacidad de controlar hasta donde pueden llegar sus mensajes (ScopeControl), y por cuanto tiempo pueden existir (HalfLife).
6) VaultletMail también funciona con el correo del resto del mundo, que le permite usar con gente que no lo usa por vía del protocolo SMTP.
7) Está basado en programas y servicios de código libre/FOSS
En resumidas cuentas, VaultletSuite 2 Go es la manera más fácil de dejar atrás una vida plagada por el spam, phishing y las escuchas indebidas.
...arriba
P: ¿Por qué no usa PGP/GPG VaultletSuite 2 Go?
R: Tenemos vario motivos por no usar PGP, entre ellos hemos aquí tres:
1) uno de nuestras metas en el diseño del sistema era reducir la complejidad del código fuente para obtener un resultado más fácil de mantener actualizado. Esto nos permite dedicarle más tiempo al diseño del interfaz visto desde el punto de vista de los usuarios.
2) Nuestros usuarios y empresas no necesitan 17 tipos de criptografía y escemas de codificación, solamente necesitan una configuración sencilla que les protege su información valiosa.
3) Aunque PGP es el punto de referencia en el mundo de la seguridad, está muy lejos de captar un porcentaje respetable del mercado.
...arriba
P: ¿Con qué sistemas operativos funciona VaultletSuite 2 Go?
R: El servidor de VaultletSuite 2 Go está basado en código libre/FOSS: Linux, Apache, JBoss, Tomcat, Axis, KSoap, MySQL y
Bouncycastle. Aunque el servidor solamente ha sido comprobado con Linux, debe funcionar con cualquier sistema operativo. El cliente funciona con cualquier sistema operativo: Windows, Linux, Solaris y Mac OS X.
...arriba
P: ¿Qué tiene de especial código libre/FOSS?
R: Lo que nos gustó, y que sigue siendo atractivo de Linux y otros proyectos de código libre/FOSS, es la distinción precisa entre proceso y producto: código libre/FOSS es un buen ejemplo de proceso, mientras Windows es ejemplo de producto.
En los proyectos que enfatizan la importancia de proceso también suele acompañar los conceptos de la transparencia y la responsabilidad profesional y personal. Estos conceptos tienen un papel muy importante a la hora de decidir si un paquete informático está listo para distribuir y usar: sólo se publica cuanta está listo, no cuando dicen los contables que conviene. ¿Por qué es así? Porque la reputación de los informáticos depende de la calidad de su obra.
Finalmente, como el desarrolo de los proyectos de código libre/FOSS se llevan a cabo bajo el escrutinio perpetuo del público, no hay lugar para trampas o caballos de troya informáticos.
Así que, la transparencia de proceso y la responsabilidad profesional y personal engendran el respeto y establecen la credibilidad de un proyecto.
Esta credibilidad es del tipo que nos tranquiliza, sabiendo que todas las trampas y maniobras oscuras saldrán a la luz por el buen ojo de los que revisan el código fuente. Dicho de otra manera, damos por hecho que "given enough eyeballs, all bugs
[or backdoors/exploits/machinations] are shallow". Lo mismo podríamos decir de nuestros gobiernos también.
...arriba
P: ¿Que van a publicar como código libre/FOSS?
R: Desde el verano de 2005 publicamos el código fuente (bajo licencia LGPL) de txikisoft "Moonbounce" biblioteca de criptografía que hace que sea más fácil aprovechar el buen trabajo de los de Bouncy Castle.
También se puede ver nuestra licencia de "VaultletSuite Client Source Code for Peer Review" aquí (inglés).
...arriba
P: Tengo entendido que SHA1 ya no sirve. ¿Cómo le afecta VaultletSuite 2 Go?
R: Es cierto que SHA1 tiene sus defectos. Siga este enlace para ver lo que cuenta Bruce Schneier (inglés).
Como no usamos SHA1, este defecto no afecta la seguridad de VaultletSuite; usamos SHA256 como parte de nuestra implementación del algoritmo HMAC. El algoritmo de HMAC es un estándar de internet que está descrito aquí (inglés). El uso del HMAC también está recomendado por Ferguson and Schneier en su libro
Practical Cryptography
...arriba
| 
