Roughtime es un protocolo gratuito de control del tiempo desarrollado por Google
Los programas de criptografía son complicados de comprender e implementar. Muchas cosas pueden salir mal. Pero cuando se trata del cifrado web, un sorprendente número de errores provienen en realidad de un mecanismo directo y aparentemente básico: el cronometraje.
Los relojes sincronizados en los sistemas operativos pueden hacer que el cronometraje digital parezca fácil, pero requiere mucho trabajo entre bastidores y no siempre resuelve los problemas en línea.
La naturaleza descentralizada de Internet significa que los relojes detrás de cada navegador y aplicación web pueden tener grandes discrepancias, lo que a su vez puede socavar las protecciones de seguridad.
En un paso hacia el tratamiento de estas incoherencias, la empresa de infraestructura de Internet Cloudflare admitirá ahora un protocolo gratuito de control del tiempo conocido como Roughtime, que ayuda a sincronizar los relojes de Internet y validar las marcas de tiempo.
El cifrado web, como los protocolos que producen conexiones cifradas "https", usa certificados para verificar una identidad, y proporciona una marca de tiempo hasta que esa identidad deba verificarse nuevamente y volverse a verificar.
Por ejemplo, Apañados.es tiene un certificado de cifrado web válido que se puede verificar en el navegador haciendo clic en el pequeño candado gris (antes verde). Caduca dentro de unos meses, momento en el cual Apañados.es renovará automáticamente el certificado a través de Let's Encrypt.
Pero los navegadores y otras aplicaciones web que realizan controles de tiempo con un reloj digital inexacto pueden aceptar certificados caducados o rechazar los válidos.
"Una gran razón por la cual falla el cifrado es porque el reloj de alguien está apagado o el desfase es realmente perturbador", dice el CEO de Cloudflare, Matthew Prince. "Un reloj puede estar apagado por un minuto, una hora, un día, un mes, un año o más. Por lo tanto, queremos ser la torre del reloj en cada plaza del pueblo en la que la gente pueda confiar".
Y Cloudflare tiene el alcance para lograr un impacto a gran escala. Proporciona entrega de contenido, seguridad y otros servicios de soporte a más de 10 millones de dominios y opera 152 centros de datos en todo el mundo.
Un estudio de 2017 de Google [PDF]encontró que el 6,7 por ciento de los relojes digitales en una muestra de usuario tenían más de 24 horas de retraso, y el 0,05 por ciento tenía más de 24 horas de anticipación. La compañía también informó en 2016 que alrededor del 25 por ciento de los errores de certificados de Chrome parecían ser el resultado de relojes digitales inexactos. Por lo tanto, Google desarrolló en 2016 Roughtime como un estándar abierto, y mantiene un servidor Roughtime con el que los servicios web pueden conectarse y sincronizarse. Al agregar la implementación de Cloudflare se ampliará lo que Google ha comenzado, haciendo que Roughtime sea más fácil de implementar en todo el mundo.
Los beneficios se extienden también más allá de la correción de errores actuales. Cuantos más relojes se sincronicen en la web, más cortos serán los certificados de cifrado de vida útil, lo que creará comprobaciones de autenticación más rigurosas y menos errores para los usuarios.
"Muchos mecanismos de seguridad como los certificados HTTPS se basan en saber qué momento es difícil", dice Peter Todd, un investigador de criptografía aplicado y desarrollador de Bitcoin Core. "Los certificados HTTPS caducan y usted realmente no desea aceptar los desactualizados, porque la caducidad es el mecanismo principal que impide el uso de certificados robados".
Los clientes web, a veces denominados puntos finales, ya pueden sincronizar sus relojes utilizando un estándar llamado Network Time Protocol. Pero NTP es un antiguo protocolo web y no incluye protecciones de seguridad. Como resultado, un pirata informático puede manipular el NTP utilizando los ataques de "man-in-the-middle" o de denegación de servicio e impactar en el control de la hora en línea.
Roughtime mejora al sincronizarse solo con servidores autenticados, e incluso tiene una función para auditar los servidores en busca de responsabilidad. Esto significa que si un servidor Roughtime se ve comprometido y su cronometraje no es confiable, los navegadores u otros clientes web que usan Roughtime pueden detectar el problema y generar una prueba criptográfica de la hora correcta.
Pero este diseño del ecosistema solo puede funcionar realmente si numerosos servicios en la web admiten Roughtime. Cuanto más ubicuo es, más robustas se vuelven las protecciones.
"Es bueno ver su adopción y más pruebas", dice Todd. "No quieres tener una sola fuente de confianza. Roughtime está diseñado para permitir que varios firmantes de Roughtime se cotejen entre sí de una manera criptográfica demostrable".
Adam Langley, el ingeniero de software de Google que desarrolló Roughtime, enfatiza que la amplia adopción será crucial para el éxito del protocolo. Pero dos años después de que Langley publicara por primera vez el protocolo, el buy-in de Cloudflare es el primer signo importante de proliferación fuera de Google. "Estamos felices de ver a Cloudflare adoptando Roughtime", dice Langley.
Prince de Cloudflare dice que el objetivo de la compañía no es simplemente llevar Roughtime a sus propios clientes, sino impulsar la adopción de Roughtime en todo el mundo. Él dice que el objetivo más grande de Cloudflare es hacer factible reducir las ventanas de vencimiento de certificados sin más errores.
"La pregunta es ¿cómo se obtienen relojes lo suficientemente precisos para que puedas hacer que los certificados de cifrado sean mucho más cortos?", dice Prince. "Si puedes resolver el tiempo en Internet, eso es realmente poderoso".
