🇪🇸 Autenticando a Charles Hoskinson | CH 19 Feb 2024

:es: Transcripción al español de “Authenticating Charles Hoskinson”

Publicado en el canal de Youtube de Charles Hoskinson el 19 de Febrero de 2024

Enlace a la versión doblada al español


¡Hola! Este es Charles Hoskinson, transmitiendo en vivo, desde la cálida y soleada Colorado, siempre cálida, siempre soleada, a veces Colorado. Hoy es 19 de Febrero de 2024, quiero hacer un video para hablar de autenticación. Continuo recibiendo emails de personas bien intencionadas diciendo "¿Es este el verdadero Charles Hoskinson? Alguien me contactó a través de LinkedIn, Facebook o Twitter y está hablando conmigo, pero no sé si realmente eres tú o no. Así que tengo la intención de hacer un video que ustedes puedan compartir como un video de referencia, primero sobre cómo autenticarme y también sobre hacia dónde vamos en el mundo de la autenticación. Y espero que esto proporcione algún valor al intentar establecer al verdadero Charles del falso Charles. Primero, como regla general, a menos que tenga una razón específica para contactarte, el 99% de las veces, si alguien afirma ser yo y te llama de repente, probablemente sea una estafa. Así que ten un enorme grado de escepticismo si de repente hay un video de mí o si me estoy comunicando contigo desde un canal social, casi con certeza es una estafa.

Pero hablemos un poco sobre la criptografía de clave pública porque tengo un medio para compartir con ustedes información y autenticar que realmente soy yo. Así que aquí está mi pizarra y, en general, en el mundo de la criptografía, usamos algo llamado claves públicas, claves públicas cripto. La criptografía de clave pública se trata básicamente de tener dos artefactos: tienes este concepto de una clave pública y tienes este concepto de una clave privada, y se basan en la idea de que hay un problema matemático muy difícil en el que puedes ir en una dirección. Entonces, si quieres ir de la clave privada a la clave pública, eso es rápido y fácil, pero si quieres ir de la clave pública a la clave privada, eso es matemáticamente difícil. Y cuando decimos difícil, generalmente hablamos de tan difícil que toma todo el tiempo en el universo hacerlo, todo el tiempo en el universo. El abuelo de todos ellos es RSA y esta es la base de PGP, que significa privacidad bastante buena, que fue creada en 1991 por Phil Zimmerman, fue mantenida por muchas personas diferentes, incluido Halfeny, que fue uno de los primeros pioneros en Bitcoin, pero básicamente lo que haces es vincular, odio cuando ocurre eso, un segundo, alejo zoom, ahi vamos, la tablet hace eso. Lo que haces es vincular una identidad a una clave pública y luego usas la clave privada para autenticar. Básicamente cómo se hace esto típicamente es haciendo algo como un protocolo de desafío-respuesta. Entonces, hay un camino de una y dos vías para esto. Un camino de ida y vuelta sería donde tienes a Alice, aquí está Alice, y luego tienes a Bob, y Alice presenta un desafío donde ella encriptará algo con la clave pública de Bob y el mensaje y luego Bob puede desencriptarlo, ciber text M. Y luego recibe de vuelta el mensaje original que ella envió. Entonces, eso es un poco tu camino de ida y vuelta, es un protocolo interactivo. La única persona que puede hacer eso es Bob porque la única persona que tendrá la clave privada es Bob, y Bob puede compartir esa clave pública con todo el mundo en el mundo, y solo él puede desbloquearla.

Ahora, un camino de una vía es donde haces algo más, y eso es lo que vamos a hacer aquí. Entonces, Bob va a producir la prueba él mismo, y esa prueba es algo que Alice puede verificar y decir: “Oh, sí, eso parece bueno. Creo que es razonable”. Así que vamos a hacer eso. Voy a tomar un mensaje, así que aquí está Cleopatra. Cleopatra es una gestión de certificados y contiene dos de mis pares de claves pública y privada. Contiene mi clave de correo electrónico personal, que he usado desde 2013 y verás una huella dactilar asociada con la clave, y luego usa mi clave de trabajo, que he usado desde 2016 y si realmente observas los detalles de esta clave, puedes ver que es una clave RSA de 4K, cuando se creó, el correo electrónico asociado con ella y lo que se llama una huella dactilar, que es básicamente solo un hash de esta clave gigante. Bueno, espera un segundo, en realidad ya han visto esto antes, déjame mostrarte, lo tienes justo aquí. El rey de las ratas, tenés esta bonita clave aquí, esa es la huella dactilar, pongo eso ahí para autenticar la clave, y les recuerdo muchachos que esa de hecho es mí clave, aquí está el bloque de clave pública. Lo que voy a hacer, voy a volver a la pantalla aquí, voy a firmar un mensaje, esta es la prueba de una vía, vamos a decir algo como “hola mundo”. Ahora, lo que ocurrirá bajo el capot es que va a tomar esta pieza de texto, manipularla un poco, y va a generar una prueba criptográfica basada en mí clave privada, que si vos tenés la clave pública, podés verificar que es correcta. Así que hacemos clic y firmamos, voy a dejar de compartir mí pantalla, voy a compartir pantalla de nuevo, wuaa. Firma exitosa, esta es la prueba criptográfica que está asociada con este mensaje, tomás este mensaje, lo hasheas, firmas el hash con la firma PGP, hay un poco más ocurriendo bajo el capot de acuerdo al estándar, pero eso es básicamente lo que está ocurriendo. Así que podés tener una gran cantidad de texto arbitrario, aprobé eso así que puedo mostrarte, hola mundo, disfrutá largas caminatas en la playa, ahi vamos, firmo, notás como esto cambia, copiar y pegar esto por que de hecho lo duplica, firmo mensaje, ahí vamos. Bien, esta es la prueba. Volvemos a nuestra pequeña imagen aquí, básicamente escribí el texto, tengo mí texto, lo hasheamos y lo firmamos. OK, ahora, este hash y firma con texto se transmite a Alice y puede verificar eso, si tiene una copia de mí clave pública. Volvemos aquí, eso es esto de aquí, hago clic en exportar, si tiene una copia de eso, será capaz de comprobarlo a través de un algoritmo, Cleopatra puede hacerlo, de hecho puede ser tan simple como pegar en la notepad, y hacer clic en verificar notepad. Y dirá “esperá un segundo, tengo una copia de la clave, confío en ella, esto es absolutamente válido, viene de Charles Hoskinson”. Como consecuencia, si quisieras alguna vez verificar a Satoshi Nakamoto, quien es el verdadero Nakamoto, hay una clave PGP real asociada con Satoshi Nakamoto. Vamos a verificarlo, así que si vas a Google y escribes la clave de Satoshi, el Instituto Satoshi Nakamoto realmente tiene esto y lo que podemos hacer es copiarlo en Cleopatra, podemos importar esto, veamos aquí, bueno, en realidad no puedo importar esto directamente, tengo que guardarlo en un archivo y hacer eso, pero puedo ponerlo ahí, así que solo un segundo. Importar, sólo un segundo, voy a ir a través de Envelope para hacer esto, bien, importar desde el portapapeles, sí, desearía que Cleopatra tuviera esa capacidad. Confirmar y luego lo que voy a hacer es simplemente exportar su clave, guardar y lo guardaré en el escritorio, ok, bien, vamos a compartir la pantalla nuevamente. Presentar, wua, y te mostraré cómo hacerlo en un segundo, pero bien, así que si vas a Cleopatra, hacemos clic en importar, la clave de Satoshi Nakamoto, sí, certificar esta clave y quiere que la firme, no voy a firmarla, certificados, aquí vamos, y digo cambiar la confianza del certificado, creo que las verificaciones son muy precisas, bien, así que esta aquí es la clave de Satoshi Nakamoto. Ahora, nota que solo tenemos la clave pública, no tenemos la clave privada correspondiente, así que esta es una clave públicamente accesible, cualquier persona en el mundo puede verla, no es una clave particularmente fuerte en realidad y notarás la fecha en que fue creada, fue creada el 30 de octubre, un día antes de Halloween de 2008 a las 12:19 p.m. y asociada con un correo electrónico anónimo en GMX. Ahora, si alguien quiere afirmar ser Satoshi Nakamoto, todo lo que tendrían que hacer, y producir bastante evidencia para ello, es que podrían tener la clave privada correspondiente, hacer clic aquí en el bloc de notas, agregar y escribir algo como soy Satoshi y luego simplemente hacer clic en firmar así y generaría una prueba. Ahora no tengo la clave privada correspondiente, así que no puedo generar esa prueba, pero notarás que una vez que lo hagan, cualquier persona que tenga la clave pública correspondiente puede simplemente hacer clic en ese botón de desencriptar y verificar. Y no me importa si tienes AGI o un ordenador cuántico, todas estas cosas, en su mayor parte, esto es un esquema bastante seguro, si tienes un ordenador cuántico, hay algunas cosas que podemos hacer para mejorar esto, simplemente usamos criptografía de clave pública diferente, como la criptografía basada en Lattice y seguirá siendo capaz de generar firmas que podemos verificar incluso si tuvieras una computadora cuántica.

Pero esta es la construcción básica del esquema y si alguna vez llamo fríamente a alguien sin previo aviso, lo que voy a hacer es enviarles un correo electrónico firmado o un mensaje firmado, así que si te contacto y dices que no creo que realmente sea Charles Hoskinson, diré, ok, bien, firmaré un mensaje para ti con mi Gmail y mi clave de Gmail y luego puedes verificar que ese mensaje es correcto si tienes una aplicación como Cleopatra. Hay una pregunta natural que hacer, ¿dónde puedo ir para encontrar la clave de Charles? puedes encontrar la huella digital en mi feed de Twitter, pero si realmente vas a, y esto explica claves públicas de huellas digitales, cómo se derivan, debería hablar de ello. Pero si vas a keys open gpg, puedes buscar mi dirección de correo electrónico y hay una copia de mi clave pública que puedes descargar y te recomendaría que realmente obtuvieras una aplicación llamada Mailvelope y Mailvelope es una extensión del navegador, es gratis usarla, funciona en la mayoría de los navegadores modernos, y básicamente puedes crear un llavero, cifrar archivos, puedes hacer todo tipo de cosas y en realidad puede cifrar y descifrar automáticamente los correos electrónicos que envías a través de Gmail u otros servicios, pero puedes simplemente importar la clave en eso, también tiene un portapapeles para importar, así que puedes importar la clave de Nakamoto si así lo deseas, pero básicamente siempre puedes obtener mi clave allí, siempre puedes descargar Cleopatra y usar ese software y siempre puedes verificar, Ahora en la práctica la mayoría de las personas no harán, pero simplemente pedir ese tipo de autenticación probablemente sea suficiente para disuadir a un estafador, porque el estafador no sabrá cómo firmar un mensaje PGP la mayoría de las veces y, incluso si puede, no podrá autenticar un mensaje conmigo. Esto es todo el problema de Craig. Si Craig realmente fuera Satoshi Nakamoto, la navaja de Occam simplemente sería firmar un mensaje con la clave original de Satoshi, a la que ciertamente tendría acceso si fuera Satoshi Nakamoto. Ya viste que firmé un mensaje con mi clave y pude verificar un mensaje, y si él estuviera dispuesto a firmar con esa clave, todos podríamos verificar juntos ese mensaje con Cleopatra u otro software como Mailenvelope. Pero el hecho de que eso no exista es algo bastante interesante.

Ahora, una de las cosas que vamos a hacer con la evolución de Lace, y hablemos un poco sobre Lace, es que vamos a integrar un Centro de Identidad en Lace que aproveche Prism. Prism es nuestro marco de identidad. Así que subimos un escalón y tenemos esta cosa llamada DID, y aquí está el estándar DID. Entonces tienes un DID, un método DID, identificador, pero básicamente creas un identificador y luego puedes asociarlo con un documento arbitrariamente largo, que típicamente está formateado en JSON y también puede contener tus claves públicas y otras referencias a eso. Bueno, construimos todo un marco, que ahora está en Hyperledger, y ese marco se integrará bastante profundamente en Lace a través de un Centro de Identidad. Y el primer caso de uso que me gustaría ver es un generador de billetera de papel. Y un generador de billetera de papel es algo que realmente resuelve muchos problemas para las personas. Entonces, cuando creas una billetera, también tienes una copia de seguridad de esa billetera para restaurar, y esa copia de seguridad típicamente tiene 24 palabras clave. Creo que este es el antiguo estándar bip 39 de hace mucho tiempo. Y eso es lo que típicamente se hace, y te dicen que escribas eso. Entonces, lo que la gente hará es que tomarán esas palabras clave y tal vez las escribirán en un papel y las guardarán en una caja fuerte o algo así. ¿Qué tal si en cambio pudieras generar un PDF y ese PDF pueda tener un código QR público y un código QR privado y luego puedas simplemente guardar ese PDF o imprimirlo pero con ese código QR privado que está cifrado con tu clave PGP? ¿Qué tal eso? Bueno, si tenemos DIDs, los DIDs pueden tener una credencial criptográfica asociada. Entonces puedes asociar una clave PGP e incluso administrar eso con un dispositivo como una llave Ubi Key, por ejemplo, o como sea que lo administres. Entonces, todo lo que Lace necesitaría es una copia de tu clave pública. Esto significa que incluso podrías generar una billetera para otra persona. Encriptaría eso, generaría el PDF y ese PDF solo podría ser descifrado por la persona que posee la clave privada correspondiente. Entonces, código QR privado, lo encriptás, obtenés estos dos código, sólo tendrías que restaurar tu billetera, escanear la clave privada y desencriptarla. En la práctica lo sostendrías frente a tu cámara web o teléfono, luego te autenticarías con tu clave PGP, lo desencriptaría, tendrías esas 24 palabras clave y regenerarías la billetera. El generador de billetera de papel es algo que me gusta mucho y es algo que, si tienes una clave PGP y un Centro de Identidad, así que tienes un DID con una clave asociada, básicamente solo subirías eso y cada vez que vayas a hacer una copia de seguridad de tu billetera, podrías hacer una copia de seguridad con una contraseña, lo que encriptaría esto, o podrías hacer una copia de seguridad con la encriptación de clave pública.

Ahora, esto es tan seguro que podría publicar públicamente la billetera de papel y podría tuitearlo y decir: “Si puedes hackearlo, puedes quedártelo”. Y así, cuando creemos esta función, cuando obtengamos esta función, voy a tener un concurso donde voy a poner $1 millón de dólares en ADA en una billetera de papel generada de esta manera y voy a tuitear un enlace para que ustedes puedan descargarlo y cualquier persona en el mundo pueda intentar hackearlo y si pueden hackearlo, pueden quedárselo. ¿Qué tal eso? Porque así de segura es la criptografía de clave pública. ¿Por qué es esto una idea sensata? Bueno, es una carga encriptada y la única forma de desencriptar esa carga es si tienes la capacidad de resolver este problema difícil, porque básicamente la única información que tienes es la cosa pública correspondiente, pero en realidad no tienes la privada. Y la base de toda la criptografía en internet está aquí, así que en realidad es un esquema bastante seguro bajo el capó, es muy, muy potente y esto es lo que obtienes con este tipo de cosas.

Bueno, una vez que tenemos tu identidad dentro del sistema, entonces también podemos hacer todo este flujo de trabajo de autenticación de mensajes, firmar mensajes, autenticar canales, muy simple. Como por ejemplo, hablemos de deep fakes. Así que digamos que alguien te llama por video y esa persona dice: “Hey, soy Charles”, y parece ser yo y suena como yo. Dices: “Realmente no confío en que seas Charles Hoskinson”. “Hey, ¿podemos autenticar este canal?”. Entonces, por defecto, digamos que desde un punto de vista de texto parece que es Charles en el canal de video y hay una ventana roja a su alrededor porque no está autenticado. Entonces la pregunta es, ¿qué se necesita para llegar a la ventana verde? Bueno, recuerda ese protocolo de desafío-respuesta. Puedes enviar Annons como hizo Alice y decir: “Oye, he encriptado esto, desencriptalo y devolvelo por el canal”. Bueno, la única forma en que pueden hacer eso es si tienen la clave privada DID correspondiente asociada con ese DID mío que guardaste dentro de tu cosa. Y en la práctica, podría ser tan simple como un clic de un botón como una extensión del navegador y haces clic y ahora tenemos un canal autenticado y funciona en la otra dirección también. Alice puede autenticar a Charles, o sea, a mí. Ok, autenticación de un solo clic y esto garantiza que no sea un video generado por IA. Lo mismo para la generación de archivos. Cuando generas un archivo, cualquier archivo, porque cualquier archivo se puede hashear, cualquier archivo se puede firmar en la carga útil. Entonces, comienzas desde bloques de construcción y obtienes un Centro de Identidad en la billetera, tienes tu DID dentro de eso y puedes asociar una clave PGP o cualquier credencial criptográfica arbitraria y luego, una vez que tienes eso, puedes generar una billetera de papel. Pero luego puedes empezar a autenticar llamadas de video, autenticar archivos, todo tipo de cosas, así que las vinculaciones autenticadas son una característica asesina en la era de la IA generativa, es súper importante, pero se basa en estas bases estándar de la criptografía pública que ha estado presente desde 1991, rápido y fácil de pasar de una clave privada a una clave pública, difícil en términos de todo el tiempo del universo que lleva pasar de una clave pública a una clave privada, y si eso no fuera cierto, entonces cuando echamos un vistazo a la clave de Satoshi, clave de Satoshi, ahí vamos, detalles, ahí vamos, esta clave aquí, entonces deberíamos poder ir fácilmente y garantizo que Craig lo habría hecho. No es posible ahora mismo, aunque se está acercando inquietantemente con las claves RSA de 1K, no es posible ahora mismo pasar de una clave pública a una clave privada, simplemente no se puede, así que y luego puede autenticar fácilmente y desafortunadamente no tenemos la clave correspondiente, así que no podemos firmar ese mensaje de que soy Satoshi.

Así que espero que eso ayude un poco y espero que les dé una comprensión más profunda o al menos un pequeño vistazo de lo rica que es la criptografía, la criptografía es tan buena porque te da la capacidad de autenticar personas, te da la capacidad de crear lo que se llama no repudio, integridad del mensaje, te da la capacidad de asegurarte de que los canales con los que estás tratando son seguros y puede bloquear y asegurar tus fondos. El generador de billeteras de papel lleva mucho tiempo esperando y me sorprende que nadie en la industria haya creado esto, porque al final del día cuando imprimimos una billetera de papel hay un ataque muy insidioso llamado ataque de repetición donde básicamente una vez que has creado la billetera de papel y la imprimes, una persona que tiene acceso a la impresora simplemente puede revisar el buffer en la impresora y reimprimirla, en cuyo caso tienen acceso a ella, cuando encriptas tu capacidad de recuperar, entonces esa billetera de papel es irrompible. Si alguien encuentra el trozo de papel, no son capaces de desencriptarlo. También puedes almacenar de forma segura tus billeteras de papel en el correo electrónico también con un esquema como este, porque es equivalente a un correo electrónico encriptado con PGP. En la práctica ningún hacker va a poder obtenerlo, lo puedes hackear, lo puedes mantener, me gusta eso, canales autenticados, todas estas otras cosas.

Nunca me pondré en contacto contigo pidiéndote Ada, nunca te diré que hay un sorteo, no importa cuántas veces internet intente convencerte de eso y al final del día si tengo alguna razón para ponerme en contacto con vos, estoy, como puedes ver, muy cómodo usando la magia de la criptografía para hacerlo, tengo muchos medios para autenticarme, y hay un agujero de conejo muy profundo para la autenticación, pero por eso tengo la huella digital PGP en el encabezado de mi Twitter, es por eso que he enviado mis claves a openpgp.org, es por eso que, tenemos todos estos diferentes canales que existen. Las blockchains son los servidores de claves perfectos, están construidos para este tipo de cosas, son geniales para certificados, son geniales para servidores de claves, de hecho, en los primeros días de Bitcoin había algo llamado Namecoin para ese propósito específico y verás que hay numerosos proyectos comunitarios donde la gente está aprovechando el hecho de que las personas están creando y usando blockchains para un almacén de claves.

Así que espero que esto les dé una mayor sensación de la magia y el poder de esta industria y campo y nuevamente, nunca me pondré en contacto contigo a través de las redes sociales, simplemente no va a suceder, y nunca te pediré ada y si alguien alguna vez te lo pide instantáneamente pídele una firma y si no te la da, envíale una copia de este video y luego pregúntale por qué te dijo algo diferente en un canal público. Y por supuesto te dará alguna historia suave, “oh no tengo mi clave disponible”, a menos que esté en una celda de prisión siempre voy a tener mi clave disponible y no puedo acceder a mis cuentas sin este tipo de cosas, las mismas cosas que me dan la capacidad de acceder a mis cuentas me dan la capacidad de firmar claves, así que no es verdad, no es realidad. Espero que ayude a todos y gracias por escuchar, saludos.