DropLock, app de intercambio secreto

La aplicación DropLock permite a los usuarios intercambiar secretos de manera segura a través de enlaces encriptados. Cada usuario puede crear un enlace de "lock box" que puede ser compartido con otros.

Alguien que recibe este enlace puede introducir un mensaje y crear un nuevo enlace encriptado que solo el propietario original del "lock box" puede abrir. Esto se logra mediante la creación de un par de claves pública y privada en el navegador del usuario. La clave pública se incluye en el enlace del "lock box", mientras que la clave privada se almacena de manera segura en el navegador y no puede ser exportada.

“Alguien que recibe este enlace puede introducir un mensaje y crear un nuevo enlace encriptado que solo el propietario original del "lock box" puede abrir”

La seguridad de DropLock se basa en el uso de un algoritmo de encriptación AES-GCM con HKDF-SHA-256. Cuando alguien envía un secreto encriptado, su navegador utiliza la clave pública del destinatario y una clave de un solo uso para crear la clave de encriptación. El secreto se encripta localmente y el resultado se coloca en el fragmento del enlace, que no se envía al servidor web. Sin embargo, DropLock no utiliza verificación de huellas digitales, lo que significa que si alguien puede reemplazar el enlace del "lock box" durante la transmisión, puede hacer que el remitente encripte el secreto para ellos en lugar del destinatario original.

Para utilizar DropLock de manera más segura, se recomienda que el receptor envíe el enlace del "lock box" a través de dos canales diferentes y compare que los enlaces sean idénticos, o utilice un canal que se considere completamente de confianza. Es importante tener en cuenta que DropLock no ha sido revisado por un experto en seguridad, por lo que su uso debe ser cuidadoso y con conciencia de los posibles riesgos. El código fuente de la aplicación está disponible para su revisión y análisis.