Messaging Layer Security (MLS), es un nuevo estándar que admite el cifrado de extremo a extremo en aplicaciones de mensajería y se liberó como RFC9420.

El nombre es una variación obvia del Transport Layer Security (TLS), pero no termina con eso las similitudes. . MLS estuvo en desarrollo durante unos cinco años, un tiempo parecido al que llevó producir TLS 1.3. Ambos estándares se basaron en los protocolos que los precedieron. Ambos estándares involucraron al mundo académico y a una base de expertos más amplia para analizar los diseños antes de que se consideraran completos.

Para entender por qué se necesita MLS, hay que ir al 1991 y Pretty Good Privacy (PGP). Desarrollado por Phil Zimmerman, PGP fue el primer intento de proporcionar cifrado de extremo a extremo para la mensajería, más específicamente, para el correo electrónico. Aunque PGP proporcionaba cierta seguridad básica, su usabilidad era deficiente y la criptografía débil según los estándares actuales; además su seguridad dependía de una clave maestra. Si esa clave se viera comprometida, toda la comunicación, pasada y futura, también estaría comprometida.

Siguieron otros estándares. El protocolo Off-the-Record (OTR) se centra en la seguridad de los mensajes (chat) en tiempo real, introduciendo el forward-secrecy que garantiza que el descubrimiento de las claves utilizadas al momento no compromete la seguridad de las claves usadas con anterioridad (no las revela). Por lo tanto la seguridad de lo que se hizo usando claves antiguas persiste.

El protocolo Signal mejoró aún más las cosas al agregar soporte para comunicación fuera de línea, así como seguridad en el caso que los datos de un usuarios estuvieran comprometidos, parecido a lo que pasa con el protocolo TLS 1.3. El protocolo Signal ha logrado un gran éxito y ha sido implementado no solo por Signal, sino también por WhatsApp, Facebook Messenger, Skype y otros.

Aunque el protocolo Signal en este momento es un estándar de facto, MLS pretende ir más allá con una comunicación de grupo mejorada, una estandarización adecuada y una implementación de referencia en Rust, un lenguaje de programación de alto rendimientos y de alta fiabilidad; todo esto bajo una licencia de código abierto.

Si varios proveedores adoptarán este protocolo, se abrirían las puertas a una posible federación e interoperatividad entre aplicaciones de mensajería instantánea. Varias empresas destacadas participaron en el esfuerzo de desarrollo. Google ya afirmó que implementará MLS en Google Messages. y Matrix ya está experimentando el nuevo protocolo.

Toca solo esperar para ver como termina la historia. Para aquellos que quieran profundizar el tema del Post-Compromise Security, les anexo una tesis de laurea escrita sobre el tema para TLS 1.3 (que es bastante parecido) a MLS; la tesis es en inglés.