El fin de Enigmail descubre realidades del software que… ¿podrían matar a Thunderbird?

Mozilla quiere añadir soporte nativo OpenPGP a su cliente de correo Thunderbird. Esto implica prescindir de su la extensión Enigmail, la reina para la gestión de S/MIME y OpenPGP en el correo. Estos son buenas noticias… o no. Porque saca a la luz algunas realidades del mundo del software que, en el ámbito del código libre y abierto, sorprenden quizá más por las expectativas generadas.

OpenPGP es el estándar derivado de PGP. GnuPG es la implementación libre más popular del estándar OpenPGP. GnuPG trabaja fundamentalmente por línea de comando. Enigmail es la pieza que permite usar OpenPGP en Thunderbird, usando en realidad a GnuPG en el sistema (Thunderbird llama a Enigmail, este a la shell, esta a GnuPG que escupe a shell, que recoge Engimail y que envía a Thunderbird de nuevo). Esto quiere decir que la interfaz de Enigmail usa llamadas a líneas de comando y recoge el resultado que redibuja en Thunderbird, con todos los problemas que puede conllevar. Desde luego no es la situación ideal, pero así se ha hecho durante muchísimos años y no ha surgido nada mejor.

Ahora las APIs de las extensiones en Mozilla van a cambiar radicalmente (tanto en Thunderbird como Firefox), por lo que la nueva arquitectura deja fuera de combate a Enigmail. Pero no pasa nada, Mozilla se compromete a añadir soporte nativo para OpenPGP en el cliente de correo para el verano de 2020. Solo hay un problema: no saben cómo hacerlo todavía.

Los problemas

Y no es por falta de conocimiento, obviamente. Es porque la realidad es más compleja que el mundo ideal. El mantenimiento de software (libre o no) no es sencillo, incluso cuando se disponen de recursos. Imagina cuando no.

Enigmail es un proyecto de unas pocas personas en su tiempo libre que vive de donaciones. Lo han mantenido durante más de 15 años y, cuando saben que van a tener que matarlo, incluso se ofrecen a ayudar al equipo de desarrollo de Thunderbird a conseguir la integración. Thunderbird a su vez, tenía muchos problemas para mantener su propio código en forma. Hace una década hubo momentos en los que los fallos de seguridad heredados de Firefox, se corregían mucho más tarde en Thunderbird. En 2012 se despriorizó oficialmente (se dijo en voz alta lo que ya se percibía). Temimos lo peor. Mozilla no podía mantener Firefox y Thunderbird a la vez. Pero se arregló, en 2017 volvieron a confirmar que lo mantendrían, pero siempre supeditado a que no supusiera un lastre para Firefox. Y esto para una fundación que maneja, literalmente, millones al año.

Enigmail es precisamente una de las extensiones más populares para el cliente. No es perfecto, pero es lo mejor que tenemos. La fórmula para funcionar puede no ser la más elegante, pero según Robert J. Hansen, el mayor problema es el ecosistema OpenPGP en sí. No el protocolo, no la implementación, sino el ecosistema. Y con esto parece incluir ese ataque que sufrió la infraestructura no hace mucho. Hansen, muy comprometido con el desarrollo libre enOpenPGP, también reparte críticas contra Engimail por lo complejo de su funcionamiento en un discurso que defiende el estándar, pero critica todo lo que le rodea. La escasez de recursos incluidos. En 20 años, en OpenPGP, no han podido siquiera realizar por ellos mismos una buena implementación de OpenPGP en JavaScript para que Enigmail pueda deshacerse de GnuPGP y las llamadas a la línea de comando. Simplemente no han tenido recursos para hacerlo. Tuvo que venir una compañía como ProtonMail a liberar openpgp.js y conseguirlo.

¿Las soluciones?

En teoría podría ser sencillo introducir Enigmail en Thunderbird. Se podría meter todo, GnuPG incluido, en el cliente de correo. Pero no. Aquí vienen las licencias a aguar la fiesta. MPL 2.0 y GPL 3+ son incompatibles. Thunderbird debe rehacer OpenPGP sin aprovechar GnuPG. Y esto, aparte de la pérdida de tiempo, implica que muchas cosas cambiarán, incluido el formato de almacenamiento, la fórmula de trabajo… Y por supuesto, para prevenir el vandalismo en los servidores de llaves, usarán Autocrypt, WKD o Hagrid como modelos de compartición de llaves… pero no saben aún cuál. En esta entrada de la wiki de Mozilla se pueden ver cuánto está por hacer y por decidir. ¿Les dará tiempo para el verano de 2020?

Por el lado malo podemos ver cómo Thunderbird, OpenPGP, Engimail… grandes o pequeños, todos han sufrido escasez de recursos estos años, o incompatibilidad de licencias (aun siendo libres) o problemas de vandalismo que son delicados de solucionar. El cambio la filosofía de add-ons en Mozilla les empuja a integrar una solución que todavía no tienen bien diseñada, no se ha decido y no parece sencilla. Pero están en ello. Confiemos en que lo solucionen sin problemas… porque será un esfuerzo considerable dedicado al cliente de correo y recordemos las palabras de Mozilla: mantendrá Thunderbird siempre que no suponga un lastre para Firefox.

Por el lado bueno, quizás sirva para facilitar el uso del cifrado, más cómodo, más estándar, más portable y libre. Cuando apostaron de nuevo por Thunderbird en 2017, afirmaban desde Mozilla que era cierto «ahora es cuando más se necesita un correo independiente y seguro». Pero de nuevo… siempre que no lastre a Firefox, porque también es necesario un navegador independiente. Sea como sea, todavía tienen que solucionar muchos problemas y tomar otras tantas decisiones.