La última feria de SIMO TCI en Madrid y poco antes Telecom 99 en Ginebra han venido a poner de manifiesto el indiscutible liderazgo de la telefonía móvil e Internet en el futuro inmediato de las tecnologías de la información y de las comunicaciones en todo el mundo. El acceso móvil a Internet, milagro posible gracias a la nueva tecnología WAP, se ha perfilado como uno de los protagonistas indiscutibles, acaparando la atención de los principales fabricantes de productos de telefonía celular y de las operadoras más importantes, que comienzan a acariciar la idea de un futuro donde pequeños dispositivos móviles (teléfonos, asistentes personales digitales (PDA), organizadores y otros increíbles aparatos presentados en las ferias) desbanquen al PC, abriendo paso a un mundo donde las comunicaciones graviten en torno a la Internet sin hilos.
El protocolo de aplicaciones inalámbricas (WAP) constituye el estándar de facto mundial para la prestación de servicios de información y telefonía sin hilos en terminales m¢viles digitales y otros dispositivos inal mbricos, desarrollado por la uni¢n de los l¡deres mundiales en el mercado de las telecomunicaciones sin hilos, tanto fabricantes como operadoras y proveedores de servicios. WAP permite transportar la riqueza de informaci¢n y servicios accesibles desde Internet hasta la pantalla de su tel’fono m¢vil, en cualquier lugar, en cualquier momento, sin necesidad de cables, de l¡neas telef¢nicas ni de ordenador.
Los terminales m¢viles con soporte para WAP incorporan adem s un micronavegador que sirve para acceder a la informaci¢n deseada utilizando el lenguaje WML, de manera similar a como funcionan los navegadores convencionales en el ordenador leyendo p ginas HTML. Por supuesto, dadas las limitaciones actuales en la velocidad de transmisi¢n de datos a trav’s de l¡neas GSM (t¡picamente 9600 bits/s para comunicaciones orientadas a conexi¢n y una tasa de transferencia efectiva de 100 bits/s para SMS) y debido a las reducidas dimensiones de la pantalla de los m¢viles (dimensiones habituales de 4×12 caracteres), todav¡a no resulta posible una experiencia de navegaci¢n con gr ficos, animaciones, efectos multimedia y grandes volomenes de datos. Pero s¡ es posible acceder a servicios de informaci¢n muy variados, como noticias, finanzas, banca a distancia (v. editorial anterior, «La nueva banca digital del siglo que viene» en www.iec.csic.es/criptonomicon/susurros/susurros13.html), tr fico, informaci¢n y reserva de viajes, el tiempo, ocio, correos electr¢nicos y faxes, acceso a bases de datos en intranets corporativas, directorios de informaci¢n, etc.
Dado el car cter comprometido de las aplicaciones v¡a WAP (reserva y adquisici¢n de entradas y billetes, operaciones bancarias, compra-venta de valores burs tiles), la seguridad es un prerrequisito fundamental que exigir n los usuarios y que los bancos y proveedores de contenidos se esforzar n por ofrecer. WTLS (seguridad en la capa de transporte sin hilos) proporciona los servicios b sicos de seguridad, como confidencialidad, integridad, autenticaci¢n y protecci¢n contra denegaci¢n de servicio (DoS), constituyendo el equivalente inal mbrico del est ndar TLS (seguridad de la capa de transporte, ftp://ftp.isi.edu/in-notes/rfc2246.txt), basado en el popular SSL v3.0, que sirve para establecer un canal de comunicaciones seguro entre el navegador del usuario y el servidor web y del que se ha hablado en repetidas ocasiones desde el Criptonomic¢n. WTLS incorpora nuevas caracter¡sticas como soporte para datagramas, handshake optimizado frente a la fuerte sobrecarga de TLS o SSL y refresco din mico de claves (las claves son invalidadas frecuentemente para frustrar el criptoan lisis). Adem s, este protocolo ha sido optimizado para redes portadoras con ancho de banda escaso y largos per¡odos de latencia.
Desgraciadamente, los peque_os procesadores de estos dispositivos m¢viles carecen de la potencia de c lculo para realizar las operaciones criptogr ficas posibles en redes fijas con el PC como herramienta. Comp rense los 64 MB de RAM de un ordenador de sobremesa convencional con los 32 a 64 KB de un tel’fono m¢vil ¥de gran memoria! y con capacidad de c lculo igualmente reducida. Existen dos v¡as de salida: o reducir el tama_o de los procesadores manteniendo su potencia o explorar nuevas tecnolog¡as criptogr ficas. En este sentido, la criptograf¡a de curvas el¡pticas (ECC) est apuntando nuevas y prometedoras soluciones para los peque_os dispositivos, ya que requieren un quinto de la memoria de los criptosistemas convencionales, a la vez que conservan su seguridad (al menos, dado el estado actual de nuestro conocimiento de las curvas el¡pticas). La empresa Certicom (www.certicom.com) se ha erigido en pionera en ofrecer productos basados en ECC, incluidas soluciones para WAP. Por su parte, Entrust est extendiendo su gama de productos PKI tambi’n a WAP.
Sin embargo, la desventaja de las soluciones basadas en ECC es la dif¡cil compatibilidad con otros productos basados en otros criptosistemas que utilicen algoritmos como IDEA, DES, RSA, etc., problema que deber ser resuelto.
Para que el m¢vil acceda a servidores de Internet, es necesaria la presencia de una pasarela WAP, perteneciente a la operadora de telecomunicaciones, que traduzca las peticiones en WAP originadas por el m¢vil a peticiones en HTTP que entienda el servidor web. Rec¡procamente, las respuestas de los servidores web en HTTP (las p ginas en HTML) deben a su vez traducirse al lenguaje WML para que se representen adecuadamente en el terminal m¢vil.
La transmisi¢n de datos entre el m¢vil y la pasarela se realiza utilizando los servicios de la capa WTLS, mientras que las comunicaciones entre la pasarela y los servidores web se aseguran mediante SSL o TLS. La transmisi¢n segura extremo a extremo es gestionada de forma transparente y autom tica por la pasarela WAP. Ahora bien, este esquema ofrece un tal¢n de Aquiles en la propia pasarela, ya que requiere descifrar la informaci¢n de WTLS a SSL y viceversa. Durante ese breve instante en que los datos se encuentran en claro en la memoria de la pasarela de la operadora se podr¡a producir el ataque. La posibilidad es remota, pero real. Empleados desleales de la compa_¡a o un h bil hacker que comprometiera la seguridad de la pasarela podr¡an hacerse con las comunicaciones que pasan a trav’s de ella.
Los problemas de exportaci¢n de la criptograf¡a no har n sino agravar la situaci¢n, ya que en algunos lugares estar prohibido utilizar algoritmos con plena potencia. No ser inusual encontrarse con que la legislaci¢n vigente permita la autenticaci¢n fuerte, mientras que prohibe el cifrado fuerte.
Como vemos, la carrera hacia la Internet m¢vil no ha hecho sino empezar. Durante el primer trimestre del a_o que viene se producir el boom del acceso m¢vil a Internet y tendr lugar la proliferaci¢n de nuevos portales de acceso, con contenidos y servicios innovadores, a la medida de los clientes con necesidades de comunicaciones y conectividad m s exigentes. Actualmente, el nomero de tel’fonos celulares vendidos supera con creces al de ordenadores, y segon todas las previsiones, en el 2002 habr en Espa_a m s terminales m¢viles que l¡neas telef¢nicas fijas. El PC como medio tradicional de acceso a Internet ver mermar su protagonismo ante el avance imparable de los dispositivos m¢viles, que comienzan a convertirse en aut’nticas oficinas en miniatura, como centrales de acceso a la informaci¢n, env¡o y recepci¢n de faxes y correos electr¢nicos y, por supuesto, comunicaciones de voz. La Internet del siglo que viene podr caber en la palma de su mano. +La seguridad se ver tambi’n igualmente menguada o ser comparable a la de las comunicaciones fijas?.
Gonzalo -lvarez Mara_¢n
criptonomicon@iec.csic.es
Bolet¡n Criptonomic¢n #61
http://www.iec.csic.es/criptonomicon
INTERNET EN LA PALMA DE SU MANO
230
