Grandes compañías y gobiernos en todo el mundo se empeñan en perseguir la seguridad a través de la oscuridad: consideran que ocultando los detalles de cómo funcionan sus algoritmos criptográficos conseguirán aumentar la seguridad global de sus sistemas. Nada más lejos de la realidad.
En estas situaciones, lo que inevitablemente ocurre es que el desarrollo de los algoritmos de protección de la confidencialidad se deja en manos de un equipo de ingenieros y técnicos que lo llevan a cabo de la mejor manera que saben y que, sin duda alguna, superan con éxito los ataques convencionales, ofreciendo una seguridad satisfactoria a primera vista. Sin embargo, para contar con mayores garantías de que un algoritmo o protocolo es seguro, no basta con que sea revisado por un equipo de seguridad a sueldo. Es absolutamente imprescindible que se publique en revistas científicas, siendo accesible a todo aquel interesado en estudiar su robustez. Sólo así, sometiéndose al público escrutinio de la comunidad acad’mica, se puede reunir un equipo de investigaci¢n de cientos o miles de expertos que trabajar n durante meses o a_os en la bosqueda de fallos y vulnerabilidades (consid’rese el caso de DES, sobre el que se lleva m s de veinte a_os publicando art¡culos). Ninguna gran empresa ni gobierno puede permitirse una fuerza humana de semejantes dimensiones. S¢lo los algoritmos de dominio poblico que superan durante a_os el an lisis e indagaci¢n de profesionales de la criptograf¡a se pueden considerar «seguros», en la medida en que no se conoce ningon medio de atacarlos (lo cual no significa que no existan, sino simplemente que en el estado actual de evoluci¢n de las matem ticas, la inform tica y la teor¡a de nomeros no se conocen v¡as de ataque eficaces).
Microsoft ha protagonizado recientemente varios ejemplos pat’ticos de sistemas de seguridad irrisoria desarrollados por la propia empresa, dando la espalda a algoritmos y protocolos de dominio poblico ampliamente extendidos y probados. En consecuencia, algunos de sus productos, aparentemente seguros porque nadie conoce sus mecanismos internos, basan su seguridad en unos algoritmos criptogr ficos endebles o incluso triviales de resolver, como ha sido el caso, casi humor¡stico, de la protecci¢n de las contrase_as en m quinas con Windows CE ( http://www.cegadgets.com/artsusageP.htm), que utilizaban como algoritmo criptogr fico una suma exclusiva XOR de los caracteres de la contrase_a con la palabra Pegasus (nombre de la primera generaci¢n de sistemas operativos Windows CE). El caso de las debilidades de PPTP, protocolo de «tunelado» punto a punto se para asegurar las conexiones sobre enlaces TCP/IP, rese_adas por el famoso cript¢grafo Bruce Schneier en http://www.counterpane.com/pptpv2-paper.html, ilustra nuevamente que el secretismo s¢lo sirve para retrasar lo inevitable: el ataque con ‘xito a un sistema que no ha sido poblicamente estudiado, sino obcecadamente mantenido en secreto.
Por su parte, el est ndar de telefon¡a m¢vil digital GSM tradicionalmente ha basado su seguridad en la f¢rmula oscurantista: ocultar los algoritmos y difundir mentiras para crear en los usuarios la sensaci¢n de privacidad y confidencialidad. Durante a_os se han mantenido en secreto sus algoritmos: A3, para autenticaci¢n de usuarios ante la red; A8, para derivaci¢n de claves de sesi¢n; y A5, para cifrar el contenido de la conversaci¢n extremo a extremo. Estos nombres no son m s que etiquetas para denominar a los algoritmos, cuya elecci¢n e implantaci¢n detallada queda al libre albedr¡o de cada operador en el caso de los dos primeros. Sin embargo, al suministrarse en el est ndar un algoritmo de referencia, el COMP128, y recomendarse la adopci¢n del mismo algoritmo para facilitar operaciones como el «roaming», resulta dudoso que existan muchas redes GSM que hayan desarrollado los suyos propios.
A lo largo de los oltimos a_os han ido saliendo a la luz una serie de datos, negados sistem ticamente por las operadoras y organismos encargados del desarrollo de GSM, que han puesto de manifiesto el enga_o y manipulaci¢n a que se encontraban sometidos los clientes.
Uno de los m s controvertidos fue la constataci¢n de que en las claves del algoritmo A5, utilizado para cifrar las conversaciones y preservar as¡ su confidencialidad, te¢ricamente de 64 bits de longitud, en realidad s¢lo se utilizan 54, reduciendo por tanto 1024 veces el tiempo necesario para realizar un ataque de fuerza bruta sobre ‘l. Este debilitamiento deliberado se conjetura pueda deberse al af n orwelliano de los gobiernos por espiar a sus ciudadanos, tarea dr sticamente facilitada por esta reducci¢n aparentemente intencionada en la seguridad de GSM.
M s aon, sin necesidad de limitar el espacio de claves, poco a poco se fue filtrando informaci¢n acerca de los algoritmos concretos utilizados en A3 y A8, que resultaron ser variantes de COMP128, que posee importantes debilidades y fallos de dise_o, como revelaron los estudios posteriores realizados por un grupo de cript¢grafos ( http://www.scard.org).
La publicaci¢n en mayo de 1998 de un art¡culo acerca de la posibilidad de clonar tarjetas SIM (que identifican al usuario ante la red, hecho fundamental para saber a qui’n cobrar la factura de la llamada), destap¢ de nuevo la pol’mica en torno a la seguridad real o fingida de GSM. Merece la pena consultar a este respecto el monumental trabajo de reconstrucci¢n llevado a cabo por Jesos Cea Avi¢n ( http://www.argo.es/ jcea/artic/gsm.htm), en el que se describe el ataque y sus consecuencias.
Recientemente (v. art. 3), la noticia hace unos d¡as de que dos investigadores israel¡es, Alex Byriukov y Adi Shamir (uno de los m s reputados cript¢grafos del mundo, creador junto a Rivest y Adleman de RSA, de ah¡ el nombre del algoritmo), han descubierto nuevos fallos en la seguridad de GSM que les permiten descifrar las conversaciones cifradas con A5/1 ¥en menos de un segundo! reabre el debate acerca de la verdadera fortaleza de GSM frente a escuchas ilegales y uso fraudulento de sus tarjetas SIM. Organizaciones como la GSM Association ( http://www.gsm.org) perseveran en la negaci¢n de los hechos y en recalcar la seguridad sin parang¢n de GSM, ciegos a los esfuerzos criptoanalistas de investigadores de todo el mundo, que lenta pero sistem ticamente van obteniendo su fruto.
De momento, la dificultad de reproducir estos ataques, que exigen costosos recursos computacionales y equipos de telecomunicaciones muy sofisticados, como los esc neres digitales, de precio muy elevado, cuando no ilegales en muchos pa¡ses, est frenando la comisi¢n generalizada de delitos de escuchas y llamadas fraudulentas a cargo de otros abonados de la red. Sin embargo, mientras la industria GSM se empecine en el secretismo y en negar los riesgos reales que investigadores de todo el mundo descubren regularmente, llegar el d¡a en que con modestos recursos se podr escuchar cualquier conversaci¢n o timar a las operadoras y otros usuarios. Entonces los costes para reparar el boquete ser n formidables, por no haberse querido tapar a tiempo los peque_os agujeros. No habr que esperar mucho antes de que se demuestre que el oscurantismo es la mejor f¢rmula… ¥para el fracaso m s estrepitoso!
Puede opinar sobre este tema.
Env¡e tus comentarios a criptonomicon@iec.csic.es.
Fuente:
Bolet¡n del Criptonomic¢n
http://www.iec.csic.es/criptonomicon
A_o II, n¡ 62
