criptograma nº10:(cg0010.txt):17/05/1999 << Back To criptograma nº 10
C R I P T O - G R A M A ⌐ Bruce Schneier ⌐ Kriptopolis (versi≤n en Espa±ol). ----------------------------------------------------- N·mero 10 15 de Febrero de 1999 SUMARIO: 1. Aceite de serpiente 2. Noticias 3. Investigaci≤n en Counterpane Systems 4. En la ratonera: WinXFiles 5. Puertas traseras, exportaci≤n y la NSA 6. El c≤digo de identificaci≤n de los procesadores Intel 7. Comentarios de los lectores ----------------------------------------------------- CriptoGRAMA es la versi≤n espa±ola de Crypto-GRAM, elaborada por el equipo de traductores de Kript≤polis, con autorizaci≤n expresa de Bruce Schneier. Nuevos ejemplares de CriptoGRAMA estarßn disponibles cada mes en: Cripto-GRAMA: http://www.kriptopolis.com/criptograma/cg.html Crypto-GRAM es un boletφn mensual gratuito dedicado a res·menes, anßlisis, comentarios e ideas sobre criptografφa y seguridad informßtica. Crypto-GRAM es elaborado por Bruce Schneier, presidente de Counterpane Systems, autor de "Applied Cryptography" y creador de los algoritmos Blowfish, Twofish y Yarrow. Schneier ha pertenecido a la direcci≤n de la International Association for Cryptologic Research, EPIC y VTW, y es asiduo escritor y conferenciante sobre criptografφa. Crypto-GRAM: http://www.counterpane.com/crypto-gram.html ---------------------------------------------------------------- 1. Aceite de Serpiente Por Bruce Schneier Traducci≤n: Isidre MarquΘs Serret, ismase@mx3.redestb.es y Juan Cruz Ruiz de Gauna Gorostiza, juancruz.ruiz@si.upna.es El problema con la mala seguridad es, sencillamente, que parece igual que la buena. Es imposible descubrir la diferencia simplemente analizando el producto terminado. Ambos reclaman para si mismos el mismo nivel de seguridad; ambos tienen la misma funcionalidad. Ambos pueden, incluso, usar los mismos algoritmos: triple-DES, 1024-bit RSA, etc. Ambos pueden usar los mismos protocolos, implementar los mismos standards, y haber sido creados por los mismos grupos industriales. Pero a pesar de todo esto uno es seguro y el otro es inseguro. Muchos cript≤grafos comparan esta situaci≤n con la del mundo farmacΘutico antes de la regulaci≤n. Los paralelismos son muchos: los vendedores pueden hacer cualquier afirmaci≤n que quieran, los consumidores no tienen la capacidad tΘcnica para juzgar la exactitud de esas afirmaciones, y sin ning·n tipo de compromiso (legal) por parte de los vendedores (basta comprobar la licencia de uso incluida cuando se adquiere un producto de software de seguridad). Con esto no queremos decir que no hay ning·n producto de criptografφa que sea bueno. Los hay. Hay compa±φas que tratan de crear buenos productos y ser honestos en su publicidad. Y hay compa±φas que creen tener productos de calidad cuando no los tienen, pero simplemente no son los suficientemente expertos para darse cuente de la diferencia. Y hay compa±φas que simplemente aparecen para hacer un negocio rßpido, y realmente no les importa si su producto es bueno o no. La mayorφa de los productos parecen caer en la segunda categorφa: bien intencionados pero inseguros. Ya he hablado de la raz≤n en artφculos previos en CRYPTO-GRAMA, pero lo resumirΘ: alguien puede crear un producto criptogrßfico que Θl mismo sea incapaz de romper. Esto significa que surge una persona bien intencionada con una idea nueva (o por lo menos una idea de la que Θl no ha oφdo hablar nunca), no puede romperla, y simplemente cree que descubri≤ el elixir mßgico para solucionar todos los problemas relacionados con la seguridad. Y a·n cuando no existe ning·n elixir mßgico, la dificultad de crear productos seguros combinada con la facilidad de cometer errores hacen que la mala criptografφa sea la regla. Por ejemplo, aquφ estß un pßrrafo del anuncio mßs reciente de un "aceite de serpiente" que recibφ en mi E-Mail: "Encryptor 4.0 usa un algoritmo propio de desplazamiento de base incremental. El descifrado es prßcticamente imposible; incluso si alguien consigue aplicar el procedimiento de la ingenierφa inversa para obtener el algoritmo, Θste requiere disponer de la contrase±a exacta para descifrar el contenido. Incluso si alguien intenta descubrir la contrase±a por cualquier mΘtodo s≤lo obtendrß alg·n resultado con la exacta. Lea el AVISO IMPORTANTE en nuestra pßgina de Internet en http://ten4.com/encryptor." Yo verifiquΘ la pßgina de Internet; las probabilidades de que este producto disponga de una mφnima calidad son insignificantes. En otra parte he hablado de construir productos de seguridad buenos, usando teorφas matemßticas probadas-y-verificadas, y generalmente tratando de ser conservador. Aquφ quiero hablar de alguna de las se±ales de advertencia tφpicas de que estamos ante uno de estos "aceites de serpiente", y c≤mo se pueden prejuzgar los productos a travΘs de su publicidad. Estas se±ales de advertencia no son a toda prueba, pero son bastante buenas. Se±al De Advertencia N·mero 1: Jerga Pseudo-matemßtica. En la cita anterior, resaltemos el "algoritmo propio de desplazamiento de base incremental." ┐Tiene alguien alguna idea de quΘ significa esto? ┐Existe alg·n trabajo acadΘmico que desarrolle este concepto? Las largas cadenas de sustantivos no implican automßticamente seguridad. Meganet (http://www.meganet.com) tiene una joya en su pßgina en Internet: "La base de VME es una Matriz Virtual, una matriz de valores binarios que es te≤ricamente de un tama±o infinito y por lo tanto no tiene ning·n valor redundante. Los datos que han de ser cifrados se comparan con los datos en la Matriz Virtual. Una vez se ha encontrado una coincidencia, se crea un conjunto de indicadores que se±alan c≤mo navegar dentro de la Matriz Virtual. El conjunto de indicadores (que es in·til sin la correcta Matriz Virtual) se cifra a continuaci≤n empleando docenas de algoritmos distintos en diferentes etapas para crear un efecto de aluvi≤n. El resultado es un archivo cifrado que incluso tras su descifrado es completamente in·til puesto que el resultado no son los datos reales sino que son un conjunto de indicadores. Considerando que cada sesi≤n de VME tiene una Matriz Virtual diferente y que la distribuci≤n de los datos dentro de la Matriz Virtual es completamente al azar y sin repeticiones, no hay forma de descubrir los datos a partir del conjunto de indicadores." Esto no tiene sentido, ni siquiera para un experto. US Data Security (http://www.usdsi.com) tiene otra joya: "Desde el punto de vista matemßtico, el algoritmo TTM es intuitivamente natural y menos engorroso de usar que los mΘtodos basados en la teorφa de los n·meros." SuperKrypt (http://www.superkrypt.com/) trata de impresionar con una sigla: "Los productos de SuperKrypt utilizan el mΘtodo de cifrado masivo DNGT" (sea esto lo que sea). Y Cennoid (http://www.cennoid.com) simplemente no sabe de quΘ estß hablando: "Como la clave varia en tama±o y estructura y el programa no emplea ning·n algoritmo matemßtico, la ingenierφa inversa es imposible, y adivinarlo no es una opci≤n." El hecho aquφ es que, como la medicina, la criptografφa es una ciencia. Tiene un cuerpo de conocimientos, y los investigadores mejoran constantemente ese cuerpo de conocimientos: dise±ando nuevos mΘtodos de seguridad, rompiendo mΘtodos de seguridad existentes, construyendo fundamentos te≤ricos, etc. Alguien que obviamente no habla el lenguaje de la criptografφa no puede conocer su cuerpo doctrinal, y es mucho menos probable que haya inventado algo bueno. Es como si su doctor comenzara a hablar de "ondas de energφa y vibraciones sanadoras." Nos preocuparφa mucho. Se±al De Advertencia N·mero 2: Nueva matemßticas. Cada par de a±os, alg·n matemßtico revisa la criptografφa, dice algo asφ como, "oh, que fßcil es," y empieza a crear un algoritmo de cifrado a partir de lo que fuera en lo que Θl estaba trabajando. Invariablemente es malo. Cuφdese de la criptografφa basada en nuevos paradigmas o nuevas ßreas de las matemßticas: la teorφa de caos, las redes neuronales, la teorφa de la codificaci≤n, funciones zeta. La criptografφa es dura; las probabilidades que alguien sin experiencia en el campo pueda revolucionarlo son peque±as. Y si alguien lo hace, dejemos a la comunidad acadΘmica unos a±os para estudiarlo antes de comprar productos basados en ello. Se±al De Advertencia N·mero 3: Criptografφa patentada. Prometo no comenzar otra perorata sobre los problemas de criptografφa patentada. Yo simplemente lo incluyo aquφ como una se±al de advertencia. Asφ que cuando una compa±φa como GenioUSA (http://www.geniousa.com/genio/) reh·sa divulgar el algoritmo que ellos utilizan (sostienen que es "cifrado de clave secreta de nivel mundial," cualquier cosa que sea lo que esto signifique), deberφa pensßrselo dos veces antes de usar su producto (que, por cierto, se ha roto completamente). Otra compa±φa, Cript-o-Text (http://www.savard.com/crypt-o-text/), promete un "complejo algoritmo de cifrado patentado" y que "no hay absolutamente ninguna forma de determinar la contrase±a usada examinando el texto cifrado." Se rompi≤ completamente en una revisi≤n de InfoWorld. Este tipo de cosas no es privativo de compa±φas peque±as. En una ocasi≤n Axent trat≤ de hacer pasar la operaci≤n XOR como un verdadero algoritmo de cifrado. Y no nos enteramos hasta que alguien atisb≤ dentro del c≤digo compilado. Cualquier compa±φa que no acepte discutir sus algoritmos o los protocolos tiene algo que ocultar. No hay ninguna otra raz≤n posible. (Y no les deje decir que estßn pendientes de patente; tan pronto como se presenta Θsta, ya pueden discutir la tecnologφa. Si ellos estßn todavφa trabajando en la patente, dφgales que vuelvan en cuanto puedan hacer p·blica su tecnologφa.) Se±al de aviso N║ 4: Desorientaci≤n extrema Algunas compa±φas hacen afirmaciones tan increφbles que es obvio que no entienden la materia de la que hablan. TriStrata dice acerca de su algoritmo de cifardo: "El sistema de cifrado de TriStrata es tan simple y de tan baja complejidad computacional que la porci≤n cliente puede residir en un amplio rango de sistemas, desde servidores hasta ordenadores portßtiles." No se dan cuenta de que todos los algoritmos de cifrado son lo suficientemente peque±os como para caber en un portßtil, que los algoritmos DES, RSA y SHA pueden implementarse sobre una tarjeta inteligente de 8 bits, y que algunos de los candidatos AES pueden ser implementados en 17 ciclos de reloj o en unos pocos miles de puertas l≤gicas. GenioUSA habla sobre los motivos por los que no usan criptografφa de clave p·blica en su producto: "El cifrado de clave p·blica es exactamente eso: usted no es la ·nica parte implicada en la generaci≤n, integridad y seguridad de todas las claves y contrase±as usadas para cifrar su e-mail, documentos y ficheros. La criptografφa de clave p·blica es una gran tecnologφa para compartir cosas con cualquiera a quien no deseemos confiar nuestras claves secretas y/o con quien no podamos intercambiar nuestras claves secretas. Citamos textualmente una frase de una conocida pßgina web, 'Todos los sistemas conocidos de cifrado por clave p·blica estßn sujetos a ataques por vφa rßpida y deben por tanto usar claves 10 veces mßs largas, o incluso mßs, respecto a los sistemas aquφ discutidos para conseguir un nivel similar de seguridad.'" ┐Y ahora quΘ?, es evidente que esta compa±φa no sabe de quΘ habla. Se±al de aviso N║ 5: Longitudes de clave ridφculas Jaws Technology (http://www.jawstech.com) alardea de lo siguiente: "Gracias al algoritmo JAWS L5 con clave de 4096 bit y estadφsticamente indescifrable, la seguridad de sus ficheros de datos mßs valiosos estß asegurada." Meganet (http://www.meganet.com) lleva el ridφculo un paso mßs allß: "Claves simΘtricas de 1 mill≤n de bits -- íel mercado ofrece [sic] claves de tan solo 40-160 bits!". Las claves mßs largas son mejores, pero solo hasta cierto punto. AES ofrece longitudes de clave de 128 bits, 192 bits y 256 bits. Estas claves son de una longitud mßs que suficiente para el futuro previsible. De hecho, no podemos imaginar un mundo donde las b·squedas por fuerza bruta de 256 bits sean posibles. Se requieren algunos avances fundamentales en fφsica y una buena comprensi≤n del universo. Para criptografφa de clave p·blica, las claves de 2048 bits tienen el mismo tipo de propiedades: claves mßs largas no tienen sentido. Pensemos en este tipo de aviso como en un subejemplo del Aviso N║ 4: Si la compa±φa no entiende las claves, ┐realmente confiaremos en ella para dise±ar nuestro producto de seguridad?. Se±al de aviso N║ 6: libretas de un solo uso Las libretas de un solo uso (One-time pads) no tienen sentido para los productos de cifrado del mercado de masas. Puede que funcionen en escenarios de espφas con papel y lßpiz, puede que funcionen en la lφnea caliente de teletipo entre Rusia-U.S.A., pero no funcionarßn para usted. Muchas compa±φas proclaman que utilizan una libreta de un solo uso, pero no lo hacen realmente. Tienen algo que ellos piensan que es una libreta de un solo uso. Una autΘntica libreta de un solo uso probablemente es segura (contra ciertos ataques), pero tambiΘn es inutilizable. Elementrix, ahora ya extinguida, anunci≤ una libreta de un solo uso hace algunos a±os, y rehus≤ retractarse cuando se mostr≤ que no era tal cosa. Ciphile Software (http://www.ciphile.com) se limita a pretender: "Privacidad absolutamente original - Level3 es un generador semiautomßtico de libretas de un solo uso, con caracterφsticas muy sofisticadas y poderosas". Esto puede significar cualquier cosa. Mßs recientemente, TriStrata (http://www.tristrata.com) se lanz≤ al mundo de la criptografφa anunciando que poseφan una libreta de un solo uso. Desde entonces, alguien con alg·n conocimiento criptogrßfico ha debido darles la paliza y ya han borrado la frase de su sitio web. Al menos han mostrado cierta capacidad de aprendizaje. Ultimate Privacy (http://www.ultimateprivacy.com) puede estar usando realmente una libreta de un solo uso (aunque ellos afirman usar el BlowFish tambiΘn, lo que a mφ me preocupa): "La libreta de un solo uso es un mΘtodo de cifrado de clave privada, y requiere la distribuci≤n segura del material aleatorio, que sirve como clave en nuestra soluci≤n. La seguridad de la distribuci≤n de la clave viene a ser tan segura como usted desee comunicßndose punto a punto con la otra persona; nosotros sugerimos una entrega en mano del material aleatorio.". Recordemos que debemos entregar el mismo volumen de bits que el mensaje que deseamos enviar, pues de otra manera no estaremos haciendo uso de una libreta de un solo uso. Se±al de aviso N║ 7: Afirmaciones sin sentido Jaws Technologies dice lo siguiente acerca de su tecnologφa de cifrado: "Este producto de cifrado, aclamado por los cientφficos, es el software comercial mßs resistente disponible dentro de su categorφa." ┐Aclamado por quiΘn?, el sitio web no lo dice. ┐El mßs resistente del mundo partiendo de quΘ comparaci≤n? Nada. UBE98, en http://www.parkie.ndirect.co.uk/, se apoya en "Cifrado indescifrable", o al menos lo fue hasta que alguien se tom≤ un tiempo para romper el algoritmo. Su sitio web hace el mismo tipo de afirmaciones ridφculas: "íUno de los cifrados mßs resistentes disponibles en el Reino Unido en un programa cuyo uso cualquier apuede entender!", íGuau!. SenCrypt (http://www.ionmarketing.com/) anuncia ser "El algoritmo criptogrßfico mßs seguro conocido por el ser humano.", ídoble Guau!. Algunas compa±φas anuncian seguridad de "grado militar". Este es un tΘrmino carente de significado. No existe dicho estßndar. Y, al menos en U.S.A., la criptografφa militar no estß disponible para usos no gubernamentales (aunque los contratistas gubernamentales pueden disponer de ella para contratos clasificados). Otras compa±φas hablan acerca de otros algoritmos que han sido "rotos" sin ofrecer mßs detalles. O afirman que la criptografφa de clave p·blica estß en desuso. No hagamos caso de ning·n material de este tipo. Si el anuncio parece no tener mucho sentido, lo mßs probable es que asφ sea. Si una compa±φa anuncia que sus productos han sido revisados por cript≤grafos, solicite nombres. Pida una copia de la revisi≤n. Counterpane Systems revisa bastantes productos y nuestros clientes pueden ofrecer dichas revisiones si asφ lo desean. Se±al de aviso N║ 8: Pruebas de seguridad Hay 2 tipos de pruebas para detectar los "remedios mßgicos". La primera son pruebas matemßticas que no dicen nada acerca de la seguridad real. La segunda son pruebas ama±adas. Meganet anuncia disponer de una prueba de que su algoritmo VME es tan seguro como una libreta de un solo uso. Su "prueba" consiste en explicar c≤mo funciona una libreta de un solo uso, a±adir la f≤rmula mßgica "VME dispone de los mismos patrones de caracterφsticas, lo que demuestra que es tan resistente e indescifrable como una libreta de un solo uso", y ofrecen los resultados de algunos tests estadφsticos. Esto no es una prueba. Ni siquiera es algo parecido a una prueba. Los sistemas mßs sutiles pueden realmente ser mßs seguros. Estos sistemas existen. El pasado verano, IBM llam≤ la atenci≤n acerca de su sistema probablemente seguro, que seg·n anunciaron revolucionarφa el panorama criptogrßfico. (Ver http://www.counterpane.com/crypto-gram-9809.html#cramer-shoup para un estudio). Desde entonces, el sistema ha desaparecido. Es una gran investigaci≤n, pero las pruebas matemßticas tienen poco que ver con la seguridad real del producto. Se±al de aviso N║ 9: Pruebas de rotura de cifrado Escribφ acerca de esto el pasado Diciembre: http://www.kriptopolis.com/criptograma/cg02.html#1. Por ahora, basta decir que las pruebas de rotura de cifrado no son garantφa de seguridad, y a menudo muestran que los dise±adores no comprenden lo que significa que un producto sea seguro. Conclusi≤n: Separando lo bueno de lo malo Estas se±ales de detecci≤n de "remedios mßgicos" no son criterio necesario ni suficiente para separar la buena criptografφa de los fraudulentos aceites de serpiente. De la misma forma que puede haber productos inseguros que no cumplan ninguna de estas nueve se±ales de aviso, podrφa haber productos seguros que parezcan ser "remedios mßgicos". Pero la mayor parte de la gente no tiene tiempo, paciencia o experiencia para realizar el tipo de anßlisis necesario para llevar a cabo la decisi≤n adecuada. En ausencia de un organismo que regule la criptografφa, lo ·nico que puede hacer una persona razonable es usar estas se±ales de aviso como guφas. Lecturas adicionales: La secci≤n de FAQ sobre "remedios mßgicos" es una excelente fuente de informaci≤n sobre productos criptogrßficos cuestionables, y un buen camino para incrementar la sensibilidad de nuestro detector de basura. Puedes obtener tu copia en: http://www.interhack.net/people/cmcurtin/snake-oil-faq.html. --------------- 2. Noticias Por Bruce Schneier Traducci≤n: JosΘ Luis Martφn Mas, jlmartin@lander.es Estados Unidos se rige ahora por nuevas leyes de exportaci≤n de criptografφa provisionales. El Departamento de Comercio ha presentado las nuevas regulaciones el 31 de diciembre de 1998. Se pueden exportar libremente productos con DES. (Por supuesto, todos sabemos que un grupo de aficionados puede romper DES en 21 horas, y que los profesionales pueden hacerlo a·n mßs rßpido). Se pueden exportar productos con cualquier longitud de clave a compa±φas de seguros, usuarios finales del ßmbito de la medicina, y a comerciantes electr≤nicos (s≤lo para comprar y vender productos), incluyΘndolo en la excepci≤n actual que existe para los bancos. Las compa±φas pueden exportar a sus subsidiarias para "usos internos de la compa±φa"; parte de esta excepci≤n incluye a socios de compa±φas americanas. Se han eliminado algunos de los requerimientos de licencia para la exportaci≤n de sistemas de almacenamiento centralizado de claves (key escrow). Estas nuevas regulaciones, anunciadas en septiembre, estßn pensadas para las grandes compa±φas. Las restricciones a la exportaci≤n de criptografφa fuerte para uso privado y fines no comerciales se mantienen. El plazo para comentarios a la ley acaba el 1 de marzo de 1998. Se puede leer una copia de la ley en: http://www.epic.org/crypto/export_controls/bxa-regs-1298.html Francia abandon≤ su posici≤n como uno de los paφses mßs contrarios a la criptografφa del mundo. El 19 de enero, el Primer Ministro Lionel Jospin anunci≤ que el gobierno francΘs estß suavizando su actual polφtica restrictiva. Bajo la nueva ley, ya no serß obligatorio un sistema de almacenamiento de claves con "terceros de confianza" para el uso privado. La ley de 1996 que obligaba a la existencia de los terceros de confianza no serß puesta en vigor, y los usuarios podrßn emplear criptografφa con claves de hasta 128 bits sin restricciones, hasta que se apruebe una nueva ley que elimine las restricciones. íRa, ra, ra!. Se pueden leer las declaraciones de Jospin (en francΘs) en: http://www.premier-ministre.gouv.fr/PM/D190199.HTM http://www.internet.gouv.fr/francais/textesref/cisi190199/decis1.htm http://www.internet.gouv.fr/francais/textesref/cisi190199/decis2.htm y una traducci≤n al inglΘs en: http://slashdot.org/articles/99/01/19/1255234.shtml Ademßs de a±adir un identificador ·nico de procesador (ver mßs abajo) a su Pentium III, Intel estß incorporando un generador de n·meros aleatorios. Esto son buenas noticias. No sΘ nada de c≤mo funciona (y ni siquiera si es un buen generador), pero usando tΘcnicas como Yarrow, podemos coger incluso un generador hardware de n·meros mediocre y convertirlo en algo bueno para aplicaciones criptogrßficas. Ha aparecido un nuevo virus basado en Word llamado Caligula. Caligula roba el fichero de claves de PGP y lo envφa al sitio FTP del creador del virus. De acuerdo con Network Associates (los propietarios de PGP, al haberlo comprado en 1997), esto no compromete la seguridad de PGP porque el archivo de claves no sirve para nada sin la frase-contrase±a. Esto parece demasiado optimista; una vez que se conoce la clave privada, el nivel de seguridad de PGP pasa de indescifrable al simple resto del hash de una frase. Y mucha gente usa frases contrase±a de poca calidad. http://www.techweb.com/wire/story/TWB19990205S0011 Scott McNealy, de Sun, declar≤ que ninguno de nosotros dispone de ninguna privacidad, y que deberφamos acostumbrarnos a ello. Lo peor de todo es que Sun es miembro de la Online Privacy Alliance (Alianza por la Privacidad en Redes). Con una actitud como la de McNealy, es difφcil creer que "una coalici≤n industrial que buscar apartar las regulaciones gubernamentales de la privacidad del consumidor conectado en favor de una autorregulaci≤n de la industria" se preocupa por mis intereses. http://www.wired.com/news/news/politics/story/17538.html SECRET POWER es un libro excelente sobre el proyecto Echelon, el programa secreto de la NSA dise±ado para pinchar casi cualquier comunicaci≤n del mundo. El libro no estß disponible en Estados Unidos (Amazon.com no ha oφdo hablar de Θl, y yo conseguφ el mφo a travΘs de un amigo de Nueva Zelanda), pero CovertAction Quarterly ha publicado un excelente artφculo sobre el tema escrito por el autor: http://www.caq.com/caq59/CAQ59GlobalSnoop.html Y si quiere intentar conseguir el libro, aquφ estß la ficha: Nicky Hager, SECRET POWER, Craig Potton Publishing (Apartado 555, Nelson, Nueva Zelanda), 1996. Ver tambiΘn: http://www.gn.apc.org/duncan/echelon-dc.htm --------------- 3. Investigaci≤n en Counterpane Systems Por Bruce Schneier "Breaking Up Is Hard To Do: Modeling Security Threats for Smart Cards" B. Schneier y A. Shostack, Primer Simposio USENIX sobre tarjetas inteligentes, USENIX Press, a punto de publicarse. Los sistemas basados en tarjetas inteligentes difieren de los sistemas habituales basados en ordenadores en que los diferentes aspectos del sistema no pueden delimitarse bajo un sencillo modelo de confianza. Procesador, entrada-salida, datos, programas y red pueden estar bajo el control de sujetos diferentes (y hostiles). Discutimos las implicaciones de seguridad de todos estos fraccionamientos de la confianza, mostrando como es fundamental considerarlos para entender correctamente la seguridad de los sistemas que incluyen tarjetas inteligentes. http://www.counterpane.com/smart-card-threats.html ----------------- 4. En la ratonera: WinXFiles Por Bruce Schneier WinXFiles (http://www.pepsoft.com/wxf/intro.html) es un visor de imßgenes que se autoproclama seguro. Como se dice en su sitio web, "WinXFiles, con su atractivo interfaz basado en pesta±as, incorpora cifrado seguro para evitar accesos no autorizados a todo tipo de ficheros y en particular a su colecci≤n de imßgenes." Aunque puede que tenga un interfaz atractivo, es cualquier cosa menos seguro. WinXFiles oculta la contrase±a y la guarda en la cabecera del fichero cifrado. Para ocultar la contrase±a la a±ade (m≤dulo 256) a la salida de un generador de n·meros seudoaleatorios. El generador es inicializado con un carßcter deducido de la contrase±a (sencillamente, la suma de los caracteres de la contrase±a, m≤dulo 255). El generador en sφ es tambiΘn ridφculamente dΘbil: genera dos caracteres a la vez a±adiΘndoles y restßndoles respectivamente el desplazamiento del carßcter inicializador. Quizßs lo mßs hiriente sobre este cifrado es lo alto que le punt·an quienes revisan el programa: http://www.pepsoft.com/wxf/reviews.html (Este trabajo ha sido realizado por Mike Stay y Casimir, un hacker francΘs de cuyos hallazgos nos ha informado Joe Peschel. Gracias a Mike Stay por redactar esto). ------------------------------- 5. Puertas traseras, exportaci≤n y NSA Por Bruce Schneier Traducci≤n: JosΘ Luis Martφn Mas, jlmartin@lander.es Entre las compa±φas de productos criptogrßficos la frase "┐Te has reunido con Lew Giles?" es un eufemismo de "┐Te ha pedido la NSA en secreto que debilites tus productos?". Se sabe que Giles ha visitado varias compa±φas y les ha pedido que a±adan puertas traseras a sus productos para que la NSA pueda romper los datos cifrados con ellos. El trato funcionaba mßs o menos asφ: Giles te ofrecφa un tratamiento preferente para exportar si a±adφas una puerta trasera. La puerta trasera podφa ser tan sutil que no se viera en el dise±o y s≤lo fuera obvia si alguien analizaba el c≤digo binario. Es algo que podrφa confundirse con un simple error en el software si alguien lo descubrφa. Quizßs podφas debilitar tu generador de n·meros aleatorios, o revelar unos pocos bits de la clave en una cabecera. Cualquier cosa que permitiera a la NSA descifrar el texto cifrado sin que pareciera que habφan roto la seguridad del sistema. A cambio, podrφas exportar tus productos. Pero tanto t· como Θl tendrφais que inventaros alguna coartada sobre por quΘ tu podφas exportar lo que normalmente no podrφa exportarse, algo que disipara cualquier sospecha. Supuestamente, Giles era muy sutil. Probarφa con distintas tßcticas para que acabaras siguiendo el plan. A veces se reunφa s≤lo con los ingenieros -sin gente de la direcci≤n- para sortear cualquier problema potencial. Esta historia me la han contado varias compa±φas criptogrßficas, tanto grandes como peque±as. Ninguna de ellas quiso que se grabara la conversaci≤n. A todas se las visit≤ al menos hace dos a±os; la mayorφa de las veces la visita la hizo Giles. Ninguna acept≤ el trato. (Es de suponer que los que hicieron no querrßn admitir ni siquiera que hablaron con la NSA). Y todas estas historias tienen al menos dos a±os; no tengo ni idea de si Giles sigue trabajando para la NSA, si todavφa hace este tipo de cosas, o si hay alguien que todavφa estΘ haciendo este tipo de cosas. Nada de esto deberφa sorprendernos. Parece que la NSA ha hecho todo lo que ha podido par a±adir puertas traseras en los productos criptogrßficos. Destruyeron completamente a la compa±φa suiza CryptoAG, por ejemplo, y durante al menos medio siglo han estado interceptando y descifrando todos los documentos de alto secreto de la mayorφa de los gobiernos mundiales. (El URL de esta fascinante historia es http://www.caq.com/CAQ/caq63/caq63madsen.html.) Este tipo de cosas tambiΘn ocurren en Canadß. Me han hablado de un tal Norm Weijer; hace un par de a±os visit≤ a varias compa±φas criptogrßficas canadienses. Una persona me ha contado lo que le pas≤ al enviar su producto a Norm para que le concediera la licencia de exportaci≤n. El producto usaba diferentes algoritmos propietarios, todos reducidos a claves de 40 bits. Se le respondi≤, de forma extraoficial por supuesto, que si se deshacφa de esos algoritmos propietarios y los sustituφa por DES con clave de 56 bits, podrφa conseguir la licencia de exportaci≤n. Al parecer, usar los DES-crackers (mßquinas muy potentes especializadas en probar claves DES para dar con la clave que descifra unos datos cifrados) que ya tenφan a su disposici≤n, era mßs c≤modo que construir un cracker especφfico para este producto. -------------------------- 6. El c≤digo de identificaci≤n de los procesadores Intel Por Bruce Schneier Traducci≤n: Juan de Miguel Hernßndez, chili@vuelta-al-mundo.org El mes pasado Intel Corp. anunci≤ que sus nuevos procesadores vendrφan equipados con un n·mero de identificaci≤n, un n·mero de serie ·nico impreso en el chip durente su fabricaci≤n. Intel dijo que este n·mero ayudarφa a facilitar el comercio electr≤nico, prevenir el fraude y promover la protecci≤n digital. Desafortunadamente, nada de esto va a suceder. Para hacernos una idea del problema, consideremos esta analogφa: imaginemos que cada persona tuviera asignado un n·umero de identificaci≤n ·nico en una tarjeta de identificaci≤n nacional. Cada persona tendrφa que ense±ar esta tarjeta para comprar, ir al mΘdico,... todo. El sistema funciona, con tal que el doctor, comerciantes o quien sea pueda examinar la tarjeta y verificar que no ha sido falsificada. Imaginemos ahora que a los comerciantes no se les permite examinar la tarjeta. Tendrφan entonces que preguntar por el numero de identificaci≤n, y aceptar cualquier n·mero que esa persona le diera como vßlido. El sistema es ahora seguro s≤lo si confφas en lo que dice la gente. Este mismo problema existe con el esquema de Intel. Si, el n·mero de identificaci≤n es ·nico y no puede ser cambiado, pero no se puede confiar en el software que requiere para su lectura. Si una web remota pregunta por este n·mero, no hay ning·n modo de saber si el n·mero que se ha devuelto es real, o ha sido falsificado. Del mismo modo, si la pregunta la hace un programa, tampoco hay manera de saber si es real, o un parche en el sistema operativo ha capturado la llamada y ha respondido con un n·mero falso. Porque Intel no ha creado una manera segura de obtener el n·mero, y serß fßcil romper la seguridad. Como cript≤grafo, no puedo dise±ar un sistema seguro para verificar identificaciones, protecciones contra copia o comercio electr≤nico seguro usando como base un sistema de identificaci≤n del procesador. Eso no ayuda en absoluto. Es muy fßcil romper el software que obtiene el n·mero del hardware. Esta clase de sistemas nos pone en la misma situaci≤n en la que estuvimos cuando el gobierno de Estados Unidos anunci≤ el chip Clipper: aquellos que realizaran actividades ilegales serφan descubiertos por el sistema, mientras que aquellos que no hicieran nada verφan su privacidad violada. Puedo asegurar que parches que puedan falsificar el n·mero de identificaci≤n del procesador estarßn a disposici≤n de todos en webs sobre hack pocos dφas despuΘs de que los procesadores salgan a la calle. El ·nico uso positivo para todo esto es el ·nico que Intel dijo que no iba a dßrsele: encontrar chips robados. Los chips Pentium II son tan valiosos que mßs de una vez se han realizado persecuciones de camiones con estos chips robados con el resultado de la muerte del conductor del mismo. Una base de datos de n·meros de identificaci≤n de procesadores robados podrφa dejar el mercado de CPUs robadas a cero: fabricantes de placas bases, compa±ias de ordenadores, vendedores y clientes podrian consultar la base de datos simplemente para asegurarse que su CPU no fue robada. (Este es el principal uso de los n·meros de registro de los autom≤viles). Este mismo sistema podrφa usarse para impedir a los frabricantes realizar overclock en sus CPUs -haciΘndolas funcionar mßs rßpido que los ratios de Intel para las mismas-, otra cosa que Intel deberφa intentar prevenir. La verdadera pregunta es si los ordenadores son una tecnologφa peligrosa que necesita ser marcada individualmente como las armas de fuego o autom≤viles. Durante la Guerra Frφa, muchos de los paφses del Este de Europa requerφan que las multicopistas tuvieran una licencia individual. Es difφcil creer que los ordenadores necesiten la misma clase de control. http://www.techweb.com/wire/story/TWB19990120S0017 http://cnn.com/TECH/computing/9901/22/intelid.idg/index.html http://www.semibiznews.com/stories99/jan99y/9a22intID.htm El boicot: http://www.crn.com/dailies/weekending012999/jan25dig15.asp Intel da marcha atrßs parcialmente: http://cbs.marketwatch.com/archive/19990125/news/current/intc.htx?source=htx/http2_mw http://www.pcworld.com/pcwtoday/article/0,1510,9497,00.html Este artφculo apareci≤ originalmente en: http://www.zdnet.com/zdnn/stories/comment/0,5859,2194863,00.html Desde que escribφ este artφculo, se han producido varios avances. Intel anunci≤ que sus Pentium III llevarφan esta opci≤n deshabilitada. Esto no ayuda mucho. Intel tambiΘn dej≤ caer rumores sobre un protocolo seguro funcionando con un software contra falsificaciones que consultarφa el n·mero de identificaci≤n. Esto no tiene sentido: no existe nada parecido a un software contra falsificaciones (pregunte a cualquiera que rompa esquemas de protecci≤n anticopia como hobby) y lo realmente preocupante son los protocolos sin autorizaci≤n que consultarßn u ocultarßn este n·mero. TambiΘn, ha habido gente que ha comentado que hay otros n·meros de identificaci≤n ·nicos en los ordenadores: tarjetas ethetnet, discos duros, n·meros de serie, etc. Esto es cierto, y podrφa ser un problema, pero Intel intenta usar su n·mero de identificaci≤n como un mecanismo de vigilancia. http://www.techweb.com/se/directlink.cgi?EET19990201S0020 La respuesta de Intel a todo esto puede ser encontrada en: http://support.intel.com/support/processors/pentiumiii/psqa.htm --------------------- 7. Comentarios de los lectores Por Bruce Schneier Traducci≤n: Juan de Miguel Hernßndez, chili@vuelta-al-mundo.org De: Kragen Sitaker (kragen@pobox.com) Tema: Ataque de canal lateral Cuando monto un ordenador, hardware y software, para solucionar cualquier problema, s≤lo necesito asegurarme de que existe alg·n conjunto razonable de circunstancias bajo las cuales haga lo que se supone que tiene que hacer. Si un cliente monta un PC estßndar en un recinto a 150 grados de temperatura, o corta la corriente a una hora impredecible, o lo que sea, y entonces viene a mi quejßndose de que estß roto, le puedo parar los pies fßcilmente. DespuΘs de todo, yo nunca dije que debiera trabajar en esas condiciones. Cuando realizo un sistema de seguridad, necesito estar seguro de que no existe ning·n conjunto de circunstancias razonables bajo las cuales no haga lo que se supone que no tiene que hacer. Si mi tarjeta inteligente revela informaci≤n secreta cuando trabaja fuera de lo especificado, bien, no puedo echar en cara al cliente que estuvo usando la tarjeta fuera de lo especificado, no?? :) La dicotomφa es profunda. En un caso, necesitamos simplemente asegurarnos de que \existe X: Y(X) = T, donde Y(X) es la propiedad Y que se mantiene cierta bajo circunstancia X. En el otro caso, que \no\exista X: Y(X) = F, o lo que es lo mismo \para todo X: Y(X) = T. La mayorφa de los ordenadores y programas son dise±ados seg·n el patr≤n del primer caso. En este caso, la soluci≤n a descubrir una sobrecarga en un buffer es decir al usuario que no haga esto o lo otro o, si se debe hacer, agrandar el buffer. En el segundo caso, la soluci≤n es comprobar los lφmites cuidadosamente. El resultado; cuando el software dise±ado para el primer ambiente, es puesto en marcha en el segundo, estß repleto de agujeros. Lo mismo pasa con el hardware, e incluso con las metodologφas de dise±o de hardware. De: Bob Geiger (geiger@areaplg2.corp.mot.com) Tema: Ataques Internet Uno de los puntos mßs importantes es c≤mo Internet cambia el modelo coste/distancia del ataque estßndar. Dado un valor X, un atacante gastarφa Y d≤lares en acceder a material de mi propiedad en el mundo fφsico. Cuanto mßs lejos tenga que desplazarse el atacante, mayor costo para Θl. Asφ que a no ser que poseas algo muy valioso, probablemente se puede asumir que los atacantes provendrßn de un entorno bastante limitado. Ademßs, tienenm que procurarse herramientas y el riesgo de ser capturados (o disparados) tampoco es despreciable. Pero en Internet este cociente coste/distanica ha desaparecido. De pronto, cualquiera, en cualquier sitio, puede atacar su sistema. Por otro lado, la posibilidad de conseguir herramientas sin nong·n costo limita sensiblemente la inversi≤n requerida, y la dificultad en seguir la pista del atacante agrava el problema. Otro problema es que cuando es mßs facil y relativamente ausente de riesgo romper muchos sistemas de informaci≤n que se creen de valor limitado, esto puede ayudar a entrar en otros sistemas mucho mßs valiosos. Asφ que al final, acabamos necesitando un nivel de seguridad mucho, pero que mucho mßs grande que el valor a proteger, que lo que se requiere en el "espacio fisico". Creo que a mucha gente le cuesta entender esta diferencia y por ello los consejos sobre seguridad de Internet son considerados muchas veces como alarmistas. ----------------------------------------------------------------- Kript≤polis dispone de la pertinente autorizaci≤n de Bruce Schneier para traducir, elaborar y publicar la versi≤n espa±ola de su boletφn Crypto-GRAM. CriptoGRAMA s≤lo puede ser redistribuida de forma completa (esta nota incluida). KRIPT╙POLIS http://www.kriptopolis.com Equipo de Traductores de Kript≤polis: * Juan De Miguel Hernßndez <chili@vuelta-al-mundo.org> * Isidre MarquΘs Serret <ismase@mx3.redestb.es> * Juan Ruiz de Gauna Gorostiza <juancruz.ruiz@si.upna.es> * JosΘ Luis Martφn Mas <jlmartin@lander.es> * Antonio Muntaner <mmg@balears.net> * Eduardo Vßzquez Palacios <dronos@bigfoot.com> * Jaime Millßn de Castro <us_jaime@svalero.es> ------------------------------------------------------------------