criptograma nº5:(cg0005.txt):17/05/1999 << Back To criptograma nº 5
C R I P T O - G R A M A (c) Bruce Schneier (c) Kriptopolis (versi≤n en Espa±ol). http://www.kriptopolis.com/criptograma/cg.html ----------------------------------------------------- N·mero 5 15 de Septiembre de 1998 ----------------------------------------------------- SUMARIO: 1. Sistema de cifrado de Cramer-Shoup 2. Skipjack y el criptoanßlisis imposible 3. Investigaci≤n en Counterpane Systems 4. Noticias 5. Private Doorbell 6. Correcciones al criptograma del 15 de agosto de 1998 7. Mßs sobre biometrφa ------------------------------------------------------- CriptoGRAMA es la versi≤n espa±ola de Crypto-GRAM, elaborada por el equipo de traductores de Kript≤polis, con autorizaci≤n expresa de Bruce Schneier. Nuevos ejemplares de CriptoGRAMA estarßn disponibles cada mes en: Cripto-GRAMA: http://www.kriptopolis.com/criptograma/cg.html Crypto-GRAM es un boletφn mensual gratuito dedicado a res·menes, anßlisis, comentarios e ideas sobre criptografφa y seguridad informßtica. Crypto-GRAM es elaborado por Bruce Schneier, presidente de Counterpane Systems, autor de "Applied Cryptography" y creador de los algoritmos Blowfish, Twofish y Yarrow. Schneier ha pertenecido a la direcci≤n de la International Association for Cryptologic Research, EPIC y VTW, y es asiduo escritor y conferenciante sobre criptografφa. Crypto-GRAM: http://www.counterpane.com/crypto-gram.html ---------------------------------------------------------------- SISTEMA DE CIFRADO DE CRAMER-SHOUP - ---------------------------------- Allφ estaba yo, sentado entre la audiencia de Crypto, escuchando las presentaciones. Crypto es el mayor y mßs importante congreso anual sobre investigaci≤n en criptografφa, y los trabajos eran interesantes. El lunes por la tarde comprobΘ mis mensajes. Cinco informadores me prevenφan acerca de un gran anuncio de IBM en Crypto sobre su increible nuevo algoritmo criptogrßfico. Nada al respecto se puso de manifiesto en las presentaciones de ese dφa. BusquΘ en toda la documentaci≤n y s≤lo encontrΘ una presentaci≤n de IBM que pudiera estar referida a elloo. Lo ojeΘ de nuevo, y no parecφa nada importante. Por tanto, empecΘ a preguntar de nuevo a mis informadores. Parece que el departamento de relaciones p·blicas de IBM estuvo haciendo horas extras. Habφa una rese±a de prensa en el Wall Street Journal y otra en el The Industry Standard. Las noticias eran entusiastas y predecφan que este nuevo algoritmo podrφa reemplazar al SSL, salvar a Internet y curar el cßncer. Habφa exageraci≤n por todas partes, y los datos eran escasos. Me imagino que la raz≤n de que esto se les fuera de las manos de forma tan escandalosa es que todos sus cript≤grafos estaban en Crypto, e ilocalizables. Mi intenci≤n es introducir un poco de realismo en la discusi≤n. ┐QuΘ es el sistema de cifrado de Cramer-Shoup?. Es una publicaci≤n acadΘmica (una buena) que tiene tras ella un departamento de relaciones p·blicas excesivamente agresivo. De forma sencilla, Cramer-Shoup es un sistema de cifrado de clave p·blica que previene contra los ataques con textos cifrados elegidos de forma adaptativa [adaptive chosen ciphertext attacks]. Este es un tipo de ataque en el que el criptoanalista puede acceder a los textos descifrados de diferentes textos cifrados relacionados con el texto cifrado en el que estß interesado. El criptoanalista puede querer conocer la desencriptaci≤n del texto C. Para ello, toma los descifrados de varios otros textos cifrados C', C'', etc, y utiliza esta informaci≤n para desencriptar C. El ataque contra RSA en PKCS#1 de Bleichenbacher, discutido en el Crypto-Grama del 15 de julio de 1998, es un ejemplo de un ataque con textos cifrados elegidos de forma adaptativa: un criptoanalista puede saber c≤mo desencriptar C enviando al sistema varios C' relacionados, y viendo si el sistema los puede descifrar. Una excelente caracterφstica del algoritmo de Cramer-Shoup es su resistencia, y hay magnφficas pruebas de seguridad que permiten echar las campa±as al vuelo. El algoritmo es algo mßs engorroso que otros: el texto cifrado es unas cuatro veces mßs grande que el texto original (no demasiado para la mayorφa de las aplicaciones) y conlleva el doble de tiempo de cßlculo que el algoritmo ElGamal. Pero no es nada nuevo. No es nada espectacular. No va a cambiar el mundo. Ni siquiera va a reducir sus picores. La comunidad criptogrßfica no ha estado lamentßndose de este problema, completamente perdidos sobre c≤mo defenderse contra este tipo de ataque, y esperando desesperadamente que alguna empresa (como IBM) descendiera de los cielos con la soluci≤n. La vulnerabilidad del algoritmo RSA al ataque con textos cifrados elegidos de forma adaptativa, fue puesta de manifiesto nada mßs inventarse el algoritmo. En la mayorφa de los casos, los ataques no son posibles desde dentro de la aplicaci≤n. Y se han dise±ado soluciones para tratar este problema, cuando Θstos son posibles. Normalmente estßn integradas dentro del protocolo; PKCS#1 era vulnerable a ataques con textos cifrados elegidos de forma adaptativa, pero la versi≤n 2 utiliza un protocolo de empaquetamiento de mensajes llamado OAEP que hace inviable este ataque. Otra buena defensa es no dejar filtrar textos planos relacionados. Cramer-Shoup es bueno y es un buen trabajo acadΘmico. Los resultados son sorprendentes: probable seguridad contra ataques con textos cifrados elegidos de forma adaptativa, y s≤lo dos veces mßs lento y cuatro veces mßs grande en la expansi≤n de datos. Pero las demostraciones estßn basadas en el llamado Problema de Decisi≤n de Diffie-Hellman (no el Problema de Diffie-Hellman), que es bastante dΘbil. Y el algoritmo seguro de IBM presentado en el Crypto del a±o pasado, Atjai-Dwork, tiene por lo menos tres roturas diferentes. Las roturas no socaban las demostraciones, sino las hip≤tesis sobre las que se basan las demostraciones. Si dentro de algunos a±os el algoritmo Cramer-Shoup todavφa parece seguro, los cript≤grafos podrφan fijarse en Θl y utilizarlo en lugar de otras protecciones que ya estßn usando. Pero como IBM va a patentar Cramer-Shoup, probablemente no lo hagan (ha habido algunuas noticias de que IBM va a regalar la patente, pero no he visto nada realmente concluyente). Tenemos varias otras soluciones al problema del ataque con textos cifrados elegidos de forma adaptativa. excite news: http://nt.excite.com:80/news/bw/980824/ibm-research-encryption BBCNews: http://news.bbc.co.uk:80/hi/english/sci/tech/newsid_157000/157441.stm Nando (Reuters): http://www2.nando.net:80/newsroom/ntn/info/082498/info19_18183_noframes .html ABCNews: http://www.abcnews.com:80/sections/tech/DailyNews/encryption980824.html MSNBC: http://www.msnbc.com:80/news/190053.asp news.com (Reuters): http://www.news.com:80/News/Item/0,4,25598,00.html?owv Wired: http://www.wired.com:80/news/news/technology/story/14590.html PCWeek: http://www8.zdnet.com:80/pcweek/news/0824/24eibm.html SKIPJACK Y EL CRIPTOANALISIS IMPOSIBLE - -------------------------------------- Eli Biham, Alix Biryukov y Adi Shamir han inventado algo llamado "criptoanßlisis imposible", y lo presentaron en la ·ltima sesi≤n de Cripto'98 (la sesi≤n informal donde se describen brevemente los ·ltimos resultados obtenidos). Biham y Shamir son dos cript≤grafos israelies que inventaron independientemente el criptoanßlisis diferencial en 1991, estableciendo las bases para casi todas las tΘcnicas critoanalφticas aparecidas desde entonces. La idea bßsica estß en que ellos buscan diferenciales (diferencias entre pares de textos claros que tienen alguna posibilidad de mantenerse como diferencias correspondientes a sus pares de textos cifrados) que son imposibles, es decir, que no pueden ocurrir. Ocurre que en la mayorφa de los casos estos diferenciales imposibles son mßs potentes que los diferenciales normales, y pueden utilizarse para atacar al algoritmo de encriptaci≤n. El grupo present≤ un ataque contra Skipjack de 31 vueltas [rounds] que es mßs rßpido que la fuerza bruta. Skipjack tiene 32 vueltas, asφ que su ataque es s≤lo un intento de ser mejor que la fuerza bruta. Por otro lado, no puedo imaginarme que la NSA liberase un algoritmo con 32 vueltas cuando puede romperse uno de 31, por tanto creo que la NSA no tenφa noticia de este ataque. Y los criptoanalistas estßn a·n trabajando en mejorar su anßlisis, asφ que es posible que lleguen a 32. Dado que ninguno de los candidatos al AES han sido dise±ados teniendo en cuenta el criptoanßlisis imposible (con la posible excepci≤n del Serpent del propio Biham), serß interesante ver c≤mo se comportan estos algoritmos frente a esta nueva forma de ataque. Apuesto a que la mayorφa de ellos van a ser fuertemente resistentes a ellos, con un par de excepciones. http://www.cs.technion.ac.il/~biham/Reports/SkipJack/ INVESTIGACION EN COUNTERPANE SYSTEMS - ------------------------------------ "Electronic Commerce and the Street Performer Protocol" ("Comercio elΘctr≤nico y el protocolo Street Performer") J. Kelsey and B. Schneier, The Third USENIX Workshop on Electronic Commerce Proceedings, USENIX Press, September 1998. El copyright serß cada vez mßs difφcil de hacer cumplir en el futuro. Las barreras a la fabricaci≤n de copias pirata con alta calidad de trabajos digitales se estßn haciendo cada vez menores, y algunas soluciones como las protecciones hardware o marcas de agua [watermark], simplemente no funcionan. Presentamos el protocolo Street Performer, un mecanismo de comercio electr≤nico que facilita la financiaci≤n privada de trabajos p·blicos. Utilizando este protocolo, la gente puede hacer ingresos en dep≤sito, que serφan efectivos para el autor cuando el trabajo deseado estuviera a disposici≤n p·blica. Este protocolo tiene la capacidad de poder financiar trabajos alternativos o "marginales". http://www.counterpane.com/street_performer.html NOTICIAS - -------- Un programador norteamericano ha puesto software de encriptaci≤n en su sitio web, retando al gobierno a perseguirlo. Parece que quiere convertirse en un caso de prueba. Suerte. http://www.zdnet.com/intweek/print/980824/346609.html http://www.mercurycenter.com/premium/business/docs/crypto26.htm Quince algoritmos estßn colocados como potenciales sustitutos para el DES. Twofish de Counterpane es uno de ellos. Entre el 20 y el 23 de agosto, la NIST organiz≤ el Primer Congreso sobre AES. Twofish es uno de los doce que todavφa concursan. http://www.fcw.com/pubs/fcw/1998/0831/web-algorithms-8-31-98.html El congresista Tauzin se opone firmemente a que el FBI tenga acceso a las llaves de encriptaci≤n. Tauzin preside el subcomitΘ sobre telecomunicaciones del ComitΘ de la Cßmara de Comercio, por tanto es importante. http://www.zdnet.com/zdnn/stories/zdnn_smgraph_display/0,3441,2134754,00 .htm PGP incluye soporte para los certificados X.509. Esto probablemente les ayude a ser considerados como los mßs importantes, pero todavφa no son compatibles con S/MIME. http://www.techweb.com/wire/story/TWB19980904S0010 En el Clueless Meter: "Con PCs 1.000 veces mas potentes de lo que eran, nuestras llaves de encriptaci≤n pueden y deben ser tambiΘn 1.000 veces mayores. Esto significa tener llaves de, al menos, 56.000 bits". Toni Patti, "Ya disponible: Encriptaci≤n irrompible, Dirt Cheap" http://www.developer.com/journal/ITfocus/083198_patti.html PRIVATE DOORBELL - ---------------- El mes pasado enviΘ una rßpida reacci≤n al programe Private Doorbell, un programa de recuperaci≤n de llaves de Cisco, que no era mßs que el mismo viejo dep≤sito de claves reempaquetado con un nuevo nombre. Parece que mi anßlisis fue un poco precipitado. Private Doorbell es un intento de romper las restricciones del gobierno a la exportaci≤n de dep≤sitos de claves. El objetivo es exportar los direccionadores [routers] de encriptaci≤n existentes, sin modificaciones, y al mismo tiempo cumplir con las reglamentaciones. Lo que exigen las regulaciones de exportaci≤n es que pueda haber un punto de acceso para fisgones, no necesariamente mediante llaves. Ahora, por definici≤n, los direccinadores de encriptaci≤n tienen un lado no cifrado y un lado cifrado. Si quieres fisgar, ya puedes hacerlo en la parte no encriptada. Las funciones de la administraci≤n ya estßn incluidas dentro de estos direccionadores; un administrador de red puede responder con certeza ante una orden judicial. Por tanto, los direccionadores de encriptaci≤n deberφan ser exportables sin requerir ninguna modificaci≤n. Por supuesto, nada prohibe a los usuarios que pre-encripten con PGP o S/MIME. Eso, argumentan los creadores de Private Doorbell, no es su problema. Y no hay "dep≤sito de llaves"; las llaves estßn ya en los direccionadores, encriptando y desencriptando trßfico como antes. Es bastante inteligente. No hay ninguna modificaci≤n en los direccionadores, no hay caracterφsticas especiales para el almacenamiento de llaves ni infraestructura adicional para gestionarlas. Los direccionadores estßn haciendo lo que los direccionadores encriptados ya hacen. El FBI consigue lo que querφa (aunque no la posibilidad de intervenir que Louis Freech realmente desea), y ya puede tener garantφas de poder grabar las comunicaciones de un ISP (Internet Service Provider, Proveedor de Servicios de Internet). El ·nico grupo al que han fastidiado es a la NSA (National Security Agency, Agencia de Seguridad Nacional). http://www.cisco.com/warp/public/146/july98/2.html CORRECCIONES AL CRIPTOGRAMA DEL 15 DE AGOSTO DE 1998 - ---------------------------------------------------- En mi artφculo previo sobre Deep Crack, dije que este tipo de mßquinas costarφa s≤lo 50.000 d≤lares. Se ha demostrado que esto no es verdad. John Gilmore atribuye este dato incorrecto a alguien de EFF, que malinterpret≤ el asunto. Esto se ha repetido desde entonces, por tanto voy a aprovechar esta oportunidad para enmendarme: una segunda mßquina Deep Crack costarφa mßs o menos lo mismo que la primera. Por supuesto, si alguien emplease tiempo en investigar sobre la eficiencia de las mßquinas de fuerza bruta, el coste podrφa disminuir significativamente. http://www.eff.org/descracker/ El mes pasado mencionΘ una referencia de Wired News que decφa "El mßximo dirigente civil del Pentßgono cree que no existen dos personas en el mundo con el 'derecho divino' a comunicarse en secreto total". Wired ha cambiado el texto. Este es el nuevo primer pßrrafo: "El mßximo dirigente civil del Pentßgono declar≤ que ninguna empresa tiene el 'derecho divino' a exportar tecnologφa norteamericana de encriptaci≤n fuerte de datos que pudiera permitir a paises extra±os comunicarse en secreto total, seg·n la informaci≤n hecha p·blica esta semana". El artφculo contiene la siguiente retractaci≤n: Nota del Editor: El titular y primer pßrrafo de este artφculo han sido corregidos para reflejar mejor el contenido de las opiniones de John Hamre sobre la exportaci≤n de tecnologφa norteamericana de encriptaci≤n fuerte. En el artφculo original, los comentarios de Hamre relativos al 'derecho divino' se malinterpretaron y sugerφan que no existen dos personas en el mundo con derecho a comunicarse en secreto total. Wired News lamenta este error." Disculpas por propagar el error. http://www.wired.com/news/news/technology/story/14098.html MAS SOBRE BIOMETRICA - -------------------- Este comentario es de Tom Rowley, Director General de Veridicom: Como siempre, su anßlisis es impecable. Pero creo que se pierde el valor real que la biomΘtrica ofrece. He notado que la mayorφa de las personas que trabajan en seguridad tienden a ignorar este valor, pero es muy real. A la gente le gusta la biomΘtrica porque cree en ella. Y, por tanto, la utiliza. Y es obviamente cierto que un pobre sistema de seguridad utilizado de forma continuada es mejor que un sistema de seguridad "perfecto" que no se usa nunca. Cuando pienso en la actitud de la gente ante la biomΘtrica, tiendo a sacar conclusiones basßndome en el uso de las firmas, no de las huellas dactilares, porque se usan en mayor medida en las aplicaciones reales de "seguridad". La gente estß deseando aceptar las huellas dactilares como autorizaci≤n vßlida para transacciones de alto valor, incluso de vida o muerte, porque creen en ellas. Todos los defectos de seguridad que usted apunt≤ sobre las firmas, son verdaderos. A pesar de ello, se mantiene la estructura de autorizaciones. Su caracter no repudiativo, que usted rebate correctamente, es un hecho sin importancia porque el usuario quiere que lo sea. Observo que este ansia por un mecanismo de identificaci≤n comprensible es tan fuerte que se a±aden una serie de infraestructuras de alto nivel en todo el mundo para tratar de mejorar la legitimidad de las firmas, por ejemplo, las notarφas. (Siempre he pensado que el valor de la opini≤n de alguien que ninguno de nosotros conoce certificando que t· eres quien dices ser, es fascinante). O la obsesi≤n por los "originales" de los documentos firmados, bajo la suposici≤n de que Θstos serßn mßs difφciles de falsificar que las copias. O un sello puesto sobre la fotografφa de un pasaporte firmado. Este tipo de anßlsis psicol≤gico sobre el valor de las firmas (y, por extensi≤n, de las huellas dactilares) para la autentificaci≤n puede parecer extra±o desde el punto de vista de la ciencia criptol≤gica, pero es muy aceptable por los usuarios. http://www.verdicom.com ----------------------------------------------------------------- Kript≤polis dispone de la pertinente autorizaci≤n de Bruce Schneier para traducir, elaborar y publicar la versi≤n espa±ola de su boletφn Crypto-GRAM. CriptoGRAMA s≤lo puede ser redistribuida de forma completa (esta nota incluida). KRIPT╙POLIS http://www.kriptopolis.com Traducido por: * Angel Galindo Sßnchez <galindo@lacaja.es> ------------------------------------------------------------------