criptograma nº13:(cg0013.txt):20/05/1999 << Back To criptograma nº 13

C R I P T O - G R A M A ⌐ Bruce Schneier ⌐ Kriptopolis (versi≤n en Espa±ol). http://www.kriptopolis.com/criptograma/cg.html ------------------- N·mero 13 15 de Mayo de 1999 ------------------- SUMARIO: 1. La internacionalizaci≤n de la Criptografφa 2. Noticias 3. El Tribunal Federal de Apelaciones reconoce que las leyes de exportaci≤n de cifrado son anticonstitucionales 4. En la ratonera: contrase±as remotas de Novell Netware 5. Actualizaci≤n de la legislaci≤n norteamericana sobre cifrado 6. Noticias de Counterpane Systems 7. Factorizar con TWINKLE 8. Comentarios de los lectores -------------------------------------------------------------- CriptoGRAMA es la versi≤n espa±ola de Crypto-GRAM, elaborada por el equipo de traductores de Kript≤polis, con autorizaci≤n expresa de Bruce Schneier. Nuevos ejemplares de CriptoGRAMA estarßn disponibles cada mes en: Cripto-GRAMA: http://www.kriptopolis.com/criptograma/cg.html Crypto-GRAM es un boletφn mensual gratuito dedicado a res·menes, anßlisis, comentarios e ideas sobre criptografφa y seguridad informßtica. Crypto-GRAM es elaborado por Bruce Schneier, presidente de Counterpane Systems, autor de "Applied Cryptography" y creador de los algoritmos Blowfish, Twofish y Yarrow. Schneier ha pertenecido a la direcci≤n de la International Association for Cryptologic Research, EPIC y VTW, y es asiduo escritor y conferenciante sobre criptografφa. Crypto-GRAM: http://www.counterpane.com/crypto-gram.html ---------------------------------------------------------------- 1. La internacionalizaci≤n de la Criptografφa --------------------------------------------- Por Bruce Schneier Traducci≤n: Antoni Muntaner Una de las mßs extra±as justificaciones de los controles USA de exportaci≤n es la de prevenir la difusi≤n de la pericia criptogrßfica. Hace a±os, la Administraci≤n argumentaba que fuera de los EEUU no existφan productos criptogrßficos disponibles. DespuΘs de que varios estudios demostraran que habφa cientos de ellos dise±ados, realizados y comercializados fuera de los EEUU, la Administraci≤n busc≤ nuevas excusas, como la de que ninguno de esos productos era bueno. Los controles de exportaci≤n evitan que los mejores productos americanos caigan en manos extranjeras, obligando a los otros paφses a utilizar inferiores productos no USA, lo cual es una solemne tonterφa. La Criptografφa es una ciencia internacional. La mayorφa de las conferencias sobre la misma, se celebran fuera de los EEUU, la mayorφa de sus investigadores pertenecen a universidades de otros paφses y la mayorφa de los documentos que se muestran en esas conferencias, estßn escritos tambiΘn en otros paφses. TambiΘn en el extranjero hay programas mßs desarrollados y sus investigadores suelen estar mejor financiados y tienen mßs interΘs por su trabajo. Algunas de las mßs importantes ideas de los ·ltimos 10 a±os en criptografφa, han venido de fuera. En 1997, NIST solicit≤ algoritmos para el AES (Estßndar avanzado de cifrado), con el fin de reemplazar DES como cifrado estßndar del gobierno. De las 15 solicitudes recibidas, 10 eran de compa±φas y universidades de fuera: Australia, BΘlgica, Canadß, Costa Rica, Inglaterra, Francia, Alemania, Israel, Jap≤n, Corea. De las 5 con mßs probabilidades para ser elegidas, la mitad serßn extranjeras. Es muy posible que el pr≤ximo estßndar de cifrado del gobierno USA haya sido dise±ado en el exterior. El Grupo de Trabajo de Ingenierφa de Internet ha creado una serie de estßndares criptogrßficos para Internet: correo electr≤nico seguro, paquetes IP codificados y autenticados, comunicaciones "socket-level" seguras, claves de intercambio y formatos certificados, etc... Estas reuniones se celebran varias veces al a±o, la mayorφa en los EEUU, pero otras fuera. Los asistentes son de compa±φas de todo el mundo, y los estßndares se aprueban con consenso internacional. Los EEUU no tienen la llave de estos estßndares ni de su proceso de evaluaci≤n. Estos se implementan en productos de todo el mundo, no s≤lo en los fabricados en los EEUU. Por ejemplo, una compa±φa finlandesa llamada SSH tiene una de las mejores implementaciones IPSec del mundo. Otra tecnologφa no USA se ha integrado en compa±φas americanas. Una empresa sueca llamada COST cre≤ un grupo de programas integrales criptogrßficos. Esta compa±φa fue adquirida por Entegrity Solutions, Inc., una compa±φa USA desarrolladora de ideas innovadoras. Algorithmic Research, y sus productos criptogrßficos, fue adquirida por Cylink Corp. ELVIS+, una compa±φa rusa, forma ahora parte de la americana TrustWorks, Inc. RSA Data Security, perteneciente ahora a Security Dynamics Inc., ha adquirido recientemente los derechos de un producto criptogrßfico creado en Australia. La lista es interminable. Una y otra vez, las compa±φas americanas se han dado cuenta que el profesionalismo criptogrßfico existe fuera de los EEUU y han tomado medidas para asegurarse el beneficio de esa experiencia. La criptografφa no estß limitada por la fronteras del paφs. La investigaci≤n, los estßndares y los productos son internacionales. La tΘcnica es internacional. Para la Administraci≤n USA, creer que hay "secretos de Estado" referentes a la criptografφa que los controles de exportaci≤n deben procurar mantener dentro de los EEUU, es realmente absurdo. No hay ninguna evidencia que lo demuestre, y sφ bastante evidencia que demuestra lo contrario. 2. Noticias ------------------------------------ Por Bruce Schneier Traducci≤n: Juan De Miguel Hernßndez La Ciberguerra se estß haciendo realidad. Parece ser que hackers en Belgrado han atacado el servidor p·blico de la OTAN. Ahora hay una gran diferencia entre atacar una web y atacar ordenadores de guerra, pero todavia... http://www.pcworld.com/cgi-bin/pcwtoday?ID=10358 Ver tambiΘn http://www.zdnet.com/zdnn/stories/news/0,4586,2220773,00.html Y tambiΘn algunos hackers han realizado ataques en protesta por el bombardeo accidental de la Embajada China en Belgrado por parte de la OTAN. Cierto n·mero de sitios gubernamentales de USA han sido hackeados, incluidos el Departamento de Interior, Energφa y la Embajada de Estados Unidos en China. http://www.zdnet.com/zdnn/stories/news/0,4586,2256138,00.html Esta noticia es mßs interesante, si es cierta. De acuerdo con ella -no he podido confirmarla en ning·n sitio-, los serbios usaron un telΘfono movil de la CIA y c≤digos de seguridad para realizar un bombardeo de la OTAN a un convoy civil. http://www.theherald.co.uk/news/archive/19-4-1999-0-9-58.html Mßs creible es la historia de que los serbios estßn interviniendo las conexiones cifradas por radio de la OTAN. http://www.washingtonpost.com/wp-srv/WPlate/1999-05/01/169l-050199-idx.html Un gato hizo perder a una compa±φa de autobuses inglesa un contrato de unas 20000 libras esterlinas (unos 5 millones de pesetas) despues de quedarse dormido encima del fax, y enviar informaci≤n confidencial a una compa±φa rival accidentalmente. http://www.telegraph.co.uk/et?ac=000647321007942&rtmo=Q9Qw9p3R&atmo=KKK KKKrM&pg=/et/99/4/19/ncat19.html KeyNote v2, una herramienta para el manejo seguro de aspectos administrativos, estß disponible en versi≤n beta. KeyNote es un sistema de gesti≤n seguro peque±o y flexible desarrollado por Matt Blaze, Joan Feigenbaum, y otros, y se puede conseguir en internet. Descripci≤n de KeyNote: ftp://ftp.research.att.com/dist/mab/knrfc.txt Versi≤n beta de KeyMote: http://www.cis.upenn.edu/~angelos/keynote.html Crypto++ 3.1 es una librerφa criptogrßfica gratis de C++ que acaba de aparecer. Esta versi≤n corrige algunos errores y a±ade algunos candidatos al AES, al igual que un par de construcciones MAC basadas en cifrado en bloques. http://www.eskimo.com/~weidai/cryptlib.html Starium pronto pondrß a la venta a±adidos de cifrado de voz para telefonφa. Usarßn 2048 bit Diffie-Hellman para el intercambio de claves y triple-DES para la cifrado de voz, el precio rondarß los 100 dolares (15000 pesetas). Y al contrario que AT&T, esta compa±φa parece que probablemente no caerß bajo las presiones de a±adir una puerta trasera a sus protocolos por parte del gobierno (basta recordar Clipper) http://www.starium.com Ver tambiΘn: http://www.eetimes.com/story/OEG19990423S0015 Esta es una noticia terrorφfica. Una propuesta de la asociaci≤n internacional de policφa y agencias de seguridad en USA estß intentado presionar a travΘs de las leyes para que se pongan puntos de escucha en webs y otras formas de comunicaci≤n digital. "El plan requiere que se instale una red de centros de intercepci≤n a lo largo de Europa, operando instantßneamente en todas las instalaciones nacionales, permitiendo el acceso a toda clase de comunicaciones, incluyendo internet y sistemas de satΘlites. Un centro de escucha alemßn podrφa interceptar mensajes en Inglaterra, o un detective inglΘs podrφa escuchar una conversaci≤n en Holanda. Podrφa haber varios centros escuchando al mismo tiempo. La historia completa: http://www.heise.de/tp/english/special/enfo/6398/1.html Otra historia http://www.newsunlimited.co.uk/The_Paper/Weekly/Story/0,3605,45981,00.html Ver tambiΘn: http://www.heise.de/tp/english/special/enfo/6397/1.html El documento es Enfopol 19, un documento restringido filtrado a la London-based Foundation for Information Policy Research: http://www.fipr.org/polarch/index.html Ultimos agujeros en Internet Explorer: Cualquiera que use tu ordenador puede ver d≤nde has estado navegando. Cualquiera que use tu ordenador puede acceder a pßginas que necesiten c≤digo de acceso usando tu propio c≤digo. http://www.zdnet.com/anchordesk/story/story_3351.html http://www.zdnet.com/zdnn/stories/news/0,4586,1014586,00.html ┐Piensa que la privacidad informßtica es un problema? Vea co≤mo funciona realmente. Este artφculo fue publicado el 14 de marzo de 1999, secci≤n revista del New York Times. http://archives.nytimes.com/archives/search/fastweb?getdoc+allyears2+db365+325093+0+wAAA+fiber-optic%7Econfessional Visa ha realizado un borrador de "VIsa Smart Card Protection Profile" (documento sobre la protecci≤n de las tarjetas Visa) como parte del Common Criteria. Contiene una lista muy interesante de ataques a tarjetas inteligentes. El documento es un borrador y quieren comentarios. http://www.visa.com/nt/chip/accept.html http://jya.com/drpp-v.pdf El documento de Visa hace referencia al Common Criteria: http://csrc.ncsl.nist.gov/cc/ El informe IC2000 sobre intercepciones de comunicaci≤n y ECHELON, el satΘlite de vigilancia de redes estadounidense, fue aprobado como un documento de trabajo por STOA (ComitΘ Asesor sobre Opciones cientφficas y tecnol≤gicas) del Parlamento Europeo en su ·ltima reunion en Estrasburgo, el 6 de mayo de 1999. El documento se ha hecho p·blico y es muy interesante. Informe: http://www.iptvreports.mcmail.com/stoa_cover.htm http://jya.com/ic2000.zip Noticias: http://www.wired.com/news/news/politics/story/19602.html Un hombre ha sido sentenciado a 7 a±os y medio de prisi≤n por robar 6 millones de do≤lares (unos 900 millones de pesetas) de mßquinas tragaperras. http://www.wired.com/news/news/technology/story/19433.html 3. El Tribunal Federal de Apelaciones reconoce que las leyes de exportaci≤n de cifrado son anticonstitucionales ---------------------------------------------------------------- Por Bruce Schneier Traducci≤n: Isidre Marques Serret La historia hasta el momento: Dan Bernstein querφa publicar los detalles y el c≤digo original de Snuffle, un algoritmo de su creaci≤n. Las reglas de exportaci≤n se lo impidieron. Dan llev≤ esta prohibici≤n a los tribunales. Hace un a±o y medio, el juez Patel estuvo de acuerdo con Θl y dict≤ que las Reglas de Exportaci≤n de Criptogrßfia eran inconstitucionales. El gobierno pidi≤ la suspensi≤n de la sentencia, que se otorg≤. El caso se apel≤ a la Novena corte Federal del Circuito de Apelaciones... ...que estuvo completamente de acuerdo con la decisi≤n del juez Patel. Brevemente, la Corte acord≤ que el c≤digo original puede ser (aunque no siempre) "expresivo," y asφ lo asimilo a un discurso a efectos de la Primera Enmienda (la que defiende la Libertad de Expresi≤n). Por lo tanto, las Regulaciones de Administraci≤n de Exportaci≤n (RAE) son una restricci≤n previa sobre la Libertad de Expresi≤n. Aunque algunas limitaciones pueden ser legales, deben conllevar unos fuertes controles; La RAE no admite estos controles, porque (entre otras cosas) otorga plena libertad al gobierno, no dicta plazos concretos y firmes para el proceso, y excluye cualquier revisi≤n judicial. A pesar de que su razonamiento se bas≤ en la expresividad del c≤digo original, rechazaron toda la regla sobre exportaci≤n de criptografia porque la regla no distingue entre c≤digo fuente expresivo, c≤digo fuente funcional, y c≤digo objeto, y no pueden (ni deben) hacer una revisi≤n lφnea-por-lφnea de la RAE. TambiΘn dijeron que estos esfuerzos del gobierno para controlar a criptografφa, ademßs de afectar a la Primera Enmienda, pueden estar en pugna tambiΘn con la Cuarta Enmienda, el derecho a hablar an≤nimamente, el derecho a la no-imposici≤n de opiniones, y el derecho a la privacidad de la informaci≤n. Esto no significa que de repente sea legal exportar criptografφa fuera de los EE.UU. El juez Patel emiti≤ una aclaraci≤n vinculante en este sentido, pero casi inmediatamente se dio por supuesto. La Novena Corte del Circuito de Apelaciones confirm≤ su decisi≤n, pero la decisi≤n de esa Corte no es firme hasta que termine el tiempo para solicitar la apelaci≤n (14 dφas). Que se solicitarß casi con total seguridad, ya que el gobierno quiere que la Corte Suprema revise el caso. Los que sean conservadores esperaran antes de exportar c≤digo original. Los artφculos de WIRED: http://www.wired.com/news/news/politics/story/19553.html?wnpg=1 http://www.wired.com/news/news/politics/story/19571.html http://www.wired.com/news/news/politics/story/19605.html La decisi≤n: http://jya.com/bernstein-9th.htm Un magnφfico anßlisis y resumen: http://www.law.miami.edu/~froomkin/bernstein99.htm 4. En la ratonera: contrase±as remotas de Novell Netware -------------------------------------------------------- Por Bruce Schneier Traducci≤n: Isidre Marques Serret Novell NetWare 5 (y 4.11 y 4.2) tiene una caracterφstica que permite a los administradores administrar remotamente los servidores Novell. Estas cuentas de administrador estßn protegidas por contrase±as, y las contrase±as estßn codificadas en los servidores. Desgraciadamente, el algoritmo de codificaci≤n no funciona. Seg·n un hacker conocido como TheRuiner, el archivo de contrase±as estß "codificado" simplemente con una ligera ofuscaci≤n, reordenaci≤n de bits, substracci≤n, sustituci≤n de valores, y una codificaci≤n XOR. Es absolutamente simple de eliminar, y todo lo que realmente hizo falta fue efecturar ingenierφa inversa del c≤digo y ver exactamente c≤mo trabajaba. Esto no es ciencia avanzada, chicos. La protecci≤n con contrase±a es un problema resuelto: emplead una funci≤n Hash fuerte. No estoy seguro de por quΘ Novell no estß prestando ninguna atenci≤n. La noticia de la historia: http://www.infoworld.com/cgi-bin/displayNew.pl?/security/990426sw.htm Los detalles estßn en: http://oliver.efri.hr/~crv/security/bugs/Others/nware12.html 5. Actualizaci≤n de la legislaci≤n norteamericana sobre cifrado --------------------------------------------------------------- Por Bruce Schneier Traducci≤n: JosΘ Luis Martφn Mas Una vez mßs el Congreso de Estados Unidos estß tratando de aprobar una ley que reduzca los controles de exportaci≤n de software y hardware que incluya cifrado. Se tiene la esperanza de que estas leyes reemplacen las regulaciones de la ITAR, que no son leyes y nunca han sido votadas. El 24 de marzo, el ComitΘ Judicial del Congreso aprob≤ el texto H.R. 850, la Ley de "Seguridad y Libertad a travΘs de la cifrado" (en inglΘs, SAFE). Nos gusta esta ley; en general, reduce los controles de exportaci≤n de software criptogrßfico. Mirßndola por el lado malo, tambiΘn incluye una controvertida disposici≤n que establece un nuevo delito: el uso de criptografφa en la comisi≤n de un delito. Y mirßndola por el lado bueno, el ComitΘ rechaz≤ el intento del congresista republicano Bill McCollum (R-FL) de introducir una enmienda que permitiera la reducci≤n limitada de controles sobre los productos de cifrado que emplearan key-escrow, el dep≤sito centralizado de claves (o como quiera que lo llamen hoy en en dφa). La ley ha sido promovida por el congresista Robert Goodlatte (R-VA) y la congresista Zoe Lofgren (D-CA) (los dos grandes personas que se merecen nuestro apoyo) y actualmente tiene 251 co-patrocinadores, incluyendo a los lφderes republicanos y dem≤cratas. Los lφderes republicanos enviaron la semana pasada una carta del tipo "Estimado Colega" a todos los miembros del Congreso pidiΘndoles que aprobaran la ley. Desgraciadamente, se ha trasladado ahora a los ComitΘs de Comercio, Relaciones Internacionales, Servicios Armados e Inteligencia para que la revisen. Si recordamos lo ocurrido en 1997, los ComitΘs de Servicios Armados y de Inteligencia del Congreso revisaron una ley similar -a petici≤n del FBI- para imponer restricciones a los productos criptogrßficos; sus esfuerzos para aprobar esa maldita ley fueron derrotados con la ayuda de grupos de la industria y de ciudadanos. El Lφder de la Mayorφa Dick Armey le ha dicho al congresista Goodlatte que espera que se vote la ley en el Congreso en verano; tendremos que esperar a ver quΘ pasa. TambiΘn ha habido este a±o algunos avances en el Senado. En un cambio de postura sorprendente, el senador John McCain (R-AZ) ha cambiado su anterior apoyo a las restricciones nacionales sobre la criptografφa y present≤ una ley que reducirφa los controles de exportaci≤n. Su nueva ley, S. 798, ley de "Promoci≤n de Transacciones en Red Fiables para el Fomento del Comercio" (en inglΘs, PROTECT) de 1999 reduce los controles de exportaci≤n en productos con claves de un mßximo de 64 bits. TambiΘn se reducen los controles en las compa±φas de titularidad p·blica, las compa±φas que son con frecuencia inspeccionadas (como los bancos y las compa±φas de seguros), las subsidiarias de compa±φas americanas y socios estratΘgicos, los empresad de comercio electr≤nico, y los gobiernos de los paφses de la OTAN, la OCDE y la ASEAN (una extra±a elecci≤n). Los productos que tengan claves mayores de 64 bits podrφan ser exportados si un nuevo Consejo Asesor de Exportaci≤n de Criptografφa y el Secretario de Comercio aprobara la exportaci≤n si llegaran a la conclusi≤n de que "el producto o servicio es... algo p·blica y fßcilmente disponible; o si se trata de un producto de cifrado que emplea la misma o una mayor longitud de clave, u otro tipo de seguridad comparable, y estß o estarß en los siguientes doce meses ampliamente a disposici≤n del p·blico fuera de Estados Unidos a travΘs de un distribuidor extranjero". Estas decisiones estarßn sujetas a recursos judiciales. La ley insta al Instituto Nacional de Estßndars y Tecnologφa (NIST) que finalice la selecci≤n del Estßndar Avanzado de cifrado (AES) a mßs tardar el 1 de enero del 2002. Una vez que se haya seleccionado el AES, los productos que lo incorporen o tengan una fuerza equivalente podrßn exportarse sin licencia en la mayorφa de los casos. La ley tambiΘn prohibe que el gobierno de Estados Unidos o de cualquier estado obligue a permitir el acceso a las claves de cifrado o a informaci≤n que permita obtener las claves. Sin embargo, tambiΘn incluye disposiciones que obligan al NIST a ayudar en las investigaciones policiales mejorando el acceso a sistemas criptogrßficos y de detecci≤n de intrusos. Se ha presentado la ley ante el ComitΘ de Comercio del Senado, presidida por el senador McCain. TambiΘn ha sido patrocinada por los senadores Leahy (D-VT), Burns (R-MT), Kerry (D-MA), Abraham (R-MI), y Wyden (D-OR). Este a±o promete ser interesante en el Congreso. Ley SAFE: http://thomas.loc.gov/cgi-bin/query/z?c106:H.R.850.IH: Ley PROTECT: http://thomas.loc.gov/cgi-bin/query/z?c106:S.798.IS: (Artφculo escrito con la colaboraci≤n de David Banisar.) 6. Noticias de Counterpane Systems ---------------------------------- Rootfest '99. Bruce Schneier hablarß en RootFest, una convenci≤n de hackers, del 21-23 Mayo 1999, en Minneapolis. http://www.rootfest.org/ NetSec '99. A las 8:00 AM del 15 de Junio, Bruce Schneier pronunciarß el discurso inaugural de NetSec, en St. Louis. Schneier tambiΘn hablarß a las 2:00 PM de ese dφa. http://www.gocsi.com/conf.htm 7. Factorizar con TWINKLE ------------------------------------ Por Bruce Schneier Traducci≤n: Juan Cruz Ruiz de Gauna En Eurocrypt '99 Adi Shamir present≤ una nueva mßquina que puede incrementar nuestra velocidad de factorizaci≤n entre 100 y 1.000 veces. Llamada TWINKLE (The Weizmann INstitute Key Locating Engine, El Motor de Localizaci≤n de Claves del Instituto Weizmann), este dispositivo ofrece claves de 512 bits en el campo de nuestras capacidades de factorizaci≤n. Los mejores algoritmos de factorizaci≤n conocidos hasta la fecha trabajan sobre principios similares. Primero hay una b·squeda masiva paralela de ecuaciones con una cierta relaci≤n. Esto es conocido como el paso del tamiz. Entonces, tras encontrar un cierto n·mero de relaciones, tenemos una operaci≤n masiva de matrices para resolver una ecuaci≤n lineal y producir los factores primos. El primer paso puede ser ser realizado de forma paralela fßcilmente --recientemente 200 ordenadores trabajaron en paralelo durante unas cuatro semanas para encontrar relaciones para ayudar a factorizar el RSA-140 -- pero el segundo paso debe ser realizado en un solo superordenador: fue necesario un gran Cray durante unas 100 horas y 810 Mbytes de memoria para factorizar el RSA-140. Shamir ha conceptualizado un dispositivo hardware especial que usa tΘcnicas electro-≤pticas para llevar a cabo el tamizado a velocidades muy superiores a las de los ordenadores convencionales. ╔l cifra varios LEDs con valores que corresponden a n·meros primos, y entonces los usa para factorizar n·meros. La mßquina me recuerda al famoso "Motor Diferencial" de 1880. Una vez que los problemas de ingenierφa se resuelvan -- y hay unos cuantos problemas considerables -- esta mßquina serß tan potente como entre 100 y 1.000 PC's de unos 5000 $ cada uno. La idea bßsica no es nueva; una mßquina mecßnico-≤ptica construφda por D.H. Lehmer en los a±os treinta hacφa algo muy similar (aunque algo mßs lentamente). Por lo que nosotros sabemos, la mßquina de Shamir no ha sido construida nunca (no puedo hablar de lo que hayann hecho las organizaciones secretas). Como ya he dicho, Shamir present≤ una conceptualizaci≤n y un esbozo de un dise±o, no un conjunto completo de planos de ingenierφa. A·n hay toda clase de detalles por entender, pero ninguno de ellos parece imposible. Si yo dirigiese una organizaci≤n de inteligencia multibillonaria pondrφa a mis cerebritos a trabajar en el problema. Lo que debemos notar es que esta nueva mßquina no afecta el paso de la matriz para nada. Y este paso estalla en complejidad para problemas largos de factorizaci≤n; su complejidad crece mucho mßs rßpidamente que la complejidad del paso del tamiz. Y no se trata s≤lo de tiempo, sino tambiΘn de requerimientos de memoria. Con un n·mero de 1.024 bits, por ejemplo, el paso de la matriz requiere algo asφ como 10 terabytes de memoria: no almacenamiento off-line, sino memoria real. Nadie dispone de pistas para resolver este tipo de problema. Esta tΘcnica funciona tanto para algoritmos de clave p·blica de logaritmos discretos (Diffie-Hellman, ElGamal, DSA, etc) como para RSA, aunque es peor si tenemos en cuenta que el problema de la matriz es mßs duro para problemas de logaritmos discretos que para factorizaci≤n. La tΘcnica no se aplica a algoritmos basados en curvas elφpticas, y no sabemos c≤mo usar los algoritmos basados en tamiz para resolver problemas de curvas elφpticas. En "Criptografφa Aplicada" yo hablaba de los avances que iban a venir en lo referente a factorizaci≤n desde cuatro direcciones diferentes. Primero, ordenadores mßs rßpidos. Segundo, mejor trabajo en red. Tercero, optimizaciones y recortes a los algoritmos existentes de factorizaci≤n. Y cuarto, avances fundamentales en las tΘcnicas de factorizaci≤n. TWINKLE se encuadra en las categorφas uno y tres; no hay nuevas matemßticas en esta mßquina, es simplemente un camino mßs rßpido para trabajar con las matemßticas existentes. La contribuci≤n de Shamir es obvia una vez que la entendemos (el sello de una contribuci≤n brillante, en mi opini≤n), y cambia definitivamente el panorama de los tama±os de clave p·blica considerados seguros. La moraleja es que es prudente ser conservador -- todos los productos de seguridad bien dise±ados fueron mßs allß de los m≤dulos de 512 bits hace a±os -- y que los avances en criptografφa pueden venir de los sitios mßs extra±os. Explicaciones de Shamir: http://jya.com/twinkle.eps La opini≤n de Seguridad de Datos RSA: http://www.rsa.com/rsalabs/html/twinkle.html 8. Comentarios de los lectores ----------------------------------- Por Bruce Schneier Traducci≤n: Angel Galindo Sßnchez De: pgut001@cs.auckland.ac.nz (Peter Gutmann) Asunto: Ataques a los certificados con virus de ordenador ........................................................... "Entonces, si se es un profesional paranoide de la seguridad en ordenadores, la pregunta obvia que hay que hacerse es: ┐puede un programa malicioso reemplazar los certificados raφz en mi navegador y enga±arme para hacerme creer en alguien?." Por supuesto que puede. Ni siquiera necesita software malicioso; todo lo que hace falta es el Interner Explorer. Pruebe Θsto: Utilizando su herramienta de certificaci≤n favorita, cree un certificado raφz de una autoridad de certificaci≤n que sea idΘntico a otro que ya exista (excepto en la clave) y p≤ngalo en una pßgina web. Pinche en el enlace con MSIE. Le aparecerß un cuadro de dißlogo informßndole de que va a aceptar una nueva certificaci≤n, por ejemplo, de "Verisign Class 1 Public Certification Authority". Una vez que pinche en el OK (como prßcticamente todos los usuarios harφan), habrß usted sustituido el CA estßndard de raiz por el suyo propio, y puede utilizarlo para certificar servidores maliciosos, CAs, correo electr≤nico, virus o cualquier otra cosa que desee. No aparece ninguna advertencia en el MSIE, simplemente reemplaza el certificado que haya. (Pista: Tal vez quiera probar Θsto con alguna de las certificaciones menos utilizadas, en lugar de Verisign, porque incluso obviando las implicaciones en la seguridad, Θsto constituye un importante ataque de denegaci≤n de servicio. Este agujero podrφa haber sido corregido en las ·ltimas versiones de MSIE, pero funcionaba muy bien en la 3.02, que es la ·ltima versi≤n que no intenta apoderarse de su mßquina cuando se le instala). De: Ed Gerck egerck@mcg.org.br Asunto: Re: Amenazas a las tarjetas inteligentes ................................................. "He disfrutado leyendo su trabajo sobre las caracterφsticas de seguridad de las tarjetas inteligentes (Criptograma 15/04/1999). Lo encontrΘ especialmente ·til, dado que proporciona a·n mßs ejemplos en los cuales puede verse que la confianza no es una propiedad objetiva del sistema, ni siquiera de algunas de sus partes. Creo que puede aplicarse lo mismo a todos los sistemas, aunque no pueda percibirse en la mayorφa de los casos. En mi opini≤n, las tarjetas inteligentes no son por tanto mejores ni peores en principio que un ordenador de la red. En definitiva, la cuesti≤n principal no estß en si se utiliza una tarjeta inteligente o un ordenador, sino en si se pueden delegar en Θl tus decisiones (es decir, confiar en Θl en un determinado ßmbito y momento, para puntos especφficos de confianza). Esto serφa mßs fßcil de aceptar para una tarjeta inteligente que siempre llevas contigo, en contraste con un ordenador que nunca ves, como un servidor - pero no necesariamente, como ejemplifica en su trabajo." De: jmm@elegant.com (John Macdonald) Asunto: "En criptografφa, hay seguridad siguiendo a la multitud" .................................................................. "Tenga cuidado en c≤mo escribe esa frase. Tal como estß, podrφa ser utilizada para justificar la elecci≤n de Microsoft PPP en lugar de IPSec porque es lo que "la multitud" ha elegido. Nadie que lea y comprenda el artφculo considerarφa que las masas generalmente desconocedoras de algo sobre criptografφa sean la "multitud" correcta a seguir, por supuesto, pero me estremezco al pensar que este artφculo sea leido por alg·n robot del marketing que busque frases-gancho para su pr≤xima campa±a, o un agente de compras que se enfrente a la polφtica de compras de todo Microsoft." De: hecker@netscape.com (Frank Hecker) Asunto: Re: Criptograma 15/04/1999-05-18 ......................................... "Otros protocolos de internet -S/MIME, SSL, etc- tiene un enfoque mßs jerßrquico. Probablemente usted obtuvo su llave p·blica firmada por una compa±φa como Verisign. La llave p·blica SSL de un sitio web podrφa haber sido firmada por Netscape. Este ataque plantea problemas. Si un virus reemplaza el certificado raiz de Netscape con uno falso... En apariencia, Netscape no firma las llaves p·blicas de los sitios web (es decir, actuando para ellos como una Autoridad de Certificaci≤n); no creo que Netscape haya hecho nunca este servicio. Por tanto no existe ning·n "certificado raφz de Netscape" incluido en sus productos Netscape Navigator ni Netscape Communicator, si es que con eso se refiere usted a una hipotΘtica Netscape CA. Netscape Navigator y Netscape Communicator incluyen certificados CA para varios servicios de CA p·blicos, y nosotros recomendamos a nuestros clientes que los utilicen (a menos que quieran ser sus propios CA). Por supuesto, esto no afecta a la argumentaci≤n de su artφculo relativa a la vulnerabilidad al reemplazo de la lista de certificados raiz; s≤lo querφa corregir un peque±o error sobre los hechos." De: hans@netman.se Asunto: Imperfecciones de las tarjetas inteligentes. .................................................... "Durante los ·ltimos dos a±os y medio he sido responsable de los aspectos de seguridad durante la implementaci≤n de un gran sistema de autorizaciones basado en tarjetas inteligentes para Windows NT 4.0, aquφ en Suecia, y Θstos son los tres principales defectos que he encontrado al trabajar con las tarjetas inteligentes: 1) Cuando te conectas a un servidor NT , tu nombre de usuario, password y el certificado X509v3 se envφan al servidor. El servidor comienza un proceso de recusaci≤n, empleando la llave p·blica del certificado y cifra un n·mero aleatorio. El n·mero aleatorio cifrado y el certificado del servidor se envφan entonces a la tarjeta inteligente, donde se descifran con la correspondiente llave privada. Entonces la tarjeta inteligente cifra el n·mero aleatorio con la llave p·blica del servidor que estß en el certificado del servidor, y se la envφa de nuevo al servidor, el cual compara los dos valores. Dado que no hay ninguna conexi≤n entre el valor que estß en el certificado X509 (campos de Asunto y Nombre Com·n) y el identificador de usuario, se podrφa introducir el identificador y password de otra persona, que se enviarφan con tu certificado. íDe esta manera la autentificaci≤n fuerte se harß utilizando tus lleves RSA privada y p·blica, pero tendrßs los privilegios y derechos de acceso de otra persona!. 2) En una tarjeta inteligente basada en RSA normalmente se almacenan el identificador de usuario y la contrase±a en el ßrea de datos (Tabla SSO = Single Sign On Table). El problema reside en el hecho de que las tarjetas inteligentes disponibles hoy en dφa estßn limitadas en la cantidad de datos almacenables (como certificados, identificadores de usuario y contrase±as) a un mßximo de 8K. (Pueden encontrarse en el mercado tarjetas que pueden almacenar mßs de 8K, pero tadavφa no estßn a la venta). Por tanto, si utilizamos certificados con las llaves basadas en RSA almacenados en el mismo sitio, que tienen 1024 bits de longitud, s≤lo se pueden tener dos certificados y sus correspondientes dos llaves privadas. Si utilizamos llaves basadas en RSA de 52 bits de longitud, podemos almacenar hasta tres certificados. Y puesto que las llaves RSA de 512 bits estßn incluidas en el acuerdo de Wassenaar y pueden exportarse, no son de fiar :-). Por tanto, utilizaremos llaves de 1024 bits y las emplearemos para la autenticaci≤n y cifrado. Lo que ocurrirß serß lo siguiente. Introduces el c≤digo PIN que abre la tarjeta y abre el certificado para su utilizaci≤n y la llave privada para autenticaci≤n/encriptaci≤n, dado que queremos hacer una identificaci≤n fuerte del usuario. íYo puedo entonces descifrar cualquier cosa que la tarjeta inteligente ha cifrado, dado que la utilizaci≤n de la llave privada queda abierta cuando el usuario introduce su PIN!. Si pudiera conseguir que el usuario ejecutase un programa troyano, ni siquiera podrφa saber que yo estoy descifrando cualquier cosa que Θl cifr≤ con su llave privada. íNo se pueden cifrar el identificador de usuario y la contrase±a en la tarjeta inteligente!. Por tanto, puedo leerlo de la tarjeta y coger el identificador de usuario y su correspondiente contrase±a, y envißrmelas por correo a mi mismo. (Ya he conseguido hacer Θsto utilizando Visual Basic y una macro que estß en normal.dot). 3) Si hacemos una respuesta-desafφo en un entorno NT, el servidor necesita saber con quΘ estacion de trabajo/servidor estß hablando. Si en su caso el programa servidor utiliza WINS para conseguir la direcci≤n IP de la estaci≤n de trabajo, estarß expuesto a un bonito ataque: el usuario entr≤ en una estaci≤n de trabajo utilizando su tarjeta inteligente y se le identific≤ mediante una respuesta de recusaci≤n. Le enviamos un correo electr≤nico al usuario que incluy≤ una macro en el normal.dot y conseguimos el nombre de la estaci≤n de trabajo, el identificador de usuario y su contrase±a de la tarjeta inteligente. Entonces cogimos otra estaci≤n NT y se la nombr≤ con el nombre de la del usuario, y trat≤ de conseguir una conexi≤n con un disco del servidor NT. Se nos pregunt≤ por el identificador de usuario y la contrase±a, lo introdujimos y ívoilΓ!. íConseguimos acceso al disco!. En este caso, el servidor consigui≤ el nombre de la estaci≤n de trabajo, el identificador de usuario y la contrase±a, y utiliz≤ WINS para encontrar la direcci≤n IP correspondiente al nombre de la estaci≤n de trabajo. Entonces el servidor hizo una autenticaci≤n fuerte de la direcci≤n IP que el servidor consigui≤ de WINS. íEsa direcci≤n IP no era la de nuestra mßquina, sino la del usuario!. En el log de seguridad de NT se podrφa leer que el usuario accedi≤ a ese disco y que fue autenticado utilizando cifrado fuerte. Entonces la pregunta es: ┐se puede confiar en las tarjetas inteligentes?. Mi respuesta es: sφ, si se sabe lo que pueden y no pueden hacer. ----------------------------------------------------------------- Kript≤polis dispone de la pertinente autorizaci≤n de Bruce Schneier para traducir, elaborar y publicar la versi≤n espa±ola de su boletφn Crypto-GRAM. CriptoGRAMA s≤lo puede ser redistribuida de forma completa (esta nota incluida). KRIPT╙POLIS http://www.kriptopolis.com Equipo de Traductores de Kript≤polis: * Juan De Miguel Hernßndez <chili@vuelta-al-mundo.org> * Isidre MarquΘs Serret <ismase@mx3.redestb.es> * Juan Ruiz de Gauna Gorostiza <juancruz.ruiz@unavarra.es> * JosΘ Luis Martφn Mas <jlmartin@lander.es> * Antonio Muntaner <mmg@balears.net> * Angel Galindo <agalindo@lacaja.net> * Jaime Millßn de Castro <us_jaime@svalero.es> ------------------------------------------------------------------