criptograma nº18:(cg0018.txt):23/10/1999 << Back To criptograma nº 18

_______________________________________________________________ C R I P T O G R A M A _______________________________________________________________ N·mero 18 15 de Octubre de 1999 ________________________________________________________________ SUMARIO: 1. Para quienes han decidido hacerse cript≤logos 2. Nuevas leyes de exportaci≤n en EEUU y legislaci≤n criptogrßfica anti-privacidad 3. Counterpane Systems: Investigaci≤n documentada 4. Noticias 5. Noticias sobre seguridad en Internet 6. En la ratonera: AMD 7. Empresas PKI y sus esl≤ganes 8. Longitud de clave y seguridad 9. Comentarios de los lectores -- Ejemplar gratuito distribuido a mßs de 14.000 suscriptores -- ________________________________________________________________ * Versi≤n Web de este ejemplar: http://www.kriptopolis.com/criptograma/cg0018.html * Suscripci≤n gratuita: http://www.kriptopolis.com/subs.html * N·meros anteriores: http://www.kriptopolis.com/criptograma/cg.html _______________________________________________________________ 1. PARA QUIENES HAN DECIDIDO HACERSE CRIPT╙LOGOS ________________________________________________ Por Bruce Schneier Traducci≤n: JosΘ Manuel G≤mez Una de las preguntas que con mßs frecuencia se me hacen por correo electr≤nico es la siguiente: "┐C≤mo puedo hacerme cript≤logo?". Este artφculo representa mi intento de responder a esta cuesti≤n. Mi respuesta se divide en cuatro partes: para el estudiante de instituto, para el de universidad, para el de post-grado y para la persona que trabaja en un campo relacionado (aunque mucho de lo que tengo que decir es com·n a todos ellos). En primer lugar: ┐quΘ es un cript≤logo? En relaci≤n a lo que ahora nos interesa, un cript≤logo es alguien con actividad en el campo de la criptografφa: alguien que se dedica a la investigaci≤n, escribe documentos, rompe algoritmos y protocolos y eventualmente escribe sus propios algoritmos y protocolos. Un cript≤logo puede trabajar como profesor de universidad, pero algunas grandes empresas (AT&T, IBM) contratan cript≤logos a tiempo completo, y existen algunos cript≤logos que trabajan como consultores para empresas que no tienen cript≤logos a tiempo completo en sus plantillas. Y, por supuesto, la NSA ficharß casi a cualquiera que pueda ser entrenado como cript≤logo. Pero, no importa d≤nde, la labor es la misma: dise±ar sistemas, romper sistemas, investigar, publicar documentos. La criptografφa es un tema de investigaci≤n y eso se nota. Como es obvio, la mayorφa de la gente que implementa criptografφa en productos de hardware o software no son cript≤logos. Son implementadores de criptografφa, ingenieros de seguridad. Me parece que la mayor parte de la gente que dice querer ser cript≤logos, en realidad quieren ser ingenieros de seguridad. Desean ser una persona que construye sistemas seguros basados en criptografφa. Este artφculo no va dirigido a ellos, aunque gran parte de los consejos son idΘnticos. La ingenierφa de seguridad requiere entender muy bien la criptografφa, pero no es necesario crear nueva criptografφa. La respuesta mßs breve a "c≤mo puedo hacerme cript≤logo" es: "GraduΘse en criptologφa". No es la ·nica forma de convertirse en cript≤logo pero sφ es -con diferencia- la mßs fßcil. Las habilidades que se aprenden para lograr el tφtulo son las que se necesitarßn como cript≤logo y las puertas se abren con mayor facilidad para quienes ostentan un tφtulo. Y a·n mßs: el proceso de obtener el tφtulo permitirß responder a la pregunta mßs importante de todas: "┐quiero ser cript≤logo?". La criptografφa puede considerarse una especialidad de las matemßticas. Obtenga donde obtenga su tφtulo, las matemßticas y la informßtica son vitales. Pero existe algo mßs importante: la criptografφa es un modo de pensar. En alg·n otro sitio, he escrito que la ingenierφa de seguridad es diferente de cualquier otro tipo de ingenierφa; requiere cierto tipo de mentalidad para considerar los sistemas desde la perspectiva del atacante. Durante la Segunda Guerra Mundial, los britßnicos descubrieron que los mejores cript≤logos eran los jugadores de ajedrez y los m·sicos. Para mφ, la mejor gente en seguridad son los jugadores de "Dragones y Mazmorras" y la gente muy minuciosa. La habilidad para encontrar agujeros en un sistema (sean matemßticos, inherentes al propio sistema o relativos a su utilizaci≤n) es vital para un cript≤logo. Al estudiante de instituto: estudia matemßticas e informßtica. Lee libros de criptografφa, tanto hist≤ricos (como "The Codebrakers" -Rompedores de c≤digos-, de David Kahn), como libros modernos (como mi propio "Applied Cryptography" -Criptografφa Aplicada-). Lee libros sobre seguridad informßtica: cortafuegos, seguridad en Internet, seguridad en Windows,... lo que sea. Los campos estßn muy pr≤ximos y puede ser que descubras que prefieres la seguridad informßtica a la criptografφa. Participa en las discusiones del grupo de noticias 'sci.crypt' y la lista de correo de los 'coderpunks'. Si en esos foros, eres capaz de diferenciar quiΘn sabe lo que dice y quiΘn no, estßs en el buen camino. Casi seguro que te sentirßs impulsado a crear nuevos algoritmos y estarßs convencido de que son invencibles. No te resistas al impulso: es una de las partes divertidas. Pero resφstete a la convicci≤n; casi seguro que tus creaciones serßn fßciles de romper y casi nadie perderß tiempo intentßndolo por ti. Las podrßs romper t· mismo en cuanto vayas mejorando. Muchas veces me han preguntado a quΘ universidad acudir para estudiar criptografφa. En principio, no importa. La formaci≤n matemßtica que se requiere puede lograrse en cualquier buen departamento de matemßticas. Nota: "buen departamento de matemßticas" significa un lugar donde se conceda importancia a las demostraciones matemßticas. Hay universidades donde las demostraciones s≤lo aparecen en el ·ltimo a±o o casi. Algunas universidades ofrecen cursos de criptografφa o seguridad informßtica (vea en mi web una lista limitada de cursos universitarios). Pero en realidad, poco importa. Al estudiante universitario: estudia matemßticas. ObtΘn un tφtulo en matemßticas o en informßtica, pero estudia matemßticas. Sigue cursos de matemßticas para matemßticos, no cursos de matemßticas para ingenieros. Aprende a pensar sobre matemßticas; aprende a demostrar teoremas. Intenta seguir cursos en Teorφa de N·meros, Teorφa de la Complejidad (a menudo ofertado fuera del departamento de informßtica), Algoritmos, Estadφstica y Algebra Abstracto. La Criptografφa utiliza teorφa de n·meros pero tambiΘn ideas que provienen de muchas y variadas ßreas de las matemßticas. Los cript≤logos necesitan amplios conocimientos de matemßticas; esta es la ·nica forma de que se establezcan nuevas relaciones y se descubran ideas realmente nuevas. Las disciplinas informßticas fundamentales incluyen dise±o de algoritmos, complejidad computacional y teorφa de la computaci≤n. Algunas universidades ofrecen un curso de criptografφa para estudiante; realφcelo. Contin·e leyendo libros de criptografφa: "The Handbook of Applied Cryptography" - Manual de Criptografφa aplicada (de Alfred J. Menezes, Paul C. van Oorschot y Scott A. Vanstone), o "Cryptography: Theory and Practice" - Criptografφa: teorφa y prßctica (de Doug Stinson). Todos estos libros contienen muchas, muchas referencias. Si algo le interesa, localice la referencia y lΘala. Realice cursos de informßtica; lea libros sobre seguridad informßtica. Y no olvide consultar las referencias si algo le interesa. Al elegir una escuela de postgrado, escoja una con experiencia en criptografφa. La situaci≤n puede ser muy cambiante en el mundo acadΘmico, asφ que prefiero no dar una lista de escuelas (puede empezar con el MIT y Waterloo) pero todas estßn ahφ fuera. Muchas estßn fuera de los Estados Unidos, asφ que estΘ abierto a elegir una escuela de un paφs diferente al suyo. Una forma de construirse una lista de posibles escuelas es buscar informes de investigaci≤n que le interesen. Observe d≤nde ense±an sus autores. Cuando estΘ en su escuela de postgrado, su consejero le darß mucha mßs orientaci≤n sobre c≤mo convertirse en cript≤logo de la que yo podrΘ darle nunca. Y finalmente, me toca aconsejar a la gente que dej≤ la escuela y ya estß trabajando. Existen dos opciones. Una, volver a la escuela de postgrado, a tiempo parcial o completo. Dos, puede imitar el proceso usted mismo, sin contar con la ayuda de una instituci≤n investigadora o un consejero. Puede leer mucho y aprender por sφ solo. Si tiene un buen curriculum en matemßticas puede aprender criptografφa usted solo. Esta opci≤n es mucho mßs dura, pero posible. Sin importar en que momento vital se encuentre, deberφa intentar descubrir lo que significa ser cript≤logo. Lea todo lo que pueda para darse una idea de quΘ tipo de preguntas se hacen los cript≤logos, quΘ hacen para resolverlas y quΘ tipo de cuestiones todavφa aguardan ser respondidas. Localice problemas que pueda comprender e intente resolverlos. No se preocupe sobre si estß "reinventando la rueda" y resolviendo cosas que otros ya han resuelto; asφ es como se aprende. He escrito un "Curso de Autoestudio sobre criptoanßlisis de cifrado en bloques" que intenta plantear problemas que un estudiante de criptologφa pueda abordar; se puede intentar resolver problemas en cualquier ßrea de la criptografφa. Aprender a ser cript≤logo no es fßcil y merece la pena preguntarse si eso es lo que se desea realmente. Por suerte, en el proceso hay muchos momentos en que se puede decidir cambiar de orientaci≤n. Y como se dijo al principio, mucha gente que dice querer ser cript≤logo, en realidad quieren ser ingenieros de seguridad. Aunque los requisitos para un ingeniero en seguridad son en gran parte los mismos (leer libros, informes de investigaci≤n, tomar clases, aprender criptografφa y c≤mo utilizarla), no se requiere obtener un tφtulo. Lista de cursos de criptografφa: http://www.counterpane.com/courses.html Curso de Autoestudio sobre criptoanßlisis de cifrado en bloques: http://www.counterpane.com/self-study.html 2. NUEVAS LEYES DE EXPORTACI╙N EN ESTADOS UNIDOS Y LEGISLACI╙N CRIPTOGR┴FICA ANTI-PRIVACIDAD ________________________________________________ Por Bruce Schneier Traducci≤n: Oscar Esteban El 16 de septiembre (el dφa posterior a la publicaci≤n de Crypto-gram... ┐coincidencia?) la administraci≤n Clinton anunci≤ cambios a sus reglas de control de la exportaci≤n. A·n no ha habido cambios, pero si la administraci≤n los lleva finalmente a cabo representarßn un giro completo a su ya antigua hostilidad hacia la criptografφa fuerte. Pero los detalles no son trigo limpio, y la administraci≤n Clinton tiene un largo historial de prometer cambios que implicarφan relajaci≤n en las exportaciones y no llevarlos a cabo despuΘs. Y hay una segunda parte, una propuesta de ley llamada Cyberspace Electronic Security Act (CESA; Acta de Seguridad Electr≤nica del Ciberespacio), que incluye dep≤sito de claves y tiene algunas desagradables previsiones anti-privacidad. Exportar primero. La administraci≤n propone que se pueda exportar sin licencia hardware y software sin lφmite de potencia tras una "·nica revisi≤n tΘcnica" y alg·n informe sobre a quiΘn se venden los productos. Los productos "a medida" tendrßn algunas restricciones en la venta a gobiernos extranjeros y organizaciones terroristas o criminales. Los productos con longitudes de clave inferiores a 64 bits no tendrφan ning·n control. De nuevo, estos cambios no estßn vigentes. La administraci≤n dijo que entrarφan en vigor el 15 de diciembre. Si siguen adelante con su promesa, estas nuevas regulaciones permitirφan que se pudiera exportar prßcticamente cualquier producto de forma mßs o menos libre. ObsΘrvese que no hay nada acerca de recuperaci≤n de clave en estas nuevas regulaciones, ni ning·n lφmite artificial basado en la longitud de las claves. Por otra parte, a·n faltan las regulaciones sobre investigaci≤n criptogrßfica; los casos judiciales Karn, Junger y Bernstein a·n son importantes. Y ahora, las malas noticias. La administraci≤n tambiΘn ha propuesto la CESA, que contiene regulaciones para el dep≤sito de claves y el uso de descifrado como arma policial. La propuesta de ley exige a terceros ceder claves a agentes del gobierno con orden judicial. Mßs importante, afirma que no hay "presunci≤n constitucional de la privacidad"(1) del texto en claro descifrado, y no se habla de "causa legφtima suficiente" en la propuesta. A·n mßs temible resulta que la propuesta de ley permita al gobierno negarse a comunicar los mΘtodos que emplearon para recuperar el texto en claro en el juzgado. Esto significa que la policφa podrφa presentar texto en claro en el juicio, pero negarse a revelar al defendido c≤mo se obtuvo ese texto. Esto, por supuesto, significa que el defendido puede verse en apuros para defenderse a sφ mismo, y facilita mucho a la policφa la aportaci≤n de pruebas. El derecho a un juicio justo podrφa estar en juego. Y para asegurarse de que habrß montones de texto en claro disponible para uso de la policφa, la propuesta de ley dispone $80 millones para un Centro de Soporte TΘcnico del FBI, pensado para desarrollar herramientas policiales ·tiles contra la seguridad informßtica y la criptografφa. La CESA era en origen a·n peor. Habφa una clßusula que hablaba de "b·squeda secreta", con la que la policφa podφa entrar de forma secreta en las casas de la gente e instalar invisibles "dispositivos de recuperaci≤n" en sus ordenadores (del tipo Back Orifice). Habφa tambiΘn otras clßusulas para promover la recuperaci≤n de claves. Estas han desaparecido en la reformulaci≤n final, pero quiΘn sabe si alguna vez volverßn a aparecer. De nuevo, todo esto son propuestas y nada de esto es oficial. Por favor, que nadie piense que la partida ha terminado y que no hemos ganado nada. El debate sobre el uso de la criptografφa como herramienta de privacidad a·n contin·a. (1) N.T.: "constitutional expectation of privacy" implica el derecho a la privacidad salvo que exista una "probable causa", esto es, indicios fuertes de un delito, por ejemplo. Artφculos de las news: http://www.wired.com/news/news/politics/story/21786.html http://www.computerworld.com/home/news.nsf/CWFlash/9909175encrypt Documentos del gobierno: Nota de prensa http://www.pub.whitehouse.gov/uri-res/I2R?urn:pdi:// oma.eop.gov.us/1999/9/16/15.text.1 Resumen de la Casa Blanca http://www.pub.whitehouse.gov/uri-res/I2R?urn:pdi:// oma.eop.gov.us/1999/9/17/2.text.1 Carta al Congreso http://www.pub.whitehouse.gov/uri-res/I2R?urn:pdi:// oma.eop.gov.us/1999/9/16/14.text.1 Anßlisis: http://www.epic.org/crypto/legislation/cesa/epic_release_9_16.html http://www.epic.org/crypto/legislation/cesa/analysis.html http://www.eff.org/91699_crypto_release.html http://www.cdt.org/crypto/admin/clintoncryptopolicies.shtml http://www.cdt.org/crypto/CESA/cdtcesaanalysis.shtml http://www.cdt.org/publications/pp_5.22.shtml/ 3. COUNTERPANE SYSTEMS: INVESTIGACI╙N DOCUMENTADA _________________________________________________ Por Bruce Schneier Traducci≤n: David G≤mez ------ "Minimizando el Ancho de Banda para el Acceso Remoto a Logs de Auditoria Criptogrßficamente protegidos" J. Kelsey y B. Schneier, Segundo Grupo Internacional de Trabajo en Recientes Avances en Detecci≤n de Intrusiones (RAID '99), Septiembre 1999, por aparecer. ------- Los logs de auditorφa a prueba de falsificaciones son una herramienta esencial para los forenses de ordenadores. Nosotros mostramos c≤mo construir uno donde la cantidad de informaci≤n intercambiada necesaria para verificar las entradas en el log de auditoria, es reducida notablemente. Haciendo que la verificaci≤n del log sea mßs eficiente, este sistema se amolda mejor a una implementaci≤n en entornos con un bajo ancho de banda. http://www.counterpane.com/auditlog2.html 4. NOTICIAS _________________________________________________ Por Bruce Schneier Traducci≤n: David G≤mez Ahora el Reino Unido pide puertas traseras para poder acceder al trßfico de Internet a traves de los ISPs (proveedores de acceso a Internet). http://www.theregister.co.uk/990910-000026.html Y lean este resumen sobre la vigilancia electr≤nica y la privacidad en el Reino Unido. http://www.zdnet.com/zdnn/stories/news/0,4586,2342025,00.html La gente de Hushmail ha publicado una respuesta a mi comentario sobre los programas de cifrado de correo basado en Web: http://www.hushmail.com/bruce_comments.htm Resumen: ellos reconocen lo dicho en mi artφculo de CriptoGrama, describen su seguridad fφsica, marcan futuras instrucciones como permitir cambios en la palabra de paso (passphrase), se±alan que ellos explican como seleccionar una buena palabra de paso en su sistema de ayuda, y argumentan que no hay manera de que se pueda confiar en ellos tanto como en PGP, puesto que despuΘs de todo son nuevos y no ha habido tiempo para la revisi≤n y el refinamiento que PGP ha tenido. Todo esto suena bien, y he comenzado a pensar que podφa estar bien despues de todo. Entonces, leo un informe de noticias que incluye el siguiente pßrrafo: "'La normas propuestas por el Presidente Clinton para relajar las restricciones sobre la exportaci≤n de criptografφa no nos afectan a nosotros', dijo el Vice-Presidente de Marketing y Co-fundador de HushMail Jon Gilliam, 'porque su proposici≤n s≤lo ata±e al cifrado de 128-bits', lo cual es (ocho veces menos potente que la utilizada por HushMail)." Gilliam indica que el cifrado de 128-bits ha sido superado. O el periodista o Mr.Gilliam no tienen la mas remota idea acerca de lo que es la criptografφa. http://www.internetnews.com/stocks/vcwatch/article/ 0,1087,archive_6561_206381,00.html Un email malicioso, diciendo contener un anexo con un contador para el a±o 2000 de Microsoft, es de hecho un virus Troyano que busca nombres de usuario, y passwords con el proposito de enviarlas a su autor. http://www.wired.com/news/print_version/ technology/story/21823.html?wnpg=all http://www.zdnet.com/zdnn/stories/news/0,4586,1017257,00.html Ha habido algunas extra±as noticias acerca de un ordenador-cuantico de mano capaz de romper el RSA casi en tiempo real, supuestamente desarrollado en el Instituto Weitzmann de Israel. Esto se parece bastante a la pelicula _Sneakers_, y hasta donde puedo decir, no hay ninguna verdad en este rumor. Hay un fragmento de noticias de verdad que ha salido de esto: el Instituto Europeo de Computaci≤n Cuantica ha sido anunciado. http://www.the-times.co.uk/news/pages/tim/ 99/09/29/timintint02001.html?999 Un buen artφculo sobre la privacidad y las relaciones negocio/consumidor: http://www.hudson.org/American_Outlook/ articles_sm99/sparkman.htm C╙mo nuestra creciente confianza en los ordenadores esta mermando nuestra privacidad. http://www.technologypost.com/internet/WEEKLY /19990920201539262.asp?Section=Main Extorsi≤n electr≤nica. Bancos Alemanes y Britßnicos estan en el punto de mira de los criminales que amenazan la seguridad de los ordenadores. http://www.theregister.co.uk/990920-000034.html Richard Smith ha recopilado mas o menos una docena de trucos para evaluar los webs que te permiten el anonimato. Ha encontrado bastantes problemas. Leed esto antes de confiar en estas webs. http://www.tiac.net/users/smiths/anon/anonprob.htm http://www.tiac.net/users/smiths/anon/test.htm La Asociaci≤n Internacional para el Contraterrorismo y los Profesionales de Seguridad (si, realmente existen) tenφan una conferencia este mes. Suena a un monton de historias de miedo, y a no mucha informaci≤n. http://www.iacsp.com/ http://www.wired.com/news/news/politics/story/22146.html En un fabuloso ejemplo de cooperaci≤n de una comunidad en la red, mas de 300 practicantes de la seguridad aislaron el comportamiento del difundido troyano RingZero de ataque por proxy, encontraron el Troyano, crearon defensas, y, como resultado, la pagina Rusa que lo estaba utilizando para reunir datos fue desconectada y muchos sitios mejoraron sus defensas contra los ataques de proxy. http://www.sans.org/newlook/resources/flashadv.htm Un articulo sobre el trafico online de propiedad intelecutal robada. Interesante area de crecimiento de crimen. http://www.techweb.com/wire/story/reuters/REU19991005S0004 Esto parece mas un rumor y una insinuaci≤n que un hecho, pero hay una reclamaci≤n de codigo malicioso a±adido dentro del proceso de reparaci≤n del a±o 2000. http://news.cnet.com/category/0-1009-200-428804.html http://dailynews.yahoo.com/h/nm/19990930/tc/yk_code_1.html http://www.zdnet.com/zdnn/stories/news/0,4586,2345508,00.html India niega cualquier incorreci≤n. http://news.cnet.com/category/0-1009-200-429387.html http://www.wired.com/news/news/politics/story/22041.html El noveno tribunal de la Corte de Apelaciones ha aceptado una nueva vista en el caso Bernstein. Este es el reglamento de Mayo de 1999 que dice que los programas de cifrado y las f≤rmulas matemßticas que les acompa±an son expresiones de ideas y no pueden ser suprimidas por el gobierno. http://www.techserver.com/noframes/story/0,2294,500040274-500065347-50010313 2-0,00.html Las instituciones financieras tienen su propia red de alerta de seguridad. El Centro de Anßlisis y Compartici≤n de Informaci≤n de Servicios Financieros (FS/ISAC) es una organizaci≤n que permitirß a las instituciones financieras seguir las tendencias, compartir informaci≤n, y obtener informes de incidentes... todo anonimamente. http://www.techserver.com/noframes/story/0,2294,500040417-500065579-50010452 9-0,00.html El gobierno de los EEUU dice: "Decid no al hacking." Esto es realmente sorprendente. http://www.thestandard.com/articles/article_print/0,1454,6711,00.html Uno de los mayores problemas con las herramientas de red de detecci≤n de intrusos y escaneadores de vulnerabilidades es que tienen diferentes maneras de llamar a las vulnerabilidades. Si utilizas dos herramientas, no hay una manera facil de comparar los resultados. Para resolver este problema, Mitre y otros han desarrollado un diccionario de acerca de 300 vulnerabilidades conocidas llamado la lista de Vulnerabilidades y Riesgos Comunes (CVE). http://www.mitre.org/news/articles_99/cve_release.shtml El gobierno da marcha atras sobre Fidnet. http://www.wired.com/news/news/politics/story/22001.html En otro esfuerzo distribuido de cracking usando fuerza bruta, un grupo de 200 personas (usando 740 ordenadores) crackearon una clave criptogrßfica de curvas elφpticas de 97-bits. Certicom indica que este esfuerzo es dos veces el esfuerzo requerido para romper una clave RSA de 512-bits, y es mas evidencia de la superioridad de la criptografφa de curvas elφpticas sobre el RSA convencional. HablarΘ acerca de esto en detalle el proximo mes. http://www.certicom.com/press/99/sept2899.htm http://www.computerworld.com/home/news.nsf/all/9909282ellip Con la popularidad del DSL, cable, y otras conexiones de Internet en el hogar a alta velocidad, mas ordenadores inseguros estan en Internet que nunca antes. Este sitio te permite ejecutar un rßpido test para ver si tu ordenador es vulnerable a ciertos ataques. Pasarlo no significa que tu ordenador sea seguro, pero fallarlo ciertamente significa que es inseguro. http://grc.com 5. NOTICIAS SOBRE SEGURIDAD EN INTERNET _________________________________________________ Por Bruce Schneier Traducci≤n: Miguel Camacho La division de seguridad en internet de Counterpane esta contratando personal, para mas detalles vea: http://www.counterpane.com/jobs.html Bruce Schneier impartira durante medio dia un tutorial sobre criptografia durante la conferencia en seguridad de ordenadores y comunicaciones (ACM) que se celebrara en Sinpagore del 1-4 de Noviembre de 1999. http://www.isi.edu/ccs99/ Bruce Schneier impartira tres seminarios en la conferencia de institutos anual sobre seguridad en los ordenadores que se celebrara del 15-17 de Noviembre de 1999 en Washington DC: Arboles de ataque: Modelando amenazas reales de ataque -- Lunes, 2:00 pm - 3:15 pm C≤mo pensar acerca de la seguridad -- Martes, 11:15 am - 12:30 pm Fallos en productos Criptograficos -- Martes, 4:00 pm - 5:15 pm http://www.gocsi.com/ Un perfil personal de Bruce Schneier aparecio en el USA Today. Aparentemente no posee un direccion URL permanente, pero puede localizarlo mediante busqueda por "Bruce Schneier" en: http://search2.usatoday.com/ Entrevista con Schneier sobre Back Orifice, aparecida en Computerworld: http://www.computerworld.com/home/print.nsf/all/990927C40E Tambien un articulo sobre los comentarios de Schneier referentes a la polemica de la llave NSA. http://www.computerworld.com/home/news.nsf/all/9909094nsakey Por ultimo, un articulo sobre Microsoft y seguridad cita a Schneier: http://www.cnn.com/TECH/computing/9909/28/ms.security.idg/index.html 6. EN LA RATONERA: AMD _________________________________________________ Por Bruce Schneier Traducci≤n: Miguel Camacho AMD posee una tecnologia denominada "Paquete Magico" que permite a travΘs de una red activar un PC apagado o en modo suspendido. En ning·n sitio se hace menci≤n alguna a su seguridad, por lo que puede estar seguro que alguien desarrollarß un conjunto de herramientas para hackers que enciendan PC apagados a travΘs de la red. Ahora, apagar su ordenador no lo hace mßs seguro; necesita tirar del enchufe de la pared. http://www.amd.com/products/npd/overview/20212.html 7. EMPRESAS PKI Y SUS ESL╙GANES _________________________________________________ Por Bruce Schneier Traducci≤n: Miguel Camacho He encontrado esto divertido. Aquφ estßn las grandes, y peque±as, compa±ias PKI y sus consignas corporativas. Fueron pagados montones de dinero para crear estas consignas y asφ impresionar apropiadamente: ABAecom: "Facilitando la banca electr≤nica y el comercio en Internet". Baltimore Technologies: "Seguridad electr≤nica global". CertCo: "En la raiz del comercio electr≤nico". Digital Signature Trust: "Creando confianza en el comercio electr≤nico". Entrust: "Traemos la confianza al negocio electr≤nico". GTE Cybertrust: "La seguridad para ser estratΘgico". Indentrus: "Confianza en lφnea". IBM/Lotus: "Localizado, Conectado, Seguro". Lockstar: "Enlazando la herencia con el futuro". Shym: "Abriendo el poder de la llave p·blica". Thawte: No disponen de eslogan, pero poseen un declaraci≤n de intenciones en verso. Valicert: "Posibilitando confidencialidad global". Verisign: "El sφmbolo de la confianza en la red". Xcert: "Creando confianza en Internet". 8. LONGITUD DE CLAVE Y SEGURIDAD _________________________________________________ Por Bruce Schneier Traducci≤n: Sergio Pozo Hidalgo, Isidre Marques Serret y Daniel Cabezas A pesar de lo que todo el mundo trata de decirle, la longitud de la llave de cifrado no tiene casi nada que ver con la seguridad. Una llave corta significa poca seguridad, pero una llave larga no significa mucha seguridad. La cerradura de la puerta principal de su casa tiene una serie de pasadores. Cada pasador tiene muchas posibles posiciones. Cuando alguien mete una llave en la cerradura, cada pasador se mueve a una posici≤n especφfica. Si las posiciones de la llave se corresponden con las que la cerradura necesita para abrirse, se abre; si no, no. Las cerraduras mßs habituales tienen cuatro pasadores, cada uno de los cuales puede estar en diez posiciones distintas. Eso quiere decir que hay 10.000 llaves distintas. Un ladr≤n con un llavero muy grande, puede probar toda llave posible, una tras otra, y eventualmente, entrar. Serφa mejor que el ladr≤n fuera paciente, porque si suponemos que tarda quince segundos en probar una llave, le llevarφa un mφnimo de 21 horas encontrar la llave correcta --y eso no incluye paradas para ir al ba±o o comer. Un dφa, un vendedor llama a su puerta, y quiere venderle una cerradura. Su cerradura tiene seis pasadores con doce posiciones cada uno. Un ladr≤n, dice, tendrß que probar diferentes llaves en un perφodo de 259 dφas sin parar antes de que pueda abrir su puerta. ┐Se siente mßs seguro con esta cerradura? Probablemente no. Ning·n ladr≤n estarφa ni tan siquiera en su entrada durante 21 horas de ninguna manera. Es mßs probable que forzara la cerradura, echara la puerta abajo, rompiera una ventana, o se escondiera en un arbusto hasta que usted paseara por la entrada. Una cerradura con mßs pasadores y mßs posiciones no harß su casa mßs segura, porque el ataque especφfico que crea mßs dificultad --probar toda llave posible-- no es aquel por el que usted estß particularmente preocupado. Tan pronto como haya pasadores suficientes como para hacer el ataque no factible, no tiene que preocuparse por Θl. Esto mismo es vßlido para las llaves de cifrado. Si son suficientemente largas, no se preocupe de ellas. Pero quΘ longitud es suficiente es mßs complicado que un simple n·mero; depende de la aplicaci≤n y de la cantidad de entropφa en las llaves. Comencemos por el principio. Una llave de cifrado es un valor secreto que modifica a un algoritmo de cifrado. Si Alicia y Bob comparten una llave, pueden usar el algoritmo para comunicarse de forma segura. Si Eve, una fisgona, no conoce la llave, no puede leer los mensajes de Alicia o Bob. Estß obligada a probar y "romper" el algoritmo; esto es, intentar averiguar la llave a partir del texto en claro. Algo obvio que podrφa hacer es probar toda llave posible, como el hipotΘtico ladr≤n del principio de este artφculo. Si la llave tiene un largo de n bits hay 2^n llaves posibles. Luego si la llave es de 40 bits, hay alrededor de un trill≤n de llaves posibles. Esto serφa imposible, por lo aburrido, para un ladr≤n; pero los ordenadores sobresalen en estas tareas tan aburridas. Un ordenador tiene que probar alrededor de la mitad de las llaves posibles como mφnimo antes de encontrar la correcta; luego uno capaz de probar un bill≤n de llaves por segundo, tardarφa 18 minutos en encontrar la llave correcta de 40-bit. El Deep Crack, la mßquina rompedora de DES, probaba 90 billones de llaves por segundo; podrφa encontrar una llave DES de 56-bit en un mφnimo de 4,5 dφas. El proyecto de b·squeda distribuida de llaves en Internet, distributed.net (que incluφa a Deep Crack), probaba 250 billones de llaves por segundo como pico. Todo esto se escala linealmente. En 1996, un grupo de cript≤grafos (incluyΘndome a mφ), investigamos las tecnologφas que se podrφan usar para construir mßquinas criptoanalφticas de fuerza bruta y recomendamos una longitud mφnima de llave de 90-bit para conseguir seguridad hasta el 2016. Triple DES tiene una llave de 112-bit, y los algoritmos mßs modernos tienen al menos una llave de 128-bit. Incluso una mßquina billones de veces mßs rßpida que Deep Crack, tardarφa 10^15 a±os en probar todas las 2^112 llaves y recuperar el texto plano. Incluso asumiendo que la ley de Moore siguiera siendo cierta para unos cuantos cientos de a±os mßs, Θsto seguirφa siendo seguro por un largo perφodo de tiempo. Entonces, ┐quΘ mßs hay por ahφ para preocuparme? ┐Por quΘ no hacemos llaves de un zill≤n de bits y estar seguros hasta el fin de los tiempos? Para responder a esto, necesito explicar la entropφa. La entropφa es una medida de la incertidumbre. Cuanto mßs incierto es algo, mßs entropφa hay en ello. Por ejemplo, si una persona tomada al azar de la poblacion general es hombre o mujer, la variable "sexo" tiene un bit de entropφa. Si una persona tomada al azar prefiere a uno de los 4 Beatles, y cada uno de ellos tiene, en principio, las mismas posibilidades, eso corresponde a 2 bits de entropφa. En cambio, el sexo de una persona en el equipo olφmpico masculino de natacion no tiene entropφa : todos son hombres. La entropφa de la preferencia entre los Beatles en una reuni≤n de un club de fans de John Lennon es que es mßs que probable que una persona tomada al azar prefiera a John. Cuanto mßs certeza hay en la variable, menor es la entropφa. Lo mismo se aplica a las claves criptogrßficas. S≤lo porque un algoritmo acepte claves de 128 bits no significa que tenga 128 bits de entropφa en la clave. O, mßs exactamente, la mejor manera de romper una implementaci≤n de un algoritmo de cifrado de 128 bits puede no ser probar cada una de las posibles claves. Asφ, la primera preocupaci≤n debe ser la calidad del algoritmo de cifrado. Todos los cßlculos arriba expuestos asumφan que el algoritmo tomaba las claves que le eran dadas y las usaba perfectamente. Si hay defectos en el algoritmo, ello reduce la entropφa en las claves. Por ejemplo, el algoritmo A5/1, usado en los telΘfonos celulares GSM europeos, tiene una clave de 64 bits, pero puede ser roto en el tiempo necesario para forzar una clave de 40 bits. Esto significa que incluso a pesar de que al algoritmo le sea dada una clave criptogrßfica con 64 bits de entropφa, Θste solo hace uso de 40 bits de entropφa en la clave. Ud. podrφa usar tambiΘn un algoritmo que efectivamente use una clave de 40 bits. Este problema es la explicaci≤n de que el proceso de elecci≤n AES (American Encryption Standard - Estßndar de Encriptaci≤n Americano) sea tan largo. El gobierno de Estados Unidos quiere reemplazar DES (Digital Encryption Standard - Estßndar de Encriptaci≤n Digital), que emplea una clave de 56 bits, con un nuevo algoritmo que acepte claves de hasta 256 bits. Hasta ahora hay 5 semifinalistas para el estßndar, pero, ┐Realmente alguno de ellos da la entropφa de 256 bits que afirma ofrecer? TambiΘn por ello productos que anuncian el uso de claves de cientos de bits son difφciles de tomar en serio: no entienden como funcionan las claves y la entropφa. La segunda preocupaci≤n es el origen de las claves. Todos los cßlculos de longitud de la clave que hice simplemente asumen que cada clave tiene una entropφa mßxima cuando se genera. En otras palabras, asumφ que cada clave es igualmente probable. Esto simplemente no es verdad. Se generan muchas claves a partir de contrase±as, en forma de palabra o frase. Un sistema que acepta contrase±as de 10 caracteres ASCII podrφa necesitar 80 bits para representarlas, pero tiene mucho menos de 80 bits de entropφa. Los caracteres ASCII con bit alto no aparecerßn en absoluto, y las contrase±as que son palabras reales (o similares a palabras reales) son mucho mßs probables que las series de caracteres al azar. He visto estimaciones de la entropφa del inglΘs estßndar de 1,3 bits por carßcter; las contrase±as probablemente tienen menos de 4 bits de entropφa por carßcter. Esto significa que una contrase±a de 6 caracteres es mßs o menos igual que una clave de 32 bits, y si quiere una clave de 128 bits va a necesitar una contrase±a de 98 caracteres en ingles. Ve, un sistema de forzado de contrase±as por fuerza bruta no va a probar cada posible clave en orden. Va a probar primero las mßs probables, y luego probarß el resto seg·n su orden de probabilidad. Probarß las contrase±as comunes como "contrase±a" y "1234," luego el diccionario inglΘs entero, luego variaciones en may·sculas y n·meros a±adidos, y asφ sucesivamente. L0phtcrack es un programa de forzado de contrase±as que hace eso; puede cotejar un archivo de 200 contrase±as con un diccionario 8 Megabytes de contrase±as populares en menos de un minuto en un Pentium Pro 200. Cotejar el alfabeto entero de 26 caracteres le cuesta 26 horas, y el alfanumΘrico de 36 caracteres le cuesta aproximadamente 250 horas. Este es el motivo por el cual es de risa que compa±φas como Microsoft presuman de cifrado de 128 bits y luego basen la clave en la contrase±a. (Esto describe casi toda la seguridad de Windows NT.) Los algoritmos que usan podrßn aceptar una clave de 128 bits, pero la entropφa de la contrase±a es mucho, mucho menor. De hecho, no importa la calidad de la criptografφa o su longitud; las contrase±as dΘbiles seguirßn destrozando el sistema. Algunos han combatido este problema exigiendo contrase±as mßs y mßs grandes, pero esto ya no es eficaz. Durante las ·ltimas dΘcadas, la ley de Moore ha hecho posible utilizar las fuerza bruta con claves de entropφa mßs y mßs grande. Al mismo tiempo hay un lφmite en la entropφa que el usuario medio de ordenador (o incluso el usuario avanzado) estß dispuesto a recordar. No se puede esperar que memorice un una serie de 32 caracteres hexadecimales al azar, pero eso es lo que tendrφa que hacer para memorizar una clave de 128 bits. Estas dos cifras se han encontrado; los programas forzadores de contrase±as ya pueden forzar ahora lo que se puede esperar razonablemente que un usuario memorice. Las contrase±as buenas son difφciles memorizar, el usuario se quejarß, pero esta dificultad precisamente es la causa por la cual son consideradas buenas. Las claves generadas al azar no son necesariamente mejores, porque el generador de n·meros al azar debe producir claves con la mßxima entropφa. Una debilidad en el generador de n·meros al azar es lo que rompi≤ el cifrado en Netscape versi≤n 1.1. Mientras que se usaba el generador de n·meros al azar para generar claves de 128 bits, su entropφa mßxima estaba alrededor de 20 bits. Asφ que el algoritmo no era mejor que si usara una clave de 20 bits. Las soluciones existen, pero requieren compromisos en el dise±o. La Biometrφa puede generar mejores contrase±as, por lo menos porque existe suficiente entropφa para hacerlo, por ejemplo, una huella digital (mi suposici≤n es que es equivalente a una clave de unos 60 bits), y ademßs porque no existe nada equivalente a una mala huella digital asφ como hay malas contrase±as. Las tarjetas inteligentes ofrecen una manera adecuada de manejar una clave de alta entropφa, pero tienen las restricciones asociadas con un dispositivo fφsico. Y para algunos sistemas de comunicaciones, los protocolos de clave p·blica pueden generar claves privadas con una alta entropφa usando ·nicamente informaci≤n p·blica. La verificaci≤n en lφnea de las contrase±as que previene los ataques de diccionario fuera de lφnea, tambiΘn funciona en algunas circunstancias. Este es un buen trato. Vemos sistemas de PKI complejos donde la clave privada esta protegida con una contrase±a. Casi todos los productos de cifrado de discos duros basan su seguridad en una clave memorizada por el usuario. Casi toda la seguridad de Windows NT se derrumba porque esta basada en contrase±as memorizadas por el usuario. Incluso PGP se cae en pedazos si el usuario elige una mala contrase±a. No importa que algoritmos usen o el tama±o de las claves; los secretos memorizados por el usuario no son seguros. * Una nota sobre los Algoritmos de Clave P·blica Este ensayo habla sobre los algoritmos simΘtricos (tanto de cifrado en bloque como no), que toman series de bits arbitrarios como claves. Los sistemas de clave p·blica que emplean claves matemßticas como el producto de dos primos grandes, son diferentes. Ya hay ataques de fuerza bruta contra los sistemas de clave p·blica, pero implican resolver problemas matemßticos como la factorizaci≤n. El grupo que acaba de factorizar una clave RSA de 512 bits dijo que el cßlculo requiri≤ aproximadamente el 2% del esfuerzo necesario para buscar una clave de 56 bits. Las estimaciones sobre la futura seguridad de las claves RSA son mucho mßs difφciles, porque tenemos que considerar los adelantos en las matemßticas de la factorizaci≤n, asφ como los adelantos en la velocidad de los ordenadores y su conexi≤n en red. Las estimaciones conservadoras indican que las claves de 1024 bits son suficientemente buenas para los pr≤ximos a±os, y las claves de 2048 bits deberφan ser bastante buenas durante aproximadamente diez a±os. Pero como nadie conoce la ôdificultadö de la factorizaci≤n, es ciertamente posible que pueda aparecer un inteligente matemßtico convertir incluso estas importantes longitudes en inseguras. Las claves RSA tienen, por supuesto, demasiada entropφa para memorizarse. Se cifran con una contrase±a cualquiera y se guardan en la unidad de disco duro, o en una dispositivo como una tarjeta inteligente. A veces incluso se dejan sin cifrar. Documento sobre la longitud de las claves: http://www.counterpane.com/keylength.html 9. COMENTARIOS DE LOS LECTORES _________________________________________________ Por Bruce Schneier Traducci≤n: Juan Cruz Ruiz de Gauna De: William Robert Night whitenight@home.com Tema: Back Orifice 2000 --------------------------------------------- Con respecto a Back Orifice (BO2K). He visto el c≤digo de un virus que alguien estß pasando a travΘs de IRC. Era algo muy sencillo, especialmente para alguien que haya vivido los dφas de los virus polim≤rficos con cifrado de 2.500 bytes... El virus era un contenedor; llevaba dentro de sφ una "carga explosiva" comprimida y cifrada del BO2K (en este caso concreto). Habφa otra parte que consistφa justo en lo necesario para bajar e instalar esta carga de forma silenciosa. Esto es bastante sencillo. La parte mßs tortuosa sobre todo esto es que la "carga explosiva" se puede modificar fßcilmente. Una de las opciones tratadas era usar alguno de los "buenos" programas de gesti≤n remota como anfitri≤n para esta carga. El inconveniente es que todos estos programas son bastante mßs grandes, y no pasan tan desapercibidos, pero la ventaja es que lograrφan esquivar casi todos (si no todos) los antivirus. Me llam≤ la atenci≤n como una sencilla diversi≤n, desde un punto de vista un tanto morboso. BO2K es "da±ino" y los antivirus lo buscan, pero el "buen" software, que es tan poderoso como el BO2K, no es buscado por ellos. (Por tan poderoso quiero decir que si puedes cargar y ejecutar programas arbitrariamente entonces puedes hacer todo lo que hace el BO, si bien quizßs no tan convenientemente). De: Dwight Arthur dwight@bestweb.net Tema: E*Trade ------------------------------------- Usted escribi≤: "La seguridad de las claves E*Trade no es tal. Se limita la clave de conexi≤n a un mßximo de 6 caracteres, y las ·nicas posibilidades son letras (se distingue entre may·sculas y min·sculas), n·meros, $ y _". A mi me gusta E*trade; yo comercio allφ. E*Trade nunca me ha pedido que me haga responsable de cualquier negocio hecho con mi clave, por tanto, mi opini≤n es que ellos arriesgan sus propios recursos (no los mφos) a travΘs de su pobre seguridad. Este es uno de los varios factores que sugieren que el modelo de negocio seguido por E*Trade es el siguiente: la futura preponderancia en la industria de los agentes de bolsa depende de la mßxima acumulaci≤n de "cuentas Internet" y recursos ahora. La buena seguridad es raramente conveniente y a menudo es un fastidio, que puede llevar a perder potenciales inversores. La potencial pΘrdida financiera de este previsible mercado de acciones puede exceder la potenciales perdidas financieras debidas a la suplantaci≤n de personalidad a travΘs de claves adivinadas o "hackeadas". Desde mi punto de vista, el ejemplo mßs asombroso de esto viene dado por el agresivo apoyo que E*Trade ofrece a la nueva ley de firma electr≤nica de California. No tengo ahora mismo el texto de dicha ley, pero si mi interpretaci≤n es correcta, si una compa±φa de California emite un fichero de sonido que dice "Si estß de acuerdo con nuestros tΘrminos y condiciones por favor emita un sonido cuando oiga el tono, en caso contrario permanezca en silencio. íAtenci≤n!, si usted emite un sonido serß equivalente a estampar su firma en un contrato <beep> y si en ese momento se graba su voz diciendo "no, no, espere" entonces la compa±φa puede llevarle ante la ley aduciendo que usted ha firmado su contrato usando su voz como firma electr≤nica. Obviamente usted podrφa enfrentarse a este presunto contrato de varias formas y probablemente ganarφa -- pero el hecho es que esto nos dice algo acerca del equilibrio que E*Trade busca entre hacer lo mßs fßcil posible el abrir una cuenta frente al tema de implantar una autenticaci≤n fuerte. De: Matt Riben matter@acm.org Tema: E*Trade....Ameritrade ----------------------------- ┐Piensa que E*Trade trata mal el asunto de las claves? Ameritrade permite s≤lo 4 caracteres: íTodos n·meros! El n·mero se asigna durante la creaci≤n de la cuenta, y la ·nica forma de cambiarlo es llamando a su n·mero 800. No quiero ni pensar con quΘ facilidad se puede enga±ar a un operador telef≤nico humano para que cambie un PIN (N·mero Identificador Personal, Personal Identification Number) que no sea el nuestro. De: Neal McBurnett nealmcb@lucent.com Tema: Microsoft -------------------------------------- > Dos documentos oficiales de Microsoft sobre seguridad. No son > extraordinarios, pero explican la polφtica de Microsoft. > http://officeupdate.microsoft.com/2000/downloadDetails/o2ksec.htm Es realmente asombroso. Microsoft no s≤lo publica un documento como un fichero .doc, con todos los riesgos de macros que ellos mismos tratan en dicho documento, sino que incluso tienen el valor de empaquetarlo en un fichero .exe, que el usuario debe ejecutar. Entonces confunden a·n mßs el tema al describir el .exe como un fichero Word, tal y como harφa el autor de un virus: "El fichero bajado, O2ksec.exe, contiene el documento oficial sobre Seguridad de Macros en Microsoft Office 2000. Este documento es un fichero .doc de Word que puede ser abierto tanto por Word 97 como por Word 2000". íIncluso los chicos de seguridad de Microsoft son incapaces de manejar correctamente el empaquetamiento y el lenguaje!. Espero que en un futuro aproveches las oportunidades de se±alar la ironφa de este tipo de ejemplos terriblemente malos. Suspiro. _____________________________________________________________________ CriptoGRAMA es la versi≤n espa±ola de Crypto-GRAM, elaborada por el equipo de traductores de Kript≤polis, con autorizaci≤n expresa de Bruce Schneier. Este ejemplar nunca hubiera sido posible sin la colaboraci≤n desinteresada de las siguientes personas: * Isidre Marques Serret * Miguel Camacho * Sergio Pozo Hidalgo * Juan Cruz Ruiz de Gauna * David G≤mez * Daniel Cabezas * Oscar Esteban _____________________________________________________________________ -- AVISO IMPORTANTE -- Kript≤polis dispone de la pertinente autorizaci≤n de Bruce Schneier para traducir, elaborar y publicar la versi≤n espa±ola de su boletφn Crypto-GRAM. La informaci≤n contenida en CriptoGRAMA s≤lo puede ser redistribuida siempre que se haga de forma completa y con expresa menci≤n de Bruce Schneier como autor de Crypto-GRAM y de Kript≤polis como responsable de CriptoGRAMA. Crypto-GRAM es un boletφn mensual gratuito dedicado a res·menes, anßlisis, comentarios e ideas sobre criptografφa y seguridad informßtica. Crypto-GRAM es elaborado por Bruce Schneier, presidente de Counterpane Systems, autor de "Applied Cryptography" y creador de los algoritmos Blowfish, Twofish y Yarrow. Schneier ha pertenecido a la direcci≤n de la International Association for Cryptologic Research, EPIC y VTW, y es asiduo escritor y conferenciante sobre criptografφa. _____________________________________________________________________ Versi≤n Web de este ejemplar: http://www.kriptopolis.com/criptograma/cg0018.html Este ejemplar se ha distribuido gratuitamente a mßs de 14.000 personas. Si desea recibir la edici≤n mensual de CriptoGrama y la edici≤n semanal del Boletφn de Kript≤polis, inscrφbase gratis en: http://www.kriptopolis.com/subs.html ⌐ Bruce Schneier ⌐ Kriptopolis (versi≤n en Espa±ol). _____________________________________________________________________