criptograma nº4:(cg0004.txt):17/05/1999 << Back To criptograma nº 4

C R I P T O - G R A M A (c) Bruce Schneier (c) Kriptopolis (versi≤n en Espa±ol). http://www.kriptopolis.com/criptograma/cg.html ----------------------------------------------------- N·mero 4 15 de Agosto de 1998 ----------------------------------------------------- SUMARIO: 1. Un "crackeador" hardware para DES 2. KEA (Key Exchange Algorithm) 3. Investigaci≤n en Counterpane Systems 4. Noticias 5. BiomΘtrica: verdades y ficciones 6. Noticias de Counterpane Systems -------------------------------------------------------------- CriptoGRAMA es la versi≤n espa±ola de Crypto-GRAM, elaborada por el equipo de traductores de Kript≤polis, con autorizaci≤n expresa de Bruce Schneier. Nuevos ejemplares de CriptoGRAMA estarßn disponibles cada mes en: Cripto-GRAMA: http://www.kriptopolis.com/criptograma/cg.html Crypto-GRAM es un boletφn mensual gratuito dedicado a res·menes, anßlisis, comentarios e ideas sobre criptografφa y seguridad informßtica. Crypto-GRAM es elaborado por Bruce Schneier, presidente de Counterpane Systems, autor de "Applied Cryptography" y creador de los algoritmos Blowfish, Twofish y Yarrow. Schneier ha pertenecido a la direcci≤n de la International Association for Cryptologic Research, EPIC y VTW, y es asiduo escritor y conferenciante sobre criptografφa. Crypto-GRAM: http://www.counterpane.com/crypto-gram.html ---------------------------------------------------------------- UN "CRACKEADOR" HARDWARE PARA DES - --------------------------------- El 17 de julio la Electronic Frontier Foundation (EFF) anunci≤ la construcci≤n de un "crackeador" hardware por fuerza bruta para DES. Este dispositivo de 220.000 d≤lares puede romper una llave DES en una media de 4'5 dφas. Aquφ la noticia no es que DES sea inseguro, que los "crackeadores" de algoritmos tipo hardware se puedan construir, o que una longitud de clave de 56 bits sea demasiado corta. Todo eso ya lo sabφamos. Los cript≤grafos lo han estado diciendo durante a±os (mi libro lo decφa en 1994). Las predicciones tecnol≤gicas realizadas sobre la disminuci≤n del coste de una mßquina de este tipo hechas a finales de los 70, los 80 y principios de los 90, se han demostrdo como falsas. La noticia estß en el largo tiempo que el gobierno ha estado negando que estas mßquinas fuesen viables. Tan recientemente como el 8 de junio de 1998, Robert Litt, representante [principal associate deputy attorney general] del Departamento de Justicia, neg≤ que el FBI pudiera romper DES. "[Es una leyenda que] tengamos superordenadores que puedan romper cualquier cosa que haya por ahφ", dijo Litt. "DΘjenme que sit·e el problema en su contexto: se necesitarφan 14.000 ordenadores Pentium trabajando durante 4 meses para desencriptar un simple mensaje...No s≤lo estamos hablando de que se necesitarφa toda la potencia de cßlculo del FBI y la NSA, sino de todos los departamentos de policφa". (Ver la historia completa en http://www.wired.com/news/news/politics/story/12830.html) Mi comentario fue que el FBI era incompetente o estaba dormido, o ambas cosas. La mßquina de la EFF no es ingenierφa punta. No es criptografφa actualizada. No es tecnologφa de ·ltima generaci≤n. La mßquina usa la vieja y aburrida tecnologφa de chips, con un dise±o de hardware simple, software muy poco interesante y nada de criptografφa. No es una maravilla de la ingenierφa. Lo ·nico interesante es lo realmente sencillo que es el dise±o. Lo que es mßs, la mßquina es maravillosamente escalable. La EFF gast≤ 220.000 d≤lares en su primera mßquina. Ahora que el trabajo de dise±o estß hecho, pueden construir una segunda por unos 50.000 d≤lares. Por cada vez que se duplique el precio, se doblarß la velocidad de la mßquina (entonces una segunda mßquina de 250.000 d≤lares podrφa romper DES en menos de un dφa). Y la ley de Moore predice que la misma mßquina serß o el doble de rßpida o el doble de barata en otros 18 meses. La mßquina de EFF ha roto DES, pero igual de fßcilmente podrφa haber sido dise±ada para romper cualquier otro algoritmo de encriptaci≤n. El ataque ha sido contra la longitud de la clave, no contra el dise±o del algoritmo. Mßs a·n, un dise±o ligeramente mßs caro podrφa haber utilizado FPGAs, permitiendo asφ que el sistema trabajase contra una amplia variedad de algoritmos y sus variantes. La ·nica soluci≤n posible es utilizar un algoritmo con una llave mßs larga. DES tiene una llave fija de 56 bits. Triple-DES tiene una llave de 112 bits. No hay silicio suficiente en la galaxia ni tiempo suficiente antes de que el sol se apague para hacer un ataque de fuerza bruta contra Triple-DES. AES requiere llaves de 128, 192 y 256 bits. La EFF es un grupo que trabaja por las libertades civiles, y Θsto s≤lo ha sido un proyecto de demostraci≤n. Las agencias del gobierno como el FBI o la NSA podrφan presumiblemente invertir mucho mßs tiempo para implementar una soluci≤n mßs eficiente. Es razonable suponer que cualquier paφs con presupuesto para inteligencia ha construido este tipo de mßquina, probablemente un par de ≤rdenes de magnitud mßs rßpida. Indudablemente hay muchas, muchas mejoras que pueden hacerse al dise±o de la EFF para conseguir un ataque de fuerza bruta mßs barato y mßs rßpido. Pero el hecho de que un grupo a favor de las libertades civiles pueda utilizar tecnologφa antigua para construir algo que la administraci≤n ha negado que pudiese ser construido... Θsa es la verdadera noticia. Nota de prensa de la EFF: http://www.eff.org/descracker/ Wired News: http://www.wired.com/news/news/technology/story/13800.html Cnet http://www.news.com/News/Item/0%2C4%2C24322%2C00.html?sas.mail Historia en el New York Times: http://www.nytimes.com/library/tech/yr/mo/biztech/articles/17encrypt.htm l KEA (KEY EXCHANGE ALGORITHM) [Algoritmo de intercambio de claves] - ------------------------------------------------------------------ El mes pasado la NSA desclasific≤ Fortezza, incluyendo el cifrado simΘtrico Skipjack y el algoritmo de confluencia de llaves KEA. El mes pasado hablΘ sobre Skipjack. Este mes es el turno de KEA. Antes de la desclasificaci≤n, oφ describir a KEA como un "Diffie-Hellman con una variaci≤n". Realmente, hay una variaci≤n y media. En el Difie-Hellman normal, Alice combina la llave p·blica de Bob con su propia llave privada para crear una llave de sesi≤n. DespuΘs Bob combina su llave privada con la llave p·blica de Alice para crear la msma llave de sesi≤n. KEA hace Θsto de una forma un poco diferente. Ambos, Alice y Bob, tienen unas llaves privada y p·blica de larga duraci≤n, pero tambiΘn generan llaves privadas y p·blicas de un solo uso para una sesi≤n especφfica. Alicia combina su llave privada de larga duraci≤n con la llave p·blica de sesi≤n de Bob, y su llave privada de sesi≤n con la llave p·blica de larga duraci≤n de Bob. El beneficio de este enfoque estß en que no se crea dos veces la misma llave Diffie-Hellman. Cada sesi≤n crea dos combinaciones ·nicas y dos llaves ·nicas. (Lo malo, por supuesto, es que hay implicados el doble de cßlculos). La media variaci≤n estß en c≤mo se utilizan las dos llaves generadas por Diffie-Hellman. En lugar de usarse directamente como llaves, los dos valores de 80 bits se pasan por una funci≤n unidireccional [one-way function] (basada en Skipjack) para crear un valor ·nico de 80 bits que se convierte en la llave. Doy por supuesto que no se usan nunca matemßticas directas; hay un proceso de "embrollamiento" entre medias. Kea es un dise±o muy sencillo, asφ que no estß consiguiendo tanta atenci≤n como Skipjack. Es realmente una pena. Espero ver a KEA apareciendo en los comitΘs de normalizaci≤n debido a que la gente lo utilice en otros sistemas de intercambio de llaves. http://csrc.nist.gov/encryption/skipjack-kea.htm INVESTIGACION EN COUNTERPANE SYSTEMS - ------------------------------------ "Interacciones entre protocolos y el ataque del protocolo seleccionado" ("Protocol Interactions and the Chosen Protocol Attack") J. Kelsey, B. Schneier, and D. Wagner, Security Protocols, 5th International Workshop April 1997 Proceedings, Springer-Verlag, 1998, pp. 91--104. Varios sistemas utilizan las mismas llaves criptogrßficas para diferentes protocolos (por ejemplo, SSL y S/MIME usan el mismo certificado de llave p·blica). Este trabajo presenta un ataque a las interacciones entre protocolos. Un atacante puede crear un nuevo protocolo que es individualmente fuerte, pero que rompe otro protocolo objetivo cuando ambos funcionan utilizando la misma llave. El trabajo concluye con una discusi≤n sobre los principios de dise±o para resistir este tipo de ataque. http://www.counterpane.com/chosen_protocol.html NOTICIAS - -------- Parece que cada pocos meses tenemos el dep≤sito de llaves reempaquetado con un nuevo nombre. El ·ltimo nombre es "Private Doorbell", y la novedad estß en que las llaves estßn depositadas en los direccionadores [routers]. Aparte del nombre, no existe realmente ninguna diferencia entre Θste y otros sistemas de dep≤sito de claves: 1) Tiene que confiar la seguridad de sus comunicaciones a la fortaleza de este sistema. Si falla, sus comunicaciones dejan de ser privadas. 2) Las llaves de comunicaci≤n deben estar depositadas, para lo que no existe ning·n proyecto empresarial legitimado. 3) Para que Θsto funcione tiene que estar en marcha una infraestructura enorme y cara. Al FBI le gusta esta propuesta, por supuesto. http://www.wired.com/news/news/technology/story/13658.html http://www.zdnet.com/zdnn/stories/zdnn_smgraph_display/0,3441,336043,00 .html http://www.infoworld.com/cgi-bin/displayStory.pl?980714.wnencryption.ht m Los investigadores continuan analizando Skipjack. He visto ataques contra variantes de 28 vueltas [rounds] (el cifrado completo tiene 32 vueltas) que son mßs eficientes que el ataque de fuerza bruta. Parece que Skipjack ha sido cuidadosamente dise±ado para no ser mßs seguro que su llave de 80 bits. El mßximo responsable civil del Pentßgono cree que no hay dos personas en el mundo que tengan el "derecho divino" a comunicarse en secreto total. http://www.wired.com/news/news/technology/story/14098.html IBM estß divulgando el c≤digo fuente de PKIX. Bien por ellos. http://www.techweb.com/se/directlink.cgi?INW19980803S0013 BIOMETRICA: VERDADES Y FICCIONES - -------------------------------- La biomΘtrica es seductora: t· eres tu propia llave. Tu voz abre la puerta de casa. Tu escßner retinal te permite acceder a las oficinas de la empresa. Con tu huella dactilar accedes a tu cuenta en el ordenador. Desafortunadamente, la realidad de la biomΘtrica no es tan simple. La biomΘtrica es la forma de identificaci≤n mßs antigua. Los perros tienen ladridos distintos. Los humanos reconocen las caras de los demßs. Al telΘfono, tu voz te identifica como la persona que estß en la lφnea. En un contrato, tu firma te identifica como la persona que lo rubric≤. Tu fotografφa te identifica como la persona poseedora de un pasaporte concreto. Lo que hace que la biomΘtrica sea ·til para la mayorφa de estas aplicaciones es que puede ser almacenada en una base de datos. La voz de Alice s≤lo te sirve como identificador biomΘtrico en el telΘfono si previamente ya sabes quiΘn es; si es una extra±a, no ayuda en nada. Ocurre lo mismo con la escritura de Alice; s≤lo puedes reconocerla si ya la conoces. Para resolver este problema, los bancos almacenan tarjetas con las firmas. Alice firma en una tarjeta y se guarda en el banco (el banco necesita mantener su perφmetro de seguridad para que Θsto funcione correctamente). Cuando Alice firma un cheque, el banco compara su firma con la que tiene almacenada, para asegurarse de que el cheque es vßlido. Hay una gran cantidad de magnitudes biomΘtricas. He mencionado la escritura, la voz y el reconocimiento del rostro. TambiΘn estßn la geometrφa de las manos, huellas dactilares, escßneres retinales, ADN, patrones de escritura, geometrφa de la firma (no s≤lo el aspecto de la firma, sino tambiΘn la presi≤n del bolφgrafo, la velocidad de escritura, etc) y otras. Las tecnologφas que hay detrßs de unas son mejores que otras, y todas ellas mejorarßn. "Mejorar" significa dos cosas diferentes. Primero, significa que el sistema no identificarß incorrectamente a un impostor como Alice. El objetivo principal de la biomΘtrica es demostrar que Alice es Alice, por tanto, si un impostor puede burlar con Θxito el sistema, es que Θste no estß funcionando muy bien. A Θsto se le llama un falso positivo. Segundo, "mejorar" significa que el sistema no identificarß incorrectamente a Alice como un impostor. De nuevo, el objetivo de la biomΘtrica es demostrar que Alice es Alice, y si Alice no puede convencer al sistema de que es ella misma, entonces tampoco estß funcionando bien. A Θsto se le llama un falso negativo. En general, se puede calibrar un sistema biomΘtrico para fallar en el lado del falso positivo o del falso negativo. Las magnitudes biomΘtricas son excelentes porque son difφciles de forzar: es difφcil poner una huella digital falsa en tu dedo, o hacer que tu retina parezca ser la de otra persona. Algunas personas pueden imitar las voces de otras, y Hollywood puede hacer que las caras de unas personas se parezcan a las de otras, pero estas son posibilidades muy concretas o muy caras. Cuando ves a una persona escribiendo su firma, generalmente se sabe si es la suya o la de cualquier otro. Las magnitudes biomΘtricas son horribles porque son muy fßciles de forzar: es fßcil robar una biomΘtrica despuΘs de que se ha hecho la medici≤n. En todas las aplicaciones se±aladas anteriormente, el verificador necesita comprobar no s≤lo que la biomΘtrica es correcta, sino tambiΘn que ha sido introducida de forma correcta. Imaginemos un sistema remoto que utiliza el reconocimiento del rostro como biomΘtrica. "Para conseguir la autorizaci≤n, t≤mese una Polaroid de usted mismo y envφela por correo. Nosotros compararemos la fotografφa con la que tenemos almacenada". ┐Cußles son los posibles ataques en este caso?. Sencillo. Para hacerse pasar por Alice, se le hace una Polaroid cuando no estΘ mirando. Entonces, en alg·n momento posterior, se utiliza para burlar el sistema. Este ataque funciona porque mientras que es difφcil hacer que tu cara se parezca a la de Alice, es fßcil conseguir una fotografφa de su cara. Y puesto que el sistema no verifica que la fotografφa es de tu cara, sino que s≤lo comprueba que concuerda con la imagen almacenada de Alice, podemos burlarlo. De forma similar, podemos falsificar la biomΘtrica de una firma utilizando una fotocopiadora o un fax. Es difφcil falsificar la firma del vice-presidente en un documento en la que te dΘ un ascenso, pero es fßcil recortar su firma de otra carta, pegarla en la carta en la que te da el ascenso, fotocopiarlo todo junto y mandarlo al departamento de recursos humanos...o simplemente mandßrselo por fax. No serßn capaces de darse cuenta de que la firma no fue recortada de otro documento. La moraleja es que la biomΘtrica funciona bien s≤lo si el verificador puede comprobar dos cosas: uno, que la biomΘtrica vino de la persona al mismo tiempo que la verificaci≤n, y, dos, que la biomΘtrica concuerda con la almacenada en un fichero. Si el sistema no puede hacer Θsto, no puede funcionar. Las magnitudes biomΘtricas son identificadoras ·nicas, pero no son secretas (Repita esta frase hasta que se le grabe). Consideremos otro posible sistema biomΘtrico: la huella dactilar como autorizaci≤n remota para el acceso a una cuenta. Alice pone su huella dactilar en un lector integrado en el teclado (no se rφa, hay montones de empresas que quieren que Θsto se haga). El ordenador envφa la huella dactilar digital al servidor. El servidor verifica la huella y permite la entrada de Alice si coincide con la que tiene almacenada. Esto no funcionarß porque es demasiado sencillo robar la huella dactilar de Alice, y una vez que la tienes es fßcil enga±ar al servidor, una y otra vez. Las magnitudes biomΘtricas son identificadoras ·nicas, pero no son secretas. Esto nos lleva al segundo gran problema de la biomΘtrica: no gestiona bien los fallos. Imaginemos que Alice utiliza la huella dactilar como biomΘtica, y alguien la roba. ┐Y ahora quΘ?. Esto no es un certificado digital, donde una tercera parte de confianza puede proporcionarle otro. Es su pulgar. S≤lo tiene dos. Si alguien roba tu biomΘtrica, permanece robada durante toda la vida; no hay retorno posible a una situaci≤n segura. (Pueden surgir otros problemas: hace demasiado frφo como para que el dedo de Alice pueda registrarse en el lector, su dedo estß demasiado seco, o lo pierde en un espectacular accidente con una mßquina. Las llaves no tienen una forma de fallar tan dramßtica). Un tercer problema, mucho menor, es que las magnitudes biomΘtricas tienen que ser comunes para las diferentes funciones. Del mismo modo que no se deben usar las mismas contrase±as en dos sistemas diferentes, no se debe utilizar la misma llave de encriptaci≤n en dos aplicaciones diferentes. Si se utiliza mi huella dactilar para arrancar el coche, desproteger mis archivos mΘdicos y leer mi correo electr≤nico, entonces no es difφcil imaginarse muy malas situaciones. Las magnitudes biomΘtricas son potentes y ·tiles, pero no son llaves. Son ·tiles en situaciones donde existe una vφa de confianza entre el lector y el verificador; en estos casos, todo lo que se necesita es un identificador ·nico. No son ·tiles cuando se necesitan las caracterφsticas de una llave: secretismo, aleatoriedad y capacidad de modificarse o destruirse. Las magnitudes biomΘtricas son identificadoras ·nicas, pero no son secretas. NOTICIAS DE COUNTERPANE SYSTEMS - ------------------------------- Twofish, nuestra propuesta para el proceso de selecci≤n del Standard de Encriptaci≤n Avanzado (AES, Advanced Encryption Standard), ha sido aceptado como un candidato vßlido por el NIST. Esto significa que hemos recibido una comunicaci≤n oficial y que van a presentar Twofish al primer congreso de AES en Ventura, la pr≤xima semana. Se espera un proceso de varios a±os para seleccionar el AES. http://www.counterpane.com/twofish.html Counterpane Systems estß trabajando con varias compa±φas de tarjetas inteligentes para implementar soluciones al anßlisis diferencial de consumo de energφa y otros ataques indirectos [side-channel attacks]. El primero de una serie de trabajos te≤ricos sobre este asunto se presentarß en la conferencia ESORICS en septiembre. http://www.counterpane.com/side_channel.html Unos 70 productos estßn utilizando actualmente el algoritmo de encriptaci≤n Blowfish. Es rßpido y es gratuito. http://www.counterpane.com/products.html --------------------------------------------------------------------------------------------- Kript≤polis dispone de la pertinente autorizaci≤n de Bruce Schneier para traducir, elaborar y publicar la versi≤n espa±ola de su boletφn Crypto-GRAM. CriptoGRAMA s≤lo puede ser redistribuida de forma completa (esta nota incluida). KRIPT╙POLIS http://www.kriptopolis.com Traducci≤n: * Angel Galindo Sßnchez <agalindo@lacaja.es> -----------------------------------------------------------------------------------------------