criptograma nº20:(cg0020.txt):26/12/1999 << Back To criptograma nº 20
_______________________________________________________________ C R I P T O G R A M A _______________________________________________________________ N·mero 20 15 de Diciembre de 1999 ________________________________________________________________ SUMARIO: 1. La seguridad no es un producto; es un proceso 2. El algoritmo de clave p·blica de Sarah Flannery 3. Tecnologφa ECHELON 4. Counterpane: Investigaci≤n documentada 5. Noticias 6. Nuevas leyes de exportaci≤n criptogrßfica en EE.UU 7. Noticias de Counterpane Internet Security 8. En la ratonera: Egg 9. Fast Software Encryption 2000 10. Algoritmos de cifrado de telefonφa m≤vil en Europa 11. Comentarios de los lectores -- Ejemplar gratuito distribuido a mßs de 15.000 suscriptores -- ________________________________________________________________ * Versi≤n Web de este ejemplar: http://www.kriptopolis.com/criptograma/cg0020.html * Suscripci≤n gratuita: http://www.kriptopolis.com/subs.html * N·meros anteriores: http://www.kriptopolis.com/criptograma/cg.html _______________________________________________________________ 1. LA SEGURIDAD NO ES UN PRODUCTO; ES UN PROCESO ________________________________________________ Por Bruce Schneier Traducci≤n: JosΘ Manuel G≤mez En Abril de 1999 alguien descubri≤ una vulnerabilidad en MDAC (Microsoft Data Access Components) que pudiera permitir a un atacante tomar el control de un sistema remoto con WIndows NT. Esta vulnerabilidad fue publicada inicialmente en una lista de correo p·blica. Aunque el moderador de la lista mantuvo los detalles en secreto durante mßs de una semana, alg·n despierto hacker fue capaz de utilizar los detalles disponibles para divisar una forma de explotar el defecto. A continuaci≤n, un 'script' escrito en PERL fue difundido p·blicamente en Internet. Casi al mismo tiempo, Microsoft creaba un parche y un mΘtodo para evitar que posibles atacantes pudieran aprovechar esta vulnerabilidad en los sistemas de los usuarios. Microsoft public≤ tambiΘn un boletφn de seguridad sobre el tema, tal y como hicieron varios otros sitios especializados en noticias de seguridad. Pero los parches no resuelven mßgicamente los defectos de seguridad. El fin de semana en torno a la festividad de Halloween, unos intrusos atacaron e hicieron claudicar mßs de 25 sitios web basados en NT. Este tipo de cosas suceden constantemente. Otro ejemplo: Microsoft public≤ un boletφn y un parche para una vulnerabilidad en el acceso a datos de IIS (Internet Information Server) el a±o pasado. Recientemente, varios expertos han demostrado que Compaq, Dell, Compuserve, PSINet y NASDAQ-AMEX nunca se molestaron en instalar el parche y seguφan siendo vulnerables. Se informa de una vulnerabilidad y se publica un parche. Si se confφa en las noticias, ahφ se acaba la historia. Pero en la mayorφa de los casos los parches nunca se instalan. Por esta raz≤n la mayorφa de los sistemas en Internet son vulnerables a ataques ya conocidos para los que existen parches. La seguridad no es un producto; es un proceso. Es el proceso de permanecer atento a las actualizaciones que el fabricante realiza en sus productos. No s≤lo en programas para redes o productos de seguridad para redes (navegadores, cortafuegos, sistemas operativos de red, programas de servidores web...), sino en todo programa que se ejecute. Las vulnerabilidades de su procesador de textos pueden comprometer la seguridad de su red. Es el proceso de vigilar sus sistemas cuidadosamente en busca de se±ales de ataque. Su cortafuegos elabora informes de actividad. Otro tanto hacen sus servidores UNIX y NT. Y sus enrutadores y servidores de red. Aconst·mbrese a revisarlos todos los dφas. Aprenda c≤mo se refleja un ataque y c≤mo reconocerle. Ning·n producto de seguridad funciona como una varita mßgica; todos necesitan tiempo y experiencia para que funcionen de forma apropiada. Tiene que estar pendiente de ellos cada dφa. El bug de Microsoft mencionado arriba: http://www.microsoft.com/security/bulletins/ms99-025.asp http://www.microsoft.com/security/bulletins/ms99-025faq.asp En las noticias: http://www.fcw.com/pubs/fcw/1999/1101/fcw-newsfedwire-11-01-99.html Por quΘ las vulnerabilidades no se reparan: http://www.computerworld.com/home/print.nsf/all/991122CD52 2. El algoritmo de clave p·blica de Sarah Flannery __________________________________________________ Por Bruce Schneier Traducci≤n: JosΘ Manuel G≤mez En Enero de 1999, una chica irlandesa de 16 a±os llamada Sarah Flannery apareci≤ en los noticiarios internacionales anunciando un nuevo algoritmo de clave p·blica denominado Cayley-Purser, supuestamente mejor y mßs rßpido que RSA y ElGamal. El ·nico problema era que nadie conocφa el algoritmo. Bueno; pues por fin es p·blico. El documento de Flannery que describe el algoritmo Cayley-Purser ha sido publicado en Intenet por una fuente desconocida. Es un trabajo interesante, pero no es seguro. La propia Flannery publica una forma de romper el algoritmo en un apΘndice. Para mφ, esto convierte a Flannery en mucho mßs impresionante como joven cript≤loga. Como ya he dicho muchas veces, cualquiera puede inventar un nuevo criptosistema. Muy poca gente es lo bastante inteligente y capaz como para romperlo. Al romper su propio sistema, Flannery resulta a·n mßs prometedora como cript≤loga. Espero con interΘs sus pr≤ximos trabajos. El documento de Flannery: http://cryptome.org/flannery-cp.htm Las noticias de Enero: http://www.zdnet.com/zdnn/stories/news/0,4586,2189301,00.html?chkpt=zdnnsmsa http://www.wired.com/news/technology/0,1282,17330,00.html 3. Tecnologφa ECHELON _________________________________ Por Bruce Schneier Traducci≤n: Isidre Marques Serret La NSA ha estado patentando, y publicando, tecnologφa que es bßsica para el proyecto ECHELON. ECHELON es el nombre en clave de un sistema automatizado de interceptaci≤n global operado por las agencias de inteligencia de los Estados Unidos, Reino Unido, Canadß, Australia y Nueva Zelanda, liderados por la NSA (National Security Agency, Agencia Nacional de Seguridad). Seg·n los informes disponibles, es capaz de interceptar y procesar muchos tipos de transmisiones, a lo largo de todo el globo. Durante los ·ltimos meses, el Congreso de los Estados Uidos ha estado investigando ECHELON. Como parte de estas investigaciones, el ComitΘ Electo de Inteligencia de la Casa ha solicitado a la NSA sus normas de uso para los sistemas que como ECHELON puedan interceptar comunicaciones de ciudadanos americanos. Ante la sorpresa de todos, los representantes de la NSA invocaron el privilegio de la relaci≤n abogado-cliente (considerada secreto absoluto ante el jurado) y se negaron a entregar los documentos. La EPIC (Electronic Privacy Information Center) ha llevado a la NSA a juicio. He visto estimaciones de que ECHELON intercepta todos los dφas la cifra aproximada de tres mil millones de comunicaciones, incluyendo llamadas telef≤nicas, mensajes de e-mail, descargas de Internet, transmisiones por satΘlite, etc.. El sistema recoge todas estas transmisiones indiscriminadamente; luego las clasifica y resume la informaci≤n mediante programas de inteligencia artificial. Algunas fuentes han anunciado que ECHELON filtra el 90% del trßfico de Internet. ┐C≤mo lo hace? Leamos la Patente N║. 5.937.422 de los Estados Unidos: "generando automßticamente una descripci≤n del tema para el texto e investigando y ordenando el texto seg·n el tema usando la misma," asignada a la NSA. Lea dos documentos titulados "Recuperaci≤n de Texto vφa los Bosques Semßnticos," escrito por empleados de NSA. Los Bosques Semßnticos, patentados por la NSA (aunque en la patente no sea a su nombre), fueron desarrollados para recuperar informaci≤n "en el resultado de sistemas de conversi≤n automßtica de habla-a-texto (reconocimiento del habla)" y etiquetar los temas. Se describe como un programa funcional. Los investigadores probaron este programa en numerosos conjuntos de datos, mejorando el resultado de la prueba de un a±o al siguiente. Todos esto ocurri≤ en el periodo desde que la NSA solicit≤ la patente (hace mßs de dos a±os), y Θsta fue concedida (este a±o). Una de las mayores barreras tecnol≤gicas para llevar a cabo ECHELON son las herramientas de b·squeda automßtica para comunicaciones de voz. Los ordenadores necesitan "pensar" como los humanos al analizar las, a menudo imperfectas, transcripciones a ordenador de conversaciones de voz. Las patentes que la NSA ha solicitado han resuelto este problema. Primero, un ordenador asigna automßticamente una etiqueta, o descripci≤n del tema, a los datos en bruto. Este sistema es mßs sofisticado que los anteriores porque etiqueta los datos basßndose en significados, no en palabras clave. Segundo, la patente incluye un paso opcional de preprocesado que limpia mucho el texto, que la agencia parece esperar que provendrß de conversaciones. Este paso eliminarß lo que la patente llama "frases de tartamudeo." Estas frases "se da frecuentemente [sic] en el texto basado en el habla." El paso previo tambiΘn quitarß "palabras de parada obvias" como los artφculos "el, la, etc." La invenci≤n esta dise±ada para filtrar documentos en un idioma extranjero, tanto en texto como "donde el texto puede derivarse del habla y donde el texto puede estar en cualquier idioma," en palabras de la patente. La prensa entra en mßs detalle en la aplicaci≤n de esta tecnologφa. El equipo de la NSA ejecut≤ el software sobre varias conjuntos de documentos, algunos de los cuales eran transcripciones de conversaciones (conocidas como SDR), y otros documentos normales. Ejecutaron las pruebas separadamente sobre cada conjunto. Algunos de los documentos de texto analizados parecen incluir informaci≤n de Grupos de Noticias de Internet, aunque realmente no puedo confirmar si se usaron para entrenar al programa o para ilustrar resultados. La ôprecisi≤n media de 30 documentos " (sea lo que sea) en uno los conjuntos de prueba subi≤ significativamente en un a±o, del 19% en 1997 al 27% en 1998. Esto demuestra que estßn mejorando. Parece que el resultado de las pruebas de la precisi≤n media de 30 documentos en el conjunto de documentos de conversi≤n de habla-a-texto se estableci≤ entre un 20% y un 23% (vea las Tablas 5 y 6 del documento "TREC7 de Bosques Semßnticos"). (Un "documento" en esta definici≤n puede significar una pregunta sobre un tema. En otras palabras, 30 documentos pueden significar realmente 30 preguntas al banco de datos). Para mφ estß bastante claro que esta tecnologφa puede usarse para sustentar un sistema como ECHELON. Estoy sorprendido de que la NSA no haya clasificado (como secreto) este trabajo. Documentos sobre el Bosque Semßntico: http://trec.nist.gov/pubs/trec6/papers/nsa-rev.ps http://trec.nist.gov/pubs/trec7/papers/nsa-rev.pdf La patente: http://www.patents.ibm.com/details?&pn=US05937422__ Noticias sobre el tema: http://www.independent.co.uk/news/Digital/Features/spies151199.shtml http://www.independent.co.uk/news/Digital/Features/spies221199.shtml Informaci≤n general sobre ECHELON: http://www.echelonwatch.org http://www.wired.com/news/print/0,1294,32586,00.html Un artφculo excelente sobre ECHELON: http://mediafilter.org/caq/cryptogate/ Ficheros de la demanda de EPIC contra la NSA para que se presenten los documentos sobre ECHELON: http://www.epic.org/open_gov/foia/nsa_suit_12_99.html La queja de EPIC: http://www.epic.org/open_gov/FOIA/nsa_comp.pdf Un artφculo del New York Times: http://www.nytimes.com/library/tech/99/12/cyber/articles/04spy.html 4. Counterpane: Investigaci≤n documentada _________________________________________ Por Bruce Schneier Traducci≤n: JosΘ Manuel G≤mez "Diez riesgos de PKI: lo que no le han contado sobre la infraestructura de claves p·blicas." C. Ellison and B. Schneier, Computer Security Journal, vol. 16, n. 1, 2000, pp. 1-7. La infraestructura de claves p·blicas (PKI) ha sido sobreestimada como respuesta a muchos problemas de seguridad. Discutimos los problemas que PKI no resuelve y lo que a los fabricantes de PKI no les gusta mencionar. http://www.counterpane.com/pki-risks.html 5. Noticias ___________________________ Por Bruce Schneier Traducci≤n: Daniel Cabezas Hay un producto, PawSense, que dice detectar cuando los gatos estßn caminando sobre su teclado y a) pide una contrase±a, s≤lo por si es un hombre el que estß pulsßndolo, y b) emite un ruido que molesta al gato. Es un uso extravagante de la biometrφa, supongo. http://www.newscientist.com/ns/19991204/newsstory9.html http://www.bitboost.com/pawsense/ Y en el mßs mundano frente de la biometrφa, estß siendo desarrollado un sistema de seguridad que puede identificar a las personas por sus pasos. http://www.newscientist.com/ns/19991204/newsstory3.html El ensayo de Jon Carroll sobre la nueva estrategia antiterrorista del FBI es bastante divertido. "Bob, ensΘ±ale al se±or Carroll el atractivo juego de lßpiz y bolφgrafo que le estamos ofreciendo solo por una oportunidad de hablar con usted sobre terrorismo unos minutos." http://www.sfgate.com/cgi-bin/article.cgi?file=/chronicle/archive/1999 /11/15/DD43291.DTL El gobierno alemßn va a ayudar con fondos al proyecto GPG. GPG es un programa de c≤digo abierto, que es compatible con (algunas versiones de) PGP. http://www.nytimes.com/library/tech/99/11/cyber/articles/19encrypt.html http://www.gnupg.de/presse.en.html Riesgos de las cuentas de correo "an≤nimas". Alguien envi≤ una amenaza de bomba desde una cuenta llamada shadowmega@hotmail.com. La policφa contact≤ con Hotmail, y encontr≤ que se habφa accedido a la cuenta de Hotmail a un dφa y hora en particular, usando una direcci≤n IP propiedad de America Online. Usando la informaci≤n de AOL, la policφa identific≤ exactamente quiΘn estaba usando esa direcci≤n IP a esa hora y fue capaz de rastrear al autor a su apartamento en Brooklyn. http://www.zdnet.com/zdtv/cybercrime/news/story/0,3700,2324068,00.html PubliquΘ esto en comp.risks, y la gente se±al≤ que la policφa no necesit≤ contactar con Hotmail. La informaci≤n estß en la cabecera de los mensajes. Este ensayo describe un modelo de protecci≤n contra copias de hace varios a±os que tuvo ciertamente buen resultado (en parte debido a que el juego que protegφa nunca fue demasiado popular). Existe una discusi≤n sobre c≤mo funciona la desprotecci≤n de software, y algunas interesantes tentativas para adivinar lo que no les gusta a los crackers y obligarles a hacer un mont≤n de eso para craquear el juego. Esto es seguridad a travΘs de ofuscaci≤n, desde luego, pero para el autor estß muy claro que la protecci≤n contra copias es, en esencia, imposible, y todo lo que puedes hacer es desalentar a los atacantes que no estΘn suficientemente decididos. http://www.erasmatazz.com/library/JCGD_Volume_6/Copy_Protection.html No sΘ nada sobre el Pack de cifrado Windows 2000, excepto lo que he leφdo en este URL: http://www.microsoft.com/windows/professional/beta/downloads/default.asp Un interesante artφculo sobre simular ataques a Web: http://all.net/journal/ntb/simulate/simulate.html Y alguien ha confeccionado una lista de los "top ten" hacks de ordenadores de todos los tiempos: http://home.cnet.com/specialreports/0-6014-7-1420567.html?tag= st.cn.1f%20d2.tlpg.6014-7-1420567 EPIC (Electronic Privacy Information Center, Centro de Informaci≤n de Privacidad Electr≤nica), EFF (Electronic Frontier Foundation, Fundaci≤n de las Fronteras Electr≤nicas), y el ACLU han pedido a la corte federal de apelaciones que bloquee las disposiciones que dan al FBI el poder para determinar capacidades apropiadas de intercepci≤n para nuevos sistemas de comunicaci≤n. Los grupos sostienen que los niveles de vigilancia que el FBI quiere exceden lo permitido por la ley. http://www.epic.org/privacy/wiretap/calea/release_11_18_99.html http://www.washingtonpost.com/wp-srv/WPlate/1999-11/18/155l-111899-idx.html http://www.zdnet.com/zdnn/stories/news/0,4586,2397376,00.html?chkpt=zdnntop Espionaje de correo electr≤nico: la librerφa online Alibris defenderß su culpabilidad ante los cargos de haber interceptado mensajes de e-mail enviados por Amazon.com a socios empresariales. Este puede ser el primer fallo condenatorio por espionaje industrial de correo electr≤nico. http://www.computerworld.com/home/print.nsf/all/991129CF52 Seymour Hirsch escribe sobre los fracasos de la NSA en la era Internet: http://cryptome.org/nsa-hersh.htm Otro informe de la NPR sobre el mismo tema (audio): http://www.npr.org/ramfiles/atc/19991129.atc.03.ram Opiniones sobre la seguridad de UNIX y Windows NT y las diferentes filosofφas de los dos sistemas operativos: http://www.zdnet.com/zdtv/cybercrime/story/0,3700,2382021,00.html ┐Es inevitable el software con bugs? Lo es, mientras las fuerzas del mercado lo recompensen. No hay responsabilidad legal por el software con bugs, asφ que no existe incentivo econ≤mico para crear software de calidad. De hecho, hay un incentivo econ≤mico para crear el software de menor calidad posible que el mercado pueda soportar. Este artφculo del _Business Week_ trata el problema: http://www.businessweek.com/1999/99_49/b3658015.htm El compromiso del cifrado DVD afecta a la puesta en circulaci≤n de nuevos productos: http://www.eet.com/story/OEG19991202S0046 http://www.theregister.co.uk/991203-000006.html El Smart Card Security Users Group - Grupo de Usuarios de Tarjetas Inteligentes (SCSUG), que estß compuesto por Visa, AmEx, Europay, MasterCard, Mondex, JCB, y el National Information Assurance Partnership - Consorcio Nacional de Seguridad de la Informaci≤n (NIAP = NIST + NSA), han escrito un nuevo perfil de protecci≤n, y lo han publicado para recibir comentarios: http://csrc.nist.gov/cc/sc/sclist.htm PGP ha conseguido una licencia de exportaci≤n global, es decir, de alcance mundial: http://www.nai.com/asp_set/about_nai/press/releases/pr_template.asp? PR=/PressMedia/12131999.asp&Sel=647 http://www.infoworld.com/articles/en/xml/99/12/13/991213enpgp.xml Y el compromiso de dos tarjetas inteligentes para terminar: N·mero 1. Un ingeniero francΘs tuvo Θxito en la factorizaci≤n de la clave RSA de 640 bits almacenada en el chip de la tarjeta (todas las tarjetas de crΘdito "CB" han tenido un chip desde 1990). ╔ste contact≤ con la corporaci≤n (GIE) que fabrica estas tarjetas: ahora GIE le ha puesto un pleito por fraude e intrusi≤n y se arriesga a una pena de siete a±os de prisi≤n, asφ como una multa de 5 millones de francos, unos 120 millones de pesetas. GIE tambiΘn ha censurado programas de TV donde Θl habrφa sido entrevistado, y afirma que les estß enviando emails amenazadores. Mientras tanto, no estßn arreglando el problema. ┐La debilidad? La terminal de pago: otro buen ejemplo de ataque al "eslab≤n mßs dΘbil de la cadena". http://www.pele.org/english/smartcard.htm N·mero 2. Hackers alemanes han logrado comprometer la firma digital del chip Siemens, usado en pagos electr≤nicos y acceso a sistemas de control en toda Alemania. Parece ser que habφa un modo de comprobaci≤n no documentado en el chip que le permite a uno hacer un volcado de la memoria de la tarjeta. El c≤digo ya ha sido desensamblado, y algunas claves privadas han sido comprometidas. http://www.theregister.co.uk/991201-000021.html 6. Nuevas regulaciones de exportaci≤n criptogrßfica en EE.UU - Borrador _______________________________________________________________________ Por Bruce Schneier Traducci≤n: Sergio Pozo Hidalgo El 22 de Noviembre, la Casa Blanca public≤ un borrador de sus nuevas regulaciones para la exportaci≤n de criptografφa. Estas nuevas ordenanzas son parte de los cambios prometidos en Septiembre. Iban a ser publicadas el 15 de Diciembre, pero han sido retrasadas hasta el 15 de Enero. Las regulaciones hacen algo de lo prometido -permitir la exportaci≤n de productos de cifrado de 56 y 64-bit- pero son muy poca cosa en comparaci≤n con las promesas hechas en Septiembre. Principalmente, tengo tres objeciones: Una: Estas ordenanzas afectan s≤lamente a los productos destinados al usuario final. No afectan a routers de Internet, firewalls, VPNs, CAs, etc. No afectan a las suites de software y tampoco a la asistencia tΘcnica. Dos: A la vez que estas ordenanzas permiten la exportaci≤n de criptografφa de c≤digo abierto, hay algunas feas complicaciones. Puedo poner c≤digo fuente criptogrßfico en mi pßgina web, pero si una empresa extranjera quiere usarlo, estoy obligado a hacerles conseguir una aprobaci≤n de los EEUU para el producto final. Esto no s≤lo es ridφculo, sino ademßs, completamente insostenible (si bien puedes ver a la NSA babeando ante la oportunidad de poner sus manos en todos esos productos extranjeros). Tres: Estas ordenanzas son demasiado complicadas. En vez de simplemente suavizar las restricciones de exportaci≤n, esta proposici≤n se suma a la confusi≤n. Unos requisitos duros de revisi≤n e informe siempre han servido a los intereses de aquellos que intentan parar la difusi≤n de la criptografφa fuerte. Hay tantos "si", "y", "excepto" en estas ordenanzas que muchos, simplemente, no se preocuparßn. Hay suficientes ambigⁿedades para mantener ocupados a los abogados durante a±os. Este no es el simplificado y aerodinßmico proceso de exportaci≤n que nos prometieron. Hay rumores de que la Administraci≤n estß tratando estas (y otras) inquietudes en las ordenanzas finales, y que el retraso de un mes era para estar seguros de que eran tratadas. Estßn rehaciendo la definici≤n de c≤digo fuente "no comercial", intentando indicar correctamente los requisitos de adaptaci≤n (de los que reivindican que serßn fßciles de cumplir), y perfeccionar cualquier requerimiento de informes. Si esto es cierto, la versi≤n final de esto podrφa ser bastante buena. La gente en la que confφo, que estßn mßs cerca del proceso que yo, son "cautelosamente optimistas". Ya veremos. Borradores de las ordenanzas: http://www.epic.org/crypto/export_controls/draft_regs_11_99.html Nuevas informaciones: http://www.washingtonpost.com/wp-srv/WPlate/1999-11/24/105l-112499-idx.html http://www.computerworld.com/home/news.nsf/all/9911243cryptdraft http://news.cnet.com/category/0-1005-200-1463231.html http://www.zdnet.com/zdnn/stories/news/0,4586,2399788,00.html?chkpt=zdnntop http://www.wired.com/news/politics/0,1283,32732,00.html 7. Noticias de Counterpane Internet Security ____________________________________________ Por Bruce Schneier Traducci≤n: Miguel Camacho Quizas haya tenido noticias sobre algunos cambios acaecidos en Counterpane. Estan son las noticias: El pasado verano creΘ un equipo de trabajo junto a Tom Rowley para iniciar una nueva compa±ia: Counterpane Internet Security, Inc. Esta compa±ia se dirigirφa a la urgente necesidad de prestar servicios de seguridad de alto nivel en Internet. Mi lema es: "Los problemas fundamentales en seguridad de ordenadores no estßn basados en la tecnologφa; estßn basados en c≤mo se aplica la tecnologia". Hemos conseguido financiaci≤n, y ahora estamos poniendo en escena nuestra administraci≤n en equipo, tanto tΘcnica como comercial. No destacamos por el momento, pero estamos activamente dando empleo. Ver para mßs detalles: http://www.counterpane.com/jobs.html Mi compa±φa de consultorφa, Conterpane Systems, se ha convertido en la divisi≤n de investigaci≤n y laboratorio de trabajo de Counterpane Internet Security, Inc. Renombrada a Counterpane Labs, serßa la que suministre adelantos sobre investigaci≤n y recursos cruciales para la recientemente formada compa±ia. Counterpane Labs continuarß ocupada en la investigaci≤n criptogrßfica, y apoyando a Twofish como candidato para AES. El articulo de Bruce Schneier sobre el ataque en ßrbol ha sido publicado en la revista Dr. Dobb: http://www.ddj.com/articles/1999/9912/9912a/9912a.htm Vea tambien la presentaci≤n sobre el tema en: http://www.counterpane.com/attacktrees.pdf Y la discusi≤n sobre ello en Slashdot: http://slashdot.org/article.pl?sid=99/12/02/232229&mode=thread&threshold=0 8. En la ratonera: Egg ____________________________ Por Bruce Schneier Traducci≤n: Miguel Camacho Egg, firma inversora y de banca britßnica, envi≤ detalles de las tarjetas de crΘdito de sus clientes mediante e-mails sin cifrar fuera de la empresa. "Nosotros no pensßbamos que [enviar detalles sobre tarjetas de crΘdito en e-mails inseguros] fuera un problema de seguridad", afirm≤ un portavoz de Egg. "Hemos aceptado ahora, que no fue una buena actuaci≤n empresarial" http://www.theregister.co.uk/991130-000015.html 9. Fast Software Encryption 2000 ________________________________ Por Bruce Schneier Traducci≤n: Miguel Camacho Fast Software Encryption es un taller anual sobre criptografia. El primer taller fue celebrado en Cambrigde en 1993, seguido por Leuven en 1994, Cambrigde 1996, Haifa 1997, Paris 1998, y Roma 1999. El taller re·ne todos los aspectos de los tradicionales algoritmos criptogrßficos, incluyendo el dise±o y anßlisis de cifrados en bloque, cifrados en flujo y funciones hash. El sΘptimo taller Fast Software Encryption, FSE 2000, se realizarß entre el 10 y el 12 de abril del 2000, en Nueva York, en las torres Hilton. Y se realizarß conjuntamente con la tercera conferencia de Candidatos AES (mismo lugar, entre el 13 y el 14 de abril del 2000). Esperamos que la mayorφa de la gente acuda tanto al FSE como al AES. Acuda a la maravillosa experiencia de la criptografφa simΘtrica. Presencie la batalla de finalistas AES bajo una guerra de criptoanßlisis, comparaciones, e insinuaciones indirectas. Si es una empresa, por favor ay·denos patrocinando el evento. Regφstrese antes de final de a±o y ahorre dinero. Taller de cifrado acelerado bajo Software: http://www.counterpane.com/fse.html Tercera conferencia de candidatos AES: http://csrc.nist.gov/encryption/aes/round2/conf3/aes3conf.htm 10. Algoritmos de cifrado de telefonφa m≤vil en Europa ______________________________________________________ Por Bruce Schneier Traducci≤n: Juan Cruz Ruiz de Gauna Ha habido un mont≤n de informaci≤n err≤nea acerca de quΘ tipo de algoritmos de cifrado hay por ahφ, quΘ ha sido desprotegido, y si la situaci≤n en que nos encontramos es tan mala. Aquφ va un resumen de lo que realmente estß sucediendo. El GSM es el sistema de telefonφa m≤vil mßs ampliamente usado del mundo (51% del mercado compartido de todos los telΘfonos celulares, tanto anal≤gicos como digitales), con mßs de 215 millones de usuarios en AmΘrica, Asia, ┴frica y Australia. En los Estados Unidos, el GSM se emplea en las redes "Digital PCS" de gigantes de las telecomunicaciones como Pacific Bell, Bell South y OmniPoint. Hay cuatro algoritmos criptogrßficos en el estßndar GSM, aunque no todos los algoritmos se implementan necesriamente en todos los sistemas GSM. Son los siguientes: A3, Algoritmo de autenticaci≤n para evitar el clonado de telΘfonos A5/1, El mßs fuerte de los dos algoritmos de cifrado de voz A5/2, El mßs dΘbil de los dos algoritmos de cifrado de voz A8, El algoritmo de generaci≤n de clave para privacidad de voz (Recordad, estos algoritmos de cifrado de voz tan solo cifran la voz entre el telΘfono celular y la estaci≤n base. No cifran la voz dentro de la red telef≤nica. No cifran de extemo a extremo. S≤lo cifran la porci≤n de la transmisi≤n que va por el aire). Estos algoritmos fueron desarrollados en secreto y nunca fueron publicados. "Marc Briceno" (con la Asociaci≤n de Desarrollo de Tarjetas Inteligentes) ha aplicado ingenierφa inversa sobre estos algoritmos e Ian Goldberg y David Wagner, en la Universidad de Berkeley, los han criptoanalizado. La mayorφa de los proveedores GSM usan un algoritmo denominado COMP128, tanto para A3 como para A8. Este algoritmo es criptogrßficamente dΘbil y no es difφcil romperlo y clonar telΘfonos m≤viles. El ataque no precisa mßs que de 2^19 consultas al chip de la tarjeta inteligente, lo que supone aproximadamente 8 horas de transmisi≤n en el aire. Este ataque puede ser llevado simultßneamente a cabo sobre tantos telΘfonos en un rango de radio tan amplio como canales tenga la estaci≤n base con la que se lleva a cabo el delito. El grupo de Berkeley public≤ su anßlisis COMP1218 en Abril de 1998. TambiΘn demostraron que todas las implementaciones A8 que examinaron, incluyendo las pocas que no usaban COMP128, eran deliberadamente dΘbiles. El algoritmo coge una clave de 64 bits, pero diez de sus bits estßn establecidos a cero. Esto significa que las claves que aseguran los algoritmos de privacidad de voz son mßs dΘbiles de lo que indica la documentaci≤n. TambiΘn analizaron y publicaron A5/2 en Agosto de 1999. Como el mßs dΘbil de los dos algoritmos de cifrado de voz, demostr≤ ser muy dΘbil. Puede ser roto en tiempo real sin ning·n problema; el factor de trabajo es aproximadamente 2^16. Suponiendo que este algoritmo fue desarrollado con "ayuda" de la NSA, esta debilidad no es sorprendente. El grupo de Berkeley public≤ A5/1 en Mayo de 1999. El primer ataque lo realiz≤ Jovan Golic, que da al algoritmo un factor de trabajo de 2^40. Esto significa que puede ser roto casi en tiempo real usando hardware especializado. Realmente el mejor ataque lo realizaron Biryukov y Shamir. A principios de este mes mostraron que podφan encontrar la clave A5/1 en menos de un segundo con un solo PC con 128 MB de RAM y dos discos de 73 GB, analizando la salida del algoritmo A5/1 en los dos primeros minutos de conversaci≤n. Todos los proveedores GSM y los vendedores de equipamiento forman parte de la asociaci≤n del GSM. Los algoritmos fueron dise±ados y analizados por el hermΘtico grupo "SAGE" (que realmente forma parte de ETSI). No sabemos quiΘnes son ni cußl es su historial. Lo que sφ sabemos es que los anßlisis de seguridad SAGE de los cifrados estßn disponibles online en la pßgina principal de ETSI en formato PDF. LΘedlos; Es entretenido. A5/1 pretende ser un cifrado naval francΘs modificado. Esto se menciona en el documento filtrado Racal. Lo mßs interesante sobre estos algoritmos es lo increiblemente malos que son. Los dos algoritmos de cifrado de voz son imperfectos, pero no de manera obvia. Los ataques sobre A5/1 y A5/2 hacen uso de sutiles estructuras del algoritmo, y logran descifrar el trßfico de voz en tiempo real en equipamientos informßticos de gama media. Al mismo tiempo, la salida del algoritmo A8, que proporciona material clave para A5/1 y A5/2 ha sido debilitado artificialmente mediante el establecimiento de diez bits a cero. Y tambiΘn, el algoritmo COMP128 que proporciona el material clave que es eventualmente debilitado y pasado a los algoritmos dΘbiles es, en sφ mismo, dΘbil. Y recordemos que esta cifrado tan solo afecta a la porci≤n de la transmisi≤n que va por el aire. Cualquier acceso legal requerido para hace cumplir la ley no se ve afectado; ellos siempre pueden obtener una orden judicial y escuchar la estaci≤n base. El ·nico motivo para debilitar este sistema es para accesos *ilegales*. Los ·nicos pinchazos que necesitan de intercepci≤n en el aire son aquellos que carecen de autorizaci≤n judicial. La reacci≤n de la industria a esto ha sido, tal y como era de prever, la negaci≤n. Un portavoz GSM afirm≤ que es imposible interceptar las se±ales GSM fuera del aire, por lo que las roturas de cifrado son irrelevantes. A pesar del hecho de que en un tiempo se vendieron libremente equipos de interceptaci≤n GSM -ahora es ilegal-, ciertamente el *telΘfono* puede recibir se±ales fuera del aire. El costo estimado de una estaci≤n de intercepci≤n de gran calidad estß por debajo de los 10.000 d≤lares USA. Anßlisis GSM: http://www.scard.org/gsm/ http://www.jya.com/crack-a5.htm Sede WEB de la asociaci≤n GSM: http://www.gsmworld.com Nuevos informes: http://wired.lycos.com/news/politics/0,1283,32900,00.html http://www.nytimes.com/library/tech/99/12/biztech/articles/07code.html 11. Comentarios de los lectores _______________________________________________________________ Por Bruce Schneier Traducci≤n: Oscar Esteban, David G≤mez y Francisco Leal Vßzquez De: WJCarpenterm Tema: Voto electr≤nico, en respuesta a Greg Weiss "┐Son los votos electr≤nicos mas propensos a la manipulaci≤n del votante? Yo solφa coincidir contigo en esto. Pero cuando hablΘ con alguien sobre la votaci≤n a distancia esta ·ltima semana, me pareci≤ que este problema esta igualmente presente en el escenario no-virtual de hoy en dia. ┐C≤mo? Bien, los votos a distancia permiten la manipulaci≤n del votante en la privacidad de los lugares no publicos de recogida de votos. Los votos electr≤nicos no son particularmente mas subvertibles que los votos a distancia, al menos desde el punto de vista de la amenaza de manipulaci≤n. Ahora bien, con los votos a distancia, hay una protecci≤n a±adida. Uno puede aparentemente votar todavφa en persona en el lugar de votaci≤n, y que su voto tenga precedencia sobre el voto a distancia." Hmmm. Tuve la oportunidad de describir el problema de la manipulaci≤n a una persona no tΘcnica recientemente, y el paralelismo del voto a distancia fue obvio inmediatamente. Igualmente obvias fueron las diferencias crφticas. Primero, es probablemente verdad que solamente un peque±o porcentaje de votantes hacen uso del voto a distancia (podΘis pegarme, una persona ambiciosa podrφa fßcilmente averiguarlo; mi suposici≤n es un 15-20% que es bastante alto). Entonces, incluso si el sistema de voto a distancia estß completamente corrompido por la manipulaci≤n, sus efectos son limitados. Claro, los votos a distancia deciden algunas elecciones, pero esas son elecciones cerradas para comenzar con ellas. Hay un no-incentivo para usar los votos a distancia debido a que debes entregar tu voto varios dφas antes de las elecciones. Mi intuici≤n me dice que en los casos mßs comunes la gente toma su decisi≤n en el ·ltimo minuto, quizßs incluso en la cabina de votaci≤n, y que estßn subconscientemente advertidos de esto. Me parece probable ademßs que la mayorφa de la gente que realmente necesita un voto a distancia (porque estarßn fuera de la ciudad o lo que sea) se olvidarßn de votar de todas maneras. El voto electr≤nico presumiblemente se harφa mas conveniente, incluso mßs conveniente que el voto tradicional en cabinas (no estar en fila, no encontrar un lugar donde aparcar, no encontrar a alguien que le eche un ojo a tus crios por ti). Es esta comodidad lo que deberφa hacerlo mucho mßs popular que los votos a distancia han llegado a ser. Uno podrφa mirar probablemente al caso del relleno electr≤nico de devoluciones de impuestos (donde de hecho tienes que pagar una tasa) para ver como de rßpido algo asß podrφa hacer efecto. El voto electr≤nico deberφa ser incluso mßs popular. Segundo, el retraso forzado en el proceso de voto a distancia deberφa desaparecer del voto electr≤nico. El voto electr≤nico no conlleva la carga logφstica del papel de los votos a distancia, y por lo tanto podrφa hacerse exactamente en el dia de la elecci≤n. La tasa de Θxito de un esquema de manipulaci≤n estß probablemente relacionada a cußnto tiempo tendrφas que controlar a alguien para evitar que fuera a la cabina de votaci≤n. (Esto no significa que el voto electr≤nico no viniera con un retraso artificial si uno o mas de los partidos polφticos dominantes viera una ventaja en esto.) De: Dave Sill Tema: Por quΘ los ordenadores no son seguros" Con respecto a su escrito "Por quΘ los ordenadores no son seguros", creo que estß muy equivocado. De acuerdo, dise±ar y realizar sofware seguro es muy difφcil, pero no tan difφcil como lo hace parecer. Probar la seguridad es, por supuesto, inviable para cualquier sistema razonablemente complejo, pero tambiΘn lo es probar la correcci≤n. ┐Implica la imposibilidad de probar que el software hace lo correcto que nunca podremos construir software que funcione? Por supuesto que no. Estamos en medio de una crisis de calidad del software, y los problemas de seguridad no son mßs que un sφntoma. El problema es simplemente que los usuarios no ponen Θnfasis en la fiabilidad o seguridad. Los usuarios quieren que los programas hagan cosas por encima de todo, y estßn dispuestos a aceptar una amplia gama de bugs con tal de que un producto haga lo que quieren. Hasta que la fiabilidad y la seguridad sean aspectos que los usuarios exijan, los fabricantes no se tomarßn la molestia de proporcionarlas. Tenemos que levantarnos, asomarnos a la ventana, y gritar: "íEstoy loco de atar, y ya no voy a tragar!" Simplemente, tenemos que dejar de usar software mal dise±ado y construido. Vale, "prßcticamente todo el software se desarrolla empleando una metodologφa de "probar-y-arreglar" pero esta no es la ·nica metodologφa disponible. El software se puede dise±ar pensando en fiabilidad y seguridad igual que se puede dise±ar para que haga ciertas cosas. Y sφ, Windows 2000 tendrß muchos mßs bugs que cualquier otro sistema haya tenido nunca. Pero eso es debido a lo malo del dise±o y la ingenierφa de Microsoft mßs que a la tremenda complejidad del sistema. De: bartels@pixelmagic.com Tema: "Por quΘ los ordenadores no son seguros" "Casi todas las semanas la prensa informßtica anuncia otro fallo de seguridad: ┐Cußndo mejorarß la situaci≤n? ... Yo creo que nunca... La ingenierφa de seguridad es distinta a cualquier otro tipo de ingenierφa... En muchos aspectos es similar a la ingenierφa de seguridad... La ·nica forma razonable de "probar" la seguridad es realizar revisiones de seguridad. ... El "ordenador del diablo" es difφcil de probar." Creo que el verdadero problema no aparece aquφ. Yo trabajΘ como ingeniero de verificaci≤n durante dos a±os, probando software del ordenador de vuelo remoto del Boeing 777. He trabajado en el "ordenador del diablo", como lo llamas. Hacφamos de "abogados del diablo" continuamente buscando fallos en el dise±o o fallos en el c≤digo que pudieran dar lugar a un bug. Como medida de lo exhaustivo, un m≤dulo consistφa en 30 pßginas de "esquemas" que mostraban el flujo aritmΘtico y de dise±o del m≤dulo. No soy capaz de recordar el n·mero exacto de lφneas de c≤digo, pero creo recordar que eran aproximadamente 20 pßginas de c≤digo compacto. PasΘ tres meses revisando ese m≤dulo. Aquφ estß la parte que creo que faltaba. Nuestro grupo tenφa motivaci≤n por sφ mismo para hacer el trabajo. Boeing nos pagaba por hacer nuestro trabajo, claro. Y Boeing podφa ser responsable si el avi≤n se estrellaba, sin duda. Pero en el fondo de todo, creo que estßbamos motivados por una ·nica raz≤n: todos podφamos ver las consecuencias si hacφamos mal nuestro trabajo. La gente estaba poniendo sus vidas en nuestras manos. Nuestro software mantiene literalmente al avi≤n en el aire. Si no hiciΘramos nuestro trabajo, podrφan morir personas. Era una misi≤n totalmente clara. Era algo con lo que todo el personal del equipo se podφa identificar. No hay una consecuencia totalmente clara con los sistemas criptogrßficos malos. Las compa±φas que producen sistemas no tienen ninguna consecuencia clara con la que los ingenieros "en el frente" se puedan identificar. Se les paga, de cualquier modo. Nunca se les ha hecho responsables de un sistema criptogrßfico mal hecho. De: Greg Guerin Tema: Comparaci≤n de ingenierφa en seguridad Me gust≤ realmente el artφculo central del Cripto-Gram de Noviembre del 99. La analogφa con ingenierφa en seguridad fue excelente. Me dej≤ con una sensaci≤n persistente de haber leφdo recientemente algo sobre ingenierφa en seguridad, pero no podφa concretarlo. Descubrφ la respuesta mientras archivaba ediciones antiguas de la revista. Hay un artφculo titulado "Sistemas empotrados crφticos en seguridad" en la edici≤n de Octubre de 1999 de "Programaci≤n de sistemas empotrados": http://www.embedded.com/mag.shtml Desafortunadamente, este artφculo en particular no estß on-line, pero se pueden solicitar reimpresiones o ediciones antiguas. De cualquier modo, el artφculo era una visi≤n clara y concisa sobre ingenierφa en seguridad, poniendo especial Θnfasis en los sistemas empotrados. No intentarΘ resumirlo, ya que terminarφa repitiΘndo el artφculo completo. Pero listarΘ las lineas bßsicas sobre seguridad al final del artφculo: Todos los sistemas relacionados con la seguridad tienen fuertes restricciones de tiempo real. La seguridad siempre requiere cierto nivel de redundancia. Siempre que sea posible, separar y aislar los aspectos crφticos de seguridad del sistema. La seguridad es una cuesti≤n del sistema, no del software. La clave para un sistema seguro es la predecibilidad. Si te vas a equivocar, hazlo por simplicidad. Se requieren buenos hßbitos de dise±o. Los buenos hßbitos de dise±o no son suficientes. Piensa en la violaci≤n de todas tus suposiciones. Resulta extra±o darse cuenta de que todo esto se aplica por comopleto a la ingenierφa de seguridad, a pesar de las "fuertes restricciones de tiempo real". En los sistemas de seguridad, eso significa que un fallo se puede detectar lo suficientemente rßpido como para actuar sobre Θl o evitar un accidente. Un detector de fallos que se dispara ·nicamente tras ocurrir el accidente no sirve para nada. En sistemas de seguridad, no detectar una brecha a tiempo disminuye la utilidad de la detecci≤n. Los sistemas de seguridad tienen la dificultad a±adida de que no siempre se puede detectar una brecha -- normalmente los algoritmos de cifrado no pueden decir si han sido crackeados o no. De: Nicholas C. Weaver Tema: cifrado en DVD, la raz≤n para las claves m·ltiples... La raz≤n de la estructura de m·ltiples claves (clave de sesi≤n para DVD, cifrada por separado por el otro mont≤n de claves del reproductor) fue para que si, digamos, una ·nica clave se hiciera p·blica, pudieran borrarla de los futuros DVD que se produjeran, actuando esencialmente como una medida de revocaci≤n de clave limitada. Una buena idea si su propio algoritmo de cifrado no fuese increφblemente peque±o, cutre y altamente vulnerable a cualquier ataque sencillo. Ademßs, probablemente escogieron un esquema de 40-bits, simplemente para evitar cualquier posible complicaci≤n a la hora de exportarlo. No estarφa bien tener un DVD clasificado como "munici≤n", aunque sea completamente in·til, de hecho, para cifrar datos reales. Otra observaci≤n: La cifrado nunca evit≤ la piraterφa organizada y digital de los DVD, ya que s≤lo requiere la fabricaci≤n de una buena copia del DVD. S≤lo evit≤ que los piratas organizados eliminaran la zona de informaci≤n codificada. De forma similar, las multitud de claves es probablemente para la codificaci≤n de regiones. Debido a que este software era configurado a menudo (y sΘ que mi reproductor hardware lo estß) para especificar una zona con posibilidades limitadas de cambiarla, las diferentes claves representaban probablemente al reproductor actuando como una "zona" diferente. Finalmente, la ·nica raz≤n por la que se molest≤ la gente en crackear la cifrado a estas alturas es porque no habφa reproductores que funcionasen bajo Linux. Si hubiese un reproductor software DVD para Linux, la clave de cifrado probablemente no hubiera sido crackeada de manera p·blica durante meses o a±os, porque no hubiera existido un incentivo para ello. De: NBII Tema: Crackeada la cifrado del DVD Un buen artφculo. Ademßs de los links recomendados, sugerirφa que incluyeses tratados MUY BIEN escritos sobre IP Digital y Copyrights de J.P. Barlow: http://www.wired.com/wired/archive/2.03/economy.ideas.html?topic=&topic_set= A·n me queda por leer una mejor visi≤n general de los problemas inherentes a las actuales presunciones sobre IP y sobre c≤mo "funcionarß" en la economφa que viene. Apreciarßs que, en 1994, Θl "predijo" lo que es esencialmente el problema y la situaci≤n que describes. De: Roger Schlafly Tema: Curva Elφptica de la Criptografφa de Clave P·blica Yo te sugerirφa las curvas elφpticas si necesitas seguridad durante dΘcadas. El problema DL de la curva elφptica parece ser intrφnsecamente mucho mßs complejo que el problema de RSA. Los sistemas de curva elφptica proporcionan ademßs una mejor protecci≤n frente a la ley de Moore. Si se acepta el anßlisis de Lenstra-Verheul, entonces necesitas utilizar una clave de 3000-bit con RSA, y casi nadie hace eso. _____________________________________________________________________ CriptoGRAMA es la versi≤n espa±ola de Crypto-GRAM, elaborada por el equipo de traductores de Kript≤polis, con autorizaci≤n expresa de Bruce Schneier. Este ejemplar nunca hubiera sido posible sin la colaboraci≤n desinteresada de las siguientes personas: * Isidre Marques Serret * Miguel Camacho * Francisco Leal Vßzquez * Juan Cruz Ruiz de Gauna * David G≤mez * Daniel Cabezas * Oscar Esteban _____________________________________________________________________ -- AVISO IMPORTANTE -- Kript≤polis dispone de la pertinente autorizaci≤n de Bruce Schneier para traducir, elaborar y publicar la versi≤n espa±ola de su boletφn Crypto-GRAM. La informaci≤n contenida en CriptoGRAMA s≤lo puede ser redistribuida siempre que se haga de forma completa y con expresa menci≤n de Bruce Schneier como autor de Crypto-GRAM y de Kript≤polis como responsable de CriptoGRAMA. Crypto-GRAM es un boletφn mensual gratuito dedicado a res·menes, anßlisis, comentarios e ideas sobre criptografφa y seguridad informßtica. Crypto-GRAM es elaborado por Bruce Schneier, presidente de Counterpane Systems, autor de "Applied Cryptography" y creador de los algoritmos Blowfish, Twofish y Yarrow. Schneier ha pertenecido a la direcci≤n de la International Association for Cryptologic Research, EPIC y VTW, y es asiduo escritor y conferenciante sobre criptografφa. _____________________________________________________________________ Versi≤n Web de este ejemplar: http://www.kriptopolis.com/criptograma/cg0020.html Este ejemplar se ha distribuido gratuitamente a mßs de 15.000 personas. Si desea recibir la edici≤n mensual de CriptoGrama y la edici≤n semanal del Boletφn de Kript≤polis, inscrφbase gratis en: http://www.kriptopolis.com/subs.html ⌐ Bruce Schneier ⌐ Kriptopolis (versi≤n en Espa±ol). _____________________________________________________________________