Boletín ENIGMA - nº 50
1 Marzo 2007
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_50.htm
TEMAS DE ACTUALIDAD - Algo más sobre las funciones hash
CRIPTOGRAFÍA IMPRESENTABLE - Pirateando a Nemo, tercera parte
CRIPTOGRAFÍA HISTÓRICA - Los orígenes de la máquina de rotores
LIBERTAD VIGILADA - El "caso Pollard" y los espías de Rota
Este es un boletín muy especial, por varias razones. En primer lugar, con él
hemos llegado al número cincuenta. Medio centenar de boletines, cada uno de los
cuales representa un montón de horas de esfuerzo, sueño y trabajo a tope. No me
quejo, porque nadie me obliga a hacerlo. De hecho, en el proceso he aprendido un
montón de cosas que antes no sabía, así que todos hemos ganado.
En segundo lugar, este boletín lleva algunos de mis mejores artículos hasta
ahora. No es por echarme flores, pero creo que me ha quedado redondo. En primer
lugar, actualizaremos nuestros conocimientos sobre las funciones hash, tan
importantes en criptografía. Después nos trasladaremos en el tiempo hasta casi
un siglo atrás, para descubrir cómo y dónde comenzaron a existir las máquinas de
rotores. Al conocimiento "estándar" (el que podemos encontrar en la Wikipedia,
por ejemplo) se unen datos recién conocidos, algunos de ellos en primicia.
Podréis comprobar, por ejemplo, cómo algunas patentes alemanas, holandesas y
norteamericanas se corresponden con patentes españolas. El museo Camazón se
nutre con algunas de estas patentes, que vienen directamente de la Oficina
Española de Patentes y Marcas. Los responsables de su archivo histórico tuvieron
la amabilidad de abrirme sus puertas, y el resultado es un torrente de nueva
información que iré compartiendo con vosotros poco a poco.
En tercer lugar, y casi cuando este boletín estaba por cerrarse (!cómo adoro
estos cambios de timón de última hora!) aparecen datos sobre nuevos "crackeos"
de DVDs de nueva generación (Blu-Ray y HD-DVD). Nuevamente, un hacker -en el
sentido más puro del término- templa su acero contra lo mejorcito de La
Industria, y sale victorioso. Ved aquí cómo, en una historia que no tiene pinta
de terminar. Finalmente, nuestro acostumbrado capítulo de Libertad Vigilada.
En este nuevo mes abro una nueva sección temporal: una encuesta. En efecto, ya
está bien de que yo os cuente cosas, así que ahora os toca a vosotros. He
colgado una pequeña encuesta en la página web
www.cripto.es/encuesta.htm,
donde podréis ayudarme, y mucho, a mejorar este Taller de Criptografía. Os pido
un minuto de vuestro tiempo, que a cambio servirá para que vuestro Taller esté
cada vez más al gusto de
todos.
Y lo mejor, para el final. Como sé cuál iba a ser vuestra principal petición, me
he adelantado a vosotros. Pensaba dejarlo para el próximo mes, pero si no lo
digo reviento. Señoras, señores: !El Taller de Criptografía tiene ya su propio
foro de debate! Se llama "La Cámara Negra", y lo tenemos en la dirección en
http://www.cripto.es/foro. La entrada es
libre a todos (sólo hay que registrarse con un nick). A ver si así vamos
"democratizando" el Taller, que hasta ahora soy yo el que lleva todo el peso de
la conversación. Ahora os vais a enterar.
TEMAS DE ACTUALIDAD - Algo más sobre las funciones hash
Hará un par de años, este Boletín se ocupó de ciertos ataques criptoanalíticos
relacionados con la función hash más utilizada en la actualidad ("SHA-1 y las
funciones de cumpleaños", boletín nº 31). Allí hablamos de la opinión de algunos
expertos acerca de la necesidad de organizar un concurso internacional abierto
para elegir nueva función hash, de modo análogo a como se hizo para escoger el
sucesor del DES (dicho sucesor, bautizado AES, es una función desarrollada en
Bélgica). Dicho y hecho. El NIST (National Institute of Standards and Technology)
norteamericano, siguiendo la experiencia del AES, ha preparado un plan para
escoger la nueva función hash. Será un concurso abierto, con todos los datos
sobre la mesa (en contraste al SHA-1, desarrollado en secreto por la NSA).
Será un proceso complejo. El NIST comenzó a trabajar en el tema cuando
aparecieron los primeros ataques al SHA-1 en 2005. Se han llevado a cabo dos
reuniones de trabajo (workshops). Se espera que las primeras funciones hash sean
recibidas hacia 2008, y que el nuevo estándar sea escogido a finales de 2011. Si
planean tardar cinco años, no es precisamente indolencia por su parte, sino más
bien una medida de la complejidad del tema (la elección del estándar AES llevó
más de cuatro años).
Vamos a aprovechar la oportunidad para aprender algo más sobre las funciones
hash. Básicamente, producen un "destilado", es decir, un conjunto de bits mucho
menores en número que el documento original. Son piezas básicas en los esquemas
de firma digital, ya que ésta suele consistir en cifrar la función hash. También
tienen aplicación como códigos de autenticación de mensajes, y en ocasiones se
pueden incluso transformar para realizar funciones de cifrado.
Podríamos pensar en ellas como una especie de supercompresores. Al contrario que
los algoritmos de compresión (Zip, Rar, etc), no se puede "volver atrás". Esta
es su primera propiedad. La segunda es que sea única. Es decir, que dos mensajes
distintos tengan valores de hash distintos. Esto último es matemáticamente
imposible, ya que básicamente estamos transformando un texto grande (mensaje o
documento) en uno pequeño (hash). De lo que se trata es de, en la práctica, sea
computacionalmente inviable.
Vamos a poner un ejemplo de algo parecido a la función hash: la letra del DNI.
En España, el documento nacional de identidad (DNI) lleva desde hace años una
letra. La función hash, en este caso, es sencilla. Hállese el resto de dividir
el número del DNI por 23, y tómese una letra según el siguiente esquema:
Resto: 0 1 2 3 4 5 6 7 8 9 .....
Letra: T R W A G M Y F P D X B N J Z S Q V H L C K E
Por ejemplo, el número 12.345.678 da resto 14 al dividirlo entre 23, así que le
toca la letra Z.
Como función hash es poco útil, ya que para empezar la probabilidad de que
alguien tenga mi misma letra del NIF es apreciable: un 1/23, o sea un 4.3%. Su
función como código de autenticación también queda severamente limitada, ya que
una vez conocido el procedimiento es fácil calcular una letra para un DNI dado.
Puede tener alguna ventaja marginal, como evitar que alguien se invente un DNI
falso sobre la marcha (por ejemplo, para registrarse en alguna parte, o para
colarle la multa a otro), y poco más. Pero por ahí van los tiros.
Sistematicemos un poco. Sea un mensaje, o archivo digital cualquiera, M, de
longitud arbitraria. Sea una función H que, a partir del mensaje M, produce un
valor hash h=H(M). Dicho valor será de una longitud fija (n bits). Vamos a
exigirle a dicha función las siguientes propiedades:
1) h ha de ser fácil de computar
2) Dado un valor h, ha de ser inviable hallar el mensaje M que cumpla que h=H(M)
3) Dado un valor M, ha de ser inviable hallar otro mensaje M' que cumpla que H(M)=H(M')
4) Dados dos valores M, M', ha de ser inviable que H(M)=H(M')
La propiedad 1 es fácil de entender. No es un requisito sine qua non, pero si
queremos que la función H pueda ser computada en todo tipo de situaciones, desde
cajeros automáticos hasta grandes bases de datos, no hemos de empeorar las cosas
con una función complicada de computar. Como propiedad adicional, se desea que H
sea altamente sensible a variaciones del mensaje. Es decir, que si M se modifica
siquiera en un sólo bits, el hash sea completamente diferente.
Las otras propiedades llevan la palabra "inviable" escritas. Eso significa que,
en la práctica, no podamos hacerlo en un período de tiempo razonable. En el caso
de la propiedad 2, no queremos que alguien tome el hash y consiga recomponer el
mensaje original. Las 3 y 4 intentan que, en lo posible, se pueda considerar la
función hash como única. En teoría, eso no es posible. Veamos, por ejemplo, la
propiedad 3. Un atacante podría ir probando diferentes valores de M' y hallar
uno tal que H(M)=H(M`) si el número de posibilidades fuera pequeño. Por ejemplo,
si el hash es de 10 bits, no tendría más que probar del orden del millar de
mensajes hasta dar con uno que encaje. Por eso, lo primero que hay que hacer es
poner n en un valor alto. Pero tampoco hay que pasarse: n=20.000 no nos daría
más seguridad práctica que n=10.000, y nos obligaría a complicados procesos,
violando con ello la propiedad 1. La mayoría de los valores hash actuales están
en un rango entre 128 y 256 bits.
Las propiedades 3 y 4 parecen ser iguales, pero hay una sutil (aunque
importante) diferencia. En la propiedad 3, M es un valor dado de M, es decir,
fijo; en la 4, M es un valor cualquiera. Esta diferencia es muy importante,
porque puede facilitar las cosas a un atacante. Digamos que voy a firmar un
contrato digital. Si yo firmo el documento M, el otro puede irse a su casa e
intentar encontrar otro documento M' que tenga el mismo hash; si la función hash
posee la propiedad 3, no lo conseguirá.
¿Pero y si el hash NO cumple la propiedad 4? En ese caso, el otro podría irse a
su casa, generar muchos documentos hasta hallar la pareja (M,M') que tengan el
mismo hash, traerme el documento M para la firma ... y en el futuro, sacar el
documento M' y decir que lo firmé yo porque el hash coincide. Podríamos pensar
que nos daríamos cuenta de dicha alteración. Pero téngase en cuenta que es muy
fácil producir múltiples documentos de texto con la misma apariencia. Podemos
incluir retornos de carro, espacios extra, tabulaciones, y no nos daríamos
cuenta. En este texto puede que no, pero en un documento de Word seguro que
daría el pego. Hágalo usted. Coja un documento de Word, y añádale un espacio al
final de un párrafo. ¿Se daría usted cuenta si lo viese? Fijo que no.
La propiedad 4 no resultaría relevante si nosotros controlásemos el documento M,
o si lo pudiésemos alterar (añadir un espacio en blanco sería suficiente), pero
no siempre es eso posible. Así que hacen falta ambas propiedades. La propiedad 4
suele recibir el nombre de "resistencia a las colisiones"; la 3 suele llamarse
"segunda resistencia a las colisiones", o "resistencia débil a las colisiones".
Para ilustrar la diferencia, alguien inventó el concepto de "ataque de
cumpleaños". A ver, ¿cuál es la probabilidad de que alguien cumpla años el mismo
día que yo? Descartando años bisiestos y gemelos, es de 1 entre 356. Pero ¿cuál
es la probabilidad de que dos personas cualesquiera cumplan años el mismo día?
Pues sorprendente es mucho mayor. El motivo es que ya no nos interesa encontrar
una coincidencia el día de mi cumpleaños, sino un día cualquiera.
Hace algún tiempo tuve una discusión similar con unos compañeros. Supongamos
cien personas que juegan dos veces a la lotería. ¿Cuál es la probabilidad de que
una de ellas gane ambos sorteos? Diríamos que una entre 100, y diríamos bien.
Pero ¿y para una persona cualquiera? Pues sólo una entre 100. No una entre
10.000. ¿Dudan? Bien piensen en esto: la probabilidad es el número de sucesos
favorables dividido entre el número de sucesos posibles. ¿Cuántas combinaciones
tenemos para el resultado de ambos sorteos? Son 10.000. ¿Cuántas combinaciones
favorables tenemos? Si se trata de una persona cualquiera, son 100, porque no
nos importa quién gane dos veces. Así que la probabilidad es de 100/10.000 =
1/100. Si pasase en la vida real, diríamos algo del tipo "jo, qué suerte, esto
debe estar amañado". Pero el hecho es que el ganador del primer sorteo tiene las
mismas probabilidades de ganar el segundo sorteo que los demás. Que se lo digan
a mi tío, que ya ha perdido la cuenta de las veces que le ha tocado.
Volvamos a la función hash. Si h tiene n bits, la probabilidad de conseguir una
colisión débil (violar accidentalmente la propiedad 3) es de 1 entre 2^n, así
que las funciones hash de 128 bits lo tienen fácil. Pero la probabilidad de
conseguir una colisión (violar la propiedad 4) es una entre 2^(n/2). Para una
función hash de 128 bits, eso significaría que con 2^64 mensajes M, M'
arbitrarios, ya tendríamos una colisión. Y aunque 2^64 es un número muy alto
para un PC, no lo es para ordenadores más potentes. A fin de cuentas, el
algoritmo DES fue sustituido porque tenía un espacio de claves de 56 bits. Eso
hace que el uso de funciones hash de 128 bits sea como mínimo poco recomendable.
En este apartado se incluyen funciones tan conocidas como MD4 y MD5.
SHA-1, el algoritmo desarrollado por la NSA, tiene valores hash de 180. Un
atacante que buscase colisiones tendría que atreverse con 2^80 posibilidades.
Puede que la NSA tenga algunos trucos, pero sigue siendo un montón de
operaciones. Sin embargo, los ataques criptoanalíticos de 2005 muestran que se
puede obtener una colisión con un esfuerzo computacional equivalente a unos 2^63
posibilidades. Sólo será cuestión de tiempo el que alguien siga sacándole las
cosquillas a SHA-1 y obtenga colisiones con cada vez más facilidad. Incluso en
el terreno puramente teórico, una debilidad así resulta algo preocupante para
una función hash; en el práctico, nos dará cada vez más quebraderos de cabeza.
La solución interina consiste en utilizar una versión modificada de SHA-1
conocida cono SHA-256, que produce valores hash de una longitud de 256 bits.
Incluso una colisión con mensajes M, M' arbitrarios precisaría de 2^128
intentos. Eso nos pone ya al nivel de fortaleza de algoritmos de cifrado
simétrico como IDEA. Pero no sabemos si las pequeñas modificaciones efectuadas
lo han debilitado, y en cualquier caso ignoramos hasta dónde llegarán los
ataques criptoanalíticos de mañana, o del año que viene. Esperemos que aguanten
al menos hasta que las nuevas funciones hash lleguen y hayan sido probadas.
No puedo menos que suponer cuántos dedos estarán cruzados en lugares como el
Ministerio del Interior, donde el proyecto de DNI digital está convirtiéndose ya
en realidad. Mientras tanto, el nuevo concurso internacional dará mucho que
hablar, tanto en lo que respecta a las nuevas funciones hash como a los
conocimientos teóricos sobre dichas funciones. Pase lo que pase seguro que dará
que hablar para próximos boletines.
CRIPTOGRAFÍA IMPRESENTABLE - Pirateando a Nemo, tercera parte
Cuando el mes pasado escribí sobre los nuevos "crackeos" al sistema AACS (que
protege los contenidos de los nuevos formatos de discos, los Blu-Ray y HD-DVD)
supuse que no habíamos leído el final de la historia. Lo que no me esperaba era
tener que volver a sacar a colación el tema, y menos al cierre de la edición.
Pero el teletipo manda.
Recordarán que un internauta con el nick de "muslix64" descubrió una forma de
obtener las llamadas "claves de título" (Title Keys, o TK), que permitían
descifrar una película. El método fue tan ingenioso como inesperado: las sacó de
la memoria del ordenador. Otro hacker llamado "arnezami" nos ha sorprendido aún
más este mes. Sus andanzas están accesibles en el foro doom9, pero como es tan
largo (17 páginas a fecha de hoy), vamos a dar tan sólo algunas pinceladas.
Aprovecharemos para desgranar algo más el proceso de descifrado subyacente en
AACS.
En lo que sigue, distinguiremos dos partes: el disco y el reproductor. El disco
tiene los siguiente elementos:
a) Un "Media Key Block" (MKB), que sirve entre otras cosas para "revocar" las
claves de reproductor (DK). La idea es que, si alguien consigue hurgar en las
tripas de un aparato reproductor y sacarle su DK (necesario para descifrar la
clave TK, que a su vez descifra el contenido del disco), dicho DK pueda ser
invalidado.
b) Un "Volume ID" (VUD), como el que hemos visto anteriormente.
c) Una clave cifrada (EK).
d) El contenido cifrado (llamémosle CC)
Por otro lado, el reproductor tiene una o más claves de reproductor DK. De las
TK y las DK ya hablamos en el boletín anterior. Vamos ahora a ver el esquema
completo.
PASO 1: El reproductor toma su clave DK, la combina con el MBK del disco y
obtiene la denominada "clave de medio" (Km).
PASO 2: El reproductor toma el "Volume ID" del disco, y con el algoritmo AES
(que usa Km como clave) obtiene la "clave única de volumen" (VUK)
PASO 3: Con la clave cifrada EK del reproductor y la VUK recién calculada, se
forma la "clave de título" TK.
PASO 4: Finalmente, se coge el contenido cifrado y se descifra con la clave TK.
Voilá, ya tenemos la peli en marcha.
Tal vez el esquema parezca demasiado complejo, pero las cosas tienen un motivo.
Fíjense, por ejemplo, en el paso 1. Hay dos elementos: el MBK del disco y el DK
del reproductor. La idea es que, si alguien consigue obtener el DK del
reproductor, no pueda usarlo. Para ello, se suelta un nuevo MBK de forma que el
DK comprometido no consiga calcular la clave Km. No es la panacea universal,
porque los discos de la "primera hornada" todavía tienen el MKB antiguo, pero
dejaremos esas minucias para mejor ocasión.
Sigamos adelante. Lo primero que nos dice arnezami es que ha conseguido extraer
el "Volumen ID" de la película King Kong sin más que "esnifarlo" de la memoria
del ordenador. No sólo eso, sino que se sorprendió al descubrir que es altamente
predecible, en lugar de ser aleatorio. Vean, el "Volume ID" en cuestión es: 40
00 09 18 20 06 08 41 00 20 20 20 20 20 00 00. De ellos, la ristra "09 18 20 06
08 41" parece una fecha: día 9/18/06 (es decir, 18 de Septiembre de 2006), hora
08:41. En otros casos, el Volume ID, al pasarlo de notación hexadecimal a ASCII,
nos da sencillamente el nombre de la propia película. Parece que La Industria no
está por la labor de romperse el coco, al menos a esta altura. La primera en la
frente.
La segunda sería fatal de necesidad. Fíjense que, según el paso 2, ya sólo nos
haría falta la clave de medio Km para ver cualquier peli. Por supuesto, hallar
Km no es nada fácil. Hay que tomar parte del MBK del disco y usar el algoritmo
de cifrado AES con una clave K, denominada "Clave de Procesado" (Processing Key,
o K). Esto parece el juego de las muñecas rusas, ¿verdad? En cualquier caso, sea
K, sea Km, se trata de claves de "alto nivel", de esas que pueden abrir muchas
puertas.
Arnezami se lió la manta a la cabeza, y no paró hasta que halló la clave de
medio Km para "King Kong":
07 4E 1F C8 8F B9 B7 80 A2 25 CA A2 3B C3 DB 56
Y aquí está la "Processing Key" K, que según él debería funcionar para cualquier
disco del sistema HD-DVD (y, como se comprobó posteriormente, también del
sistema Blu-Ray):
09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0
¿Cómo recuernos lo consiguió? Según cuenta él mismo, lo primero que hizo fue
empollarse las especificaciones AACS (recordemos, están en
http://www.aacsla.com/specifications/specs091/AACS_Spec_Common_0.91.pdf).
Intentó ver si Km estaba en la memoria del ordenador (de ahí sacaron las TK poco
antes, ver el boletín pasado), pero no le aparecía cuando hacía un volcado de
memoria. El motivo era que, una vez calculado el VUK (ver Paso 2), la clave de
medio Km era innecesaria, así que se borraba de la memoria. Inteligente medida.
Pero inútil, porque arnezami se limitó a usar un programita para ralentizar el
reproductor. En el momento en que aparecía a escena la clave de medio, !botón de
parada! Volcado de memoria, y !ya tenemos el premio! Asombroso.
¿Qué hará La Industria ahora? Esconder los "Volume ID" mejor? ¿Cambiar la clave
de medio (Km), o bien la "Processing Key" K? ¿Cambiar sus especificaciones
técnicas? Y sobre todo, ¿qué hará para evitar que este ataque vuelva a
repetirse? De momento, lo único que sabemos es lo que nos han contado en su nota
de prensa, que podemos resumir en "al ataque, mis abogados". Admiten que se ha
publicado en Internet una copia de la "Processing Key", pero eso no afectará a
la seguridad del sistema y la AACS reaccionará con todos los medios técnicos y
legales a su disposición.
Será interesante ver qué pasa a continuación. Como afirma Bruce Schneier, tanto
HD-DVD como Blu-ray fueron diseñados para recuperarse de ataques como éstos. Yo,
sinceramente, soy un poco más escéptico. Pero como dijo un ciego, ya veremos.
CRIPTOGRAFÍA HISTÓRICA - Los orígenes de la máquina de rotores
Resulta difícil atribuir a una sola persona la invención de la máquina de
cifrado mediante rotores. Si nos fijamos en las fechas de las patentes, el
primero fue el norteamericano Edward H. Hebern, quien solicitó una patente ya en
1917. Le siguieron Arthur Scherbius en Alemania (1918), Arvid Gerhard Damm en
Suecia (1919) y Hugo Alexander Koch en Holanda (1919). Sin embargo, uno no tiene
una idea el lunes, la dibuja el martes y la patenta el miércoles, así que hasta
cierto punto resulta injusto otorgar la primacía a uno u otro.
El tema se complica si tenemos en cuenta que incluso hoy día se van realizando
descubrimientos en el tema de la "criptoarqueología". Libros influyentes, como
Codebreakers, fueron escritos hace bastantes años y contienen algunos errores
sustanciales. En este Taller nos negamos a otorgar medallas por llegar el
primero, y en su lugar vamos a rastrillar un poco la Historia en busca de las
circunstancias que dieron lugar a tan felices descubrimientos. De hecho, los
orígenes de algunos de estos "eureka" datan de la Primera Guerra Mundial.
En primer lugar, exploremos la versión USA. Afirma Kahn que "el inventor de la
primera máquina que albergaba elprincipio de rotores" fue Edward Hugh Hebern.
Durante 1912 y 1915, añade, redactó patentes para artilugios relacionados con la
criptografía, como un curioso teclado cifrado para máquinas de escribir (dicho
aparato fue también patentado en España con fecha 2 de Junio de 1913). En 1917,
Hebern plasmó su idea de un sistema de rotores en forma de diagramas, que al año
siguiente dio paso a una máquina real. Para su desgracia, no fue hasta 1921
cuando remitió su patente, que le fue concedida en 1924 (patente número
1.510.441).
No fue ese el final de sus desdichas. Durante veinte años, Hebern intentó
sacarle rendimiento a sus inventos. La empresa que fundó (International Code
Machine Corporation) patentó e intentó vender máquinas de cifrado en varios
países (incluido España) sin éxito. Tras la Segunda Guerra Mundial demandó al
ejército norteamericano por haber usado sus ideas básicas sin autorización.
Falleció en 1952, y sus albaceas no consiguieron más que una pequeña
compensación de 30.000 dólares en 1958, y eso para evitar que se airearan
algunos secretos criptográficos en el tribunal. En palabras de Kahn, "Hebern se
mereció algo mejor; su historia, trágica, injusta y patética, no hace honor a su
país"
La conexión sueca tuvo también malos comienzos. El 11 de Octubre de 1919, Arvid
Gerhard Damm patentó en Estocolmo una máquina de cifrado mediante rotores
(patente sueca nº 52.279). David Kahn hace en su Codebreakers una semblanza de
Damm que haría las delicias de los programas de salsa rosa actuales, pero
dejaremos esas picardías para mejor ocasión. Como Hebern, fundó una empresa de
máquinas de cifrado, la Aktiegolaget Cryptograph (Criptógrafo S.A.). Pero al
contrario que él, sus máquinas de cifrado no funcionaban bien. Uno de los
inversores, un tal Boris Hagelin, se implicó en el tema y contribuyó a mejorar
los ingenios de Damm. En 1927, cuando estaban a punto de obtener un contrato del
ejército sueco, Damm falleció. ¿Y qué hizo Hagelin? Pues comprar la empresa, la
reorganizó, la sacó del país cuando Alemania invadió media Europa, la trasladó a
Estados Unidos y la convirtió en una máquina de hacer dinero.
Tras la Segunda Guerra Mundial, cuestiones legales y fiscales le impulsaron a
mudarse a Suiza. Allí fundó Crypto AG. Hagelin falleció en 1983, pero su empresa
sigue vivita y coleando (en Internet:
http://www.crypto.ch). Puede usted leer sobre la vida y milagros de Hagelin
en
http://users.telenet.be/d.rijmenants/en/hagelin.htm
Ahora vámonos con los holandeses, que ahí hay mucha tela que cortar. Si hemos de
fiarnos de la Wikipedia, la primera patente de la máquina Enigma es obra de Hugo
Koch. Incluso en nuestros días, una publicación de la NSA afirma que "Hugo Koch,
un holandés, concibió la máquina en 1919; Arthur Scherbius la produjo de forma
comercial por vez primera en 1923). Parece como si Koch hubiese inventado la
máquina y Scherbius no hubiese hecho más que comprarla y fabricarla. La verdad,
sin embargo, es más compleja, y vamos a ver si conseguimos aclararla. La
historia es algo larga, pero la acortaremos un poco. Comienza en plena Primera
Guerra Mundial, con dos actores holandeses diferentes.
En lo que sigue, me guiaré por Karl de Leeuw y su reciente artículo al repecto
("The Dutch invention of the rotor machine 1915-1923" Cryptologia, Enero 2003).
Según sus investigaciones, la máquina de rotores fue inventada en 1915 por dos
oficiales holandeses, R.P.C. Spengler y Th. van Hengel, quienes a la sazón
trabajaban para la la Armada holandesa en las entonces Indias Orientales
Holandesas. W.K. Maurits, ingeniero mecánico, preparó un prototipo funcional. Se
construyeron dos máquinas, que prestaron servicios en las Indias Occidentales
hasta el final de la Primera Guerra Mundial. No sabemos con certeza qué aspecto
tenía esta máquina. Ni la máquina ni los diagramas originales han sobrevivido,
pero de Leeuw especula con que la máquina Spengler-Hengel era bastante parecida
a la Enigma Modelo A.
Los autores llegaron a ser felicitados en 1919 por el Ministro de Marina por
"inventar una máquina de escribir para cifrado, con ruedas" Pero su país tampoco
les trató bien. Aunque el director del servicio de descifrado holandés (su
"cámara negra") estaba entusiasmado por el invento, la Armada holandesa no
parecía tener prisa. Después de año y medio de espera burocrática, los
inventores se hartaron e intentaron patentar la máquina para comercializarla por
su cuenta.
Y aquí comienza el culebrón. En septiembre de 1919, Spengler y Hengel llevaron
su prototipo a un abogado de patentes de la firma N.V. Vereenigde Octrooibureaux
(vale, la llamaremos NVVO a partir de ahora), quien les advirtió de que sin la
aquiescencia de la Armada (quien, a fin de cuentas, les pagaba), había poc que
hacer. En efecto, la Armada se negaba a soltar prenda. De repente, el 28 de
Octubre, ésta dio su permiso para proceder con la patente, y en un sorprendente
cambio de idea, afirmó que ya no le interesaba comprar la máquina Spengler-Hengel.
¿Qué pasó? No está claro, pero puede deberse a que en su lugar prefirieron
centrarse en la máquina de Hugo Alexander Koch, que había sido patentada el 7 de
Octubre de ese mismo año.
Podríamos pensar que fue un caso de casualidad y mala suerte. ¿Pero cómo llegó
Koch a inventar su máquina? No se sabe mucho al respecto. Kahn, tras
entrevistarse con su hijo, concluyó que "aparentemente, lo diseñó como
subproducto de su afición por la ingeniería ... pero no hizo ninguna máquina en
ninguna de sus formas." Por otro lado, de Leeuw nos recuerda que la patente de
Koch fue tramitada por la propia firma de abogados NVVO. En este punto, de Leeuw
especula con la posibilidad de un conflicto de intereses. NVVO, que tenía
fuertes lazos comerciales con la Armada holandesa, se encontró con la
tramitación de una patente solicitada por dos militares que se encontraban a la
greña con esa misma Armada. El propio ministro de Marina había montado en cólera
cuando supo la noticia.
¿Cómo librarse de la patata caliente? Uno de los socios del bufete, un tal
Huybrecht Verhagen, tuvo la idea: asignar la patente a otra persona, un civil
que se aviniese a ello. ¿Y por qué escoger a Koch?. Pues por dos razones: era
aficionado a la ingeniería, y también era ... !cuñado de Verhagen!
Es decir, la máquina de Spengler y Hengel llega a la firma de abogados, y éstos,
para evitar problemas con un buen cliente (la Armada holandesa), ponen la
patente a nombre de Koch, quien es cuñado de uno de los socios de la firma. Por
supuesto, luego patentan la máquina de Spengler y Hengel, pero con fecha 29 de
Noviembre. Díganme si no es digno de Falcon Crest.
El caso se desveló en 1920. Spengler y Hengel lucharon porque se les asignara la
prioridad del descubrimiento de la máquina de rotores en Holanda. La firma NVVO
puso cara de buena y afirmó que desconocía que ambas patentes eran idénticas.
Una mentira como un piano, pero Spengler y Hengel carecían de pruebas, y
perdieron. Ironías del destino, la Comisión de Apelación que juzgó el caso
estaba presidida por el mismo hombre que había sido ministro de la Armada (el
que montó en cólera, ¿recuerdan?), con lo que el veredicto deja mucho que desear
en cuanto a imparcialidad. Por desgracia, era también inapelable. Los pobres
Spengler y Hengel tuvieron que darse por vencidos. Esto ocurría el 13 de
Diciembre de 1923.
Según esta versión, por tanto, Koch no fue más que un hombre de paja, y su
máquina de cifrado no fue "suya" sino de otro. Quizá esto explica por qué nunca
hizo una máquina real, sino tan sólo una patente. Su posición como testaferro
también explica la asociación entre él y Scherbius de que hablamos al principio,
esa según la cual aparentemente Koch patentó la máquina y luego Scherbius se la
compró. Otro experto, Friedrich L. Bauer, cree que Scherbius compró las patentes
de Koch en 1927, pero fue para proteger sus propias patentes. La verdad puede
ser algo más sutil.
Verán ustedes. Tras la guerra, los alemanes intentaron sortear las limitaciones
del Tratado de Versalles transfiriendo patentes a empresas de otros países, como
Holanda. El procedimiento habitual pasaba por comprar una empresa holandesa y
controlarla "a distancia" por medio de intermediarios holandeses que
nominalmente eran los dueños pero en la práctica no pintaban nada. Y aquí entran
las dos caras de la moneda.
Cara A: en 1918, los alemanes Arthur Scherbius y E. Richard Ritter crean la
empresa Scherbius & Ritter para comercializar su máquina de cifrado. En fecha
indeterminada (pero supuestamente antes de 1923), crean la empresa "Gewerkschaft
Securitas" (GS), a la que transfieren los derechos de su patente.
Cara B: Hugo Koch patenta "su" máquina el 7 de Octubre de 1919. Aunque él
aparece como inventor, la patente está a nombre de una empresa denomimada "N. V.
Ingenieursbureau Securitas" (digamos NVIS), una empresa registrada el 4 de mayo
de 1922 y que recibió los derechos de dicha patente el 5 de mayo del mismo año.
Koch era el director de NIVS y poseía un 40% de la empresa; el resto estaba
controlado por alemanes.
Conclusión, según de Leeuw: GS era la casa matriz, y NVIS su subsidiaria
holandesa. Probablemente, GS fue ganando interés en NVIS después de 1919, no
sólo porque se dedicaban a la misma actividad (y, por tanto, constituía una
magnífica tapadera por si las estipulaciones del Tratado de Versalles acababan
con las actividades de GS en Alemania), sino porque así podrían neutralizar la
competencia que NVIS pudiera hacerles con a las patentes de Koch. David Kahn, en
"Seizing the Enigma", cree que GS pudo haber sido establecida para transferir
capital riesgo al negocio de máquinas de cifrado, no sólo en Alemania sino
también en Holanda.
En cualquier caso, el 9 de julio de 1923 GS fundó la Chiffriermaschinen AG,
conocida por ser la empresa que fabricó las famosas máquinas Enigma. Scherbius y
Ritter estaban en su consejo de administración. Ese mismo año comenzaron la
venta de su primer modelo, la Enigma A. Poco a poco fueron desapareciendo los
actores del drama. Koch falleció en 1928, un año después de haber transferido
los derechos de su patente a Scherbius; el propio Scherbius murió en 1929. Para
entonces, su empresa iba de mal en peor, y en 1934 fue disuelta. Sus activos y
patentes fueron transferidos a Chiffriermaschinen Gesellschaft Heimsoeth & Rinke,
quienes fabricaron máquinas Enigma a millares hasta la derrota de Alemania en
1945. Spengler falleció en marzo de 1952; Hengel, en enero de 1929.
Hay, con todo, un cabo algo flojo. ¿Podemos estar seguros de que había una
relación entre la holandesa N. V. Ingenieursbureau Securitas y la alemana
Gewerkschaft Securitas (o su sucesora, Chiffriermaschinen AG)? Los archivos de
las oficinas de patentes pueden tener la clave. Hay
patentes holandesas, a nombre de NVIS, prácticamente idénticas a otras patentes
cumplimentadas en Alemania por GS. O los alemanes copypasteaban a placer, o
había "buen rollo" entre ellas.
Sorprendentemente, uno de los lugares donde podemos aclarar el tema es la
Oficina Española de Patentes y Marcas. Allí se guardan tres patentes muy
interesantes. Las tres fueron entregadas, con apenas cinco días de diferencia,
por el mismo representante legal (Leocadio López y López, agente de propiedad
industrial de Madrid).
La primera es la número 89546, fechada el 19 de Mayo de 1924. Una comparación
con la patente norteamericana número 1.657.411 (http://www.pat2pdf.org/patents/pat1657411.pdf)
nos muestra que ambas son iguales. Pero con una importante diferencia: la
patente española está a nombre de Naamlooze Vennotschap Ingenieursbureau
Securitas, de Amsterdan; la norteamericana está a nombre de Arthur Scherbius, de
Chiffriermaschinen AG. De hecho, el diagrama aparece en el libro Codebreakers,
bajo el epígrafe "La 'Enigma' de Arthur Scherbius"
La segunda patente española, número 89550, está fechada al día siguiente, 20 de
Mayo de 1924, a nombre de Chiffriermaschinen AG. Se trata de una máquina tipo
Enigma, pero de lo más extraña: no tiene reflector, y solamente lleva dos
rotores.
La tercera patente, número 89611 y fechada el 24 de Mayo de 1924, está asignada
de nuevo a Naamlooze Vennotschap Ingenieursbureau Securitas. De nuevo es
idéntica a una patente norteamericana, la número 1.584.660 (http://www.pat2pdf.org/patents/pat1584660.pdf),
que por si queda alguna duda a estas alturas está a nombre de "Arthur Scherbius,
de Berlin-Wilmersdorf, Alemania, quien la transfiere a Naamlooze Vennotschap
Ingenieursbureau Securitas, de Amsterdam, Países Bajos"
Como vemos, ambas empresas (GS alemana, NVIS holandesa) estaban a partir un
piñón tanto en España como en Estados Unidos. Como curiosidad, diremos que las
tres patentes españolas fueron invalidadas el 30 de junio de 1931 por impago de
las anualidades a la Oficina de Patentes. No parece que les fuese bien en España
por aquel entonces. Cuando, en noviembre del mismo año, el Ministerio de Estado
(actual Asuntos Exteriores) se interesó por la compra de una máquina de cifrado,
tuvo que dirigirse directamente a la oficina de la Chiffriermaschinen AG en
Berlín.
!Casi lo olvidaba! Si desean echarle un vistazo a los planos que aparecen en las
patentes españolas anteriormente mencionadas, las tienen en el Taller:
http://www.cripto.es/museo/patentes.htm. Que lo disfruten.
LIBERTAD VIGILADA - El "caso Pollard" y los espías de Rota
[Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso
del autor]
Segunda parte, capítulo 6:
A finales de la década de los 90 se desató una intensa polémica en Estados
Unidos a causa del ex espía Jonathan Pollard, un analista de inteligencia de la
Marina norteamericana detenido en 1985 por entregar secretos al espionaje
israelí. Fue condenado a cadena perpetua en 1987. En octubre de 1988, el
entonces primer ministro israelí, Benjamin Netanyahu, pidió su liberación o una
revisión de la condena al presidente norteamericano, Bill Clinton, quien se
comprometió a estudiar el caso a cambio de que Netanyahu se fotografiara dando
la mano al líder palestino, Yaser Arafat, en las conversaciones celebradas en el
Centro de Conferencias de Wye Plantation, en Maryland. Clinton se retrasó en su
decisión y la diplomacia israelí hizo público su compromiso verbal, lo que
provocó un gran malestar en la comunidad norteamericana de inteligencia, cuyos
miembros se oponían radicalmente a cualquier medida de gracia para Pollard. Los
secretos que éste había vendido a los israelíes eran extraordinariamente
valiosos, según afirmaban, hasta el punto de poner en peligro la seguridad
nacional.
Clinton, sin embargo, parecía decidido a ordenar la revisión del "caso Pollard"
y, como consecuencia, agentes y analistas de alto rango hablaron con la prensa y
filtraron información muy detallada sobre operaciones de espionaje en Oriente
Próximo que Pollard desbarató al trabajar para los israelíes. Uno de los
periodistas que tuvo acceso a dicha información fue el veterano Seymour M. Hersh,
quien escribió en enero de 1999 un reportaje titulado "El Traidor" en la revista
The New Yorker. Tras su publicación, la revisión de "caso Pollard" se pospuso,
aunque la comunidad judía de Estados Unidos y el propio Gobierno de Israel
insisten en exigir su libertad con mucha perseverancia. para explicar el enorme
daño provocado por las filtraciones de Pollard, el reportaje también revelaba
varias operaciones de inteligencia que guardan relación con el espionaje de las
comunicaciones y las misiones asignadas a la base de Rota. Los datos publicados
por Seymour M. Hersch sirven también ahora para demostrar hasta qué punto está
Rota implicada en el espionaje. [1]
Desde su juventud, Jonathan Pollard quiso introducirse en el mundo del
espionaje. De origen judío, solicitó ingresar en la CIA con 25 años, pero fue
rechazado tras fracasar en la prueba del polígrafo (conocido popularmente como
el detector de mentiras), un test al que debe someterse todo el personal de la
NSA y la CIA, según relata Hersh. Volvió a intentarlo, aunque en esa ocasión a
través de la Marina de Estados Unidos, donde consiguió un puesto de analista
civil en la Oficina Operativa de Inteligencia de la NSA en Maryland. A finales
de 1983 se produjo un atentado terrorista contra los barracones de la Marina en
Beirut, de modo que se creó el Centro de Alerta Antiterrorista, un servicio de
análisis cuya misión era anticiparse a posibles atentados contra sus bases,
sobre todo en Oriente Próximo. En junio de 1984, Pollard se incorporó como
analista en este nuevo departamento gracias a sus conocimientos sobre Israel y
sus países limítrofes, pero ese mismo verano también fue reclutado por la
inteligencia israelí a cambio de una importante suma de dinero. Debido a su
posición Pollard estaba acreditado para acceder a los informes de inteligencia
clasificados como "Top Secret Umbra", el grado más alto de secreto para las
agencias de espionaje norteamericanas. Durante casi un año y medio, Pollard
trabajó para la Marina y, al mismo tiempo, sacó decenas de informes y documentos
para pasárselos a la inteligencia israelí. En noviembre de 1985 fue arrestado
por el FBI.
Según las fuentes consultadas por Seymour M. Hersh, Jonathan Pollard entregó a
sus contactos israelíes una copia completa de una enciclopedia de uso interno en
la Agencia de Seguridad Nacional donde está anotadas todas las señales
interceptadas por Estados Unidos. Se trata del "RASIN" (Radio Signal Notations),
compuesto por diez gruesos volúmenes donde se describen los detalles técnicos de
las señales captadas por la NSA en todo el mundo. Según dijo un antiguo espía de
la NSA a Hersh, el "RASIN" es "la Biblia" del espionaje de señales. Un oficial
de observación retirado que trabajó en una base europea explicó que se trata de
"un completo catálogo sobre lo que Estados Unidos está interceptando o lo que
podría interceptar. Te dice todo aquello que quieras saber acerca de una señal
en concreto: cuándo y dónde fue interceptada por primera vez, quién la usa, la
frecuencia, la longitud de onda, etc. Cuando has captado una señal y no sabes de
qué se trata, el 'RASIN' te da una descripción". Su pérdida fue especialmente
dolorosa para la Marina norteamericana, ya que Jonathan Pollard fotocopió el
ejemplar de la Oficina de Inteligencia Naval. Según un almirante retirado, "fue
a la biblioteca, encontró que teníamos una versión anticuada, pidió una
actualizada y la pasó".
Pollard reconoció ante la justicia que había entregado millares de documentos a
Israel, pero en su defensa afirmó: "No he traicionado a Estados Unidos al
pasarle información a Israel, nuestro mejor aliado. Era mi deber como judío
informar a Israel de las amenazas que le rodean." La acusación, ejercida por el
Departamento de Justicia, entregó al juez Aubrey Robinson Jr. un memorándum
secreto firmado por el entonces Secretario de Defensa, Caspar W. Weinberger,
donde revelaba que la información filtrada a Israel ponía en peligro la
seguridad nacional. El informe detallaba qué tipos de informes habían pasado a
manos de los israelíes e incluso insinuaba que parte de la información podría
haber llegado a manos soviéticas a través de Tel Aviv. Según las fuentes
consultadas por Hersh, el punto número nueve del informe firmado por Weinberger
se refería a la entrega del "RASIN".
El mismo documento también afirmaba que Pollard había vendido los informes de
inteligencia que se elaboraban diariamente en la base de Rota. En los
interrogatorios previos al juicio en su contra, el ex espía reconoció que así lo
había hecho durante el año y medio que estuvo trabajando para los israelíes.
Según las fuentes consultadas por Hersh, la base hispano-norteamericana de Rota
albergó un departamento de espionaje denominado FOSIF (Fleet Ocean Surveillance
Information Facility) durante la Guerra Fría. Entre otras, una de sus misiones
era elaborar un informe diario sobre Oriente Próximo que se enviaba a Washington
a primer hora de la mañana. Estos documentos combinaban la información
facilitada por los espías norteamericanos infiltrados en Oriente Próximo y los
datos interceptados por la NSA desde sus puestos en el Mediterráneo. En aquellas
fechas, el FOSIF de Rota ocupaba un edificio donde trabajaban más de 700
criptoanalistas y traductores, responsables de interceptar y analizar las
comunicaciones del norte de África, pero también había oficiales dedicados al
espionaje desde buques, aviones de vigilancia y submarinos.
Pollard también entregó a Israel las "listas de vigilancia" que actualizaba
diariamente la NSA. Según Seymour M. Hersh, la "National SIGINT Requirements
List" es esencialmente "una lista de tareas, enumeradas por su prioridad, que se
envía a las unidades de recolección de información de la NSA en todo el mundo".
Como podemos comprobar, este método de trabajo es el mismo que se sigue en la
red "Echelon" y, de hecho, el reportaje podría estar refiriéndose a las mismas
"listas de vigilancia". Antes de llevar a cabo cualquier operación militar o
diplomática, Estados Unidos apunta sus sensores de escucha al objetivo elegido.
Así, del análisis detallado de las "listas de vigilancia", los israelíes
pudieron sacar como conclusión cuáles serían los próximos objetivos
norteamericanos y en qué cuestiones concretas habían puesto más énfasis sus
agencias de inteligencia. Combinando la información de las listas con los
informes del FOSIF, Israel contó durante un año y medio con un arma
extraordinaria. Un oficial de inteligencia que colaboró con el Departamento de
Justicia para preparar la acusación contra Pollard explicó a Hersh que "no sólo
tuvieron en sus manos nuestras fuentes y métodos, sino que pudieron aprender
cómo pensamos o cómo atacamos un problema concreto". Los informes dieron a los
israelíes "un mapa sobre el terreno" de las estaciones de espionaje y las
fuentes utilizadas por la inteligencia norteamericana en Oriente Próximo, hasta
el punto de aprender a "pillarnos dormidos, pensando que todo está funcionando
correctamente", afirmó el citado oficial.
Así fue cómo el Ejército de Israel bombardeó las oficinas en Túnez de la
Organización para la Liberación de Palestina (OLP) el 1 de octubre de 1985,
siete semanas antes de que Pollard fuera detenido en Estados Unidos, según el
citado reportaje. Las agencias de espionaje norteamericanas no supieron nada
hasta que el ataque se hubo consumado. Gracias a los informes del FOSIF y a las
"listas de vigilancia", los israelíes sabían dónde estaba el edificio, e incluso
conocían cómo llegar hasta allí sin ser detectados por los estadounidenses.
también estaban al tanto de las señales israelíes que Estados Unidos era capaz
de interceptar y conocían a sus fuentes de información en Oriente Medio, de modo
que Israel pudo transmitir información falsa a través de esos canales y usó
comunicaciones más seguras para los datos reales de la operación. En el ataque
murieron 67 colaboradores de Yaser Arafat.
En Estados Unidos, estos y otros datos publicados en la revista The New Yorker
sirvieron para paralizar la revisión del caso Pollard, ya que la opinión pública
quedó perpleja al conocer el alto nivel de sus filtraciones, pero como hemos
mencionado, para los fines del estudio que nos ocupa son especialmente
interesantes, ya que vienen a confirmar de nuevo que Rota es una estación de
espionaje de las comunicaciones. en cuanto al FOSIF de Rota mencionado por Hersh,
al finalizar la Guerra Fría se mantuvo operativo, aunque con una sensible
reducción de personal. Muchos de sus traductores y analistas fueron asignados a
otras bases o regresaron a trabajar en la sed central de la NSA en Maryland.
Siguieron funcionando todos los sensores instalados y las redes de espionaje
humano y de las comunicaciones que facilitaban datos al FOSIF para los informes
diarios sobre Oriente Próximo, aunque se reasignaron algunas misiones y el Grupo
de Seguridad Naval quedó al mando de toda la operativa de espionaje desde la
base de Rota. A mediados de 2001, la página de Internet de Jale Construcciones,
una importante empresa constructora de la provincia de Cádiz, afirmaba haber
instalado recientemente nuevos "generadores de 250 Kw en el edificio del FOSIF",
dentro de las múltiples obras de mantenimiento que esta compañía reconoce haber
llevado a cabo en la base hispano-norteamericana. De ello se deduce que el FOSIF
podría seguir trabajando en Rota. [2]
[1]. Seymour M. Hersh, "Annals of Espionage. The Traitor. The case against
Jonathan Pollard". The New Yorker, 18 de enero de 1999. P. 26 a 33.
[2]. Información disponible en la página de Internet de Jale Construcciones.
http://www.jale.com/construccion/obvar.htm
El boletín ENIGMA es una publicación gratuita del Taller de
Criptografía, y se rige por las normas de la licencia de Creative Commons
Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia,
distribución y comunicación para fines no lucrativos, citando nombre y
referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA