Taller de Criptografía - Expediente 006


Los Riesgos del Cifrado mediante Recuperación de Claves, Depósito de Claves y Terceras Partes de Confianza

Archivo original: The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption

Autores:
Hal Abelson (MIT Laboratory for Computer Science/Hewlett-Packard, hal@mit.edu )
Ross Anderson (University of Cambridge, ross.anderson@cl.cam.ac.uk )
Steven M. Bellovin (AT&T Laboratories Research, smb@research.att.com
Josh Benaloh (Microsoft Research, benaloh@microsoft.com
Matt Blaze (AT&T Laboratories Research, mab@research.att.com
Whitfield Diffie (Sun Microsystems, diffie@eng.sun.com )
John Gilmore (gnu@toad.com )
Peter G. Neumann (SRI International, neumann@sri.com )
Ronald R. Rivest (MIT Laboratory for Computer Science, rivest@lcs.mit.edu )
Jeffrey I. Schiller (MIT Information Systems, jis@mit.edu )
Bruce Schneier (Counterpane Systems, schneier@counterpane.com )

Informe final - 27 Mayo 1997

 La última versión de este documento puede hallarse en la world-wide-web en http://www.crypto.com/key_study, en formato PostScript en ftp://research.att.com/dist/mab/key_study.ps y en formato de texto ASCII en ftp://research.att.com/dist/mab/key_study.txt


RESUMEN


 Se han sugerido en los últimos años una serie de requisitos de cifrado con "recuperación de claves [key recovery]", "key escrow [depósito de claves]" y "terceras partes de confianza [trusted third-party]" por parte de las agencias del gobierno que buscan llevar a cabo interceptaciones ocultas dentro del cambiante paisaje de las nuevas tecnologías. Este informe examina las propiedades fundamentales de estos reauisitos y procura delinear los riesgos técnicos, costes e implicaciones de instaurar sistemas que proporcionen al gobierno acceso a las claves de cifrado.


Contenido

Sumario ejecutivo

El grupo de trabajo

1. Trasfondo
  • 1.1 El cifrado y la Infraestructura Global de la Información
  • 1.2 "Depósito de claves": requisitos y propuestas
2. Recuperabilidad de claves: los requisitos gubernamentales frente a los del usuario final
  • 2.1 Tráfico de comunicaciones frente a datos almacenado
  • 2.2 Claves de autentificación frente claves dea confidencialidad
  • 2.3 Infraestructura local frente a control de terceras partes
  • 2.4 Infraestructura: certificación y distribución de claves frente a recuperación de claves
3. Riesgos y costes de la recuperación de claves
  • 3.1 Nuevas vulnerabilidades y riesgos
    • 3.1.1 Nuevas rutas hacia el texto llano
    • 3.1.2 Abuso interno
    • 3.1.3 Nuevos objetivos para el ataque
    • 3.1.4 Secreto hacia adelante
  • 3.2 Nuevas complejidades
    • 3.2.1 Escala
    • 3.2.2 Complejidad operativa
    • 3.2.3 Autorización para la recuperación de claves
  • 3.3 Nuevos costes
    • 3.3.1 Costes operativos
    • 3.3.2 Costes de diseño del producto
    • 3.3.3 Costes al usuario final
  • 3.4 Compromisos
    • 3.4.1 Granularidad y ámbito de la recuperación de claves
4. Conclusiones

Los autores


Sumario ejecutivo

Se han sugerido en los últimos años una serie de requisitos de cifrado con "recuperación de claves [key recovery]", "key escrow [depósito de claves]" y "terceras partes de confianza [trusted third-party]" por parte de las agencias del gobierno que buscan llevar a cabo interceptaciones ocultas dentro del cambiante paisaje de las nuevas tecnologías. Este informe examina las propiedades fundamentales de estos reauisitos y procura delinear los riesgos técnicos, costes e implicaciones de instaurar sistemas que proporcionen al gobierno acceso a las claves de cifrado.

El despliegue de las infraestructuras de cifrado, basadas en recuperación de claves, para complir las especificaciones explícitas de las autoridades policiales desembocará en sustanciosos sacrificios en seguridad e incrementará grandemente los costes al usuario final. Construir la infraestructura segura de comunicaciones informáticas necesarias para proporcionar el trasfondo tecnológico adecuado exigido por estos requisitos sería enormemente complejo y está más allá de las experiencias y competencias actuales en este campo. Incluso si tales infraestructuras pudiesen construirse, los riesgos y costes de tal ambiente operativo podría en última instancia resultar inaceptable. Además, estas infraestructuras requerirán por lo general niveles extraordinarios de confiabilidad humana.

Todos los sistemas de recuperación de claves requieren de la existencia de una clave o conjunto de claves altamente confidenciales y altamente disponibles que deben almacenarse de manera segura a lo largo de un extenso período de tiempo. Estos sistemas han de permitir el acceso rápido de las autoridades policiales competentes a la información descifrada, sin avisar a los propietarios de la clave. Estos requisitos básicos hacen difícil y caro el problema de la recuperación general de claves, así como potencialmente demasiado insegura y costosa para muchas aplicaciones y muchos usuarios.

Los intentos de imponer la adopción amplia del cifrado con recuperación de claves mediante controles a la exportación, importación, mediante regulaciones al uso doméstico o mediante estándares internacionales han de ser considerados a la luz de estos factores. El público debe considerar cuidadosamente los costes y beneficios de adoptar métodos de recuperación para el acceso gubernamental a claves antes de imponer los nuevos riesgos de seguridad y gastar las grandes cantidades de dinero necesarios (posiblemente muchos miles de millones de dólares en costes directos e indirectos) para desplegar una infraestructura global de recuperación de claves


El grupo de trabajo

Este informe arranca de un esfuerzo de colaboración para estudiar las implicaciones técnicas de las controvertidas propuestas por parte de los Estados Unidos y otros gobiernos nacionales para instalar sistemas de recuperación de claves a gran escala que proporcionen acceso de terceras partes a las claves de cifrado {Nota al pie: Este informe se generó a partir de una reunión en Sun Microsystems en Menlo Park, California, a finales de Enero de 1997, que incluyó a muchos de los autores y donde también asistieron Ken Bass, Alan Davidson, Michael Froomkin, Shabbir Safdar, David Sobel y Daniel Weitzner. Los autores agradecen a estos otros participantes por sus contribuciones, así como al Center for Democracy and Technology [Centro para la Democracia y la Tecnología] por coordinar este esfuerzo y ayudar a la confección de este informe final}. En lo posible, hemos considerado el impacto de estas políticas sin consideración a sistemas individuales de cifrado o propuestas gubernamentales particulares. En su lugar, hemos intentado mirar de forma más amplia los elementos esenciales de recuperación de claves necesarios para cumplimentar los requisitos expresos de los gobiernos (como contraste a las opciones que puedan desear los usuarios del cifrado). Este informe considera el impacto general de cumplir con los requisitos del gobierno más que los méritos de cualquier sistema particular de recuperación de claves que pueda cumplimentarlos. Nuestro análisis es independiente de si la infraestructura de claves públicas está centralizada o ampliamente diseminada.

Hemos elegido específicamente no avalar, condenar o extraer conclusiones sobre ninguna propuesta reglamentadora o legislativa específica, ni sobre ningún producto comercial. En vez de ello, es nuestro deseo que nuestros descubrimientos arrojarán más luz sobre el debate acerca de la recuperación de claves y proporcionar un marco de referencia, desde hace tiempo necesaria, sobre los costes de la recuperación de claves, en tanto que los diseñadores de la política consideran el abrazar uno de los despliegues técnicos más ambiciosos y de mayor alcance en la era de la información.

Aunque hay muchos aspectos en el debate sobre el papel adecuado del cifrado y la recuperación de claves en una sociedad libre, hemos elegido centrarnos enteramente en los asuntos técnicos asociados con este problema, en vez de en cuestiones políticas y sociales más generales. Realmente, muchos han sugerido que la misma noción de una infraestructura de claves públicas gubernamental dominante es contraria a los principios básicos de libertad y privacidad en una democracia, y que eso por sí sólo es razón suficiente para evitar instalar tales sistemas. La naturaleza técnica de nuestro análisis no debe ser interpretado como un aval a los méritos sociales de la recuperación gubernamental de claves; de hecho, animamos al debate público de esta cuestión.


1. Trasfondo

1.1 El cifrado y la Infraestructura Global de la Información

La Infraestructura Global de la Información promete revolucionar el comercio electrónico, revigorizar el gobierno y proporcionar un acceso nuevo y abierto a la sociedad de la información. Sin embargo, esta promesa no puede alcanzarse sin seguridad y privacidad de la información. Sin una infraestructura segura y de confianza, las empresas y los individuos serán cada vez más reacios a mover su información privada de negocios o personal on-line.

La necesidad de seguridad de la información es amplia y nos concierne a todos, seamos usuarios de tecnologías de la información o no. La información confidencial de todos tipos está abriéndose camino cada vez más en forma electrónica. Los ejemplos incluyen:

  • Comunicaciones privadas personales y de negocios, incluyendo conversaciones telefónicas, mensajes de fax y correo electrónico;

  • Transferencias electrónicas de fondos y otras transacciones financieras;

  • Información confidencial de negocios y secretos comerciales;

  • Datos usados en la operación de sistemas críticos de infraestructuras tales como control de tráfico aéreo, redes telefónicas y de energía eléctrica; y

  • Informes médicos, archivos personales y otra información personal

La información manejada electrónicamente toca casi todos los aspectos de la vida diaria en la sociedad moderna. Esta creciente marea de datos electrónicos pero no seguros deja a nuestra sociedad cada vez más vulnerable contra vecinos curiosos, espías industriales, naciones hostiles, crimen organizado y organizaciones terroristas.

Paradójicamente, aunque la tecnología para administrar y comunicar información electrónica mejora a una tasa considerable, este progreso suele venir a expensas de la seguridad intrínseca. En general, conforme la tecnología de la información mejora y se hace más rápida, barata y fácil de usar, se hace menos posible controlar (o siquiera identificar) hacia dónde fluye la información confidencial, dónde se originaron los documentos, o quién está al otro extremo del teléfono. La infraestructura básica de comunicaciones de nuestra sociedad se hace menos segura, incluso mientras la usamos para fines vitales. Las técnicas criptográficas se convertirán cada vez más en el único sistema viable para asegurar la privacidad y seguridad de la información confidencial en tanto continúa esta tendencia.

El cifrado es una herramienta esencial para proporcionar seguridad en la era de la información. El cifrado se base en el uso de procedimientos matemáticos para mezclar los datos de tal manera que es extremadamente difícil -si no virtualmente imposible- recuperar el "texto llano" [plaintext] original por nadie que no sea uno de los destinatarios autorizados. Adecuadamente implementado, el cifrado permite que la información confidencial pueda ser almacenada en ordenadores inseguros o transmitida por redes inseguras. Sólo las partes con la "clave" (o claves) de descifrado correcta pueden recuperar la información en texto llano.

El cifrado altamente seguro puede instalarse de forma relativamente barata, y se cree generalmente que el cifrado será ampliamente adoptado e incrustado en la mayoría de los productos de comunicaciones electrónicas y los programas para manejar datos potencialmente valiosos {Nota al ple: El amplio informe del National Research Council [Consejo Nacional de Investigación] incluye un examen detallado de la creciente importancia del cifrado. National Research Council, Cryptography´s Role in Securing the Information Society [El Papel de la Criptografía en Asegurar la Sociedad de la Información], 1996}. Las aplicaciones de la criptografía incluyen la protección de archivos contra robo o acceso no autorizado, la securización de las comunicaciones contra interceptación y el establecimiento de transacciones de negocios seguras. Otras técnicas criptográficas pueden usarse para garantizar que el contenido de un archivo o mensaje no ha sido alterado (integridad), para establecer la identidad de una parte (autentificación) o para establecer compromisos legales (no repudio).

Al hacer la información segura contra vigilancia no deseada, interceptación y robo, el cifrado fuerte tiene un efecto secundario: se hace más difícil que las autoridades policiales lleven a cabo ciertos tipos de vigilancia electrónica subrepticia (particularmente escuchas telefónicas) contra presuntos criminales sin el conocimiento y la asistencia del objetivo. Esta dificultad está en el centro del debate sobre la recuperación de claves.

1.2 "Depósito de claves": requisitos y propuestas

Los Estados Unidos y otros gobiernos nacionales han procurado evitar el uso amplio de la criptografía a menos que en estos sistemas se incorporen mecanismos de "recuperación de claves" que garanticen el acceso de las autoridades policiales al texto llano. Los requisitos impuestos por estos sistemas de recuperación de claves, forzados por los gobiernos, son diferentes de las necesidades de los usuarios de cifrado, y en último término imponen nuevos riesgos y costes sustanciales.

Los sistemas de cifrado con recuperación de claves proporcionan formas de acceso al texto llano al margen del canal normal de cifrado y descifrado. La recuperación de claves se denomina a veces "depósito de claves [key escrow]". El término "depósito [escrow]" se hizo popular en conexión con la iniciativa Chip Cilpper del gobierno norteamericano, en la que una clave maestra de cada ingenio de cifrado se guardaba en "depósito" para ser entregada a las autoridades policiales. Hoy el término "recuperación de claves" se usa de manera genérica para estos sistemas, englobando los diversos sistemas de cifrado introducidos en años recientes tales como "depósito de claves", "terceras partes de confianza", "acceso excepcional", "recuperación de datos" y "recuperación de claves". Aunque hay diferencias entre estos sistemas, las distinciones no son críticas para nuestros propósitos. En este informe se usa el término genérico "recuperación de claves" en sentido genérico para referirse a cualquier sistema que asegure el acceso de terceras partes (gobierno) a los datos cifrados.

Los sistemas de cifrado con recuperación de claves funcionan de diversas maneras. Las antiguas propuestas de "depósito de claves" confiaban en el almacenamiento de claves privadas por parte del gobierno de EEUU, y más recientemente por entidades privadas designadas. Otros sistemas tienen "agentes de depósito" o "agentes de recuperación de claves" que mantienen la capacidad de recuperar las claves de una sesión de comunicaciones cifradas, o archivo almacenado, en concreto; estos sistemas requieren que tales "claves de sesión" estén cifradas con una clave conocida por un agente de recuperación e incluida con los datos. Algunos sistemas distribuyen la capacidad de recuperar claves entre varios agentes.
 

NOTA DEL TRADUCTOR: El documento traducido se halla interrumpido en este punto.  Siendo un documento antiguo, ignoro si se debe a un fallo en el fichero o a una traducción en este punto (AQ, 15/01/2005)
 

Traducido por Arturo Quirantes Sierra (aquiran arroba ugr.es)
Vuelta a la sección Informes y expedientes