Boletín ENIGMA - nº 1
4 Marzo 2002
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_1.htm
CRIPTOGRAFÍA HISTÓRICA - El telegrama Zimmermann
AMENAZAS LEGISLATIVAS - CNI: Los nuevos espías del Presidente
ELECTRONES SIN FRONTERAS - Privaterra: criptografía para los oprimidos
CRIPTOGRAFÍA IMPRESENTABLE - Tarjetas no tan inteligentes
Ahora que tengo compuesto el primer ejemplar de este boletín, no sé bien qué
decir. Resulta difícil no caer en los lugares comunes de siempre, así que seré
breve. Bienvenidos al boletín ENIGMA. Aquí encontraréis secciones que espero os
haga sentir la magia de la criptografía. No sé que tiene ese bicho, pero cuando
te pica resulta difícil vacunarse. Los códigos secretos han atraído al hombre
desde siempre. ¿O acaso no jugábais a los mensajes secretos cuando érais
pequeñitos? Pues aquí nos vamos a dedicar a ellos a tumba abierta.
Bucearemos en archivos antiguos en busca de sucesos históricos enterrados en el
pasado, les quitaremos las telarañas y les daremos lustre. Buscaremos anécdotas,
curiosidades y también hitos que han decidido la suerte de batallas y reinos.
Pero no olvidaremos el presente, donde los sistemas de códigos y cifrados se ha
extendido en nuestro nuevo mundo digital de una manera que no tiene parangón en
la historia. Examinaremos los códigos modernos. Y, ya sean antiguos o modernos,
veremos qué pasa cuando los códigos invulnerables resultan no serlo.
Pero no olvidemos por qué tenemos necesidad de la criptografía. Usamos técnicas
de ocultación porque hay quien quiere meter las narices donde no le llaman. Eso
lleva al campo de los espías industriales, gubernamentales, policiales,
militares, toda una legión de "grandes hermanos" que pululan a nuestro
alrededor. Y, puesto que los primeros fisgones son nuestros representantes, nada
como revisar las leyes, nuevas, viejas o en proyecto, que nos tienen preparadas,
por nuestro bien por supuesto. Amenazas potenciales o reales como la LSSI
tendrán aquí su espacio.
ENIGMA es el nombre dado a una máquina de cifrado usada por los alemanes durante
la Segunda Guerra Mundial. Incluso sesenta años después de su momento de gloria,
los velos de secreto nos ocultan parte de los hechos, pero lo que se está
descubriendo ahora puede llegar a reescribir los libros de historia. En este
boletín que le ha tomado prestado el nombre le dedicaremos especial interés, y
si sois lectores fieles os garantizo que seréis recompensados con primicias y
exclusivas.
Pero basta de adelantar acontecimientos y de prometer lo que vendrá, que
comienzo a sonar como un político. En el boletín ENIGMA número uno os
encontraréis con un análisis exhaustivo del Telegrama Zimmermann, un conjunto de
números aparentemente inocuos pero que arrastró a una nación a la guerra.
Volveremos a escenarios más modernos y prestaremos atención a la nueva agencia
de espionaje española, tan nueva que todavía no existe. Veremos un interesante
proyecto de "cripto sin fronteras", y espero que con ello se contribuya a
disipar el sofisma de que cripto es igual a delincuencia. Por último, unas
consideraciones sobre tarjetas no tan inteligentes como se supone harán que nos
pensemos dos veces a la hora de saltar al DNI digital. Y es que hay que hacer
las cosas bien, o no hacerlas en absoluto.
Y yo espero haberlo hecho bien. Si consigo que mis dedos dejen de una vez de
engordar este editorial, podréis zambulliros en mi nueva publicación digital.
Que aproveche.
CRIPTOGRAFÍA HISTÓRICA - El telegrama Zimmermann
El
día 17 de Enero de 1917, un mensaje cifrado llegó al departamento
criptoanalítico del gobierno británico bautizada como Sala 40. Dos funcionarios
de guardia comenzaron la tediosa tarea de descifrarlo, ignorantes de que
contenía la clave para arrojar a los Estados Unidos del lado de los aliados, y
tal vez terminar con la más cruenta guerra jamás conocida hasta la fecha.
El mensaje, que pasó a la historia como el "telegrama Zimmermann", estaba
cifrado con una clave diplomática alemana, conocida como clave 0075, y fue
enviado por el ministro alemán de exteriores Arthur Zimmermann al embajador
alemán en Washington, Conde von Bernstorff. Los criptoanalistas ingleses
consiguieron una solución parcial, que posteriormente fue confirmada gracias a
una segunda copia del telegrama, enviado por von Bernstoff a su homólogo en
Ciudad de Méjico, embajador Eckardt, y cifrado mediante la clave 13042 (variante
a su vez de la clave diplomática alemana 13040).
Según Barbara Tuchmann, los ingleses tenían en su poder una copia de la clave
13040 tras habérsela arrebatado a un agente alemán en Persia. David Kahn, por
contra, afirma que el conocimiento de dicha clave vino por los medios
criptoanalíticos habituales: captura de mensajes cifrados, análisis de
redundancias y frecuencias, y mucha inventiva. El hecho de que los dos expertos
más ilustres en este campo sean incapaces de ponerse de acuerdo nos da una idea
de la capa de secreto que incluso hoy envuelven sucesos de hace casi cien años.
Pero cualquiera que fuese su origen, las consecuencias finales son
incontestables. El telegrama Zimmermann, una vez descifrado, indicaba las
intenciones alemanas por llevar a Méjico y Japón a una guerra con Estados Unidos
con objeto de mantener a este país lejos del teatro de guerra europeo. Pero su
consecuencia última fue precisamente la opuesta: el pueblo norteamericano,
indignado ante la conspiración alemana, obligó al pacifista presidente Woodrow
Wilson a entrar en guerra del lado de los aliados.
El telegrama Zimmermann tenía la siguiente expresión cuando fue enviado de
Bernstorff a Eckardt [la separación entre grupos de cifras es la misma que en el
telegrama original]:
130 13042 13401 8501
115 3528 416 17214 6491 11310 18147 18222
21560 10247 11518 23677 13605 3494 14936 98092 5905 11311 10392
10371
0302 21290 5161 39695 23571 17504 11269 18276 18101 0317
0228 17694
4473 22284 22200 19452 21589 67893 5569 13918 8958 12137
1333 4725
4458 5905 17166 13851 4458 17149 14471 6706 13850 12224
6929 14991
7382 15857 67893 14218 36477 5870 17553 67893 5870 5454
16102 15217
22801 17138 21001 17388 7446 23638 18222 6719 14331 15021 23845
3156
23552 22096 21604 4797 9497 22464 20855 4733 25610 18140 22260
5905
13347 20420 39689 13732 20667 6929 5275 18507 52262 1340 22049
13339
11265 22295 10439 14814 4178 6992 8784 7632 7357
6926 52262 11267
21100 21272 9346 9559 22464 15874 18502 18500 15857 2188
5376 7381
98092 16127 13486 9350 9220 76036 14219 5144 2831 17920
11347 17142
11264 7667 7762 15099 9110 10482 97556 3569 3670
Estaba dirigido a la embajada alemana en Ciudad de Méjico [German Legation,
Mexico City] y firmado "Bernstorff"
¿Y qué decía tan importante telegrama? Podemos hacer una traducción, pero antes
veamos exactamente qué significa cada grupo de cifras. El significado está
tomado del libro de Barbara Tuchmann "El telegrama Zimmermann." La traducción es
de Arturo Quirantes.
GRUPO SIGNIFICADO
TRADUCCIÓN
===== ===========
==========
130
(número del telegrama)
13042
(número de identificación de la clave)
13401 Auswartiges amt
ministerio de asuntos exteriores
8501 telegraphiert
telegrafía
115 Januar 16
16 de Enero
3528 colon
dos puntos
416 nummer 1
número 1
17214 ganz geheim
alto secreto
6491 selbst
usted mismo
11310 zu
(signo de infinitivo)
18147 entziffren
descifrar
18222 stop
punto
21560 Wir
nosotros
10247 beabsichtigen
tenemos la intención de
11518 am
a partir de
23677 ersten
primero
13605 Februar
febrero
3494 un-
sin
14936 eingeschrankt
restricciones
98092 U-boot
submarino
590 Krieg
guerra
11311 zu
a
10392 beginnen
comenzar
10371 stop
punto
0302 Es wird
se
21290 versucht
intentado
5161 werden
será
39695 Vereiningten Staaten Estados
Unidos
23571 trotzdem
no obstante
17504 neutral
neutrales
11269 zu
a
18276 erhalten
mantener
18101 stop
punto
0317 Für den Fall
Para el caso
0228 dass dies
de que (ello)
17694 nicht
no
4473 gelingen
lograr
22284 sollte hubiera
(adverbio modal)
22200 comma
coma
19452 schlagen
ofrecer
21589 wir
nosotros
67893 Mexico
Méjico
5569 auf
sobre
13918 folgender
siguientes
8958 Grundlage
bases
12137 Bündnis
alianza
1333 vor
(prefijo del verbo ofrecer)
4725 stop
punto
4458 Gemeinsam
juntos
5905 Krieg
guerra
17166 führen
conducir
13851 stop
punto
4458 Gemeinsam
juntos
17149 Friedenschluss
tratado de paz
14471 stop
punto
6706 Reichlich
generosa
13850 finanzielle
financiera
12224 unterstützung
ayuda
6929 und
y
14991 einverständnis
acuerdo
7382 unserer seits
nuestra parte
15857 dass
de que
67893 Mexiko
Méjico
14218 in
en
36477 Texas
Tejas
5870 comma
coma
17553 neue
nuevo
67893 Mexiko
Méjico
5870 comma
coma
5454 AR
AR
16102 IZ
IZ
15217 ON
ON
22801 A
A
17138 früher
anterior
21001 verloren
perdido
17388 Gebiet
territorio
7446 zurück
de vuelta
23638 erobern
conquistar
18222 stop
punto
6719 Regelung
tramitación
14331 im
en
15021 Einzelnen
detalles
23845 Euer Hochwohlgeboren Su
Excelencia
3156 überlassen
quedan
23552 stop
punto
22096 Sie
usted
21604 wollen
sírvase
4797 vorstehendes
de lo que precede
9497 dem
al
22464 Präsident
presidente
20855 streng
alto
4733 geheim
secreto
25610 eröffen
hacer saber
18140 comma
coma
22260 sobald
tan pronto (como)
5905 Kriegs
guerra
13347 Ausbruch
declaración
20420 mit
con
39689 Vereiningten Staaten Estados
Unidos
13732 fest
seguro
20667 steht
sea
6929 und
y
5275 Anregung
sugerencia
18507 hinzufügen
agregar
52262 Japan
Japón
1340 von
por
22049 sich
sí mismo
13339 aus
de
11265 zu
a
22295 sofortig
inmediatamente
10439 beitretung
unión
14814 einladen
invitar
4178 zu
(partícula infinitiva del verbo anterior)
6992 und
y
8784 gleichzeitig
simultáneamente
7632 zwischen
entre
7357 uns
nosotros
6926 und
y
52262 Japan
Japón
11267 zu
a
21100 vermitteln
intermediar
21272 stop
punto
9346 Bitte
por favor
9559 den
al
22464 Präsident
presidente
15874 darauf
de esto
18502 hinweisen
advertir
18500 comma
coma
15857 dass
que
2188 rücksichtslos
despiadado
5376 Anwendung
uso
7381 unserer
nuestros
98092 U-boote
submarinos
16127 jetzt
ahora
13486 Aussicht
perspectiva
9350 bietet
ofrece
9220 comma
coma
76036 England
Inglaterra
14219 in
en
5144 wenigen
pocos
2831 Monat-
mes-
17920 -en
-es
11347 zum
hacia
17142 Frieden
paz
11264 zu
(infinitivo)
7667 zwingen
obligar
7762 stop
punto
15099 Empfang
recibo
9110 bestahigen
acuse
10482 stop
punto
97556 Zimmermann
Zimmermann
3569 stop
punto
3670 Schluss der Depesche Fin
del telegrama
La traducción aproximada sería:
"(Telegrama) 130, (clave) 13042. Telegrama del ministerio de asuntos exteriores,
16 de Enero: número 1. Alto secreto. A descifrar por usted mismo. Tenemos la
intención de comenzar la guerra submarina sin restricciones a partir del primero
de febrero. Se intentará, no obstante, que los Estados Unidos se mantengan
neutrales. Para el caso de que no sea posible lograrlo, ofrecemos a Méjico una
alianza sobre las siguientes bases: guerra conjunta, tratado de paz conjunto,
generosa ayuda financiera y acuerdo por nuestra parte de que Méjico podrá
reconquistar los territorios de Tejas, Nuevo Méjico y Arizona perdidos en el
pasado. Dejo los detalles a su excelencia. Sírvase usted comunicar lo
anteriormente dicho al presidente, en el más absoluto secreto, tan pronto como
la declaración de guerra contra Estados Unidos sea algo seguro, y sugiérale que
invite inmediatamente, por iniciativa propia, a Japón para unirse y que haga de
intermediario entre nosotros y Japón. Sírvase advertir al presidente que el uso
despiadado de nuestros submarinos ofrece ahora la perspectiva de que Inglaterra
sea forzada a la paz en pocos meses. Acuse recibo. Zimmermann. Fin del
telegrama."
Véase cómo algunas palabras (Estados Unidos, punto, presidente) están
representadas por más de un grupo de cifras, práctica habitual para dificultar
el trabajo de los criptoanalistas. La clave aparentemente no contenía la palabra
arizona, de manera que hubo de cifrar las letras o pares de letras que la
componían.
Por último, parece que la niebla sigue envolviendo al telegrama Zimmermann. Se
cree que la versión inicial de la captura de la clave 13040 puede esconder los
trabajos de criptoanálisis llevados a cabo por la Sala 40; tal es, al menos, la
teoría de David Kahn. Ni siquiera parece haber acuerdo sobre qué clave fue
usada. El embajador Eckhardt declaró que la clave usada había sido la 13040, y
como tal se refiere la mayoría de estudiosos; sin embargo, el lector puede
comprobar cómo el segundo grupo de cifras indica claramente la clave 13042. Se
cree que ésta era una variante de la clave principal 13040.
Incluso quien esto escribe se encontró con sorpresas. Al cotejar mi traducción
con la que ofrece Barbara Tuchman en su excelente obra "El Telegrama Zimmermann",
descubrí pequeños errores en la traducción. De hecho, dos de los grupos
codificados que aparecen en la versión de Tuchman difieren del telegrama
original tal como aparece fotografiado en otras referencias. Misterios sobre
misterios...
AMENAZAS LEGISLATIVAS - CNI: Los nuevos espías del Presidente
[El 14 de Febrero de 2002, la Comisión de Defensa del Congreso presentaba sus
conclusiones sobre el Proyecto de Ley del Centro Nacional de Inteligencia,
organismo que en breve sustituirá al CESID. El presente artículo, publicado en
Kriptópolis el 10 de Enero de 2002, inaugura una serie sobre la nueva
macroagencia española de inteligencia.]
El CESID tiene los días contados. El Congreso de los Diputados está tramitando
el proyecto de ley reguladora de la nueva agencia de espionaje: el CNI (Centro
Nacional de Inteligencia). Aunque lleva bastante tiempo en el horno, los sucesos
del 11S han dado nuevo impulso a esta ley.
Ojalá que los servicios de "inteligencia" simplemente no existiesen, pero su
existencia tiene una razón de ser. Poniéndonos en lo más básico, son los
encargados de evitar que otra banda de chiflados asalte un avión para
estrellarlo en el Bernabéu durante un Madrid-Barsa. Así que, asumiendo que es un
mal necesario, veamos si puede cumplir su propósito respetando al mismo tiempo
la legalidad vigente. No es cosa de dar un cheque en blanco a nuestros
vigilantes, que luego acabaremos necesitando vigilantes para los vigilantes
(Juvenal dixit).
Primero, su propósito. Según el artículo 1, el CNI será responsable de
"facilitar al Presidente del Gobierno y al Gobierno de la Nación las
informaciones, análisis, estudios o propuestas que permitan prevenir y evitar
cualquier peligro, amenaza o agresión contra la independencia o integridad
territorial de España, los intereses nacionales y la estabilidad del Estado de
derecho y sus instituciones." Grave responsabilidad, tanto del propio CNI como
del hombre ante quien responde. En realidad, resulta curioso. Aunque informa al
Presidente, el CNI estará orgánicamente adscrito al Ministerio de Defensa
(aunque hay un proyecto de servicio de inteligencia puramente militar en marcha,
pero de eso ya hablaremos otro día) ... pero el Presidente puede cambiar esa
adscripción cuando quiera.
Hay algunas similitudes con el ejemplo norteamericano; no en vano, la ley afirma
inspirarse en "el modelo de lo países de nuestro entorno político y cultural."
En España, los objetivos del CNI vendrán determinados por medio de una Directiva
de Inteligencia -igual que al norte del Río Grande- y existirá un juez,
magistrado del Tribunal Supremo, que otorgará las autorizaciones para
allanamientos y escuchas electrónicas (calcado del tribunal FISA de los EEUU).
También copia algunas de sus funciones, como son la de promover las relaciones
de colaboración con servicios de inteligencia de otros países (traducción:
¿dónde enchufamos esto, señor Bush?), interceptar y evaluar el "tráfico de
señales de carácter estratégico" (esto es, tender un Escalón a la española) y
garantizar la seguridad de las comunicaciones, adquirir y asesorar sobre el uso
de material criptológico. Estoy deseando saber si tendremos un departamento de
criptoanálisis ... y que no consista solamente en ordenadores con el WinZip
password cracker.
Parece ser que en la versión anterior del proyecto de Ley, se permitía la
posibilidad de comenzar las escuchas en casos de urgencia ANTES de solicitar
autorización judicial. También se establecía la obligación de comunicar a las
autoridades competentes el resultado de las investigaciones si se apreciasen
indicios de delito. Es decir, que el CNI podría ser usado como entidad policial:
se investiga a alguien bajo la acusación de terrorismo, y si resulta que no lo
es pero se descubre que es un estafador financiero, pues al trullo.
Evidentemente, la policía y los servicios de inteligencia se regirán por baremos
distintos -por no hablar de los derechos de los sospechosos-, así que menos mal
que el borrador de ley se ha cambiado para evitar tanto ese problema como el de
las escuchas de "urgencia."
Aunque el CNI tendrá un director (ocupado, entre otras cosas, en llevar el hasta
hace poco supersecreto Centro Criptológico Nacional, ¿oyes, Mercé?), habrá una
Comisión Delegada del Gobierno para efectuar un seguimiento de los objetivos del
CNI. A mí me suena como si no se fiasen demasiado. Bueno, mejor pecar por exceso
de celo. Lo que no entiendo es qué hace en dicha Comisión Delegada el Ministro
de Economía. Puestos a ello, ¿por qué no la de Ciencia y Tecnología, o la de
Sanidad? !Anda que no nos hubiera venido bien enterarnos a tiempo de lo del
Tireless o las vacas locas!
También serán responsables de "coordinar" el CNI con los servicios de
información de la Guardia Civil, Policía Militar y "los órganos de la
Administración Civil y Militar." Todo un consorcio deespías asociados. Muy útil
y lógico eso de coordinar servicios de espionaje, por ejemplo para la lucha
contraterrorista. Lo que me temo es que pueda funcionar al revés, permitiendo al
CNI hacer el trabajo sucio de la policía. Pst, oye, vigílame a ese tipo, que
tiene cara de malo y el juez no me da la orden.
En general no es demasiado mala esta ley; lo que, a tenor de lo que vemos
últimamente, ya es mucho decir. Con todo, puntos filipinos, lo que se dice
haberlos, haylos. Se considerarán secretos la organización, estructura y
actividades del CNI, así como su procedimientos, personal, instalaciones, bases
y centros de datos. Normal en un servicio de inteligencia. Lo que no me gusta es
que también serán considerados como
secretos "las informaciones o datos que puedan conducir al conocimiento de
dichas materias." A ver si me entero: si leo en el periódico que hay una
instalación del CNI en Albacete, ¿el propio periódico será considerado materia
secreta? ¿Y un documento de acceso público que muestre un mapa de dicha
instalación? ¿Puede ser usada esta disposición como una "ley mordaza"? Pues
poder, se puede. Otra cosa es que acabe siendo así. A ver si acaban empapelando
Kriptópolis porque alguien incluyó una vez un enlace a una página que se refería
a un artículo donde una vez se habló de alguien que resulta que es conserje en
elCNI...
También se afirma que el CNI podrán mantener "relaciones de cooperación y
coordinación" con otras Administraciones para cumplir su misión. Esto quiere
decir que, si el CNI cree que soy una amenaza para la seguridad nacional, podrá
entrar a saco buscando informes sobre mi persona en la Policía Nacional, la
Guardia Civil, los Mossos D´Esquadra, Aduanas, Hacienda, el Colegio de Agentes
de la Propiedad y hasta en el SEPLA si se lo pide el cuerpo.
Y aún me he dejado lo mejor. Hemos visto la intervención del poder ejecutivo
(Comisión Delegada) y del judicial (magistrado del TS ad hoc). ¿Qué hay del
legislativo? Si queremos imitar a -perdón, quiero decir inspirarnos en- los
países de nuestro entorno, lo primero que necesitamos es un control serio y
eficaz por parte del legislativo. Y para eso está el artículo 11. Será la
Comisión que controla los gastos
reservados la que ejerza dicha misión (y espero que vigilen el CNI mejor de lo
que han controlado hasta ahora los fondos reservados). Por
supuesto, estarán obligados a guardar secreto, y esperaremos de ellos que actúen
de forma responsable.
Pero hay dos tipos de materias reservadas a las que ni siquiera los miembros de
esta Comisión tendrán acceso. La ley excluye del control
parlamentario:
1) las materias relativas a las fuentes y medios del CNI
2) las procedentes de "servicios extranjeros u Organizaciones Internacionales
establecidos en los correspondientes acuerdos"
Es decir, el CNI no estará obligado a decir cómo obtuvo una información
determinada, a revelar sus fuentes o el nombre de sus agentes. Eso ya es de por
sí malo, porque incluye posibilidades de abuso. ¿Pero no informar al CNI sobre
la información procedente de otros servicios de inteligencia" O sea, que la NSA
o la CIA pueden haber pasado al CNI información obtenida mediante su red Echelon,
y el legislativo no tiene nada que decir al respecto. No importa que esa
información se haya obtenido ilegalmente, que proceda de fuentes no confirmadas,
o incluso que sean datos ya procesados -en lugar de la información original,-
hay que tragar y callar. Tela marinera.
Pues señores, que a nadie le extrañe si el CNI, gracias a esos "acuerdos de
colaboración", piden a la NSA o el GCHQ que le hagan los trabajos sucios.
¿Quieren espiar a Zapatero, pinchar el teléfono del Rey, copiar bases de datos
sin orden judicial? No hay problema. Basta con solicitar a otro servicio de
espionaje extranjero que lo haga y le pase los datos al CNI. Total, esos datos
no están sujetos a escrutinio parlamentario.
¿Creen que soy exagerado? Pues permítanme decirles que eso ya ha sucedido en
otros países. Puedo comenzar a citar un ejemplo tras otro. Y aquí, encima, se lo
ponemos fácil. Pues aviados vamos.
Lo que realmente me da miedo es que tanto todos los grupos parlamentarios apoyan
esta ley (exceptuados IU, PNV y Grupo Mixto). Espero que sepan lo que están
haciendo, porque no hay más que mirar el ejemplo de esos "países de nuestro
entorno" para ver en qué se convierten las agencias de inteligencia cuando
encuentran el más mínimo resquicio en las leyes. De todos modos, me resulta raro
que el plazo de presentación de enmiendas se haya ampliado tres veces. La última
fecha límite es la del 1 de Febrero de 2002. O no tienen mucha prisa, o las
aguas están mas revueltas de lo que parecen.
Pero en fin, podría ser peor. No por mucho margen, pero podría ser peor.
ELECTRONES SIN FRONTERAS - Privaterra: criptografía para los oprimidos
A
comienzos de los años ochenta, un grupo de informáticos se rebeló frente a las
pretensiones del gobierno Reagan de crear un escudo estratégico antimisiles,
conocido con el sobrenombre de "guerra de las galaxias". Como resultado, crearon
una asociación dedicada a dotar a la comunidad informática de un sentido de
responsabilidad social, facilitar la interacción persona-máquina, y en general
procurar que el ordenador trabajase para el hombre y no al revés. Dicha
asociación fue llamada Computer Professionals for Social Responsibility, o CPSR
(Profesionales Informáticos para la Responsabilidad Social).
Esta asociación (cuyo capítulo español fue fundado el año pasado) ha lanzado el
Proyecto Privaterra, una especie de "criptógrafos sin fronteras" Para conocer su
razón de ser y sus objetivos, cedo la palabra a Robert Guerra, su principal
impulsor:
"Los defensores de derechos humanos en todo el mundo ponen a menudo sus vidas en
peligro durante sus actividades. Las personas a quienes pretenden ayudar están a
menudo en peligro debido a sus actividades, identidades e ideas. Asegurar que
las comunicaciones y la información que recogen permanezca privada es a veces
asunto de vida o muerte.
Los avances tecnológicos han hecho más fácil para los trabajadores de derechos
humanos compilar información y llevar sus asuntos adelante. Sin embargo, estos
avances también han facilitado el espionaje contra esas personas, entrando en
sus redes de comunicaciones y abriéndose paso hacia la información privada. Si
bien es imposible erradicar del todo tales actividades, las tecnología de
cifrado y otras medidas de seguridad pueden disminuir considerablemente la
probabilidad de que las comunicaciones de los defensores de derechos humanos
sean penetradas por individuos no autorizados.
Privaterra trabaja para educar a dichos trabajadores sobre técnicas de
privacidad y seguridad, y para ayudarles a usarlas en su trabajo cotidiano.
Nuestra misión es la de ser una fuerza de protección de los defensores de
derechos humanos por todo el mundo, ofreciendo e implementando técnicas de
privacidad y seguridad. Lo hacemos para ayudarles a que puedan comunicarse y
llevar a cabo sus actividades con seguridad frente a los peligros de ojos y
oídos espías que puedan limitar su efectividad, violar sus derechos y poner en
peligro sus vidas."
Según explica Barb Bocek, de Amnistía Internacional, "hemos visto muchos casos
en los que las comunicaciones y redes informáticas intervenidas ponen en peligro
a los activistas de derechos humanos. Muchas ONGs en países en desarrollo tienen
pocas opciones de ayuda en temas como conexiones de Internet o diseño de redes.
Si además -como es el caso en muchos países de América Latina- los activistas
trabajan bajo amenazas constantes y vigilancia electrónica, necesitan
desesperadamente la ayuda de una organización como Privaterra para diseñar
sistemas seguros. Y para identificar quién está pinchando sus teléfonos o
hackeando sus discos duros. Ansío colaborar con Privaterra en el futuro, puesto
que creo que va a haber un papel cada vez más relevante de las tecnologías de
privacidad en la protección del trabajo de los defensores de los derechos
humanos."
Privaterra es una organización de voluntarios, con oficinas en EEUU y Canadá, y
miembros en el continente americano y en Europa. Si cree que puede ofrecer ayuda
(económica, técnica o de otro tipo), póngase en contacto con el coordinador del
proyecto Privaterra, Robert Guerra (puede escribirle en español o inglés) en
privaterra@cpsr.org
CRIPTOGRAFÍA IMPRESENTABLE - Tarjetas no tan inteligentes
"Usted confía en que los daños de 400 años no hayan debilitado la base. Usted
confía en que las bases de granito soporten las columnas corintias de ocho
metros de altura. Usted confía en que nada más que ocho columnas sostengan una
cúpula de 15.00 toneladas sobre su cabeza. ¿Y es reticente a usar una tarjeta de
crédito online?" (Anuncio de Verisign)
Una de las bazas del gobierno para crear confianza en el comercio electrónico
consiste en la utilización de tarjetas inteligentes. En dichas tarjetas se
almacenarían claves de firma, lo que facilitaría las compras on-line. Ya el
nuevo borrador de ley sobre Firma Electrónica contempla la creación de un "DNI
digital" con claves de autenticación (firma). Esto podría agilizar la
tramitación de actos tales como la declaración de la Renta o la cumplimentación
del censo (ver el Informe "Pague sus impuestos...digitalmente" en
http://www.cripto.es/informes/info010.htm).
Sin embargo, la emisión de tarjetas inteligentes con claves de firma y/o cifrado
han de vérselas con varios problemas. El primero es de índole técnica. Los
lectores de tarjetas requieren de algoritmos criptográficos lo más rápidos y
eficientes posibles, ya que se trata de un entorno en el que cada bit y cada
milisegundo cuenta. Esto puede llevar al uso de claves con un número de bits
demasiado pequeño para que proporcionen seguridad contra un ataque de "fuerza
bruta" (en el que sencillamente se prueban todas las claves posibles).
Supongamos que hemos hallado algoritmos fiables y eficientes. El gobierno o
fabricante de las tarjetas podría guardarse una copia "por si acaso." Tras los
acontecimientos del 11 de Septiembre se ha vuelto a poner en tela de juicio el
uso de métodos criptográficos para la protección de datos. A pesar de las
informaciones iniciales, no existe la menor prueba de que los terroristas de Al
Qaeda hayan usado ningún método de cifrado (el propio FBI tuvo que desdecirse de
sus palabras). Pero ello no ha sido óbice para que un congresista norteamericano
haya reabierto el debate sobre la necesidad de restringir o controlar la
criptografía. ¿Podemos, en estos momentos de histeria colectiva, confiar en que
un gobierno no va a guardarse una copia de las claves que realice para sus
ciudadanos? Este es un asunto de la máxima importancia, y no debe trivializarse.
Pero hagamos un ejercicio de fé, y supongamos que el gobierno hace un genuino
esfuerzo en pro de la seguridad. Diseña tarjetas inteligentes, inserta claves de
cifrado y de firma -sin guardarse copia alguna- y las pone a disposición de sus
ciudadanos. Esas mismas tarjetas podrían llegar a convertirse en una ficha
personal, con datos biométricos, historiales médicos, antecedentes penales,
expedientes académicos... Por supuesto, toda esa información estará cifrada, de
tal modo que solamente accedan a dicha información las personas autorizadas a
ello. ¿Estamos ya seguros?
Pues la respuesta es no. Incluso con algoritmos de cifrado impecables, una
tarjeta puede exponer los datos que guarda al escrutinio de ojos no autorizados.
Eso se debe al carácter peculiar de las tarjetas inteligentes. Cada proceso de
una firma o cifrado implica la activación de algoritmos, lo que lleva un tiempo
y un consumo de energía eléctrica muy concretos. Existen procedimientos de
ataque criptoanalítico que no atacan los algoritmos en sí, sino el tiempo que
tardan dichos algoritmos en ejecutarse, la potencia eléctrica requerida o el
calor desprendido.
Una empresa llamada Datacard ha dado la sorpresa en la exhibición de productos
de seguridad organizada por la empresa RSA. Usando técnicas denominadas Análisis
Diferencial de Potencia y Análisis Diferencial de fallos, lograban averiguar las
claves de cifrado usadas por una tarjeta inteligente. El hecho de que Triple-DES
sea un algoritmo invulnerable desde el punto de vista criptoanalítico clásico no
les impedía obtener la clave en apenas tres minutos. Bastaba con alimentar la
tarjeta con voltajes y frecuencias diversos y analizar los resultados mediante
un osciloscopio. Es como si nosotros pudiésemos adivinar la combinación de una
caja fuerte simplemente oyendo el ruido que ésta hace al ser abierta. O más
sutilmente, es como si lográsemos duplicar una llave sin más información que el
tintineo que hace en el bolsillo de su dueño.
Lo que es aún más sorprendente, según uno de los asistentes, es que la tarjeta
podía ser analizada basándose solamente en las ondas de radiofrecuencia que
emitía. Es decir, !ni siquiera había que tocar la tarjeta! El uso de técnicas de
interrogación pasiva (extraer información de la tarjeta sin que ésta esté
siquiera dentro de un lector) podría revelar nuestras claves sin siquiera sacar
la tarjeta de la cartera. Afortunadamente, eso parece que no es posible ...
todavía.
Eso les dará una pista de por qué no existen todavía tarjetas inteligentes para
el almacenamiento de datos confidenciales como firmas digitales. Al margen de
vacíos legales, existen problemas de índole técnica. La Universidad de Granada
planeó crear tarjetas inteligentes para sus estudiantes hace un par de años;
hasta donde yo sé, el proyecto nunca se ha llevado a cabo. El DNI digital del
gobierno puede retrasarse no por problemas legales sino por la imposibilidad de
crear tarjetas inteligentes seguras. Si los billetes de euros, que se suponen
incorporan todos los adelantos en seguridad, ya están siendo falsificados, puede
imaginarse cuánto más tendrán que sudar los responsables para asegurarse de que
los ladrones de datos no hacen su agosto con las tarjetas inteligentes.
El
boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige
por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual.
Se permite su libre copia, distribución y comunicación para fines no lucrativos,
citando nombre y referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA