Boletín ENIGMA - nº 22
1 Abril 2004
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_22.htm
CRIPTOGRAFÍA HISTÓRICA - Cuando la inteligencia no basta
CRIPTOGRAFÍA IMPRESENTABLE - Telefónica clónicos
CRIPTOGRAFÍA IMPRESENTABLE - La seguridad de los teléfonos móviles
CORREO ENIGMÁTICO
LIBERTAD VIGILADA - Un satélite para espiar a ETA
Cuando este que escribe se planteó la lista de asuntos a tratar en el boletín
Enigma de marzo (el que usted, lector, tiene ahora a la vista), uno de los
asuntos pendientes de escribir trataba de los fallos de los servicios de
inteligencia. En la parte que nos interesa, se centraría en aquellas ocasiones
en las que el criptoanálisis de mensajes enemigos, por uno u otro motivo, no
resultaron de utilidad a la hora de plantar cara al enemigo. Por ironías del
destino, el día siguiente era 11 de marzo, un día a señalar en los anales de la
infamia. Un día en el que los servicios de seguridad e inteligencia españoles se
mordieron los puños de rabia, impotentes por no haber podido evitar la más
sangrienta actuación terrorista en la España moderna.
El Taller de Criptografía quiere, en este boletín, rendir homenaje a las
víctimas del atentado del 11M. Y lo hará dedicándose a diversas materias
relacionadas en mayor o menor cuantía. Bajo el título de "cuando la inteligencia
no basta", se examinarán algunos casos en los que la inteligencia ULTRA derivada
del criptoanálisis de señales Enigma no fue suficiente para evitar derrotas
aliadas. Si bien no guarda relación directa con el 11M, resulta un higiénico
recordatorio de que, en esta época de satélites, interceptaciones electrónicas,
descifrado y análisis de datos, la inteligencia humana -tanto en el sentido de
"recogida y procesado de información" como en el tradicional del término- sigue
siendo una pieza clave para la lucha contra las amenazas del siglo XXI.
El hilo del que se está tirando para desenredar esta maraña parece ser el
hallazgo de una mochila con explosivos que no llegaron a explotar ese día. El
detonador era un teléfono móvil clonado, o bien liberado. Por ese motivo, hemos
"repescado" dos artículos (un Informe y una columna de Libertad Digital)
relacionados con los aspectos de la seguridad en telefonía móvil. Aunque algo
largo en extensión -lo que ha obligado a recortar el artículo sobre inteligencia
para continuar el próximo mes-, creo que resultará de interés para los lectores.
Algunos enlaces pueden haber caducado -lo que nos recuerda que nuestra querida
Internet es un elefante de memoria grande pero efímera-, lo que solamente puedo
remedar parcialmente.
En el apartado del libro "Libertad vigilada" se reproduce un artículo sobre la
conexión ETA-AlQaeda, y sobre la vigilancia hecha contra ETA por medio de
satélites. Por azares del destino, fue transcrito a este boletín a comienzos de
Marzo. También tenemos una baja debida a la falta de espacio y tiempo: la
Sección de Libros cede su espacio por esta vez. Pero no temáis por su
existencia, ya que volverán en la próxima ocasión, y seguirá con nosotros hasta
que se me acaben los libros. Por cierto, que también podéis colaborar vosotros
con vuestros comentarios a libros que hayáis leído, tanto si ya se han revisado
aquí como si no. En cuanto a la serie de artículos sobre la "solución polaca" de
Enigma, sigue su curso, y volverán con nosotros lo antes posible.
También se abre una sección nueva que ojalá tenga continuidad: Correo
Enigmático. Como dije al comienzo de este proyecto, el boletín Enigma es un
espacio donde vuestra opinión también entra. Tenemos en cartera diversas
colaboraciones, algunas de las cuales ya han visto la luz en estos bits, como el
concurso Stego del mes pasado. Al mismo tiempo, los comentarios, sugerencias,
críticas y aclaraciones de nuestros enigmáticos lectores comienzan a alcanzar ya
la "masa crítica" necesaria como para merecer sección aparte. Que se desarrolle
hasta alcanzar un valor comunicativo similar al de un chat o grupo de discusión
es tarea vuestra. Del resto del boletín ya me encargo yo.
Y, para acabar con las desgracias -que nunca vienen solas-, una de índole
personal. Si todo sigue su curso, la edición de abril de la revista
norteamericana Cryptologia incluirá un artículo -con fotografía en portada- de
un extraño bicho denominado "Enigma Z", basado en documentos descubiertos por
este que escribe en los archivos de Asuntos Exteriores. Me moría de ganas de ver
la cara que pondría mi padre cuando viese la revista con el artículo de su hijo.
Pero no podrá ser. En la noche del jueves 24 de marzo, José Quirantes Puertas,
investigador científico y mi padre, falleció víctima de un ataque al corazón. Su
muerte ha sido menos trágica, y ciertamente menos conocida, que la de las
víctimas del 11M, pero no por eso menos dolorosa.
Quede este boletín como homenaje a mi padre y a las víctimas del 11M, así como
-por extensión- a los seres queridos que pierden un padre, un marido, un
hermano, un amigo. Y, al mismo tiempo, que sea también testimonio de que, por
grande que sea nuestro dolor, nos levantaremos y seguiremos caminando. Con el
corazón roto, pero con el alma entera. Sin desfallecer. Sin olvidar. Y sin
miedo.
CRIPTOGRAFÍA HISTÓRICA - Cuando la inteligencia no basta
A
lo largo del último siglo, se han ganado y perdido batallas gracias a la
información proveniente del criptoanálisis de las comunicaciones enemigas.
Algunos historiadores han jugado a las hipótesis y determinado que, de no haber
sido por la inteligencia de ULTRA -derivada de la ruptura de los códigos Enigma
alemanes-, la Segunda Guerra Mundial bien pudiera haberse extendido hasta 1947.
En esto, entendemos "inteligencia" no en el sentido tradicional de capacidad
intelectual, sino en el de deducción de las intenciones enemigas por medio de
los diversos procedimientos de espionaje.
Algunos estudiantes de esta nueva hornada de historiadores llegan a preguntarse:
si Ultra era tan fantástica, ¿por qué tardaron tanto los aliados en vencer a
Alemania? No caen en la cuenta de que la inteligencia militar no es un factor
que gane batallas por sí sólo. Los norteamericanos conocían las intenciones
japonesas de atacar Midway, pero fueron los portaaviones y los pilotos de caza
los que lucharon para ganar la batalla. Similarmente, el conocimiento sobre la
posición e intenciones de los submarinos de Doenitz no hubiese servido de nada
sin una Armada desplegada en el Atlántico capaz de buscar y batir dichos
submarinos.
La inteligencia permite optimizar los recursos propios, de tal forma que pueda
uno enfrentarse al enemigo en la mejor de las condiciones posibles. Pero ni
siquiera la ruptura de Enigma sirve en un campo de batalla donde los recursos
propios son insuficientes, los mandos incompetentes, o donde la "niebla de la
guerra" se empeña en torcer los planes mejor concebidos.
Existen diversas situaciones que pueden limitar o anular el valor del
criptoanálisis, como ha sucedido en el pasado con la ruptura de Enigma. En
primer lugar, podemos citar casos donde la información no influye en el
desarrollo de los acontecimientos por falta de fuerza para ejecutar una reacción
adecuada. En la Francia de Mayo de 1940 tenemos un buen ejemplo. La poca
información que llegaba procedente de Enigma al comandante del ejército
expedicionario británico en Francia era fragmentada y tardía, pero incluso
entonces no hacía más que expresar lo obvio, a saber: que los ejércitos alemanes
se estaban abriendo paso y no había nada que los aliados pudiesen hacer con las
fuerzas a su disposición. El 26 de Mayo, los criptoanalistas descifraron
diversos mensajes alemanes en los que se detallaban los planes para un ataque
aéreo masivo sobre el área de París. Durante varios días, enviaron al mando
francés información concreta sobre el orden de batalla de los bombarderos y los
cazas de escolta, su ruta de vuelo, altitud, todo. Podemos imaginarnos el
sentimiento de impotencia de los criptoanalistas cuando averiguaron que el
ataque alemán había tenido lugar, exactamente según lo planearon, y los aliados
no hicieron nada por evitarlo. Sencillamente, no disponían de los aviones
necesarios para un contraataque. No, al menos, sin desguarnecer el frente, que
ya se encontraba al borde del colapso.
En abril de 1941, durante la invasión alemana de Grecia, las fuerzas británicas
tuvieron un acceso increíblemente preciso de los planes alemanes. El comandante
británico escribió posteriormente: "teníamos el Orden de Batalla alemán cada
noche, pero desafortunadamente no podíamos hacer nada al respecto, ya que
carecíamos con lo que contraatacar" Si acaso, podría decirse que permitió
retrasar el avance alemán un poco, así como favorecer una retirada ordenada de
las tropas británicas.
En segundo lugar, tenemos casos en los que la inteligencia Ultra se usada en
todo su potencial, pero a pesar de todo la "niebla de la guerra" inclina la
balanza en contra. Otras consideraciones entran en juego, ya las debilidades
propias, ya la fortaleza del enemigo, ya el puro azar, para que el dominio de la
criptografía no baste. Tenemos en Creta un caso típico. Allí, las fuerzas
británicas tenían toda la información necesaria sobre el ataque alemán. Cuando
los primeros paracaidistas alemanes comenzaron a hacer su aparición sobre los
cielos de Creta, el general Freyberg, comandante de la guarnición británica, se
limitó a exclamar "llegan justo a tiempo"
¿Quién perdió Creta? Resulta difícil de apuntar a una sola causa. Algunos
dijeron que "un centenar de radios la hubieran salvado", en alusión a las malas
comunicaciones entre los diferentes puestos ingleses. En efecto, la pérdida de
la línea de comunicación con el cuartel general indujo a las fuerzas que
protegían el aeródromo de Máleme a retirarse. Ello produjo un boquete en el
sistema defensivo que permitió a los paracaidistas alemanes afianzarse en ese
punto y, a la postre, alcanzar la victoria. También puede achacarse parte de
culpa al general Freyberg, quien estaba más preocupado por la posibilidad de un
desembarco que de un ataque de paracaidistas, lo que le llevó a proteger los
aeródromos de forma insuficiente. Los lectores interesados en los pormenores de
la batalla por Creta seguramente encontrarán interesante el libro del
historiador británico Anthony Beevor (hasta donde yo sé, por desgracia, aún no
traducido al castellano).
Con todo, Ultra jugó aquí un papel crucial incluso en la derrota. Convirtió la
derrota de aplastante a por los pelos. Creta fue una victoria pírrica para
Alemania debido al alto coste. El propio Führer declaró al comandante de
paracaidistas alemanes, general Student: "Creta demuestra que la era de los
paracaidistas ha pasado". A partir de entonces, las tropas paracaidistas
alemanas dejaron de participar en las operaciones ofensivas del Eje. De no haber
sido así, la isla de Malta también podría haber caído en manos alemanas, y las
fuerzas inglesas en Egipto se hubieran visto aisladas en el Mediterráneo, con
consecuencias incalculables. La pérdida de Malta bien hubiera impedido a los
aliados atacar los convoyes de suministros que mantenían el Afrika Korps en
acción. Por otro lado, las fuerzas de paracaidistas de Student jugarían un papel
crucial en la operación Market-Garden, ayudando a detener el ataque de
Montgomery en Holanda ... tres años después. ¿Habrían estado allí de haber sido
relegadas a meras tropas de tierra? Hagan sus apuestas.
Un tercer caso de la limitada utilidad de Ultra proviene de situaciones en las
que la información obtenida es incompleta o poco clara. La inteligencia se
convierte así en un factor que, lejos de ayudar a aclarar la situación, no
contribuye más que con confusión adicional. La tragedia del convoy PQ17 es un
buen ejemplo, pero por falta de espacio lo dejaremos hasta el próximo boletín.
CRIPTOGRAFÍA IMPRESENTABLE - Telefónica clónicos
(17 Mayo 2002)
También disponible en el libro "Futuro imperfecto":
http://www.cripto.es/tribuna/futuro-imperfecto.pdf
Cuando usted pone en marcha su móvil, lo único que le interesa es que tenga
cobertura. Pero ¿alguna vez se ha preguntado cómo sabe la red que su móvil es
realmente su móvil? Puede que alguien se esté intentando pasar por usted, lo que
no sería nada divertido a la hora de la factura. En el caso de un teléfono fijo
es sencillo, porque el abonado está al final de la línea. Sin embargo, cuando
"el final de la línea" puede moverse a lo largo de todo un continente, las cosas
cambian.
Es ahí donde intervienen las técnicas criptográficas. Dentro de su tarjeta SIM
hay una clave identificadora de su móvil. Para identificarse, el móvil extrae la
clave y la introduce como dato de entrada en una función o algoritmo de
autenticación. El resultado es enviado a la antena de cobertura más próxima.
Puesto que esa clave es secreta, nadie podrá hacerse pasar por su móvil. O dicho
en otras palabras, su móvil no puede ser "clonado"
Al menos, eso se creía. Por eso, a los telecos les debió sentar como un tiro
cuando tres investigadores norteamericanos descubrieron en 1998 cómo extraer la
clave de la tarjeta. Con un proceso de interrogación electrónica cuidadosamente
diseñado, se las apañaron para obtener la clave de la tarjeta. Inserte usted
dicha clave en otra tarjeta, y habrá conseguido un móvil clonado. No se necesita
más que un lector de tarjetas, un grabador y conocimientos técnicos.
Por supuesto, la industria GSM se apresuró a quitarle hierro al asunto.
Reconociendo a regañadientes el problema, contraatacaron afirmando que dicho
ataque no sería práctico. El que, poco después, el grupo de hackers alemán Chaos
Computer Club afirmase haber conseguido clonar un móvil, no pareció quitarles el
sueño.
A fuer de sinceros, reconozco que clonar un móvil es un proceso técnicamente
complejo. Imaginen ustedes mi sorpresa cuando me encuentro página tras página en
Internet con la receta para clonar un móvil. No hace falta siquiera saber de
criptografía. Basta seguir las instrucciones a piñón fijo. Un programita por
aquí, una lectora de tarjetas por allá, instrucciones de uso y listo.
¿Creen que la industria ha reaccionado a estas alturas? Bueno, déjenme que les
cuente una batallita. El año pasado pedí oficialmente al consorcio GSM los
algoritmos de cifrado y autenticación del sistema, y hace unos días volví a
pedirlos. Pueden encontrarse en Internet sin mayor esfuerzo, pero la respuesta
oficial es la misma ahora que antes: "desafortunadamente, las normas que regulan
la distribución de las especificaciones de los algoritmos GSM solamente me
permiten distribuirlos a los operadores y fabricantes". El amable portavoz que
me atendió vía e-mail reconoció la existencia de la clonación de móviles, pero
como si fuese una actividad marginal y apenas practicada.
Tal vez debería recordarles que en Asia la clonación de móviles GSM es un hecho
cotidiano. El equipo necesario puede comprarse en el mercado negro por diez
dólares USA, así que ya me contarán. Respecto al software que se necesita, no
tiene usted más buscar "GSM cloning" en google.com, y los enlaces aparecen a
millares. Les daría con gusto direcciones españolas si no fuera porque lo mismo
a alguien le da por hacer un escarmiento, y yo no quiero meter a nadie en un
lío. O mejor aún, pregúntenle al grupo sobre seguridad Internet de la IBM, que
hace unos días consiguieron todo un récord: clonar una tarjeta SIM en un minuto.
Para que luego digan que los móviles GSM son seguros.
Probablemente se preguntará dos cosas. La primera es: ¿acaso la industria GSM no
puede hacer nada al respecto? Claro que pueden. Lo primero -negar el peligro- ya
lo intentaron. Ahora anuncian que van a cambiar los algoritmos de cifrado y
autenticación por otros nuevos. Pero, puesto que no van a hacerlos públicos
hasta fin de año, no hay forma de saber si son seguros. Y la segunda pregunta es
¿por qué no me he enterado antes de esto? Puede que sea porque no es el tipo de
noticias que una empresa poderosa quiera que se disemine.
Y, sinceramente, no creo que muchos de los que consideran los móviles
imprescindibles en sus vidas dejen de usarlos solamente porque pueden
clonárselos. Además, aquí lo que importa es que usted se gaste su dinero. Así
que deje de navegar por Internet de una pastelera vez, que ya tarda en ponerse a
enviar mensajitos y en ponerle el tono de Bustamante o del pájaro loco. Hay que
revitalizar la industria.
CRIPTOGRAFÍA IMPRESENTABLE - La seguridad de los teléfonos móviles
http://www.cripto.es/informes/info026.htm (16 Marzo 2001)
[Nota: En los tres años transcurridos desde la redacción de este Informe, muchos
enlaces han desaparecido o han sido cambiados. Las referencias a
www.counterpane.com han sido
sustituidas por las de la página personal de su presidente,
www.schneier.com, donde ahora están
albergadas. Las referencias a jya.com o
cryptome.org pueden ser recuperadas haciendo una
búsqueda en http://cryptome.org]
Con la excepción del venerable (y ya próximo a la jubilación) DES, los
algoritmos de cifrado usados por los teléfonos móviles son los más usados en el
mundo. Cada vez que un usuario echa mano de su móvil, un sofisticado sistema de
protocolos criptográficos se pone en marcha. El objetivo es hacer la
conversación impenetrable a fisgones indeseables, al menos en el tramo de la
conversación comprendido entre el teléfono y la estación base que recibe la
llamada. ¿Cómo son esos algoritmos? ¿De qué tipo? ¿Son seguros?
En este Taller de Criptografía no podíamos menos que involucrarnos en el asunto.
Casualmente, pocas horas antes de escribir estas palabra, el Chapucero Jefe
escuchaba atentamente un noticia en Informativos Telecinco sobre la seguridad de
los teléfonos móviles. El caso es que recientes descubrimientos han puesto en
tela de juicio la seguridad de las comunicaciones móviles. Veamos qué hay de
cierto, y qué de leyenda urbana. No voy a desvelar el final de la película, así
que a ponerse cómodo y a aprender se ha dicho.
Antecedentes y precedentes
Hasta el advenimiento de la telefonía móvil, y con raras excepciones, las
conversaciones telefónicas no han incluido una protección mediante cifrado. Los
motivos son diversos. Aparte las motivaciones conspirativas del tipo "el
gobierno no quiere que cifremos para poder oír todas nuestras llamadas" (que de
todo hay en esta viña), el hecho es que antes de la invención de la telefonía
digital era muy difícil cifrar llamadas. Los sistemas de encriptación actuales
-basados en algoritmos y códigos ejecutados en sistemas informáticos- son
inaplicables en telefonía analógica, ya sea fija o móvil. Sería como intentar
usar Word o Excel en una máquina de escribir.
Existían, eso sí, dispositivos "mezcladores" [scrambler] que permitían
embarullar la conversación de forma que no pudiese ser oída por terceros. Esto
resulta más difícil de lo que parece, puesto que el ser humano tiene una
asombrosa capacidad para "corregir errores" y entender voces incluso fuertemente
alteradas. Los mezcladores existentes estaban destinados a proteger llamadas en
entornos de alto secreto (redes diplomáticas o militares), y ciertamente no
estaban al alcance de ciudadanos de a pie.
Incluso en la década de los noventa, los teléfonos seguros estaban fuera de
límites. Bruce Schneier, en su Applied Cryptography (2ª Edición, 1996) menciona
un teléfono diseñado por la NSA (Agencia de Seguridad Nacional) llamado STU, que
utilizaba sistemas criptográficos de clave pública, y que sería usado por el
Departamento de Defensa de EEUU y sus contratistas. Existe una versión
comercial, pero tiene sus sistemas de cifrado muy debilitados, y una versión
para la exportación, más insegura todavía.
Posteriormente, la NSA volvió a la carga con el Surity 3.600, modelo fabricado
(al igual que el STU) por la AT&T. Su seguridad vendría de la mano del chip
Clipper, que usaba un algoritmo llamado Skipjack. Con su clave de 80 bits,
hubiese sido una buena opción... de no ser por la insistencia por parte del
gobierno de quedarse con una copia de la clave usada por cada teléfono. Aunque
se intentó persuadir a las empresas para que lo usasen como estándar, al final
no fue usado ni por el propio gobierno norteamericano.
Resulta digno de mención el proyecto PGPfone. Fue un intento por parte de Philip
Zimmermann de dotar a las conversaciones de voz transmitidas por Internet de la
misma seguridad que otorga a los mensajes de correo electrónico el programa PGP.
Desafortunadamente, parece que nunca tuvo éxito comercial, y a pesar de los
esfuerzos de Will Price y del propio Zimmermann, no pasó de la versión 2.1 y no
llegó a ser comercializado.
Digital y móvil
Con el advenimiento de la telefonía móvil, el cifrado se convirtió en una
necesidad. Para "pinchar" un teléfono fijo, antiguamente había que introducirse
físicamente en el sistema, sea en la central telefónica, en los cables de
transmisión o en el propio teléfono. ¿Quién no ha visto en una película al
agente federal de turno insertar un micro o pinchar unos cables con clips de
cocodrilo?. Pero si usamos un teléfono móvil, el tramo final de la conversación
(entre la estación base y el teléfono) tiene lugar en el aire mediante
microondas. Estas, a fin de cuentas, no son sino un tipo de ondas de radio, y
pueden ser captadas con un receptor adecuado. La situación no es muy diferente,
en ese sentido, de las conversaciones entre radioaficionados de onda corta.
Así pues, los teléfonos móviles de primera generación (los analógicos) carecían
de protección contra escuchas ilegales. En España, hasta donde yo sé, solamente
Moviline comercializó este tipo de sistemas. Y aunque eran inseguros, no hubo
mucha gente que cayera en ese detalle. A fin de cuentas, eso de liberarnos del
cable y caminar por la calle con el teléfono en la mano y aires de superioridad
era ya novedad suficiente para los usuarios de la nueva telefonía.
Pero como contrapartida, se emitían al éter conversaciones confidenciales de
personas que creían hablar por un teléfono más seguro que los de tipo fijo. En
un caso que se hizo famoso, el dirigente del PSOE Txiqui Benegas sufrió el
pinchazo de su móvil por parte de un grupo de avispados periodistas. El grado de
desconocimiento sobre los problemas de la telefonía móvil analógica era tal que
el propio Benegas se negó a creer que le habían interceptado las llamadas,
replicando que "iba a más de 200 km/h, y es imposible que me hayan pinchado el
móvil." Dejando aparte el riesgo de accidente inherente a una carrera a tales
velocidades por las calles de Madrid, creo que alguien debiera haber informado
al señor Benegas sobre la velocidad de las ondas electromagnéticas...
En cualquier caso, la segunda generación de telefonía móvil aparecía en el
horizonte. Al contrario que su hermana, ésta usaba tecnología digital. Como
consecuencia de ello, el usuario tenía un canal de comunicación más claro y
libre de interferencias. Y más seguro, porque las señales digitales se pueden
cifrar a conveniencia. Recordemos que ello no significa un cifrado durante todo
el recorrido de la llamada, sino solamente entre la estación base y el teléfono
receptor; el resto del camino, la señal va sin cifrar. Pero por fin se pudo
cerrar la "ventana de vulnerabilidad" base-receptor. Al mismo tiempo, se
perfeccionan los sistemas de autenticación, de manera que nadie puede "clonar"
un móvil y hacerse pasar por otro. A cada uno, su móvil ... y su factura.
Pero si hay algo que los fieles lectores de estos Informes habrán aprendido a
estas alturas, es que en el mundo de la criptografía suele haber un buen trecho
entre teoría y práctica. ¿Cómo han respondido los móviles a las pruebas del
mundo real?
El debilucho primo americano
Las siglas GSM son para los europeos sinónimas de móvil digital, pero no sucede
así en Estados Unidos. En 1992, su Asociación de Industrias de
Telecomunicaciones (TIA) desarrolló un conjunto de estándares para la
integración de las tecnologías de cifrado en sus sistemas de telefonía celular
avanzada. Se eligieron los mejores sistemas diseñador por sus mejores técnicos.
Sin embargo, el proceso se llevó a cabo en un ambiente cerrado, sin escrutinio
público y sin revisión por parte de expertos externos. Y, como en muchos otros
casos de "seguridad mediante oscuridad", esto resultó ser una mala idea.
Ya en 1992 se pudo comprobar que el algoritmo usado para el cifrado de voz era
inseguro (esto no significa necesariamente que sea inútil, pero sí que es cuando
mínimo mucho menos fuerte de lo que se suponía que debería ser). Posteriormente
fue atacado el algoritmo usado para cifrar servicios de datos. Y en 1997, se
anunció que su algoritmo CMEA era asimismo inseguro. Para no extendernos en
explicaciones, baste decir que CMEA protegía los números que se pulsaban en el
teclado del móvil, incluyendo los del código de identificación (PIN).
La historia de la ruptura de CMEA y sus repercusiones no tiene desperdicio. Para
empezar, CMEA es un código de cifrado con clave de 64 bits. Eso significa que,
de haber estado bien diseñado, un atacante habría tenido que probar 2^64 claves
distintas. O dicho en lenguaje técnico, tendría un "factor de trabajo" de 64
bits. Sin embargo, David Wagner, Bruce Schneier y John Kelsey mostraron que el
factor de trabajo real estaba entre 24 y 32 bits. Es decir: a todos los efectos,
es como si el algoritmo tuviese solamente entre 24 y 32 bits. Puede hallarse el
artículo que muestra dicho ataque en la página de Bruce Schneier (http://www.schneier.com).
Pongamos el consabido ejemplo del maletín con cerradura de combinación. Una
combinación de tres dígitos que varían entre 0 y 9 nos da un total de 1.000
posibles combinaciones. Así, un ladrón que no conozca la combinación tendría que
probar los 1.000 posibles números. Ahora bien, supongamos que haya un error de
diseño, gracias al cual un ladrón inteligente solamente tuviese que probar las
combinaciones que fuesen múltiplos de tres. Esto significa que solamente habría
que probar 333 números. De repente, la tarea del ladrón se ha hecho tres veces
más fácil. En el caso de CMEA, el trabajo del atacante se ha hecho hasta un
billón de veces más sencillo. Conclusión: las escuchas, que antes eran poco
menos que imposibles, se hacen factibles.
Las reacciones al ataque WSK (Wagner, Schneier, Kelsey) son dignas de pasar a la
historia del disparate. En un comunicado, la CTIA (Asociación de Industrias de
Telecomunicaciones Celulares) se defiende afirmando que:
* el algoritmo de cifrado de voz no fue atacado en esta ocasión. Cierto. Pero
ese algoritmo ya fue atacado en 1992. De hecho, estaba basado en el cifrado
Vigenère, que fue reventado !durante la década de 1850!
* el ataque requiere "conocimientos criptográficos muy sofisticados" Por lo que
yo he visto, cualquier criptógrafo medianamente competente podría entender y
aplicar dichos conocimientos.
* cualquier tecnología desarrollada por una persona puede ser reventada por otra
con la aplicación de la suficiente tecnología. Cierto. Pero me pregunto: si me
venden una puerta acorazada y un atacante consigue abrirla con un abrelatas,
¿sirve esa explicación como consuelo?
* es irrelevante para los usuarios de telefonía analógica. Claro que los
teléfonos analógicos no sufren ataques criptoanalíticos: !no tienen sistemas de
cifrado en absoluto!
* un teléfono con algoritmos de cifrado seguro sería inviable por su coste y
exigencias técnicas. Aunque como afirma Schneier, "se requiere más procesamiento
computacional para digitalizar la voz que para encriptarla."
El lector interesado puede leer por sí mismo el comunicado de la CTIA (http://www.schneier.com/cmea-ctia.htm)
y la respuesta de Bruce Schneier (http://www.schneier.com/cmea-response.htm).
Resulta asimismo muy instructivo leer los comunicados de prensa de algunas de
las empresas fabricantes de teléfonos analógicos. Qualcomm (http://www.schneier.com/cmea-qualcomm.htm),
sin reconocer ni negar la veracidad del ataque WSK, se ratifica en la necesidad
de aumentar la seguridad y privacidad para los usuarios. Pacific Bell Mobile
Services (http://www.schneier.com/cmea-pactel.htm)
afirma tajante que las escuchas telefónicas son actividades ilegales, si bien
tanto esta empresa como Omnipoint (http://www.schneier.com/cmea-omnipoint.htm)
y Powertel (http://www.schneier.com/cmea-powertel.htm)
afirman ser inmunes a este ataque. El motivo es que no usan CMEA ni ningún otro
algoritmo de la TIA. En su lugar, han preferido apostar por una tecnología de
allende los mares, denominada GSM. "Nuestra tecnología pone una sólida barrera
contra intentos de intrusión electrónica", llega a afirmar Omnipoint
Pero como dijo Pedro Navaja, sorpresas te da la vida.
Entra el GSM
Por qué son tan débiles los protocolos criptográficos de los teléfonos móviles
norteamericanos es un tema de debate. Algunos ven tras ello la mano de la
poderosa NSA, que durante décadas se ha esforzado en restringir el uso de
criptografía fuerte. Otros lo explican en términos de simple incompetencia,
sazonada con algo de arrogancia. Probablemente habrá de todo un poco. En
cualquier caso, los ataques anteriormente descritos elevaron la cotización de la
telefonía GSM.
El sistema GSM (Global System for Mobile communications, o Grupe Speciál Mobile,
que en esto no hay unanimidad) fue desarrollado por el Instituto Europeo de
Estándares en Telecomunicaciones ETSI (http://www.etsi.org)
para proporcionar un estándar común a los sistemas de telefonía móvil en el
viejo continente. Al igual que en el caso norteamericano, se incluyeron un
conjunto de protocolos criptográficos para proporcionar tanto confidencialidad
como autenticación. Son los siguientes:
* A3 Es el algoritmo de autenticación. Es el que hace que cada teléfono móvil
sea único. Permite, entre otras cosas, saber a quién hay que cobrar la llamada.
* A5 Es el algoritmo de cifrado de voz. Gracias a él, la conversación va
encriptada. Se trata de un algoritmo de flujo [stream cipher] con una clave de
64 bits. Hay dos versiones, denominadas A5/1 y A5/2; esta última es la versión
autorizada para la exportación, y en consecuencia resulta más fácil de atacar.
* A8 Es el algoritmo que genera claves tanto para autenticación (A3) como para
encriptación (A5). Básicamente, se trata de una función undireccional parecida a
las funciones "hash" (tipo MD5 o SHA-1) que permiten la firma digital en los
documentos electrónicos.
* COMP128 Es un algoritmo que permite funcionar a los A3 y A8. Las
especificaciones GSM permiten el uso de varios tipos de algoritmos como
"corazón" de A3 y A8. COMP128 es uno de ellos. No es el único posible, pero sí
uno de los más usados.
Y ahora, agárrense, porque para entender los ataques contra los algoritmos GSM
hemos de explicar cómo funcionan. No se preocupen, que no vamos a sacar código
fuente ni funciones matemáticas. Simplemente, vamos a explicar los rasgos
básicos de su funcionamiento. Apuesto a que lo hallará bastante instructivo.
Supongamos que usted va tan tranquilo por la calle cuando decide llamar a su
suegra. Inserta su número PIN (si es que no lo hizo con anterioridad), y
mientras usted se pega el auricular a la oreja, en las tripas electrónicas de su
móvil se llevan a cabo los siguientes pasos:
* Su teléfono toma de la tarjeta (SIM) una clave que estaba almacenada en su
interior. Llamaremos Ki a dicha clave.
* A continuación, el teléfono toma ciertos datos aleatorios que se intercambian
entre éste y la estación base más cercana. A este paquete de datos se le suele
llamar "semilla aleatoria" [random seed].
* El conjunto clave+semilla son transformados mediante el algoritmo de
autenticación A3. El resultado de dicha transformación es enviada a la estación
base.
* La estación base autentica la identidad del llamante. Es decir, toma los datos
de semilla aleatoria y la clave del teléfono Ki (que están almacenados a
disposición de dicha estación) y realiza la comprobación.
* Si la estación base ha quedado satisfecha con los resultados de la
comprobación, da vía libre a la comunicación. Toma la clave del teléfono Ki y
una semilla aleatoria para crear una clave de sesión Kc, de 64 bits de longitud.
Esa clave es usada para encriptar la comunicación, gracias al algoritmo A5.
Y eso es todo. El resto son detalles triviales: que el teléfono receptor tenga
cobertura, que no se quede usted sin batería, que no salte el contestador ...
pecata minuta. Los algoritmos han cumplido su función.
Véase, por lo tanto, cómo la autenticación de la llamada recae sobre el
algoritmo A3, en tanto que la confidencialidad de ésta es tarea de A5. Ambos
algoritmos requieren de una clave, generada mediante A8. De hecho, los
algoritmos A3 y A8 suelen tratarse prácticamente como si fuesen uno solo.
¿Y qué pinta el COMP128? Como he dicho, es una de las posibles variantes que se
pueden usar en A3 y A8. Digamos que, si A3 y A8 fuesen un modelo de automóvil,
COMP128 sería uno de los motores que pueden llevar en su interior (TDi,
gasolina, inyección directa, GTi...). Se supone que cada empresa de
telecomunicación puede usar su propio algoritmo. Pero en la práctica, la gran
mayoría de ellas se limitaron a implementar COMP128, que es el algoritmo de
prueba presente en las especificaciones técnicas (Vodaphone, según Marc Briceno,
es una de las compañías que NO utiliza COMP128).
Y ya basta de tecnicismos. Pasemos al ataque
Ataque al A3
Puesto que A3 es el algoritmo de autenticación, su ruptura permitiría "clonar"
teléfonos, es decir, hacer que un tercero utilizase el mismo número de teléfono
que otro ... y le cargase a éste las facturas. Ni que decir tiene que las
telecos se guardarían mucho de permitir que eso ocurriese.
En Abril de 1998, se publicó la noticia de que Ian Goldberg y David Wagner (del
grupo ISAAC de la Universidad de Berkeley), junto con Marc Briceno (de la
Smartcard Developer Association) consiguieron "clonar" un móvil que usaba
COMP128 como algoritmo de A3 y A8. Lo que hicieron se denomina ataque mediante
texto escogido [chosen-challenge attack]. Básicamente, "interrogaban" al
teléfono de forma controlada. Cotejando los datos emitidos por el móvil, los
investigadores consiguieron obtener la clave Ki, que como vimos anteriormente se
utilizaba para autenticación.
El proceso requería acceso físico al teléfono, cierto equipo informático y un
proceso de interacción con el teléfono de unas 8 horas de duración. No es tan
rápido como hacer fotocopias, pero el hecho de que se pudiese extraer la clave
Ki del SIM con poco más de 150.000 interacciones hacía quedar mal tanto al
algoritmo como a sus dueños.
La GSM Alliance contraatacó (http://jya.com/gsm040298.txt)
vigorosamente, intentando cuando menos minimizar los daños (recomiendo leer la
interesante lista de puntualizaciones redactada por Jesús Cea Avión
http://www.argo.es/~jcea/artic/gsm.htm al respecto).En primer lugar, negaron
que el ataque permitiese clonar teléfonos, ya que no se pueden usar dos
teléfonos con el mismo número al mismo tiempo. Esto es discutible, cuando menos,
ya que las redes de telefonía móvil se diseñaron pensando que eso no sucedería,
y muchas simplemente no pueden adaptarse a la nueva situación.
A continuación, se cuidaron de recordar que el ataque requería acceso físico. Es
decir, habría que obtener el teléfono, interactuar con él y devolverlo sin que
su dueño se percatase (ya que llamar para desactivarlo es cuestión de segundos).
Sin embargo, hay que tener un hecho bien claro: un ataque "en el aire"
(interactuando desde el aire, sin acceso físico) no es imposible. De hecho, los
investigadores fueron incapaces de clonar un móvil "en el aire", no porque no
fuese técnicamente posible, sino porque es ilegal. De hecho, David Wagner afirma
que (http://www.isaac.cs.berkeley.edu/isaac/gsm.html):
"Extensas conversaciones con ingenieros de GSM nos hacen concluir que los
ataques 'por el aire' deben ser considerados posible en la práctica para un
atacante sofisticado. No hemos intentado aún construir una demostración de
laboratorio (parece que sería ilegal, bajo las leyes de EEUU, hacer este tipo de
investigación), pero los expertos de GSM con los que hemos hablado han
confirmado que sería posible en teoría y en la práctica. Han informado de que
diversos aspectos de los protocolos GSM se combinan para permitir montar el
ataque matemático de entrada escogida sobre COMP128, si se pudiese construir una
estación base falsa. Tal estación base no necesita soportar todo el protocolo
GSM, y podría ser construida por unos 10.000 dólares"
Es decir, que con un par de millones de pesetas podríamos montar una estación
"de pega" que se dedicase a interrogar a todo móvil que permaneciese unas
cuantas horas en su radio de acción, 24 horas al día.
En algunos puntos las empresas usuarias de GSM tienen razón. Copiar teléfonos
mediante la técnica de interrogación electrónica mediante contacto físico sería
técnicamente difícil, y de resultados limitados, ya que el teléfono clonado no
puede en teoría usarse simultáneamente con el legítimo y no podría, por tanto,
usarse para espiar conversaciones. Pero sin duda tiene muchas aplicaciones. Por
ejemplo, es una buena herramienta para las agencias de espionaje electrónico,
grupos del crimen organizado y, en general, entidades con recursos económicos y
técnicos que tengan necesidad y ganas de complicarse la vida si la recompensa lo
requiriese.
Cualesquiera que fuesen sus resultados en la práctica, el hecho es que el que se
creía invulnerable algoritmo A3 resulta de calidad mediocre; o, para ser más
exacto, el algoritmo COMP128 usado por A3 resulta vulnerable. Resulta
especialmente llamativo el hecho de que COMP128 era un algoritmo secreto. Sin
embargo, los investigadores consiguieron recomponerlo mediante técnicas de
ingeniería inversa y diversos documentos (algunos públicos, otros filtrados de
una u otra forma). Esto no es sino otro recordatorio de que la técnica de
seguridad mediante oscuridad, simplemente, no funciona.
Y si tres científicos norteamericanos pudieron atacarlo, otros podrían copiar
dicho ataque. De hecho, a finales de Abril, el grupo alemán Chaos Computer Club
anunció que había puesto en práctica el ataque a A3 con éxito en una de las
redes alemanas GSM, llamadas D2. Incluso afirmaron que consiguieron conectar a
la red ambos teléfonos (el legítimo y el clonado) simultáneamente.
Como vemos, el esquema de "seguridad mediante oscuridad" simplemente no
funciona. Ya en 1997, dentro de la conferencia Global Communications Interactive
´97, Ilhana Nurkic (http://www.globalcomms.co.uk/interactive/development/21.html)
afirmaba que una de las debilidades en el diseño del sistema GSM era la ausencia
de la resistencia de los algoritmos usados. Y añadía: "Parece que no es posible
un cambio dramático positivo en el clima actual, donde se mantiene el ´mito´ de
la GSM segura... parece que los intereses comerciales y políticos (de cortas
miras) quieren explorar la infraestructura proporcionada por GSM, así como las
soluciones de seguridad fragmentadas y convencionales de tipo GSM (que también
permite la interceptación por motivos de ínterés último´). Como mínimo, los
telecos no podrán decir que no estaban avisados.
Ataque al A5... en varios asaltos.
Como hemos visto, el conocimiento de la clave Ki permite "clonar" teléfonos. En
principio, también permitirían descifrar la conversación, es decir, poder
escuchar lo que dos interlocutores hablan. Esto es posible porque la clave de
sesión Kc (usada para cifrar la llamada) se obtiene mediante la clave Ki y una
semilla aleatoria. Pero habría que obtener esa semilla para cada conversación, y
hay que recordar que el ataque anteriormente descrito requiera horas o días. Y
recordemos que solamente son vulnerables los sistemas que utilicen el algoritmo
COMP128 para autenticación y generación de claves. Por ello, ni los propios
autores estimaron que su método fuese útil en la práctica para interceptar y
descifrar la llamada. Pero se las arreglaron para darnos otro susto.
Como ya se ha dicho, la clave de sesión Kc -usada por el algoritmo A5 para
cifrar las llamadas- tiene una longitud de 64 bits. Esto significa que, si el
algoritmo estuviese bien diseñado, un atacante tendría que probar las 2^64
combinaciones posibles de claves para descifrar el mensaje. Y 2^64 son casi
veinte trillones, una cantidad grande. Está teóricamente al alcance de atacantes
bien organizados, pero sólo mediante esfuerzos enormes tanto en material como en
recursos económicos (véase los Informes 22 y 23). Demasiado trabajo para pinchar
una simple llamada.
Sin embargo, Goldberg, Wagner y Briceno hicieron un inquietante descubrimiento
adicional. Su análisis de los algoritmos del sistema GSM mostraron
inequívocamente que, de los 64 bits de la clave de sesión Kc, !diez de ellos son
siempre iguales a cero! Este debilitamiento, aparentemente deliberado, de la
clave, pone las cosas 2^10 = 1.024 veces más fáciles a un atacante interesado
... como, por ejemplo, una agencia de inteligencia con gran presupuesto. Por
supuesto, la industria no reconoce que sea ése el motivo. En una vuelta de
tortilla, afirmaron que los 10 bits proporcionan una "flexibilidad adicional en
respuesta a amenazas de fraudes y de seguridad." Este debilitamiento se vio en
todos las implementaciones del algoritmo generador de claves A8, incluso las que
no usaban COMP128. Es decir, parece ser una característica global a toda la
infraestructura GSM.
Segundo asalto: nótese que hace dos párrafos aparece el condicional "si el
algoritmo estuviese bien diseñado." Al igual que su primo autenticador, A5 fue
desarrollado de puertas para adentro, en la creencia de que mantener el
algoritmo secreto evitaría que se le pudiese atacar. Parece que nadie les ha
explicado todavía que existe algo llamado ingeniería inversa. Marc Briceno
afirma haber reconstruido el algoritmo A5 en sus ratos libres, a lo largo de
unos pocos meses, bajo un presupuesto de menos de cien dólares.
Podría haberse ahorrado el trabajo. Cuenta Bruce Schneier en su Applied
Cryptography que:
"una compañía telefónica británica dio toda la documentación [sobre A5] a la
Universidad de Bradford sin recordarles que debían firmar un acuerdo de no
revelación. Se filtró aquí y allí, y eventualmente acabó en Internet. Un
artículo describiendo A5 fue [presentado en el congreso CHINACRYPT´94] ..."
Añade Schneier que hubo muchas cosas raras alrededor de A5. Según ciertos
rumores, hubo diversas peleas entre agencias de inteligencias europeas: los
alemanes querían cifrado más fuerte, pero los otros países ignoraron sus
peticiones y acabaron imponiéndose las tesis francesas. Rumores aparte, hay un
ataque criptoanalítico que requiere un total de 2^40 cifrados, y entre 2^40 y
2^45 operaciones informáticas, bien al alcance de los ordenadores actuales de
alta velocidad, o bien de chips construidos a tal efecto. Ya en 1994, el
criptógrafo Ross Anderson abogaba porque A5 se considerase un algoritmo
exportable, ya que parecía ser equivalente en fortaleza a sistemas como RC2 o
RC4 con clave de 40 bits.
A5 tiene dos "sabores": la versión A5/1 (para uso doméstico) y la A5/2 (para la
exportación). No hay que ser un genio para suponer que la versión exportable
estará lo bastante debilitada como para que cualquier agencia de espionaje
electrónico medianamente competente pueda comérsela con patatas.
No he hallado datos sobre la fortaleza teórica de A5/2, salvo un documento
titulado "Informe sobre la especificación y evaluación del algoritmo de cifrado
GSM A5/2" redactado en 1996 por el Grupo de Expertos sobre Seguridad de
Algoritmos [Security Algorithms Group of Experts, SAGE] del Instituto Europeo de
Estándares de Telecomunicación [ETSI]. Dicho documento (código ETR 278) se
prodiga poco en datos técnicos, pero afirma que:
"los resultados de los análisis matemáticos no identificaron características del
algoritmo que pudieran ser explotadas para un ataque de interceptación práctico
en el tramo radio de GSM"
Una de dos: o el grupo de expertos SAGE es una banda de chapuceros o, por el
contrario, hicieron un excelente trabajo de evaluación ante un algoritmo
deliberadamente debilitado. Un ataque diseñado por Wagner, Goldberg y Briceno en
agosto de 1999 mostró que solamente tenía una resistencia equivalente a la de un
algoritmo de 16 bits. Es decir, solamente hay que hacer un esfuerzo
computacional equivalente a probar 66.000 claves, y ya está. En palabras de
Goldberg, "puede ser reventado en tiempo real ... lo mismo daría que los GSM no
llevasen esta algoritmo de privacidad de voz." Efectivamente, un mensaje que
pueda ser descifrado en milisegundos tanto daría que no fuese cifrado.
Un miembro de otro equipo de criptógrafos que criptoanalizó la variante A5/2 con
éxito afirmó "nuestro ataque solamente funciona porque diversas propiedades del
sistema de cifrado son justo las correctas. ¿Casualidad? Muchos lo dudan.
Solamente podemos esperar y ver si las mismas ´coincidencias afortunadas´
funcionan también en un ataque contra A5/1." Ese era el estado de cosas a
finales de 1999, mientras el mundo estaba preocupado por el cambio de milenio (o
no).
Efecto 2000, versión israelí
En Diciembre de 1999, los investigadores israelíes Alex Biryukov y Adi Shamir
(la S en RSA) lanzaron un ataque criptoanalítico sobre A5/1 aprovechando ciertos
"fallos sutiles." Con el título de "Criptoanálisis de A5/1 en tiempo real con un
PC" (http://cryptome.org/a51-bsw.htm),
el
artículo de Biryukov y Shamir sorprendió a los entendidos por la relativa
facilidad con la que se pueden descifrar conversaciones cifradas mediante A5/1.
¿Los medios? Nada de grandes equipos informáticos ni presupuestos
multimillonarios. Esto es lo que necesita el malo de la película para husmear
donde no le llaman: un ordenador personal con 128 Mb de RAM (el artículo
menciona los PC, pero no creo que le hagan ascos a los Mac :-), una capacidad de
almacenamiento equivalente a entre dos y cuatro discos duros de 73 Gb cada uno y
un escáner digital (esto último no se menciona en el artículo, pero sería
necesario para un ataque real).
El ataque precisa de una etapa de cálculo previo consistente en unos 2^48 pasos,
que solamente ha de llevarse a cabo una vez. Una vez hecho, el atacante puede
elegir entre diversos tipos de ataque. En uno de ellos se precisa el equivalente
a un par de segundos de conversación (cifrada), y el ataque requiere unos
minutos. En otro, es preciso obtener dos minutos de conversación, pero el tiempo
del ataque se reduce a apenas un segundo.
No cabe duda que estos datos pueden mejorarse, tal y como sugieren los propios
autores. Una de las cosas que llaman la atención es que NO se aprovechan del
hecho de que 10 de los 64 bits de la clave de cifrado son cero. Es decir, el
ataque valdría hasta para claves que incorporasen lo que la industria denominaba
"flexibilidad adicional" ¿Podría obtenerse un resultado más rápidamente para una
clave de 54 bits efectivos? Hagan sus apuestas.
Como puede uno imaginarse, un ataque criptoanalítico prácticamente en tiempo
real, al alcance de cualquiera que sepa leer inglés, programar y disponga de un
ordenador de sobremesa y unos 150 Gb no es lo que denominaríamos trivial. Pero
no parece que la industria de telecomunicaciones pierda el sueño por ello. En un
artículo del New York Times de 7 de Diciembre, un portavoz de Ominpoint (la que
presumía de ser inmunes a los ataques contra el algoritmo CMEA, ¿recuerdan?)
calificó los resultados como "ridículos... lo que describen es un ejercicio
académico que nunca funcionaría en el mundo real."
El lector interesado puede leer los comentarios de Gregorio Álvarez Marañón
(Boletín del Criptonomicón, nº 62
http://www.iec.csic.es/criptonomicon/susurros/susurros15.htm) y Bruce
Schneier (Crypto-Gram 15 Diciembre 1999
http://www.counterpane.com/crypto_gram_9912.html; existe traducción en
Kriptópolis: Cripto-Grama nº 20
http://www.kriptopolis.com/criptograma/cg.html)
Al día de hoy, centenares de millones de teléfonos GSM siguen funcionando por
todo el mundo. Puede que usted sea usuarios de este tipo de tecnología. Puede
que, antes de leer este informe, se creyese a salvo de oídos indiscretos gracias
a tanto código de bloqueo y desbloqueo, PIN, PUK y similares. Le pido disculpas
por haberle robado su tranquilidad. Pero eso es lo que hay. ¿Y qué quiere que le
diga? Se supone que los expertos sabían hacer su trabajo.
¿Lo saben todavía?
3G: la nueva generación
La tecnología analógica constituyó la "primera generación" de telefonía móvil.
La telefonía digital (GSM) fue la segunda. Ahora se está preparando la tercera
generación (llamada UMTS o 3G), que nos promete acceso móvil a Internet,
videoconferencia y un sinnúmero de maravillas. A la vista de la historia
reciente, cabe preguntarse si veremos cometerse los mismos errores.
En un principio, también los algoritmos de la telefonía de tercera generación
(llamémosla 3G) fueron mantenidos en secreto. Pero en Septiembre de 2000, la
ETSI publicó un comunicado (http://www.etsi.org/press/algo3gpp.htm)
en el que anunciaba la distribución de los algoritmos de confidencialidad f8 e
integridad f9 que protegerán el tramo aéreo en las futuras comunicaciones 3G.
Tambíen se han hecho públicos los detalles de funcionamiento del conjunto de
algoritmos para autenticación y generación de claves (f1, f1*, f2, f3, f4, f5 y
f5*). En realidad, la estructura 3G es bastante más compleja que la GSM a
efectos de confidencialidad y autenticación, así que pido disculpas si cometo
algún error. Vamos allá.
La seguridad en 3G será tal que no será necesario que todos los operadores usen
los mismos algoritmos para autenticación o intercambio de claves. El problema es
que lo mismo sucedió en el caso de GSM, y los operadores se limitaron en su
mayoría a adoptar el algoritmo proporcionado como ejemplo. No obstante, a la
vista de los documentos que he leído, parece que esta vez se toman más en serio
la posibilidad de elegir algoritmos "a la carta."
En el caso de 3G, el conjunto de algoritmos de autenticación y generación de
claves sugerido como ejemplo se denomina MILENAGE. Este es un conjunto
construido alrededor del cifrado en bloque conocido como Rijndael. Existían
buenos motivos para elegir Rijndael: tiene clave de
128 bits, ha sido bien estudiado, es de dominio público (es decir, carece de
patentes que puedan limitar su uso), es eficiente tanto en funcionando en
hardware como en software, y en el momento de ser propuesto era uno de los
finalistas para ser elegido como Estándar de Cifrado Avanzado (AES), el sucesor
del ya caduco DES. Esto último significa que Rijndael ya sido extensamente
atacado por la comunicad criptográfica, y que por tanto Milenage no se
convertiría en otro algoritmo desarrollado en secreto.
Aunque el grupo SAGE no lo sabía en ese momento, estaban dando en el clavo.
Rijndael fue finalmente escogido por el NIST (Instituto Nacional de Estándares y
Tecnología) norteamericano como algoritmo AES. Esto significa que el núcleo de
la seguridad 3G es el mismo algoritmo que será difundido para todo tipo de
aplicaciones de cifrado, y por lo tanto será uno de los más ampliamente
estudiados de la historia.
Como contrapartida, la confidencialidad e integridad en el intervalo aéreo
(entre el móvil y la estación base) es tarea reservada al algoritmo KASUMI.
Traducible como "niebla", Kasumi parece ser un algoritmo en bloque de 128 bits
que tiene ciertos derechos intelectuales. La ausencia de ataques conocidos hasta
ahora contra Kasumi significa una de dos cosas: o bien yo soy un manta buscando
información :-(, o bien no existen hasta la fecha.
A falta de más datos, quiero pensar que este algoritmo ha sido bien diseñado.
Personalmente, hubiese preferido un algoritmo más conocido y usado (por ejemplo,
el mismo Rijndael), pero reconozco que me baso en los prejuicios. En cualquier
caso, es bueno que el algoritmo Kasumi haya sido hecho público, de forma que la
"seguridad mediante oscuridad" sea sustituida por la alternativa "luz y
taquígrafos" que tan buenos resultados ha dado hasta ahora para separar el trigo
de la paja.
Y ahora, querido lector (o mejor: después de leer este Informe) puede usted
echarle un vistazo a los algoritmos. Janows Csirij, de la AT&T Labs Research,
mantiene una introducción a la seguridad en 3G, junto con enlaces a Milenage y
Kasumi, en
http://www.research.att.com/~janos/3gpp.htm. La ETSI, entidad co-custodia de
los algoritmos f8 y f9, los tiene en un enlace en
http://www.etsi.org/dvbandca. Y puede
leer un artículo sobre la resistencia de Kasumi a los ataques de criptoanálisis,
escrito por Johan Wallén de la Universidad Tecnológica de Helsinki, en
http://www.niksula.cs.hut.fi/~jwallen/kasumi/kasumi.html. Pasen y pónganse
cómodos.
Palabras finales (por ahora)
Debemos ahora bajarnos del limbo de las abstracciones criptográficas y poner los
pies en el suelo. Incluso si Kasumi, Rijndael y toda su cohorte de algoritmos
funcionan perfectamente, y aún si el esquema de seguridad para la telefonía 3G
soporta los embates del mundo real debemos tener presentes que la conversación
solamente es segura en el trayecto que va de la estación base al móvil. Durante
el resto del trayecto (de la estación base de un interlocutor a la del otro), la
conversación viaja sin cifrar. Esto significa que cualquier persona o entidad
con acceso a la red telefónica podrá pinchar las llamadas. Nuestra privacidad
sigue sin estar garantizada más que a trozos.
Y un aviso final. No crean que tanta autenticación y cifrado sirve para mantener
sus comunicaciones a salvo de los oídos del Estado. Todos los sistemas de
comunicación actuales incluyen sistemas para el llamado "acceso legal", de forma
que una autoridad policial pueda espiar en la conversación haya o no cifrado de
por medio. En el caso de la telefonía 3G, los requisitos sobre "interceptación
legal" han sido plasmados en los documentos TR33.106 y TR33.107. Por cierto, una
de las referencias contenidas en dichos documentos se denomina Resolución del
Consejo de la Unión Europea sobre la Interceptación Legal de las
Telecomunicaciones de 17 Enero de 1995. Esta Resolución fue ampliada en 1999 y
se hizo muy conocida bajo el nombre de resolución Enfopol. Tal vez hayan oído
hablar de ella.
Inauguramos esta sección participativa con los datos sobre el concurso del mes
pasado. Como recordaréis, se incluyó un mensaje oculto en uno de los artículos,
escondido esteganográficamente por medio del programa Stego que ha preparado uno
de nuestros lectores, Francisco Gómez Carrasco. Cinco lectores se aprestaron a
enviar sus respuestas. No sé si los demás encontraron dificultades, o
sencillamente les entró la pereza feroz :)
La frase en cuestión era: "El Gran Hermano vigila ... pero a veces se queda
traspuesto"
La primera respuesta no se hizo esperar, y llegó cruzando el charco a velocidad
de vértigo. El ganador ha sido Gabriel Di Vito, de Argentina, y queda nombrado
Lector Enigmático del mes, lo que le otorga el privilegio de invitar al editor
de este boletín Enigma a una ronda de cervezas cada vez que se lo encuentre por
la calle -:) La medalla de plata es para José Luis L.S, quien perdió la primera
posición por muy escaso margen. En cuanto a la medalla de bronce, también cruza
los mares y aterriza en el cuello de Gonzalo Artemio, de Mar del Plata,
Argentina. Según parece, la delegación argentina de lectores de este boletín,
aunque minoritaria en número, es muy activa.
También tenemos una aclaración por parte de un lector ocasional. En el boletín
17 se introducía el libro "Poligrafía", de Francisco de Paula, escrito en 1808.
Me preguntaba qué sería el oropimente, y cuántos litros serían un azumbre. De no
ser por vagancia pura y dura, podría haberlo averiguado yo mismo, pero Ramón
Peiró me ha ahorrado el trabajo. Al parecer, el oropimente es una sustancia
química conocida hoy día como sulfuro de arsenio. En cuanto al azumbre, es una
medida de volumen equivalente a unos dos litros (2,016 para ser más exactos).
Así que ya tenéis más datos para intentar reproducir las tintas simpáticas que
nos relata Paula en su libro. ¿Se atreverá alguien? Eso sí sería para
medalla...
LIBERTAD VIGILADA - Un satélite para espiar a ETA
[Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso
del autor. Más información en
http://www.libertadvigilada.com]
Segunda parte, capítulo 21:
Apenas unos días después de los atentados del 11 de septiembre, fueron
capturados en distintos puntos de España varios supuestos terroristas de una
"célula durmiente" de Al-Qaeda que, en realidad, eran presuntos integrantes del
Grupo Salafista para la Predicación y el Combate argelino, uno de los grupos
integrados en la banda de Ben Laden. Eran los amigos de Mohamed Bensakhria,
detenido en junio de ese mismo año en Alicante y, por tanto, también debían
conocer a Mohamed Atta, uno de los pilotos suicidas de la masacre de las Torres
Gemelas, que viajó a España en sendas ocasiones a lo largo de 2001. A partir de
esa fecha, numerosas informaciones en la prensa fueron aportando indicios sobre
la intensa relación entre ETA y Al-Qaeda. Por su parte, el Gobierno español
facilitó a Estados Unidos abundantes informes sobre grupos terroristas árabes.
El CESID, ahora Centro Nacional de Inteligencia, es una de las agencias de
espionaje mejor informadas en ese terreno ya que, para España, los movimientos
en los países árabes tienen implicaciones para la seguridad nacional debido a su
cercanía geográfica.
Como contrapartida, parece que Estados Unidos cumplió su promesa y activó el
sistema "Echelon" para espiar a ETA, como había insinuado el ministro de Asuntos
Exteriores, Josep Piqué, tras la visita de George W. Bush a España en junio de
2001. El domingo 14 de octubre, el periodista y escritor Gordon Thomas publicó
un reportaje en el diario El Mundo donde desvelaba algunos detalles de la
operación. Según Thomas, el miércoles 10 de octubre de 2001, a las 00.00 GMT,
una hora más en la España peninsular, "el mecanismo interno de uno de los 95
radares operativos en Menwith Hill, oculto tras una enorme esfera con forma de
gigantesca pelota de golf, comenzó a emitir un tenue zumbido electrónico. Era el
sonido inaugural de la colaboración en la lucha contra ETA que EE.UU. acaba de
ofrecer a España". Como ya se hamencionado, la base de Menwith Hill, situada en
el centro de Inglaterra, y es uno de los puestos más importantes de la red "Echelon".
[1]
El satélite al que se refería Gordon Thomas puede guardar relación con el que se
lanzó, el 5 de octubre de 2001, desde la base de la Fuerza Aérea Norteamericana
situada en Vandenberg, California. Un cohete de carga Titán 4B lo puso en
órbita, según recoge la página de Internet de la Oficina Nacional de
Reconocimiento (National Reconnaissance Office, NRO), una de las agencias de
inteligencia norteamericanas que se dedica, exclusivamente, al espionaje
espacial. Dirigió la operación el coronel Stephen Wojcicki, director del
departamento de Lanzamientos Espaciales de la NRO. [2]
Esta operación fue la segunda de tres consecutivas organizadas por la NRO y
llevadas a cabo desde la citada base militar californiana y desde Cabo
Cañaveral, en Florida. El primer satélite de esta serie se lanzó el 8 de
septiembre desde Vandenberg. Una nave propulsora Atlas 2AS puso en órbita un
artefacto diseñado para la "interceptación de señales", según el veterano
periodista Jim Banke, editor de la publicación en Internet Space.com. El
segundo, que se correspondería con el mencionado por Gordon Thomas, fue lanzado
también desde la misma base. Según Banke, la misión más probable de ese satélite
sería "la captación de imágenes desde el espacio". El tercero se puso en órbita
el 10 de octubre desde la base de la Fuerza Aérea de Cabo Cañaveral, Florida.
También fue impulsado por un cohete Atlas 2AS y su ambigua misión era la de
soportar "la transmisión de comunicaciones", según la misma fuente. [3]
En su reportaje, Gordon Thomas citaba al director del programa de Ciencia y
Medio Ambiente de la Universidad de Nueva York, William Burroughs, también
especialista en vigilancia espacial, quien dijo que "en términos prácticos
(estos satélites) son capaces de mirar a través de una ventaja de una pequeña
calle de Bilbao, o pueden escuchar una conversación en el interior de un coche
que viaja por carretera hacia Santander". Burroughs se refería al segundo
satélite de los tres mencionados, el que fue lanzado el 5 de octubre y empezó a
transmitir, según Gordon Thomas, el día 10 de octubre de 2001. Sin embargo, una
fuente de inteligencia española confirmó que el satélite norteamericano puesto a
disposición de España es capaz de interceptar hasta sesenta mil comunicaciones a
la vez, lo que se asimila al estándar del mejor equipo de interceptación de
comunicaciones fabricado por Applied Signal Technology, Inc. (AST), empresa
proveedora de la NSA y ya citada con anterioridad.
Tales aclaraciones confirmarían la hipótesis de que al menos dos de los tres
satélites lanzados entre septiembre y octubre de 2001 operan conjuntamente para
espiar a ETA. De acuerdo con Jim Banke, el primero de ellos se ocuparía de la
"interceptación de señales", y según los datos y testimonios recabados durante
nuestra investigación, estaría controlado desde la Tierra por un sistema que
puede captar hasta 57.600 comunicaciones simultáneas, siguiendo con exactitud
los estándares de AST, lo que vendría a ratificar lo dicho por una fuente de la
inteligencia española. Asimismo, el segundo satélite, dedicado a la
"observación", estaría dotado con una potente cámara de infrarrojos y micrófonos
láser para dar seguimiento a los objetivos. El tercero, dedicado a "transmitir
comunicaciones" según Jim Banke, no parece que tenga que ver con los otros dos,
al menos por la información que pudimos recabar.
Una valiosa fuente norteamericana dijo bajo anonimato que los agentes españoles
no tienen acceso directo a la tecnología necesaria para operar estos satélites
en tierra, lo que confirma las palabras de un directivo de Applied Signal
Technology, quien aseguró que el Gobierno de Estados Unidos no había autorizado
la exportación a España de equipos fabricados por AST para la interceptación de
las comunicaciones. "Norteamérica autoriza a exportar esta tecnología sólo a
unos cuantos países aliados, pero no a España", afirmó. Esta fuente dijo durar
de la veracidad del reportaje de Gordon Thomas y subrayó que, de ser cierto lo
publicado, la relación entre los servicios de inteligencia seguiría esta
fórmula: "Los españoles dicen qué es lo que quieren, los norteamericanos lo
buscan y les entregan los informes terminados."
Al parecer, la puesta en marcha de este presunto operativo de espionaje espacial
contra ETA puso en peligro la cooperación hispano-norteamericana en asuntos de
inteligencia. La controversia se produjo, precisamente, como consecuencia de la
publicación del reportaje de Gordon Thomas en El Mundo. Una fuente política
española dijo que la noticia "fue una filtración del Gobierno español". Según
afirmó, en Estados Unidos "montaron en cólera" y "Washington pidió explicaciones
a Madrid", pero "nadie supo qué decir". A su juicio, "lo hicieron (el Gobierno
español) para sacar pecho y decir: 'así nos ayudan los amigos norteamericanos'
". Una fuente española de inteligencia también lo confirmó en términos similares
e incluso señaló a un departamento concreto como posible fuente de la
filtración, pero por prudencia hemos preferido no desvelar ese dato.
El mismo día que se publicó la noticia, el embajador español en Estados Unidos,
Javier Rupérez, esperaba la llegada a Washington del entonces ministro del
Interior, Mariano Rajoy, que tenía previsto reunirse con varios altos cargos de
la Administración Bush. La legación ya había recibido el resumen de prensa
habitual desde Madrid, donde se incluía el reportaje de Gordon Thomas. En España
se celebraba el Puente del Pilar, de modo que el país estaba a medio gas. Ni
siquiera el Gobierno suponía que su publicación podía generar cierta polémica,
pero el embajador parece que sí era consciente. Al menos, eso se deduce de sus
palabras. En declaraciones a la Agencia Efe, no se sabe en respuesta a qué
pregunta, el diplomático dijo que "la experiencia española demuestra que es
posible la lucha eficaz contra el terrorismo junto con la defensa de los
derechos y las libertades de los ciudadanos". [4]
Parece que Rupérez se estaba poniendo la venda antes de que la herida manara
ríos de tinta en España. Era muy posible que se creara una corriente de opinión
en contra del espionaje electrónico supuestamente puesto en marcha por EE.UU:
para actuar sobre territorio español. Muchos ciudadanos quizá no estarían de
acuerdo en que una constelación de satélites observen día y noche los
movimientos de todos para, en principio, detectar sólo a los miembros de ETA y
de cualquier otro grupo terrorista que se esconda en España. El embajador estaba
seguro de que algún medio de comunicación protestaría, sobre todo en el País
Vasco. El diplomático, víctima de ETA muchos años atrás, cuando fue secuestrado
en 1979 por la banda terrorista en Madrid y retenido contra su voluntad durante
32 días hasta su liberación en Burgos, sólo estaba haciendo lo que creía su
deber.
Pero pese al celo de Rupérez, ningún medio de comunicación en España siguió la
ola informativa iniciada por el diario El Mundo. Al día siguiente, todos los
periódicos obviaron el reportaje de Gordon Thomas, aunque algunas publicaciones
en Internet se hicieron eco del asunto. Tampoco las agencias informativas
reprodujeron la noticia en sus teletipos. Es muy probable que el Puente del
Pilar hiciera sentir sus efectos en las redacciones, siempre mermadas de
periodistas durante los días festivos. Asimismo, la dificultad para confirmar
una noticia tan complicada seguramente impidió que los medios españoles pudieran
hacerse eco de ella. Sin embargo, sí se informó en España sobre la visita a
Washington del ministro del Interior. El entonces máximo responsable de la
política antiterrorista se reunió con el fiscal general de Estados Unidos, John
Ashcroft, el director del FBI, Robert Muller, y el vicepresidente, Dick Cheney.
Trataron aspectos de la colaboración contra el terrorismo. Tras sus encuentros,
Mariano Rajoy declaró que "en materia de lucha antiterrorista, necesitamos más
medios técnicos y
nuevos avances tecnológicos". [5]
Un mes más tarde, el director del CESID, Jorge Dezcallar, viajó a Estados Unidos
para impulsar la cooperación con las principales agencias norteamericanas de
espionaje y reiterar, según publicó el diario El País, una reivindicación
histórica del servicio secreto español: el acceso a tecnologías de última
generación en sectores como las comunicaciones y los programas de cifrado y
descifrado. Dezcallar visitó las sedes de la CIA, en Langley (Virginia), y de la
NSA, en Fort George Meade (Maryland), donde se reunió con sus respectivos
responsables, George J. Tenet y el teniente general de la Fuerza Aérea Michael
V. Hayden. El director del CESID, ahora Centro Nacional de Inteligencia, viajó a
Estados Unidos acompañado por uno de los principales expertos del centro en
"tecnologías sensibles". Según la citada información, el acceso a este tipo de
tecnologías en materia de espionaje era una de las reivindicaciones que el
Gobierno español había puesto sobre la mesa en las negociaciones para la
revisión del Convenio bilateral de Defensa de 1988, que el presidente del
Gobierno, José María Aznar, quería que culminaran antes del finales de 2001. El
propio presidente visitó Washington el 28 de noviembre y se reunió con George W.
Bush en la Casa Blanca. Al término de este encuentro, Aznar dijo que "todos los
mecanismos de cooperación en operaciones de inteligencia están puestos en
marcha". [6]
[1]. Gordon Thomas, "EE.UU. ya espía a ETA" Op. cit.
[2]. "National Reconnaissance Office Satellite Successfully Launched", 9 de
octubre de 2001. Agencia Nacional de Reconocimiento. Archivo de Noticias.
Disponible en: http://www.nro.gov
[3]. Jim Banke, "NRO wellcomes Yet Another Spy Satellite to Earch Orbit". 10 de
octubre de 2001. Disponible en el archivo de noticias de:
http://www.space.com
[4]. Agencia Efe. "EE.UU.-ESPAÑA / Rajoy llega a Washington para reunirse con
Cheney y Ashcroft." Teletipo. Washington, 14 de octubre de 2001.
[5]. Agencia Efe. "EE.UU.-ESPAÑA / Rajoy pide a EE.UU. más medios tecnológicos
en la lucha contra ETA." Teletipo. Washington, 15 de octubre de 2001.
[6]. Miguel González, "El director del CESID viajó este mes a Washington para
pedir el apoyo técnico de la CIA y la NSA". El País. Viernes, 30 de noviembre de
2001
El
boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige
por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual.
Se permite su libre copia, distribución y comunicación para fines no lucrativos,
citando nombre y referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA