Boletín ENIGMA - nº 66
1 de Marzo de 2009
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_66.htm
NOTICIAS DE ACTUALIDAD - Concurso SHA-3: primera ronda
NOTICIAS DE ACTUALIDAD - Las Enigmas españolas ven (finalmente) la luz
NOTICIAS DE ACTUALIDAD - La seguridad de Skype
!Ya estamos de vuelta! Para aquellos que no os acordéis, esto es el Boletín
ENIGMA, una publicación electrónica para los aficionados al campo de la
criptología, tanto técnica como histórica.
El último boletín salió ya hace tres meses. Me gustaría sorprenderos con grandes
cambios y novedades, pero no es así. El parón invernal fue motivado por el
cansancio puro y duro. Tenía demasiada carga encima, tanto de trabajo como de
proyectos de tiempo libre, y me vi obligado a hacer un pequeño descanso. A eso
hay que unir un desastre informático -en realidad, dos- que casi me deja fuera
de combate. Felizmente no fue así, y tras una temporadita de ajustes estamos de
nuevo en el aire.
A juzgar por el volumen de mensajes recibidos estos tiempos, no parece que me
hayáis echado de menos. Malos, que sois malos. Pero que no suene como que estoy
mendigando aplausos, aunque sí me gustaría volver a elevar el nivel de
participación de los suscriptores (esos sois vosotros). Mientras tanto, sigamos
con los asuntos habituales.
En esta ocasión, el boletín viene cargado de noticias de actualidad. En
realidad, no tenemos otra cosa hoy. De todos modos, un de los artículos está
relacionado con las venerables máquinas Enigma. Concretamente, a las que
aparecieron en Madrid hace unos meses. El Taller de Criptografía se ha metido en
el Cuartel General del Ejército y os trae no sólo un artículo, sino también
fotos en exclusiva que ya están disponibles en la web.
Tenemos una baja en nuestras filas. El capítulo habitual del libro "Libertad
Vigilada" desaparece. El motivo es que, sencillamente, ya no quedan más.
Agradezco a su autor, Nacho García Mostazo, su permiso para incluirlo en el
Boletín, y aprovecho para preguntarle: Nacho, ¿dónde está mi jamón? !Lo digo en
serio!
Quedamos en un compás de espera mientras encuentro otro libro que sea de interés
para todos ... y cuyo escritor no desee denunciarme por plagio. Y ya me retiro,
que el Boletín pide paso. Sea.
NOTICIAS DE ACTUALIDAD - Concurso SHA-3: primera ronda
El
lector veterano recordará cómo, en diversas ocasiones, hablamos acerca de las
funciones resumen, o hash. Sus aplicaciones en firma digital hacen que en
ocasiones resulte incluso más relevantes que los algoritmos de cifrado. Sin
embargo, habitualmente han recibido poca publicidad, como si se tratase de algo
accesorio y de segunda fila.
Nada más lejos de la realidad. En el último boletín, por ejemplo, mostramos cómo
pueden ser usadas para efectuar registros en ordenadores, con lo que ello
significa desde el punto de vista legal ("Hashing y búsquedas razonables",
Boletín ENIGMA 65). El pasado Diciembre se hizo público en el Chaos
Communication Congress cómo se pueden aprovechar las debilidades del algoritmo
MD5 para falsificar certificados digitales, noticia de la que daremos buena
cuenta en otro momento (aunque los impacientes pueden ir abriendo boca con el
buen hacer de los chicos de Security by Default, en español:
http://www.securitybydefault.com/2008/12/md5-tocado-hundido-y-encima-muere.html).
El propio algoritmo SHA-1 se halla en entredicho, debido a algunos ataques
recientes. De hecho, el equipo del Taller de Criptografía participa desde sus
inicios en el "SHA-1 Challenge", un reto de computación distribuida para
encontrar colisiones en dicho algoritmo. Está patrocinado por la Universidad
Técnica de Graz, y en este momento nuestro equipo se encuentra en una meritoria
68ª posición. Quienes deseen apuntarse, pueden hacerlo siguiendo las
instrucciones disponibles en
http://www.cripto.es/enigma/boletin_enigma_54.htm#2, y no quiero tener que
pasar lista, ejem.
Estos y otros problemas han hecho que los expertos del ramo sugiriesen la
necesidad de jubilar no sólo al algoritmo de hash MD5 sino al más robusto SHA-1.
La idea es que SHA-1 es todavía adecuado, pero más vale prevenir (V. Boletines
ENIGMA 31, 35, 50 y 54 para más información sobre SHA-1). Y dicho y hecho, el
NIST (instituto de estándares de EEUU) ha establecido un concurso para
seleccionar una nueva función hash, del mismo modo que en su momento hizo para
sustituir al venerable DES por el reluciente Advanced Encryption Standard (AES).
De momento, el nombre que se baraja para el ganador es SHA-3.
Como ya informamos en su momento (Boletín ENIGMA 56), el proceso es largo. Los
diversos algoritmos han de ser seleccionados, evaluados y estudiados a fondo. No
se trata tan sólo de cuál es el que tiene más bits, sino que se deben tener en
cuenta muchas propiedades: resistencia a colisiones, rapidez tanto en hardware
como en software, uso de memoria y muchos otros. Condición sine qua non es la de
ser público y perfectamente conocido, lo que incluye el algoritmo completo,
vectores de prueba y todas las especificaciones necesarias. Luz y taquígrafos,
en suma.
La fase preliminar del concurso (presentación de candidatos) se cerró el 30 de
Octubre de 2008. Ha sido todo un acontecimiento: nada menos que 64 funciones
candidatas. No tenemos información acerca de ocho de ellas, lo que resulta
curioso considerando que es un concurso abierto y público.
Para refrescar conceptos, sean M el mensaje, H la función y h=H(M) el valor de
dicha función al aplicarlo sobre H. Las propiedades que han de cumplir las
funciones hash son esencialmente las siguientes:
1) Dado un valor h, ha de ser inviable hallar el mensaje M que cumpla que h=H(M)
2) Dado un valor M, ha de ser inviable hallar otro mensaje M' que cumpla que H(M)=H(M')
3) Dados dos valores M, M', ha de ser inviable que H(M)=H(M')
Cuando no se cumple la propiedad 1, se dice que tenemos un ataque de PREIMAGEN
(o más correctamente de PRIMERA PREIMAGEN). La violación de la condición 2 se
denomina ataque de SEGUNDA PREIMAGEN, y la ruptura de la condición 3 se denomina
COLISIÓN (o más correctamente, COLISIÓN FUERTE). Cuando un atacante de la
condición 2 conoce el mensaje M además del hash m, se denomina COLISIÓN DÉBIL.
Como aclaración a mis lectores, la violación de la condición 3 es lo que en el
Boletín ENIGMA 31 llamé "colisiones de cumpleaños ("SHA-1 y las colisiones de
cumpleaños", Boletín ENIGMA 31).
Varias de las 64 funciones hash presentadas a concurso han caído ya. Ocho de
ellas han desaparecido por motivos desconocidos, y otras cinco han sido
retiradas antes de pasar a la "primera ronda." De las 51 restantes, más de la
mitad presentan algún tipo de vulnerabilidad; en diez de ellas, sus propios
diseñadores han reconocido su vulnerabilidad (tres eran susceptibles de ataques
de segunda preimagen, y las otras siete presentaban colisiones). Eso no
significa que todas esas funciones hayan de ser descartadas, ya que algunas de
dichas vulnerabilidades son poco relevantes; por otro lado, al menos una docena
son graves, ya que se conocen ataques prácticos contra ellas.
En cualquier caso, cada fallo en las funciones hash será observado con lupa, ya
que los ataques contra funciones criptográficas solamente empeoran. Si hoy hay
un ataque sin consecuencias, mañana puede aparecer otro más grave. Hace unos
días se descubrió que al menos dos de esas funciones son susceptibles de errores
por desbordamiento de búfer (buffer oveflow). Uno de ellos, llamado MD6, ha sido
desarrollado por un equipo dirigido por nada menos que Ron Rivest (sí, el R de
RSA). El algoritmo Skein, de nuestro estimado Bruce Schneier, fue revisado para
corregir dos pequeños fallos. Lo que demuestra que ni los mejores en este campo
se las deben tener todas consigo.
Además de la fortaleza contra colisiones y preimágenes, los algoritmos serán
considerados en función de otros parámetros como la facilidad de uso, cantidad
de memoria útil y rapidez entre otros. Según una clasificación reciente, uno de
los más rápidos en software es Blue Midnight Wish, literalmente traducible como
"Deseo Azul de Medianoche" (¿quién dijo que los criptógrafos no eran poéticos?),
cuyas iniciales hacen honor a su rapidez: BMW. El algoritmo de Schneier, Skein,
es asimismo uno de los más veloces, junto a otros bichos con nombre tales como
Edon-R o EnRUPT; en el otro extremo, Rivest y su MD6 alcanzan aquí resultados
más bien pobres.
En estos momentos, los algoritmos seleccionados para la primera ronda están
siendo analizados en la "First SHA-3 Conference" celebrada en Leuwen, Bélgica
dentro del congreso Fast Software Encryption. A partir de ahí, se abre un
período de aproximadamente un año durante el cual todos los criptoanalistas del
mundo (de hecho, cualquier persona) puede enviar sus comentarios. Será lo que
Schneier denomina un "derby de demolición", donde los mejores irán destacando y
los peores serán eliminados. Pero no es un concurso estilo "Los Inmortales",
donde sólo puede quedar uno. La idea es ir adelgazando la lista hasta unos 10-20
candidatos. Sólo puede haber una función SHA-3, pero seguro que las finalistas
serán también consideradas por la industria. Algo así como Operación Triunfo,
donde el ganador no es el único que vende discos.
NOTICIAS DE ACTUALIDAD - Las Enigmas españolas ven (finalmente) la luz
Durante la Guerra Civil Española, las fuerzas nacionales recibieron un cierto
número de máquinas de cifrado Enigma para proteger sus comunicaciones. Hay
diversos indicios de esto, desde los testimonios del historiador Domingo Pastor
Petit (quien ya en los años 70 afirmó haber visto algunas) hasta los archivos
británicos, que muestran los esfuerzos que hicieron contra esas máquinas. Ver.
p. ej. "Dilly Knox, maestro criptoanalista", en el Boletín ENIGMA nº 53. Menos
claro queda hasta cuándo fueron usados, si bien se barajan las fechas de los
años cincuenta para su retirada. Desde entonces, desaparecieron. Nadie sabe
dónde fueron a parar.
O casi. En el Museo de Historia Militar de Madrid (ahora en fase de traslado a
Toledo), su sección sobre la División Azul mostraba una Enigma comercial, modelo
K, número de serie A-1216. Según la documentación existente, fue remitida en
2003 por el Centro Nacional de Inteligencia. Un examen realizado por este que
firma, gracias a un permiso de dicho museo, revela que sus rotores son los
mismos que los del modelo comercia.
Sin embargo, y aunque no se conocen cifras concretas, se cree que Franco recibió
entre 25 y 50 de tales máquinas. ¿Dónde se encuentran? La razón diría que, tras
tantos años, fueron finalmente vendidas como chatarra. Sin embargo,
personalmente tenía la ilusión de que permanecieran en alguna buhardilla
perdida, durmiendo el sueño de los justos.
Así las cosas, en octubre de 2008 el diario El País nos sorprende con una grata
noticia: las Enigmas han aparecido. Un artículo de Rafael Moreno Izquierdo, "El
arma secreta de Franco" (disponible en
http://www.elpais.com/articulo/espana/arma/secreta/Franco/elpepuesp/20081011elpepunac_5/Tes
) desvela que un total de 16 máquinas Enigma, en buen estado de conservación,
han aparecido en el Cuartel General del Ejército, en Madrid. Es un
descubrimiento insólito, no sólo por su número (creo que ni el Museo
Criptológico Nacional de EEUU tiene tantas) sino por que se daban ya por
perdidas. Por supuesto, no pude estarme quieto, así que solicité un permiso para
examinarlas, permiso que me fue concedido recientemente. Y allí que me fui.
La experiencia fue altamente gratificante en todos los aspectos. A despecho de
todas las historias sobre militares celosos del secreto, la recepción que me
esperaba no pudo ser más amable. Fui conducido a una sala de estar donde me
esperaba un carrito con varias cajas de madera, que custodiaban el brigada
Huertas y el Teniente Coronel Práxedes. Gracias a ambos, y a todos cuantos
mostraron interés en mi trabajo.
En el Cuartel General del Ejército noté algo que ya había experimentado en el
Museo Militar: curiosidad en alto grado. No solo los suboficiales que me
"custodiaban" por turnos, sino casi todos los que pasaban por allí se paraban a
mirar, algunos solamente observando, otros preguntando directamente.
Ciertamente, una Enigma no es parte del equipo básico militar de hoy en día.
Una pega: llegué tarde. De las dieciséis máquinas Enigma, !solamente quedaban
siete! Por lo visto, el Ministerio de Defensa ha adoptado la loable política de
exhibir las máquinas, y las están repartiendo por todos los museos militares de
España. Por desgracia, no se puede saber dónde, ya que el Instituto de Historia
y Cultura Militar también está de mudanza.
En cualquier caso, siete máquinas Enigma seguían siendo un magnífico botín, así
que me puse manos a la obra. Anteriormente, solamente fueron autorizadas a
verlas otras dos personas. Una de ellas fue Rafael Moreno Izquierdo, el del
artículo de El País. Y, un par de años antes, mi colega de fatigas José Ramón
Soler recibió autorización para verlas (la Enigma que aparece en la
contraportada de su "Soldados sin rostro" es una de ellas), pero bajo
prohibición de revelar su paradero. Yo llegué un poco tarde, pero a cambio me
han dejado abrirlas, examinarlas y fotografiarlas sin restricciones.
Las Enigma que, a fecha 6 de Febrero de 2009, quedan en el Cuartel General del
Ejército son las K-204, K-205, K-289, K-356, K-693, A-1233 y A-1235. Tanto por
fuera como por dentro, son prácticamente iguales, aunque cada una tiene sus
particularidades. La A-1233, por ejemplo, todavía conserva el cable de conexión
a la corriente, así como un letrero en parte exterior de la caja que dice "EMC
[Estado Mayor Central] - E.M. - Ejército de Marruecos" También se encuentra allí
la A-1235, que se cree estaba ubicada en el propio cuartel general de Franco, y
la K-204, que cumplía similares funciones en un cuartel móvil ubicado en un
tren, el denominado "Términus".
Los rotores de dos de ellas llevan marcada la leyenda "A1232-A1235, K203-208",
lo que indica que pudieron formar parte de una remesa de diez máquinas. La
K-356, que ostenta la marca "E.M. - Ejército de Marruecos - I", es una de las
más peculiares. Todas las máquinas llevan un selector con diversas posiciones,
para regular el uso de la batería; pero la K-356 es la única de las siete que la
tiene en español (las demás están en alemán). Y no solamente eso, sino que tiene
una plaquita que dice "Made in Germany" !escrito en inglés!
En general, las máquinas se encuentran en un excelente estado de conservación.
Solamente habría que reseñar que algunas cajas han sido reforzadas con
tornillos, y por supuesto que se notan los rasponazos y desgaste propios de su
uso. A fin de cuentas, fueron usadas intensamente en una Guerra Civil. También
los rotores se encuentran en buen estado. Con un multímetro digital intenté
determinar el cableado de los rotores, pero la grasa impedía el buen contacto.
El problema fue solucionado por un mando del Ejército que se apresuró a
prestarme un bote de alcohol y un paquete de algodón. Mano de santo. Aún así,
tuve problemas, y no pude examinar bien uno de los rotores. A pesar de eso,
podemos extraer algunas conclusiones.
Un análisis de los rotores muestra que los correspondientes a la máquina K-356
son los estándar del modelo comercial. También el reflector comercial es el
mismo que tienen las siete máquinas. Parece que no se atrevieron a recablear el
reflector, pero no tuvieron tanto miedo con los demás rotores. En las seis
máquinas restantes, los rotores I y II fueron recableados. Según la relación de
rotores del Taller de Criptografía (http://www.cripto.es/museo/rotor.htm),
no hay constancia de ninguna Enigma que haya usado dichos rotores, lo que indica
que fueron recableados específicamente para España. En cuanto al rotor III, los
hay de dos tipos. Uno de ellos, por desgracia, no lo pude determinar
correctamente, pero los datos que tengo de ambos me indican que fueron asimismo
recableados en España.
¿Quién los recableó y cuándo? Lo ignoro con detalle. Sin embargo, documentos
procedentes de los archivos británicos y nortamericano indican que ya a
comienzos de 1940 los agregados navales de las embajadas españolas en Berlín y
Roma utilizaban los rotores de la Enigma comercial; por contra, los agregados
militares de ambas legaciones utilizaron rotores recableados. Eso me indica que
las máquinas Enigma recibidas por Franco fueron usadas tal cual por durante la
Guerra Civil, pero que después de ello el Ejército recableó las suyas, en tanto
que la Armada no lo hizo. Es decir, se trató de un trabajo interno, ya que haber
sido un trabajo alemán imagino que se habrían molestado en recablear todas las
Enigmas, ya fuesen militares o navales. Parece que, amigos o no, los militares
españoles no se fiaban demasiado de los alemanes (Dios dijo hermanos, no
primos).
Por qué la Armada española no cambió sus rotores es algo que ignoro. Durante la
Guerra Civil, las armadas alemana, italiana y franquista acordaron comunicar sus
respectivos Estados Mayores mediante máquinas Enigma. Estas eran probablemente
del modelo comercial (Hitler no proporcionó Enigmas militares a los italianos,
pero sí modelos comerciales). Es posible que, tras el final de la Guerra Civil,
la Armada española quisiera seguir comunicándose con sus homólogos italianos
(los alemanes usaban Enigmas especialmente reforzadas para su propia Armada). De
ser así, su gozo en un pozo, ya que también los italianos recablearon sus
máquinas. No se sabe si la Armada española se fiaba más de los alemanes que sus
homólogos del Ejército, o si por el contrario éstos sabían más del tema y se
curaron en salud. En cualquier caso, las Enigmas que guarda la Armada española
podrían desvelar parte del enigma. Si alguien se pasa por allí, porfa, que se
lleve un multímetro.
Cuando descubramos dónde fueron a parar las demás máquinas Enigma, quizá podamos
ampliar nuestro conocimiento sobre qué máquinas fueron recableadas y cómo. Pero
aún quedan muchas lagunas por llenar. La relación de máquinas guardadas por el
Estado Mayor del Ejército (gracias, mi Teniente Coronel) cita 26 máquinas. Pero
se echa en falta, por ejemplo, la K-206, que según Soler fue usada por la
Séptima Región Militar. Tampoco aparece la K-206, que Soler cita como usada por
el gabinete de cifra del Cuartel General del Generalísimo; ni la K-295 (usada
por el Cuerpo de Ejército marroquí, y posiblemente también por la legación
española en la Francia de Vichy); ni tampoco la K-202, usada en el Ministerio de
Asuntos Exteriores. Mi propia lista da un total de 37 máquinas Enigma, y apuesto
doble contra sencillo a que está incompleta. Imagino que más de una habrá sido
retirada del servicio y destruida. Claro que, visto lo visto, no me sorprendería
que aparecieran en otra buhardilla. A estas alturas, me lo creo todo.
Los lectores interesados en las características de los rotores anteriormente
mencionados pueden consultar la información en la página
http://www.cripto.es/museo/rotor.htm (Sparma01), así como algunas de las
fotografías en
http://www.cripto.es/museo/en-esp/en_esp-enigma.htm. Que os aproveche.
NOTICIAS DE ACTUALIDAD - La seguridad de Skype
Todas nuestras comunicaciones telefónicas han sido siempre susceptibles de
interceptación. La mayoría son en "texto llano", es decir, sin cifrar. En los
años 90, la telefonía GSM se popularizó, pero su cifrado es incompleto
(solamente desde el teléfono hasta la antena más cercana) y débil. Los teléfonos
de tercera generación tienen un cifrado mucho más resistente, pero dispone de
sistemas especiales para permitir la "interceptación legal", un eufemismo para
recordarnos que el Estado puede poner la oreja siempre que quiera.
En los últimos años se ha desarollado una pequeña gran revolución en la
telefonía: la VoIP (Voz por IP). Básicamente, se trata de usar los protocolos de
Internet para "trocear" las conversación y enrutar los paquetes. Entre dichos
sistemas, el más popular es el conocido como Skype. Se trata de un programa que
convierte cualquier ordenador en un teléfono por Internet. Ambas partes
establecen contacto directo sin necesidad de estaciones conmutadoras. Sus
paquetes viajan como los de las redes peer to peer (p2p), lo que los hace mucho
más seguros en términos de anonimato y privacidad (de hecho, sus creadores ya
habían desarrollado el programa de intercambio de archivos Kazaa) y mucho más
difícil de interceptar. Y, por si fuera poco, tiene cifrado fuerte de un extremo
a otro. Es, de hecho, tan popular, que algunos teléfonos móviles lo están
incorporando.
Se supone que Skype es tan seguro que incluso las fuerzas policiales y de
espionaje encuentran poco menos que imposible interceptarlo. Según The Register,
a mediados de febrero una fuente anónima desveló que la Agencia de Seguridad
Nacional norteamericana (NSA) está dispuesta a pagar miles de millones de
dólares a cualquier empresa capaz de desarrollar métodos para interceptar y
descifrar el tráfico de Skype. Pocos días después, la misma publicación informa
de que la policía italiana está buscando formas de penetrar la seguridad de
Skype para interceptar las comunicaciones de la mafia, e incluso que han hecho
peticiones al respecto a Eurojust (encargada de la cooperación judicial entre
los Estados Miembros de la UE), cosa que este grupo desmintió poco después.
Aunque hay mucha confusión y las fuentes son poco claras, el hecho es que Skype
está en el candelero. Y basta recitar la palabra "cifrado" para conjurar a este
vuestro Boletín ENIGMA. De modo que fuera palabrería. ¿Qué tipo de cifrado usa
Skype? Una búsqueda en el servidor de la empresa remite a un análisis escrito en
2005 por Tom Berson, consultor en seguridad de la información (y cuyo curriculum
está disponible en
http://www.anagram.com/berson/index.html). Dicho análisis nos permite
arrojar algo de luz sobre cómo Skype utiliza el cifrado. El motivo por el que
digo "algo" se aclarará más adelante.
Muy bien, a trabajar. Para establecer una comunicación segura entre dos puntos,
con garantía de que nuestro interlocutor es quien afirma ser, necesitamos lo
siguiente:
- Un algoritmo de cifrado simétrico para proteger la información.
- Un algoritmo asimétrico para intercambiar la clave de sesión del algoritmo de
cifra.
- Una autoridad de certificación (AC) que garantice la identidad de los dos
interlocutores.
Comencemos por lo que siempre nos preocupa: el cifrado simétrico puro y duro.
Según Berson, Skype utiliza AES-256, con claves de 256 bits y bloques de 128
bits. De momento, vamos bien. A continuación, el sistema de clave pública: RSA.
Aquí podemos poner un par de pegas. RSA es un sistema algo viejo, y la tendencia
es a ser descartado en favor del Diffie-Hellman, a pesar de que sigue siendo el
sistema usado en las comunicaciones seguras por navegador (https). Finalmente,
la Autoridad de Certificación dispone de claves RSA de dos tamaños: 1536 y 2048
bits.
El procedimiento para "negociar" una conversación es algo elaborado, así que
vamos a seguirlo paco a paso. Cuando uno se descarga el programa Skype, recibe
entre otras cosas la clave pública del "Servidor Central", llamémosla Vs, cuya
correspondiente clave privada Ss está protegida por la empresa bajo siete
llaves. Cada usuario escoge un nombre de usuario A y una contraseña Pa, genera
un par de claves RSA (Sa será la clave privada, Va la pública). El ordenador del
usuario usará como datos privados dicha clave privada Sa y el hash de la
contraseña H(Pa). El no guardar directamente la contraseña Pa es una elemental
medida de seguridad: no queremos que un troyano, o el vecino, se pase por
nuestro ordenador y nos robe el secreto, ¿verdad?
Siguiente paso: validar la clave. Para ello, el usuario escoge un número
aleatorio y lo usa como clave para el algoritmo AES. Con dicho número aleatorio
(que hace de clave de sesión), el usuario cifra un paquete conteniendo su
contraseña A, el hash de la contraseña H(Pa) y su clave pública Va, y lo envía
todo al servidor central de Skype. También ha de enviar la clave de sesión,
protegida con RSA, para lo cual usa la clave pública Vs. La función hash usada
es la SHA-1.
En el servidor central, se descifra el paquete RSA con la clave privada Ss, se
recupera la clave de sesión y se usa para "abrir" el paquete cifrado con AES. En
primer lugar, se comprueba que el nombre de usuario A no ha sido usado antes por
otro usuario. En caso de que nadie lo haya usado, lo acepta, y procede a
guardarlo junto con el hash del hash de la contraseña H(H(Pa)). De esa forma,
tampoco Skype guarda una copia de la contraseña en texto llano. Lo siguiente que
hace el servidor central es "firmar" la clave del usuario. Lo que hace, en
realidad, es firmar algo llamado "Certificado de Identidad" (IC). Dicho IC
contiene, entre otras cosas, la firma RSA que liga al usuario A con su clave
pública Va.
¿Para qué todo este jaleo? En primer lugar, como he dicho, para asegurarse de
que el nombre de usuario no está ya siendo usado. En segundo lugar, para
devolver al usuario un paquete de datos que dice "esta firma es la suya, lo digo
yo".
El resto, conectar al usuario A con el usuario B, es sencillo y lo hemos visto
muchas veces. Cada usuario envía su IC al otro, el cual puede verificar (ya que
tiene la clave privada del Servidor Central, Vs) que realmente el otro es quien
dice ser. A continuación, A envía a B un paquete de 128 bits cifrado con la
clave pública de B; B, a su vez, hace otro tanto. Los dos paquetes de 128 bits
forman la clave simétrica (clave de sesión) que van a usar durante la
comunicación. Una vez termine la llamada, la clave de sesión se borra. Como
vemos, es un esquema conocido. Dos partes se ponen de acuerdo para que una
tercera les "avale" por medio de un certificado digital, el cual asegura que las
claves asimétricas intercambiadas son las correctas.
Esto es, en forma resumida, el proceso de uso de Skype. Hay algunos detalles que
no he introducido para no liarla más, pero básicamente creo haberlo expresado
bien (con mis humildes disculpas si he metido la pata en algún punto).
Como vemos, Skype parece hacer las cosas bien. Claves simétricas AES, claves
públicas RSA, función hash SHA-1. Pero tiene un gran problema, algo que ha sido
criticado y que hace que la seguridad de Skype tenga un signo de interrogación.
El motivo es que el código informático Skype es cerrado. Nadie tiene acceso al
código fuente. Más aún, algunos pasos son "propietarios", lo que atrae al
espíritu de la seguridad mediante la oscuridad.
Aunque Skype ha evitado tirar de algoritmos propietarios en la mayor parte del
proceso del cifrado (bien por ellos), el análisis de Berson afirma que el
protocolo de acuerdo de claves es propietario. El generador de números
aleatorios, clave para el buen funcionamiento de cualquier sistema de cifrado
que use claves de sesión, usa SHA-1, pero no se dan más detalles, y el autor
solamente evaluó el de la versión de Windows. Eso significa que cualquier fallo
queda oculto por el secreto.
Otro problemas deriva del hecho de que no hay más análisis fiables, y el de
Berson data de 2005 para la versión 1.3. También hay que tener en cuenta que los
sistemas criptográficos suelen fallar por una mala implementación. Puede haber
mil y un fallos, desde desbordamientos de búfer a canales laterales, que se
hayan colado en el código fuente y que permanezcan indetectados.
Incluso algunos de los detalles que se conocen dan pie a dudas. En primer lugar,
el tamaño de la clave RSA. ¿Por qué 1024 bits? Sabemos que de un tiempo a esta
parte se están descartando las claves asimétricas de 1024 bits en favor de
tamaños mayores ("El tamaño de mi clave", Boletín ENIGMA 62). Un análisis de
seguridad de Skype ("Skype uncoved", por Desclaux Fabrice de EADS) indica que el
Servidor Central utiliza al menos dos claves distintas para certificar las
claves RSA de los usuarios. Estas parejas de claves (que antes llamé Vs, Ss) son
de 1536 y de 2048 bits. ¿Por qué esa diferencia? Lo ignoro, pero si lo que dice
la Wikipedia es cierto, las versiones de pago usan la de 2048 bits para correo
de voz y la de 1536 para negociar la conexión. ¿Los usuarios de pago? ¿Y qué
pasan los del servicio gratuito, qué tipo de clave usan? De nuevo los detalles
son como poco nebulosos.
La ausencia de código fuente impide, entre otras cosas, disipar las dudas sobre
si Skype tiene una puerta trasera. En julio de 2008 un alto funcionario del
ministerio de Interior austríaco dijo públicamente que escuchar una conversación
de Skype no representaba un problema. De ser cierto, resultaría tan extraño como
oír a Alan Turing decir en 1940 que no tenían problema con los mensajes de
Enigma. Si fue un desliz o una táctica de presión para que los proveedores de
Internet austríacos aceptasen medidas de interceptación adicionales queda por
ver. De momento, alemanes y norteamericanos afirma que no pueden con Skype.
¿Pero es realmente cierto? Si la NSA hubiese colocado una puerta trasera en
Skype, su formato propietario la ocultaría. Pero si la NSA se acuesta con Skype,
tal y como hace con las demás telecos desde hace décadas, lo raro sería que no
tuviesen dicho acceso. Algunos recuerdan que, si bien Skype fue desarrollada por
los inventores del programa p2p Kazaa, ahora está en otras manos. Skype fue
adquirida en 2005 por eBay, a un coste de 2.600 millones de dólares (a los que
hay que añadir otros 1.400 inyectados recientemente por eBay).
Dada la sangría económica que Skype representa para las arcas de eBay, y el
hecho de que dependa del beneplácito gubernamental para seguir operando, ¿quién
dice que no han hecho un acuerdo bajo cuerda? Ya en 2008 se desveló que el
operador de Skype en China usaba un filtro para bloquear términos sensibles, es
decir, para ejercer la censura. ¿Cómo puede hacerse eso sin descifrar los
mensajes? La novedad no era esa (la propia Skype ya lo había reconocido dos años
antes), sino que el filtro había sido alterado para almacenar conversaciones de
texto.
Hay quienes opinan que la NSA y sus primas ya pueden descifrar los mensajes NSA,
y están jugando al despiste para hacer creer a todos que no pueden hacerlo.
Igual que cuando los aliados hacían creer a los alemanes que Enigma era
indescifrable. O puede suceder todo lo contrario. Justo antes de la Segunda
Guerra Mundial, los franceses tuvieron la desesperada idea de hacer saber a los
alemanes que Francia podía descifrar los mensajes Enigma. En realidad no podían,
pero confiaban en que los alemanes se lo tragaran y lo cambiaran por otro
sistema de cifra contra el que los criptoanalistas franceses tuvieran más
suerte. Cuando los polacos se enteraron casi les da un ataque, porque ellos sí
que podían descifrar Enigma, !pero no se lo podían decir a los franceses!
¿Estan los norteamericanos intentando convencernos de que dejemos de utilizar
Skype mediante un tortuoso razonamiento? "Vaya, la NSA dice que no puede leer
Skype, seguro que sí pueden y nos están engañando, así que dejemos de usarlo"
¿Estarán los austríacos, o los alemanes, tirándose de los pelos porque ellos sí
pueden? Y considerando lo fácil que es instalar un troyano subrepticiamente, sea
ilegalmente o mediante una orden judicial, ¿acaso les importa? Y espero me
disculpen por dejar aquí el tema, pero mi paranoiómetro está marcando ya el
nivel de manicomio. ¿Quieren seguir ustedes el debate?
El boletín ENIGMA es una publicación gratuita del Taller de
Criptografía, y se rige por las normas de la licencia de Creative Commons
Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia,
distribución y comunicación para fines no lucrativos, citando nombre y
referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA