Boletín ENIGMA - nº 59

1 de Mayo de 2007

 


Boletín del Taller de Criptografía de Arturo Quirantes Sierra


Dirección original: http://www.cripto.es/enigma/boletin_enigma_59.htm


EDITORIAL

CRIPTOGRAFÍA IMPRESENTABLE - Criptoanalizando el bonobús

TEMAS DE ACTUALIDAD - Algoritmos para el Taller: md5 y Blowfish

LOS ENIGMAS DEL TALLER - Un manuscrito griego

LIBERTAD VIGILADA - Los orígenes de la actividad COMINT
 


 

 EDITORIAL

 

Los ataques a los sistemas criptoanalíticos no paran, y abarcan todos los aspectos posibles. Acabo de tener noticias de dos de ellos, que nos servirán de ejemplos. El primero es un episodio más de la eterna saga "Pirateando a Nemo". Según un comunicado de la empresa de software Slysoft, el algoritmo "indescifrable" BD+, usado para proteger las películas en el sistema Blu-ray, ha caído, y ya hay un programa (AnyDVD HD) que permite hacer copias (más información en Barrapunto: http://barrapunto.com/article.pl?sid=08/03/26/0923219). Por otro lado, leemos en Kriptópolis la aparición de un troyano que, al introducirse en el disco duro, busca copias de los archivos de claves PGP, captura la frase de contraseña de la clave mediante un keylogger, lo empaqueta todo y lo envía (http://www.kriptopolis.org/detectan-troyano-contra-pgp) a quién sabe dónde.

Como vemos, son dos amenazas completamente distintas. Una es una debilidad criptoanalítica, y la otra un ataque por Internet estándar. Lo que nos recuerda que los algoritmos de cifrado son entes que hemos de poner continuamente en entredicho hasta que se demuestre su debilidad, y también que no podemos confiar en la criptografía como una especie de "polvos mágicos" que al espolvorearlos nos resuelve todos los problemas de seguridad.

El boletín de este mes incluye un problema criptográfico distinto. Bueno, dos. Uno de ellos es moderno y se refiere a las vulnerabilidades de ciertas tarjetas usadas como bono de transportes por millones de viajeros de todo el mundo. El segundo problema, para el que pedimos la ayuda de los lectores, es mucho más antiguo: nada menos que un manuscrito del siglo XV, recién descubierto, que puede ocultar un secreto. O puede que no, quién sabe. Dicho problema será incluido en la colección del Museo Camazón. En apartado diferente ("La caja de herramientas") incluimos un paquete criptográfico redactado por un amigo del Taller, el cual lo pone a disposición de todos los interesados.

Y, para continuar con la renovación del Taller de Criptografía, una buena noticia: los libros electrónicos de la Sección de Libros, que habían desaparecido durante la gran mudanza de tiempo ha, !han aparecido de nuevo! He encontrado algunos en un directorio que daba por perdido, y otros los he repescado. Y, por supuesto, podéis enviarme vuestras sugerencias para que incluyamos más material. Que no pare la fiesta.

 


 

  CRIPTOGRAFÍA IMPRESENTABLE - Criptoanalizando el bonobús

 

La tecnología de identificación por radiofrecuencia (RFID) está cada vez más extendida en nuestras vidas. Sus utilidades van desde controles de acceso a micropagos. Puesto que no requiere contacto físico, son muy cómodas como pases de viaje: bonos de autobús, metro, etc. Yo ni siquiera tengo que sacarla de la cartera. Me limito a acercar la cartera al lector, éste pita y listo. En ese sentido, resulta algo muy útil para el usuario. También tiene sus problemas. Uno de ellos es el de la privacidad: si la tarjeta está ligada de algún modo a la identidad de un usuario, puede ser usada como dispositivo de rastreo. Los servicios de inteligencia británicos ya se están poniendo las botas con la información obtenida de las tarjetas RFID de transporte del Metro de Londres. Para más información, el lector puede ver por ejemplo: http://www.theregister.co.uk/2008/03/17/spooks_want_oyster/

Aunque los problemas de privacidad son muy importantes y deben ser resueltos satisfactoriamente (para los usuarios), no vamos a hablar aquí de ellos. Nos centraremos, en su lugar, en la vertiente puramente criptográfica. A nadie se le escapa que, si pudiéramos alterar el contenido de la tarjeta, podríamos tener acceso gratuito al metro. A fin de cuentas, lo que hace el lector es interrogar a la tarjeta y obtener una respuesta. Si dicha respuesta pudiese ser alterada para dar algo del tipo "esta tarjeta está cargada a tope", tenemos bus gratis. O bien, podríamos entrar en un edificio con control de acceso haciéndonos pasar por otra persona. O quizá podríamos ver Digital Plus por la cara.

En todos estos casos, la solución es la criptografía. Y cada aplicación requiere un grado diferente de fortaleza. Digital Plus, por ejemplo, protege sus sistemas con fuertes algoritmos criptográficos, y en la actualidad no es posible verlo sin pagar (hasta Diciembre pasado, se vendían decodificadores "trucados", pero el sistema de cifrado fue recientemente modificado). Por otro lado, los pagos que intervienen en un viaje en transporte público son pequeños, lo que en principio nos hace pensar que un sistema de cifrado de baja gama basta. El lector de este Boletín será probablemente de esos que no se baja de AES ni atado, pero hay que tener en cuenta que las tarjetas RFID tienen unos requisitos computacionales y de memoria muy estrictos.

Uno de los fabricantes de tarjetas RFID es NXP Semiconductors, empresa fundad por Philips, que fabrica tarjetas RFID Mifare. De hecho, según ellos, en 2000 sus tarjetas Mifare representaban el 85% del mercado de "tarjetas inteligentes sin contacto" (por lo visto, las siglas RFID tienen malas connotaciones por sus problemas de privacidad). Bueno, han pasado ocho años, pero seguro que siguen siendo unos grandes vendedores de tarjetas. He leído estimaciones que daban cifras de entre mil y dos mil millones de tarjetas usadas en muchos lugares del mundo. Unos peces gordos, vamos. Para proteger sus tarjetas, los de NXP han echado mano de dos técnicas muy habituales. Técnica uno: inventarse un algoritmo criptográfico propio. Técnica dos: insertar el algoritmo en un chip invulnerable y confiar en "la seguridad mediante oscuridad". Ambas técnicas son muy utilizadas ... y resultan altamente peligrosas.

Para demostrarlo, Karsten Nohl, doctorando de la Universidad de Virginia, se puso manos a la obra. Sus resultados, obtenidos en colaboración con el investigador alemán Henryk Plötz, fueron presentados el pasado diciembre en el famoso Chaos Communications Congress, una reunión de hackers alemanes. El proceso fue lento y laborioso, pero una vez hecho, afirman que ahora basta con un portátil, un escáner y unos pocos minutos para conseguir la clave criptográfica de una tarjeta Mifare Classic y duplicarla. Las consecuencias pueden ser devastadoras, como veremos.

Vamos a examinar el proceso. Lo primero que hicieron Nohy y Plötz fue tomar una tarjeta e intentar hackear el chip, con el fin de obtener el algoritmo criptográfico. Eso no es tarea fácil, pero es en principio posible. Usando un microscopio electrónico, obtuvieron la configuración básica del chip: un conjunto de 10.000 bloques (cada uno de los cuales podía ser una puerta lógica AND o una OR), distribuidos en varias capas. Analizar los 10.000 bloques hubiera sido tarea de chinos, pero los investigadores descubrieron un atajo. Al parecer esos 10.000 bloques fueron tomados de una librería que contenía tan sólo 70 tipos de puertas lógicas. Luego buscaron las zonas criptográficamente importantes del chip. Suena más fácil de lo que fue en realidad, pero el caso es que tuvieron éxito: consiguieron reconstruir el algoritmo de cifrado, un algoritmo propietario que la empresa denomina Crypto-1.

El primer paso estaba dado. En palabras de Nohl, "puesto que la seguridad de las tarjetas Mifare se basa en parte en mantener el algoritmo en secreto, creemos que las tarjetas son demasiado débiles para cualquier aplicación de seguridad puesto que el algoritmo puede hallarse sin mucho esfuerzo."

¿En qué consiste el algoritmo, exactamente? Correremos un tupido velo aquí. No tiene muchos elementos (un registro LFSR, un generador de números aleatorios, No vamos a meternos en detalles técnicos (ver http://www.cs.virginia.edu/~kn5f/pdf/Mifare.Cryptanalysis.pdf para más información). Aquí nos quedaremos con el tamaño de la clave secreta: 48 bits. En principio, conocido el algoritmo podría lanzarse un ataque de fuerza bruta sin más que probar las 2^28 posibles claves. Eso son casi trescientos billones de combinaciones, lo que quizá ser mucha molestia para una tarjeta bonobús. Pero Nohl y Plötz pronto descubrieron una debilidad en el algoritmo de cifrado. Encontraron que el generador de números aleatorio del algoritmo era fácil de manipular. Tanto, que consiguieron forzarlo a que produjese siempre el mismo número "aleatorio". Más aún, enviando a la tarjeta patrones de bits cuidadosamente seleccionados y examinando las respuestas de ésta, se pueden obtener más de la mitad de los bits de la clave secreta. Lo combinamos con un examen exhaustivo ("fuerza bruta") del resto de bits, y ya tenemos la clave secreta. !Tachán!

Como resultado del ataque de Nohl y Plötz, bastan unos minutos, diez como mucho, para obtener la clave secreta y "crackear" la tarjeta. ¿Qué dice la empresa fabricante? Casi podemos imaginarlo, pues hemos visto reacciones parecidas de otras empresas en el pasado. Básicamente vienen a decir: a) no hay para tanto, ya que las tarjetas Mifare Classic son un producto de baja gama, y no fueron diseñadas para entornos de alta seguridad como pasaportes o sistemas bancarios; b) sólo atacaron una de las muchas capas de seguridad que hay en el sistema; c) un ataque sería muy costoso y llevaría horas crackear una sola tarjeta, y los atacantes necesitarían meses para poder bajar los costos y el tiempo reqierido hasta el punto en que les fuera provechoso.

Por supuesto, eso no es cierto. Ciertamente, las tarjetas Mifare Classic son de baja gama. Lo que precisamente Nohl mostró al mundo en Marzo es que bastan recursos muy modestos y unos pocos minutos de tiempo. Y al parecer removió un nido de avispas. El descubrimiento de Nohl fue presentado el 8 de Marzo. El día 10, NXP presentó al mundo su nueva tarjeta llamada Mifare Plus, que incorpora el algoritmo de cifrado AES. No es sorprendente, sobre todo teniendo en cuenta que en Febrero el propio gobierno holandés hizo una advertencia al respecto. El propio Parlamento de ese país convocó a algunos de los investigadores para dar testimonio. No es de extrañar, ya que Holanda ha invertido mentre mil y dos mil millones de euros en el sistema de tarjetas RFID para su red de transporte público. También es usado en el transporte público de ciudades como Boston y Londres (las famosas "oyster cards").

Es decir, estamos hablando de un sistema enormemente caro. El ataque contra una tarjeta solamente no produciría graves perjuicios, y probablemente por eso no se preocuparon hasta ahora de mejorar las tarjetas tipo Miface Classic. ¿Para qué usar una caja fuerte si sólo vas a guardar calderilla?, pensarán los fabricantes. Pero si cualquiera de las más de 2.000 millones de tarjetas Miface Classic puede ser clonada, de forma sencilla y a bajo coste, estamos hablando de cifras enormes. Con algo de equipamiento y un par de programas (que pronto aparecerán en Internet), cualquier puede comprar una tarjeta legítima, clonarla una y mil veces, y a disfrutar de viajes gratis. O aparecerá un mercado negro de tarjetas clonadas a mitad de precio. De otras aplicaciones en las que se usen ese tipo de tarjetas, como control de accesos, mejor ni hablamos. Todo por no hacer caso de una de las advertencias de Schneier: ¿cuándo aprenderá la gente a no inventar su propia cripto?

Propongo una apuesta: ¿cuánto tiempo pasará hasta que el problema derive en un desastre económico? Es decir, ¿cuánto tardarán los responsables de comprar estos sistemas en tragarse el orgullo y reemplazar, a un coste enorme, todo el sistema? Si se trata de políticos, imagino que nunca, así que pronto conviviremos con tarjetas clonadas y viajes "by the face", a costa de subir los precios para que el usuario honrado compense las pérdidas. La única solución a corto plazo sería llenar los autobuses y los metros de inspectores. Ahora que lo pienso, desde que cambiaron los bonobuses de mi ciudad a tarjetas RFID, veo en los autobuses más inspectores que nunca. Qué curioso, ¿no?

 


 

 TEMAS DE ACTUALIDAD - Algoritmos para el Taller: md5 y Blowfish

 

Nuestra Caja de Herramientas va llenándose con aplicaciones interesante. En esta ocasión, vamos a incluir un pequeño paquete de algoritmos. Se trata de implementaciones del algoritmo Blowfish (en dos sabores, php y javascript), acompañado por rutinas que calculan la función hash MD5 y códigos de redundancia cíclica de 32 bits.

Quien nos hace la entrega es Antonio Villena, un amigo del Taller de Criptografía. Tras haber realizado los códigos para unas aplicaciones que está desarrollando, ha decidido compartirlos con nosotros, una decisión que agradecemos. Además de los códigos anteriormente mencionados, añade una propina: un algoritmo de sustitución simple (generatekey.php). No los he probado, cosa que os dejo a vosotros, lectores.

El autor nos cede sus códigos a la comunidad mediante una licencia libre, es decir, pueden utilizarse con fines no comerciales, citando el autor y la referencia original. Antonio ha realizado todas las rutinas originales, salvo la blowfish (creada por Mike Cochrane, aunque el propio Antonio lo ha re-escrito para que sirva en máquinas de 64 bits). Están en http://www.cripto.es/herramientas/algoritmos.zip. Desde aquí te damos las gracias, Antonio, por tu contribución. Y, como veo que has abierto un blog, os invito a visitarlo en www.antoniovillena.es. Su primer artículo (después de la presentación) trata de la Máquina de Turing, así que promete ser interesante. !Que cunda el ejemplo!

 


 

 LOS ENIGMAS DEL TALLER - Un manuscrito griego

 

Los lectores fieles de este Boletín recordarán una anécdota relacionada con Dilly Knox, uno de los mejores criptoanalistas británicos de la Segunda Guerra Mundial. El primer día en que Mavis Lever se presentó ante él para trabajar, Knox le entregó un montón de criptogramas. La cándida respuesta de Mavis fue "me temo que esto es griego para mí", lo que equivale a nuestro "me suena a chino", a lo que Knox replicó "!ojalá lo fuera!". En efecto, Dilly Knox fue en su vida de pre-guerra un académico especializado en la lectura de manuscritos griegos.

Hoy os presento un enigma que es griego para mí. Literalmente. Nos lo envía Gorka Zamarreño, profesor de Comunicación de la Universidad de Málaga. Según su relato, un amigo decidió un día restaurar un viejo volumen del siglo XVI, herencia de familia. Al desencuadernarlo, ocultos en las pastas aparecieron dos folios que los restauradores datan en la primera mitad del siglo XV. Está escrito con grafía que parece ser griega, pero lo han examinado expertos en esa lengua y concluyen categóricamente que no se trata de griego. La frecuencia de algunos símbolos hacen pensar a Gorka en un texto en clave.

Ignoro qué significado tiene el texto. Puede tratarse de un texto escrito en otro idioma, pero en el que se han usado letras griegas en lugar de latinas. Puede tratarse de una mezcla de dos grafías, o de algún tipo de griego deformado. O también puede ser un mensaje cifrado. Pero ¿de quién? A mediados del siglo XV; las ciudades-estado italianas y la corona de Aragón eran usuarias habituales de criptografía, pero utilizaban caracteres latinos o signos. Para que el lector interesado pueda echarle un vistazo al texto, está disponible en el Taller, en la dirección http://www.cripto.es/museo/enigmas/griego.jpg. Esperamos vuestras hipótesis.

 


 

LIBERTAD VIGILADA - Los orígenes de la actividad COMINT

 

[Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso del autor]

Primera parte, capítulo 1:

La actividad COMINT (Communications Intelligence) consiste en obtener información secreta mediante la interceptación de las comunicaciones internacionales. Este tipo de operaciones de espionaje empezaron a producirse al inicio del siglo pasado. Según el investigador Duncan Campbell, la primera polémica de la que se tiene noticia ocurrió en 1919, cuando el Gobierno británico exigió tener acceso a todos los telegramas enviados al exterior desde su territorio. Las empresas privadas de telegramas intentaron resistirse a las exigencias del Reino Unido y, en diciembre de 1920, tres de esas compañías incluso llegaron a testificar ante el Senado de Estados Unidos. Pero ese mismo año, el Gobierno británico aprobó la Ley de Secretos Oficiales, en cuyo capítulo IV se reconocía el derecho del Estado a tener acceso a todo tipo de comunicaciones. Mucho después, en 1984, el Reino Unido amplió sus potestades con la Ley de Interceptación de las Comunicaciones. El apartado 2º del Capítulo III de esta ley permite el acceso legal con fines Comint a todas las "comunicaciones exteriores", es decir, a cualquier comunicación que tenga origen o destino fuera del Reino Unido, así como a aquellas que pasen por territorio británico aunque ni siquiera hayan salido del mismo o lo tengan como destino. para centralizar estas operaciones de espionaje, Gran Bretaña fundó en 1952 la Oficina Central de Comunicaciones del Gobierno (Government Communications Headquarters, GCHQ), su propia agencia de inteligencia de señales. [1]

En Estados Unidos, la primera operativa conocida de interceptación de las comunicaciones fue la llamada "Operación Trébol" (Shamrock). Al menos desde 1945, aunque en realidad desde mucho tiempo antes, las agencias de inteligencia accedían sistemáticamente a las comunicaciones de todas las operadoras de cable norteamericanas. Esta operación fue secreta durante décadas, pero acabó por salir a la luz a consecuencia del escándalo "Watergate", que puso fin a la presidencia de Richard Nixon. Desde su fundación en 1952, coincidiendo con la puesta en marcha de su homóloga británica, la Agencia de Seguridad Nacional (National Security Agency, NSA) asumió la "Operación Trébol", ya que se otorgó a esta nueva agencia de espionaje la responsabilidad de la interceptación de las comunicaciones exteriores al servicio del Gobierno estadounidense. El 8 de agosto de 1975, el director de la NSA, el teniente general Lew Allen, testificó ante el "Comité Pike" del Congreso de Estados Unidos, que investigó precisamente el caso "Watergate". Allen dijo que "la NSA intercepta sistemáticamente las comunicaciones internacionales, tanto de voz como por cable". A los legisladores no les pareció reprobable dicha actividad, pero se escandalizaron cuando el director de la Agencia de Seguridad Nacional admitió que, "durante las actividades de interceptación de las comunicaciones internacionales, se han interceptado mensajes enviados y recibidos por ciudadanos norteamericanos". [2]

El testimonio de Allen desvelaba una flagrante violación de las libertades civiles de los estadounidenses y, como consecuencia, la Cámara de Representantes pidió a un equipo del Departamento de Justicia que investigara estos presuntos delitos cometidos por la NSA. El escritor James Bamford tuvo acceso al informe del Departamento de Justicia en 1980 y publicó un extracto en su libro "The Puzzle Palace", dedicado íntegramente a las actividades secretas de la Agencia de Seguridad Nacional. En el documento oficial se explicaba textualmente que la información sobre ciudadanos estadounidenses "se obtuvo 'incidentalmente' durante las operaciones de interceptación de las comunicaciones internacionales audibles y no audibles (por ejemplo, por élex) llevadas a cabo por la NSA junto con la información recibida de la GCHQ y procedente de la interceptación por cable de ILC (operadores internacionales de cable arrendadas) y télex (SHAMROCK)". [3]

Los hechos citados demuestran que el Reino Unido y Estados Unidos interceptan masiva e indiscriminadamente las comunicaciones internacionales desde hace décadas. La Ley de Secretos Oficiales británica, así como la polémica petición gubernamental a las empresas del telégrafo, confirman que el Reino Unido lo viene haciendo desde al menos 1920. Del lado norteamericano, el caso "Watergate" y la investigación posterior del Departamento de Justicia, sobre todo con la referencia entre paréntesis a "Shamrock" (la "Operación Trébol"), confirmaron oficialmente que la NSA tenía la misión de interceptar las comunicaciones internacionales. Pero del informe desvelado tras el escándalo "Watergate" también se desprende que la oficina británica de inteligencia ce señales (GCHQ) cooperaba habitualmente con su homóloga norteamericana, algo que sigue ocurriendo en la actualidad.


[1]. Duncan Campbell, "Interception Capabilities 2000 (Capacidades de interceptación en 2000). Capítulo 2/5 del documento de trabajo para el Panel STOA del Parlamento Europeo titulado: "Desarrollo de la Tecnología de Vigilancia y Riesgos de Uso Indebido de la Información Económica". ("Development of Surveillance Tecnology and Risk of Abuse of Economic Information"). Octubre de 1999. Documento PE 168.184. Disponible en Internet: http://www.europarl.eu.int/transl_es/plataforma/pagina/maletin/colecc/actual/echelon/418508es.doc

[2]. Íbid

[3]. James Bamford, "The Puzzle Palace". Houghton Mifflin. Boston, 1982. NOTA: La cita textual se recoge del texto del informe del Departamento de Justicia norteamericano al "Comité Pike" del Congreso. Los paréntesis y la cursiva corresponden al documento original.

 



El boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia, distribución y comunicación para fines no lucrativos, citando nombre y referencia.

Para más información, véase la licencia Creative Commons en sus formas reducida y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es

PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es añadiendo las palabras alta_enigma en el asunto (subject).

PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es añadiendo las palabras baja_enigma en el asunto (subject)

Para comentarios a este boletín (dudas, preguntas, consultas, críticas, noticias, colaboraciones, etc.), estoy a su disposición en la dirección noticias arroba cripto.es

Página del Boletín Enigma (incluyendo números atrasados): http://www.cripto.es/enigma.htm

(c) Arturo Quirantes 2007

 


Vuelta a la Página principal del Boletín ENIGMA