Boletín ENIGMA - nº 73
1 de Febrero de 2010
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_73.htm
CRIPTOGRAFÍA IMPRESENTABLE - El crimen (informático) no paga: el caso TJX
TEMAS DE ACTUALIDAD - El espía en su biblioteca
TEMAS DE ACTUALIDAD - Factorizando
primos: RSA-768
Bueno, ya estamos aquí otra vez. Después de un bien merecido descanso navideño ... no, bueno, mejor borremos eso. La verdad es que estas navidades han sido las más estresantes de mi vida, por diversos problemas familiares y profesionales que no vienen al caso. El hecho es que, por una vez, he deseado volver a la normalidad del trabajo diario, lo que incluye este Boletín. Algún día os lloraré más, pero hoy no toca. Al contrario, creo que hemos empezado este año con paso fuerte. Por lo menos, el artículo sobre la factorización del RSA-768 es un plato fuerte, ya que aprovechamos la oportunidad para revisar el "estado del arte" en lo que respecta a factorizar números primos. Añadimos un artículo relacionado con nuestro amigo Camazón, otro sobre la cara B del delito informático, y marchando una vez más. Como siempre, espero que os guste.
CRIPTOGRAFÍA IMPRESENTABLE - El crimen (informático) no paga: el caso TJX
"En el Boletín ENIGMA 52, de Mayo de 2007, incluí un artículo sobre la
inseguridad del algoritmo WEP que protege muchas comunicaciones inalámbricas.
Unos días después se hizo público uno de los mayores robos de datos privados de
la historia: la compañía TJX reconoció que unos desconocidos habían irrumpido en
sus sistema de comunicaciones y robado información sobre al menos 45 millones de
tarjetas de crédito y débito. Para ello, pincharon las comunicaciones
inalámbricas por la que se transmitía la información. Hace un par de meses se
hizo pública una investigación al respecto por parte del Comisionado para
Información y Privacidad de Canadá. Su conclusión es que el pinchado de los
ladrones fue posible por ¿adivinan qué? !Exacto! La empresa usaba WEP para
proteger sus comunicaciones."
El párrafo anterior, parte del artículo "Miscelánea criptográfica" (Boletín
ENIGMA 56) ilustra de forma dramática los peligros de la inseguridad
criptográfica. Siempre tendemos a pensar que los ataques criptoanalíticos son
tema de científicos y matemáticos, y que raramente tiene trascendencia real.
Pero el caso es que las debilidades en los algoritmos de cifrado, al igual que
las vulnerabilidades en cerrojos o cajas fuertes, son maná para los grupos de
delincuentes, sean mafias organizadas o pequeños grupúsculos de cerebritos
amigos de lo ajeno.
El fraude contra TJX tuvo lugar entre 2005 y 2008. Ahora, dos años después de
que el grupo fuese desmantelado, podemos determinar si es cierto que el crimen
paga, o si por el contrario la justicia ha actuado como debe. Será difícil que
los culpables restituyan el daño ocasionado, ya que es enorme. Nada menos que 45
millones de tarjetas de crédito y débito fueron objeto del robo de su
información. Estos datos, de seguro, forman ya parte imborrable de las bases de
datos que los grupos mafiosos se intercambian. En países como Estados Unidos,
donde no existe un sistema de documentos oficiales de identidad, el uso
malicioso que se haya dado a estos datos puede haber alcanzado cantidades de ...
realmente, cantidades desconocidas de dinero. Cantidades enormes, en cualquier
caso.
La "banda del TJX" estaba formada por una docena de personas, según el
Departamento de Justicia norteamericano. El jefe era un tal Albert Gonzalez, que
bautizó su operación de robo como "Operación Hazte Rico o Muere Intentándolo".
Se da la ironía de que Gonzalez era un informante federal. En 2004 ayudó al
Servicio Secreto de los Estados Unidos a cerrar un "supermercado del
cibercrimen" llamado shadowcrew.com, dentro de la llamada "Operación
Cortafuegos". El resto de los acusados eran de diversas nacionalidades: tres
norteamericanos, tres ucranianos, dos chinos, un bielorruso y un estonio.
El pasado Diciembre, Albert Gonzalez se declaró culpable de hackeo contra redes
informáticas (no sólo en el caso TJX, sino también en otros), y será será
condenado a entre 17 y 25 años de cárcel. Los fiscales del caso, siempre ávidos
de colgarse medallas, tranquilizaron al público con declaraciones
grandilocuentes del tipo "Incluso las redes más sofisticadas de hackers pueden
ser descubiertas y desmanteladas ... creen ser imnunes a la detección y
procesamiento, escondidos en las sombras de Internet, pero una y otra vez son
capturados, procesados y sentenciados a largas condenas de prisión. Otros
hackers deben tomar nota de esto". Claro que se les olvidó convenientemente que
un elemento clave de Gonzalez fue el testimonio de uno de sus hombres, quien
testificó para la fiscalía a cambio de sentencia reducida. Que Gonzalez guardase
en un servidor de Letonia una copia del "sniffer" (capturador de contraseñas)
usado por el grupo criminal tampoco ayudó en su defensa.
Pero Gonzalez era el "kingpin" ¿Quién tenía los conocimientos técnicos para
efectuar el robo de datos? Según parece, se trataba de Stephen Wyatt, un
ingeniero informático que trabajaba en Morgan Stanley. Fue él quien programó un
"sniffer" (capturador de contraseñas) llamado "blabla" que el grupo usó para
robar la información de tarjetas de crédito a través de la insegura red
inalámbrica de TJX. La defensa mostró a Wyatt como un honrado programador
ignorante de que su trabajo sería usado para fines criminales. De hecho, nunca
se demostró que Wyatt recibiese pago alguno por su trabajo. A pesar de ello, fue
condenado a dos años en una prisión federal, seguido de otros tres años en
libertad provisional. También tendrá que pagar indemnizaciones por un total de
171.5 millones de dólares. Si lo unimos al hecho de que le costará encontrar
trabajo, creo que su futuro no se le presenta muy brillante que digamos.
No lo tiene mucho mejor otro de los acusados, el ruso Maksym Yastremski
(conocido como "Maksik"). Yastremeni es un conocido traficante de información
robada sobre tarjetas de crédito. Detenido en Turquía, las autoridades
norteamericanas han solicitado su extradición a EE.UU. No parece que dicha
extradición se vaya a producir en un futuro próximo. Pero eso no será motivo de
alegría para Yastremani. Muy al contrario: las autoridades turcas lo han juzgado
por otros delitos informáticos y lo han condenado a treinta años de prisión.
No tengo noticias sobre el futuro de los demás miembros del grupo, pero es de
esperar que la mayoría salga indemne, ya que viven en países cuya extradición a
Estados Unidos será como mínimo problemática (por ejemplo, China). Pero sí
conocemos el triste destino de uno de ellos. Jonathan James, de 24 años, se
quitó la vida el pasado 18 de mayo con un arma de fuego. En una nota de suicidio
manuscrita, James afirmaba que era inocente, pero que las autoridades querían
convertirlo en un cabeza de turco.
Por supuesto, todos los acusados afirman ser inocentes, pero en este caso hay
motivo para la duda. La acusación describe a un colaborador del grupo criminal,
descrito tan sólo con las iniciales "J.J." Que yo sepa, no hay pruebas que
relacionen dichas iniciales con James, aparte de la casualidad. Y, si fue James
un miembro del grupo ¿cómo es que vivía sin dinero?
Jonathan James fue un hacker que adquirió fama por hackear ordenadores de la
NASA y del Pentágono en sus años de adolescente. Entre otras hazañas, entró
digitalmente en el Centro de Vuelos Espaciales Marshall en Huntsville (Alabana)
y se descargó el software usado para controlar la temperatura y humedad en la
Estación Espacial Internacional. El software del termostato, vamos. Por ese
motivo fue sentenciado a seis meses de arresto domiciliario. Cuando cumplió su
delito, comenzó a caer en un proceso depresivo. Sus hazañas fueron pronto
olvidadas, su madre murió de cáncer y no hizo el menor intento por ir a la
Universidad o por obtener un trabajo. Culpable o no, es posible que el intento
de procesamiento en el caso contra el grupo de González fuese la última gota.
Tanto en el caso de Jonathan James como en el de Stephen Wyatt, las pretensiones
del tipo "sólo soy un técnico, era curiosidad intelectual, yo no soy el malo, no
he ganado nada con esto" significan poco cuando su trabajo es usado por
criminales con objetivos lucrativos. Es evidente que hay muchos cerebritos
informáticos listos por ahí. Tan listos que esperan obtener algo más por sus
conocimientos, y los ejemplos del pasado, en los que personas similares a ellas
se hicieron ricos y famosos con su trabajo, motivaron a muchos de ellos a elegir
carrera. Sin embargo, el caso TJX nos muestra que jugar con el lado oscuro tiene
sus peligros. Tengan mucho cuidado ahí fuera.
TEMAS DE ACTUALIDAD - El espía en su biblioteca
En
el Boletín ENIGMA nº 69 comenté cómo la Universidad de Zaragoza había adquirido
la biblioteca de lenguas de Antonio Camazón, uno de nuestros héroes
criptográficos. Se trata de una gran cantidad de libros que le pertenecieron, y
que fue apodado por los bibliotecarios de la Unizar como "la biblioteca del
espía", antes incluso de saber a quién había pertenecido.
No contentos con ello, los responsables de la Universidad de Zaragoza han
aprovechado para inaugurar un ciclo de actividades sobre libros y documentos
raros. Para ello, nada mejor que abrir una exposición a la que han llamado "un
espía en la biblioteca", donde muestran algunos de los libros que pertenecieron
a Camazón. Entre ellos se encuentra una copia del "Traité de cryptographie" de
André Lange y E.-A. Soudart, con firma del propio Camazón.
Personalmente, me parece una buena forma de atraer a la gente a las bibliotecas.
La inauguración de la exposición, el 30 de noviembre pasado, fue acompañado por
la presentación oficial del catálogo de la "biblioteca del espía" (que ya les
comenté en el Boletín ENIGMA 69), que los interesados pueden descargarse
gratuitamente en formato pdf (entren en
zaguan.unizar.es y busquen la cadena "del acadio al zulú"); y de una
conferencia del Dr. Diego Navarro de la Universidad Carlos III sobre los
Servicios de inteligencia durante la Guerra Civil Española, que lamento haberme
perdido.
También lamento no haber podido dar esta noticia antes, porque según leo en este
momento, la exposición se cerró el 9 de enero de 2010. No es, ciertamente, culpa
de los organizadores, quienes se preocuparon por comunicarme la noticia, cosa
que los agradezco. A pesar de que la exposición se haya cerrado ya, me consgta
que hay por allí algunos maños a los que también les ha picado el
criptobacillus, y no me cabe duda de que se ocuparán de mantener el interés.
En un plano algo más, digamos, doméstico, me apena informaros de que la lápida
que guardaba la tumba de Antonio Camazón en el cementerio de Jaca ya no existe.
Según me informan, un pariente suyo ha ordenado quitar dicha lápida y dejar su
cuerpo junto al de su esposa. Así, quien quiera presentarle sus respetos debe
buscar ahora el nicho número 133, cuya lápida reza "Dª Mª Cadena de Camazón".
TEMAS DE ACTUALIDAD - Factorizando primos: RSA-768
La
factorización de números primos es un elemento básico en la seguridad del
criptosistema de clave pública RSA. Su fortaleza descansa en la dificultad
práctica de descomponer un número como producto de dos primos, Supongamos que N
sea el producto de dos números A y B, esto es, N=A*B. El proceso de cribado
habitual pasaba por ir probando todos los valores A comprendidos entre 1 y N, y
ver si el cociente N/A es entero, en cuyo caso los factores de N son A y N/A.
Este método puede refinarse fácilmente. Por ejemplo, podemos probar con números
impares, ya que si A par es un factor de N, A/2 también lo será. Así que
descartemos los números A pares. Otra mejora consiste en probar valores de A
entre uno y la raíz cuadrada de N, ya que si uno de los factores primos es mayor
que la raíz de N, el otro ha de ser mayor.
Incluso podemos pre-calcular una tabla de primos, y hacer que A tome valores
primos entre 3 y la raíz de N. De ese modo, para ver si 101 es primo, solamente
tendríamos que hacer la prueba de dividirlo por 3, 5, 7 y para de contar.
Podemos llamar a dicho método Factorización a Piñón Fijo (FPF). El problema es
que, cuando N se hace muy grande, hay que llevar a cabo un gran número de
pruebas.
Existe otra forma de enfocar el problema. En lugar de presentar N como el
producto de dos primos, lo haremos como la diferencia de dos cuadrados. Por
ejemplo, el número 8051 puede ponerse como 83*97, pero también como 8100 - 49 =
90^2 - 7^2. Esto se puede hacer siempre, ya que se cumple la siguiente
identidad:
A*B = [(A+B)/2]^2 - [(A-B)/2]^2
De ese modo, encontrar dos números que multiplicados nos de N es equivalente a
encontrar A, B que cumplan la identidad anterior. En este caso, cuando A y B son
parecidos (o, equivalentemente, cuando ambos se acercan a la raíz cuadrada de N)
este procedimiento es más fácil que el de FPF.
La ecuación anterior es equivalente a decir: busquemos dos números (U,V) tales
que U^2 - V^2 = N; si lo conseguimos, entonces N=A*B, donde U = (A+B)/2 y V =
(A-B)/2. Pero podemos hacerlo más general, y preguntarnos por dos números (U,V)
tales que U^2 - V^2 sea un múltiplo de N. ¿Y por qué hacer esa operación tan
rara? Porque así podemos introducir aritmética modular.
Recordemos que la aritmética modular (AM) trabaja de modo menos evidente que la
aritmética tradicional. Cuando leemos N=A*B, significa que el número N tiene
como divisores tanto a A como a B. Por el contrario, en AM escribimos
expresiones del tipo X == Y mod Z (que se lee "X es congruente con Y módulo Z).
Eso significa que X = mZ+ Y. Fíjese el lector que X == Y mod Z es equivalente a
decir que Z es divisor exacto de (X-Y). Recomiendo al lector interesado los
artículos "RSA y la aritmética modular I y II, en el Boletín ENIGMA nº 46 (http://www.cripto.es/enigma/boletin_enigma_46.htm)
Decir que X^2 - Y^2 es un múltiplo de N es equivalente a decir que X^2 = k*N +
Y^2, esto es, que X^2 == [Y^2] mod N. Esa ecuación tiene varias soluciones. Dos
de ellas, X== Y Mod N y X == -Y Mod N, no resultan interesantes, porque
significaría que N es divisor de (U-V), o bien de (U+V), es decir, que N es la
suma o la diferencia de dos números. Eso y nada es lo mismo. Las otras, las que
nos interesan, las llamaremos "soluciones interesantes."
Dichas soluciones "interesantes," que son al menos el 50% del total, cumplen con
una propiedad curiosa. Si (X,Y) son dicha solución, tenemos que ni (X-Y) ni
(X+Y) son divisibles por N, pero X^2 - Y^2 = (X+Y)*(X-Y) sí es divisible por N.
Y aquí va otra interesante conclusión. ¿Recuerdan lo que era el máximo común
divisor? Es el mayor número que divide a otros dos. Por ejemplo, 6 es el mayor
número que divide a 24 y a 60 a la vez, de forma que 6 es el máximo común
divisor de ambos. Fíjense que 60 tiene divisores mayores (por ejemplo, el 10),
pero no son divisores de 24, así que no valen.
Probemos con un ejemplo práctico. Sea N=2041. Tenemos que encontrar (X,Y) tales
que X^2 - Y^2 divida a N. Una posibilidad es hacer X=5.402.838, Y=50.400. No voy
a decir de dónde salen esos números, pero imaginen que son buenos. Para
comprobarlo, nuestra primera idea sería hacer (X^2 - Y^2)/N y ver si nos sale un
número entero. Pero hay otra forma más rápida. Resulta que una propiedad del MCD
es la siguiente: si se cumple que A>B, entonces MCD(A,B) = MCD(A,R), donde R es
el resto al dividir A entre B. Al aplicar aritmética modular a X e Y, obtenemos:
X == 311 Mod 2041
Y == 1416 Mod 2041
De forma que hallar el MCD de x-y y N es equivalente a hallar el MCD de
(1416-311) y 2041, que resulta que es 13. Así que 13 es divisor de 2041.
En este punto, me parece oír un lamento colectivo por parte de los lectores:
"¿Toda esa historia, para demostrar que 13 es divisor de 2041? !Eso lo hago yo
por la cuenta de la vieja!" Sí, tal vez, pero los ejemplos de interés serán muy
diferentes a este. N no será un número de cuatro cifras, sino de centenares. Y
es en el campo de los números muy grandes donde la aritmética modular resulta
especialmente eficaz.
El método descrito aquí resultará muy eficaz, pero no hemos dicho nada sobre
cómo obtener (X,Y). Y aquí está, como digo yo en estos casos, la madre del
cordero. La explicación completa es muy farragosa, así que voy a simplificarla
al máximo, y disculpen si me dejo algo por aclarar. Lo que se hace es, en primer
lugar, obtener varias parejas de números enteros del tipo (ai,bi). Primero se
escoge ai. A partir de ahí, se escoge un número bi que cumpla dos condiciones:
1) (ai)^2 == bi Mod N (donde N es nuestro número a factorizar)
2) bi es Pt-suave
¿Y qué es eso de Pt-suave? En pocas palabras, significa que bi se puede poner
como producto de números primos que van desde el 2 hasta el t. Por ejemplo,
182.952 es igual a (2^3)*(3^3)*(7^1)*(11^2), así que es 11-suave. Dicho de otro
modo, N es Pt-suave si su mayor divisor primo es Pt.
Una vez obtenidos un puñado de parejas (ai,bi), se toman algunos de esos bi y se
multiplican, de forma que dicha multiplicación nos de un cuadrado. Dicha
multiplicación es el número X y su raíz cuadrada es Y.
Para recapitular, que no se pierda nadie, el proceso es el siguiente. Primero
escogemos un puñado de valores ai; a partir de ahí, obtenemos los
correspondientes bi; con eso, obtenemos X e Y, hallamos el máximo común divisor
de X-Y y N, y listo, lo que nos salga es un factor primo de N. !Tachán!
El quid de la cuestión consiste en conseguirlo en un plazo de tiempo razonable,
digamos antes de que el Sol se enfríe, o antes aún si es posible. Hay varios
factores que influyen en ello. El primero es el valor de t, lo que está
relacionado con la "suavidad" de los números cercanos a N. El segundo es la
forma en que obtenemos los valores de ai. ¿Cómo los escogemos? ¿Tienen que
cumplir alguna propiedad en particular? En principio no. De hecho, el llamado
algoritmo de Dixon pasa por escoger ai al azar, es decir, a voleo. El algoritmo
de Dixon tiene la ventaja de que se puede conocer con exactitud el tiempo que
nos va a llevar obtener una solución. Pero ¿no se podría hacer mejor, en menos
tiempo?
La respuesta es sí, y el modo en que escogemos de ai influirá en el tiempo que
necesitaremos para el conjunto de cálculos. Evidentemente, lo queremos lo antes
posible, pero los diferentes métodos dan tiempos distintos en función de qué
valor tenga N exactamente. En la llamada factorización de criba cuadrática
(Quadratic Sieve), tomamos un número M cercano a la raíz de N. Consideremos la
función Q(x) = (x+m)^2 - n, que tiene un valor pequeño si x es pequeño. El
algoritmo de criba cuadrática toma ai=(x+m), y comprueba si bi=Q(x) es pt-suave.
Es el algoritmo de factorización más rápido para números de menos de 110
dígitos, aproximadamente.
Para números mayores, hay un algoritmo más rápido, denominado Criba de Campo
Numérico (NFS, Number Field Sieve). Por favor, les ruego que no me hagan entrar
en detalles. Si están ansiosos por los detalles, prueben en
http://en.wikipedia.org/wiki/General_number_field_sieve, pero yo ahí no
entro. Quédense tan sólo con la idea de que es mucho más rápido que la criba
cuadrática, y que utiliza funciones polinómicas mucho más complejas que la Q(x)
del párrafo anterior.
La NFS tardó algo en despegar, porque se creía que solamente era aplicable a
números especiales, del tipo N=r^e - s, donde r y s son números pequeños. Por
ejemplo, el número 2^1039 - 1, un número de unos 313 dígitos, fue factorizado en
2007. Posteriormente se ha demostrado útil también para números de tipo general,
aunque en ese caso es más lento. Para que conozcan el "estado del arte", el
mayor número no especial factorizado hasta hace muy poco tenía solamente 200
dígitos (663 bits).
Pero hace poco se levantó el equivalente a la Torre Burj Dubai, ese mamotreto de
edificio que acaban de levantar en Dubai. Los arquitectos han sido un grupo de
diversas instituciones: la Escuela Politécnica Federar de Lausana (Suiza), NTT
de Japón, la Universidad de Bonn, el INRIA (Instituto Nacional de Investigación
en Informática y Automática) de Francia, el CWI (Centro de Matemáticas e
Informática) de Holanda y, ejem, Microsoft Research. Los resultados, que se
hicieron públicos a comienzos de 2010 (justo para Reyes), indican que han
factorizado un número de 232 dígitos conocido con el nombre de RSA-768, y que
tiene esta expresión decimal:
123018668453011775513049495838496272077285356959533479219732245215172640
050726365751874520219978646938995647494277406384592519255732630345373154
826850791702612214291346167042921431160222124047927473779408066535141959
7459856902143413
Este es uno de los números que la empresa RSA publicó para que la comunidad
criptográfica intentase factorizarlo. Ya saben, uno de esos "challenges"
(http://www.rsa.com/rsalabs/node.asp?id=2094) a que tan aficionados son los
usamericanos. Lo curioso es que el "challenge" ya no está activo. Sin embargo,
lo estaba cuando el grupo comenzó a intentar factorizarlo ... hace dos años. Sí,
les ha llevado todo ese tiempo.
El proceso constó de tres etapas. La primera, denominadas selección polinómica,
busca dos polinomios f1 y f2 que tengan una raíz común módulo N, esto es, un
número M tal que:
f1(m) === f2(m) == 0 Mod N.
Dichos polinomios f1 y f2 pueden elegirse de entre muchos, y hay que hacerlo
bien para encontrar la mejor solución. Tan sólo la búsqueda de estos dos
polinomios les llevó más de 20 años en un ordenador personal. Bueno, corrijo,
les hubiera llevado veinte años; lo cierto es que usaron ochenta chips Opteron
durante tres meses.
A continuación, viene la fase de criba ("sieving"). En ella, se buscan pares
(ai, bi) que cumplan una cierta relación matemática. Antes indicamos que (ai,bi)
tenían que cumplir que a)(ai)^2 == bi Mod N y b) bi es Pt-suave. Cuando se usa
la criba de campo numérico, esa relación se sustituye por otra de ese estilo
pero más complicada. Y si creen que estoy siendo deliberadamente vago, tienen
razón. Es ese tipo de detalles que, si trato de explicarlos, les van a dejar a
ustedes con más dudas todavía. Eso suponiendo que lo entendiese yo. Para darles
idea de la escala de este paso, digamos que un procesador Opteron a 2.2 GHz con
2 GB de RAM hubiera tardado unos 1.500 años. El resultado es un conjunto de
datos de unos 5 terabytes de disco duro.
Finalmente, en el paso tercero se procesan los datos obtenidos, en forma de una
gigantesca matriz, para obtener las pepitas de oro.¿El tamaño de esta matriz?
Pues nada menos que 192.796.550 filas y otras tantas columnas, es decir, caso
cuarenta mil billones de elementos. Y menos mal que la matriz es del tipo que
los matemáticos llaman "sparse matrix", es decir, una en la que la mayoría de
sus elementos son ceros. ¿Requisitos computacionales? Un "cluster" de 37 nodos
Core2 a 2.66 GHz con 16 GB de RAM funcionando durante algo más de dos días. Y
ojo, eso era solamente para construir la matriz. Su resolución llevó mucho más
tiempo.Los propios autores lo describen dicho cluster indicando que "no era una
red de interconexión particularmente rápida". Este tercer paso, la de formación
y resolución de matriz, requería hasta ahora un superordenador de gran
capacidad, o al menos eso se creía hasta ahora.
En total, el equipo llevó a cabo el trabajo equivalente a un Opteron de 2.2GHz
trabajando durante más de 2.000 años, con un total de 2^67 instrucciones. Es
decir, hablando aproximadamente, reventar la clave RSA de 768 es algo así como
romper una clave simétrica de 67 bits. Toda una proeza. Y he aquí el resultado.
Los factores primos de RSA-768 son los siguientes números (ambos de 116
dígitos):
334780716989568987860441698482126908177047949837137685689124313889828837
93878002287614711652531743087737814467999489
367460436667995904282446337996279526322791581643430876426760322838157396
66511279233373417143396810270092798736308917
Para terminar, las conclusiones. La mayoría de las implementaciones RSA de 1024
bits serán vulnerables pronto, ya que los autores estiman que factorizar un
número de 1024 bits será unas mil veces más difícil que lo que les ha costado
romper el de 768 bits, pero que se podrá conseguir dentro de entre cinco y diez
años. Por supuesto, ahora hay medios informáticos más potentes a disposición de
cualquiera, por no hablar de esfuerzos de computación distribuida (tipo BOINC,
por ejemplo). Que no cunda el pánico, porque ya estábamos avisados y sabiamos
que tenía que ocurrir (ver "El tamaño de mi clave, Boletín ENIGMA nº 62:
http://www.cripto.es/enigma/boletin_enigma_62.htm#3).
Los usuarios de PGP deben haber cambiado ya a claves de 2048 bits hace años. El
problema es que muchas conexiones de navegador utilizan todavía RSA de 1024
bits, y aunque reventarlas sea trabajo de chinos, nos quedaríamos tranquilos con
claves más largas para comprar los billetes de avión por Internet. Es decir,
seguirá siendo una tarea larga y tediosa. A esa conclusión llegaron hace años
también los organizadores del "RSA Challenge",
"Supongamos, por ejemplo, que en el año 2010 se anuncie una factorización de
RSA-768 ... En esta situación hipotética, ¿deberían ser reemplazadas todas las
claves RSA de 768 bits? La respuesta es no ..."
Como ven, los chicos de RSA fueron clarividentes en la fecha (se equivocaron por
sólo tres semanas). Sin embargo, con su permiso, disiento. En mi opinión, sí
habría que reemplazar todas las claves de 768 bits, y también las de 1024 bits.
De hecho, me pregunto por qué alguien querría usar claves RSA de 768 bits hoy
día. Al menos, es mi opinión. Y ya saben lo que decía Harry Callahan sobre las
opiniones.
El boletín ENIGMA es una publicación gratuita del Taller de
Criptografía, y se rige por las normas de la licencia de Creative Commons
Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia,
distribución y comunicación para fines no lucrativos, citando nombre y
referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA