Taller de Criptografía - Expediente 005



Longitud mínima de clave en cifrado simétrico para seguridad comercial



Archivo original: Minimal Key Lengths for Symmetric Cyphers to Provide Adequate Commercial Security

Autores:
Matt Blaze (AT&T Research, mab@research.att.com )
Whitfield Diffie (Sun Microsystems, diffie@eng.sun.com )
Ronald R. Rivest (MIT Laboratory for Computer Science, rivest@lcs.mit.edu )
Bruce Schneier (Counterpane Systems, schneier@counterpane.com )
Tautomu Shimomura (San Diego Supercomputer Center, tsutomu@sdsc.edu )
Eric Thompson (Access Data, Inc., eric@accessdata.com )
Michael Wiener (Bell Northern Research, wiener@bnr.ca )



Enero 1996

RESUMEN



El cifrado juega un papel esencial en la protección de la intimidad de la información electrónica contra amenazas de diversos atacantes potenciales. Para ello, la criptografía moderna emplea una combinación de sistemas criptográficos convencionales, o simétricos, para cifrar datos, y sistemas de clave pública, o asimétricos, para administrar las claves usadas por los sistemas simétricos. Evaluar la fortaleza requerida por el sistema criptográfico simétrico es, por tanto, un paso esencial para el uso de la criptografía en seguridad informática y de comunicaciones.

La tecnología fácilmente disponible hoy (finales de 1995) hace mucho más fáciles y baratos los ataques de fuerza bruta contra sistemas criptográficos considerados adecuados durante los últimos años. Los ordenadores de uso general pueden usarse, pero una estrategia mucho más eficiente es emplear la tecnología de Sistemas de Puerta Programables de Campo (FPGA: Field programmable Gate Array), disponible comercialmente. Para atacantes dispuestos a hacer una inversión inicial alta, chips hechos a la medida para un fin específico hace que tales cálculos sean mucho más rápidos y significativamente menor el coste amortizado por solución.

Como resultado, los criptosistemas con claves de 40 bits prácticamente no ofrecen protección a estas alturas contra atacantes de fuerza bruta. Incluso el Estándar de Cifrado de Datos (DES: Data Encryption Standard) con clave de 56 bits es cada vez más inadecuado. Conforme los criptosistemas sucumben ante ataques "más inteligentes" que la búsqueda de clave por fuerza bruta, es asimismo importante recordar que las longitudes de clave aquí discutidas son las mínimas que se necesitan para seguridad contra las amenazas computacionales consideradas.

Afortunadamente, el coste de los sistemas de cifrado muy fuerte no es mucho mayor que el de los sistemas de cifrado débil. Por tanto, para dar protección adecuada contra las amenazas más serias (empresas con alto presupuesto o agencias de inteligencia gubernamentales) las claves usadas para proteger datos hoy deben ser de al menos 75 bits de longitud. Para proteger información adecuadamente durante los próximos 20 años, a la luz de los avances esperados en potencia de computación, las claves de los sistemas nuevos deben ser de al menos 90 bits.



1. El cifrado juega un papel esencial en la protección de la intimidad de la información electrónica.

1.1 Hay una necesidad de seguridad en la información.

Mientras escribimos este artículo a finales de 1995, el desarrollo del comercio global y la Infraestructura Global de Información están en un cruce crítico. Los polvorientos caminos en la edad media solamente se convirtieron en autopistas para los negocios y la cultura cuando pudo asegurarse la seguridad de los viajantes y las mercancías que transportaban. De igual modo, la superautopista de la información será una mala carretera a menos que la información, los bienes de la Era de la Información, pueda ser transportada, almacenada, comprada y vendida con seguridad. Ni las empresas ni los individuos confiarán sus negocios privados o datos personales a las redes de ordenadores a menos que puedan confiar en la seguridad de su información.

Hoy, la mayoría de formas de información puede ser almacenada y procesada electrónicamente. Esto significa que en las redes informáticas se encontrará una amplia variedad de información, con valor económico variable y aspectos de intimidad, y con una amplia variación en el tiempo en el que la información necesita ser protegida. Considérese el espectro:

  • Transferencias bancarias electrónicas de millones, incluso miles de millones, de dólares, cuya seguridad a corto plazo es esencial pero cuya exposición es breve.

  • Los planes estratégicos de una gran empresa, cuya confidencialidad debe ser preservada durante unos pocos años.

  • Un producto patentado (fórmula de la Coca-Cola, nuevo diseño de medicamento) que necesita ser protegido durante su vida útil, a menudo décadas.

  • Información privada de un individuo (estado de salud, evaluación de empleo) que pudiera necesitar protección durante la vida del individuo.

1.2 El cifrado puede dar protección fuerte a la confidencialidad

El cifrado se consigue revolviendo los datos mediante procedimientos matemáticos que hace que la recuperación del texto original sea extremadamente difícil y caro en términos de tiempo para quien no sea su destinatario autorizado (el que tiene las claves de descifrado correctas). El cifrado adecuado garantiza que la información estará segura incluso si cae en manos hostiles.

El cifrado -y el descifrado- puede realizarse mediante software o hardware de ordenador. Habitualmente se escribe el algoritmo en un disco para su ejecución por un procesador central de ordenador; se sitúa en ROM o PROM para su ejecución por un microprocesador, o bien se almacena y ejecuta aisladamente en un dispositivo accesorio del ordenador (tarjeta inteligente o tarjeta PCMCIA).

El grado de protección obtenido depende de varios factores. Éstos incluyen: la calidad del criptosistema, la forma en que se implementa en software o hardware (especialmente su fiabilidad y la manera en que se eligen las claves), y el número total de posibles claves que pueden usarse para cifrar la información. Un algoritmo criptográfico se considera fuerte si:

  • 1. No hay un atajo que permita a un oponente recuperar el texto original sin usar fuerza bruta para comprobar claves hasta que se encuentre la correcta.

  • 2. El número de claves posibles es lo bastante grande para hacer tal ataque [de fuerza bruta] inviable.

El principio aquí es similar al de un cerrojo de combinación en una caja fuerte. Si el cerrojo está bien diseñado, de manera que un ladrón no puede oír o sentir su funcionamiento interno, una persona que no conozca la combinación solamente podrá abrirla probando un conjunto de números tras otro hasta que ceda.

El tamaño de las claves de cifrado se miden en bits, y la dificultad de probar todas las claves posibles crece exponencialmente con el número de bits usado. Añadir un bit a la clave dobla el número de claves posibles; añadir diez aumenta dicho número en un factor de más de mil.

No hay forma de mirar un sistema de cifrado y determinar si hay atajos. A pesar de ellos, varios algoritmos de cifrado -notablemente, el Data Encryption Standard (DES) de los EEUU- han sido extensivamente estudiados en la literatura abierta y se cree que son de muy alta calidad. Un elemento esencial en el diseño de algoritmos criptográficos es, por tanto, la longitud de la clave, cuyo tamaño establece una cota superior a la fortaleza del sistema.

A lo largo de este artículo, supondremos que no hay atajos y tomaremos la longitud de la clave como representativa del "factor de trabajo" del criptosistema (la cantidad mínima de esfuerzo necesario para romper el sistema). Es importante tener en mente, no obstante, que los criptógrafos consideran esto como una suposición aproximada, y muchos recomendarían claves dos o tres veces mayores que las necesarias para resistir ataques de fuerza bruta. Los diseños criptográficos prudentes no solamente emplean claves más largas de lo que parezca necesario, sino que dedican más tiempo de computación para el cifrado y el descifrado. Un buen ejemplo de esto es la idea popular de usar TripleDES: cifrar el texto de salida de DES dos veces más, usando un total de tres claves distintas.

Los sistemas de cifrado caen en dos amplias categorías. Los criptosistemas convencionales, o simétricos, son aquellos en los que alguien con la capacidad de cifrar tiene también la capacidad de descifrar y viceversa; son los que se considerarán en este artículo. Los sistemas, más recientes, de clave pública -o asimétricos- tienen la propiedad de que la capacidad de cifrar no implica la capacidad de descifrar. En la criptografía actual, los sistemas de clave pública son indispensables para administrar las claves de los criptosistemas convencionales. Todos los criptosistemas conocidos de clave pública, sin embargo, son susceptibles de ataques mediante atajos, y deben por tanto usar claves diez o más veces mayores (que los tamaños que discutimos aquí) para tener un grado equivalente de seguridad.

Aunque los ordenadores permiten que la información electrónica sea cifrada usando claves muy largas, los avances en la potencia de computación siguen presionando de modo que el tamaño de las claves consideradas grandes sea mayor cada vez, haciendo con ello más fácil para los individuos y organizaciones atacar información cifrada sin un gasto irrazonable de recursos.

1.3 Las amenazas provienen de muchos atacantes potenciales.

Las amenazas a la confidencialidad de la información provienen de diversas direcciones, y sus formas dependen de los recursos de los atacantes. Los hackers [piratas informáticos], que pueden ser cualquiera desde estudiantes de secundaria a programadores comerciales, pueden tener acceso a ordenadores principales [mainframes] o redes de estaciones de trabajo. La misma gente puede comprar a bajo precio placas con chips del tipo Sistemas de Puerta Programables de Campo (FPGA), que funcional como "hardware programable" y aumenta grandemente la efectividad de un esfuerzo criptoanalítico. Una compañía pequeña, o incluso un individuo bien dotado, puede permitirse muchos de estos chips. Una gran empresa o grupo del crimen organizado, con "mucha pasta" para gastar puede adquirir chips de ordenador especialmente diseñados para el descifrado. Una agencia de inteligencia, metida en el espionaje para el beneficio de la economía nacional, puede construir una máquina utilizando millones de esos chips.

1.4 La tecnología actual permite el cifrado muy fuerte por aproximadamente el mismo coste que el cifrado débil.

Es una propiedad del cifrado por ordenador el que incrementos modestos en el coste computacional puede dar grandes aumentos en la seguridad. Cifrar la información de modo muy seguro (p. ej. con claves de 128 bits) habitualmente requiere poca más potencia de computación que con cifrado débil (pj. ej. con claves de 40 bits). En muchas aplicaciones, el propio sistema criptográfico constituye tan sólo una pequeña fracción de los costos de computación, comparado con procesos tales como compresión de voces o de imagen, necesarios para preparar el material para el cifrado.

Una consecuencia de esta uniformidad de costes es que raramente hace falta adecuar la fortaleza del criptosistema a la de la información que va a ser protegida. Aunque la mayoría de la información de un sistema no tiene implicaciones de intimidad o valor monetario, no hay razones prácticas o económicas para diseñar software o hardware de ordenador para dotar de un nivel de cifrado diferente a mensajes diferentes. Resulta más simple, prudente y por tanto fundamentalmente más económico emplear un nivel uniformemente alto de cifrado: el cifrado más fuerte necesario para cualquier información que pudiera ser almacenada o transmitida por un sistema seguro.



2. La tecnología, fácilmente disponible, hace más rápido y barato los ataques de descifrado mediante fuerza bruta.

El tipo de hardware usado para montar un ataque de fuerza bruta contra un algoritmo de fuerza bruta depende de la escala de la operación criptoanalítica y de los fondos disponibles por el atacante. En el análisis que sigue, consideraremos tres clases generales de tecnología que pueden ser empleadas por atacantes con diferentes recursos. No es sorprendente comprobar que las tecnologías criptoanalíticas que exigen mayores inversiones también arrojan los menores costes por clave recuperada, amortizada a lo largo de la vida útil del hardware.

La naturaleza de los ataques mediante fuerza bruta es tal que pueden ser paralelizados indefinidamente. Es posible usar tantas máquinas como estén disponibles, asignando a cada una de ellas una parte del problema. Así, al margen de la tecnología empleada, el tiempo de búsqueda puede reducirse añadiendo más equipo; el doble de hardware encontrará la clave correcta en la mitad del tiempo. La inversión total se habrá duplicado, pero si el hardware se mantiene ocupado constantemente buscando claves, el coste por clave recuperada permanecerá inalterado.

En el extremo bajo del espectro tecnológico están los ordenadores personales convencionales o estaciones de trabajo, programados para probar claves. Mucha gente, por poseer o tener acceso a las máquinas, están en posición de usar tales recursos con poco o ningún coste. Sin embargo, los ordenadores de propósito general -cargado con equipos tales como controladores de video, teclados, interfases, memoria y almacenamiento de disco- constituyen equipos de búsqueda caros. Por tanto, serán usados por el atacante casual que no puede, o no desea, invertir en equipo más especializado.

Una idea tecnológica más eficiente es aprovecharse de los Sistemas de Puerta Programables de Campo (FPGA) disponibles comercialmente. Los FPGS funcionan como hardware programable y permiten implementaciones más rápidas de tareas tales como cifrado y descifrado que los procesadores convencionales. Los FPGA son una herramienta usada para cálculos simples que necesitan hacerse muy rápidamente, particularmente en la simulación de circuitos integrados durante su desarrollo.

La tecnología FPGA es rápida y barata. El coste de un chip ORCA de la AT&T capaz de comprobar 30 millones de claves DES por segundo es de unos $200 [unas 30.000 pesetas; se supondrá en lo que sigue unas 150-160 pts. por dólar]. !Esto es mil veces más rápido que un PC por la décima parte de su coste! Los FPGA están ampliamente diseminados y, montados en placas, pueden instalarse en PCs estándar igual que las tarjetas de sonido, módem, o memoria extra.

La tecnología FPGA es óptima cuando se debe usar la misma herramienta para atacar diferentes criptosistemas. A menudo, como en DES, un criptosistema está lo bastante extendido para justificar la construcción de mecanismos más especializados. En tales circunstancias, la tecnología más eficiente, pero la que requiere la inversión inicial más alta, es el use de Circuitos Integrados para Aplicación Específica (ASIC: Application-Specific Integrated Circuits). Un chip de $10 (1.500 pts.) puede comprobar 200 millones de claves por segundo. Esto es siete veces más rápido que un chip FPGA a un doceavo del coste.

Debido a que los ASIC exigen un esfuerzo de ingeniería mucho mayor que los FPGA y deben fabricarse en grandes cantidades antes de que resulten económicos, esta idea está solamente a disposición de operaciones serias y de gran presupuesto como empresas comerciales (o criminales) y agencias gubernamentales de inteligencia.



3. Las claves de 40 bits no ofrecen prácticamente ninguna protección.

La política actual del gobierno de EEUU limita por lo general el software comercial, exportable que incorpora cifrado para confidencialidad, al uso de RC2 o RC4 con clave de 40 bits. Una longitud de clave de 40 bits significa que hay 2^40 claves posibles. En promedio, deben comprobarse la mitad (2^39) para encontrar la clave correcta. La exportación de otros algoritmos y longitudes de clave deben aprobarse caso por caso. Por ejemplo, DES con clave de 56 bits ha sido aprobado para ciertas aplicaciones tales como transacciones financieras.

El reciente ataque con éxito mediante fuerza bruta efectuado por dos estudiantes graduados sobre el algoritmo RC4 de 40 bits de Netscape [N.T: ver aquí para más información] demuestra los peligros de tan cortas claves. Estos estudiantes de la Ecole Polytechnique de París usaron "tiempo muerto" en los ordenadores de la escuela, sin coste para ellos mismos o su escuela. Incluso con esos limitados recursos, pudieron recuperar la clave de 40 bits en pocos días.

Sin embargo, no hay necesidad de tener los recursos de una institución de educación superior a mano. Cualquiera con un mínimo de experiencia en ordenadores y algunas decenas de miles de pesetas podría atacar cifrados de 40 bits mucho más deprisa. Un chip FPGA -a un coste de unos $400 [60.000 pts] montado en su placa- podría en promedio recuperar una clave de 40 bits en cinco horas. Suponiendo que el FPGA durase tres años y fuese usado continuamente para encontrar claves, el coste medio por clave es de unos ocho centavos [doce pesetas].

Un depredador comercial con más determinación, listo para gastar $10.000 [1.5 millones de pts.] para un sistema con 25 chips ORCA, podrá encontrar claves de 40 bits en unos 12 minutos de media, con el mismo coste medio de ocho centavos. Gastar más dinero para comprar más chips reduce el tiempo: $300.000 [unos 45-50 millones de pts.] resulta en una solución a los 24 segundos en promedio; diez millones de dólares [1.500 millones de pts.] da una solución en unos 0.7 segundos de promedio.

Como ya se ha hecho notar, una empresa con grandes recursos puede diseñar y hacerse fabricar chips a medida mucho más veloces. Al hacer esto, una empresa que gaste $300.000 puede encontrar la clave correcta de 40 bits en unos 0.18 segundos con 0.1 centavos [15 céntimos de peseta] de coste por solución; una compañía mayor, o una agencia del gobierno, dispuesta a gastar 10 millones de dólares, podría encontrar la clave correcta en un promedio de 0.005 segundos (de nuevo, a 0.1 centavos por solución). (Nótese que el coste por solución permanece constante porque hemos supuesto, conservativamente, costes constantes por chip; en realidad, aumentar el número de chips hechos a propósito reduce el coste promedio por chip, ya que los costes de diseño y fabricación iniciales se distribuyen en un mayor número de chips).

Estos resultados se resumen en la tabla I.


4. Incluso DES con clave de 56 bits es cada vez más inadecuado

4.1 DES ya no es una panacea

El Estándar de Cifrado de Datos (DES) fue desarrollado a comienzos de los años 70 por la IBM y la NSA [Agencia de Seguridad Nacional], y adoptado por el gobierno de EEUU como Estándar Federal sobre Procesamiento de Información [FIPS: Federal Information Processing Standard] para cifrado de datos. Estaba diesñado para dotar de cifrado fuerte a la información sensible, pero no clasificada, del gobierno. Era de conocimiento común, incluso cuando DES fue adoptado, que los desarrollos tecnológicos haría a la clave de 56 bits de DES cada vez extremadamente vulnerable a ataques antes de fin de siglo.

Hoy, DES puede que sea el algoritmo de cifrado más ampliamente usado, y continúa siendo un marco de referencia. Con todo, el cifrado con fortaleza tipo DES no es una panacea. Loa cálculos muestran que DES es inadecuado contra un atacante corporativo o gubernamental con fuertes recursos. El hecho es que DES resulta más barato y fácil de reventar de lo que muchos creen.

Como se explicó anteriormente, el cifrado de 40 bits proporciona una protección inadecuada contra incluso los menos dotados intrusos, contentos con conseguir tiempo muerto en ordenadores parados, o con gastar unas cuantas decenas de miles de pesetas. Contra estos oponentes, el uso de DES con una clave de 56 bits otorgará un grado sustancial de seguridad. En la actualidad, se necesitaría un año y medio para encontrar una clave DES usando tecnología FGPA por valor de $10.000 [1.5 millones de pts.]. En diez años, una inversión de este tipo permitiría encontrar una clave DES en menos de una semana.

La auténtica amenaza a las transacciones comerciales y a la intimidad en Internet proviene de individuos y organizaciones dispuestos a invertir mucho tiempo y dinero. Conforme más y más información personal y comercial se hace electrónica, las recompensas potenciales para un depredador comercial dedicado también aumentan significativamente y puede justificar el uso de recursos adecuados.

Un serio esfuerzo -del orden de $300.000 [45 millones de pts.]- por una empresa legítima o no podría encontrar una clave DES en unos 19 días usando tecnología ya existente, y en sólo 3 horas usando un chip desarrollado a medida. En el último caso, costaría $38 [600 pts] encontrar cada clave (de nuevo suponiendo una vida de 3 años para el chip y un uso continuado). Una empresa o gobierno dispuestos a gastar 10 millones de dólares [1.500 millones pts.] en chips a tal efecto podría recuperar claves DES en unos 6 minutos de promedio, por los mismos 38 dólares por clave.

[N.T.: A mediados de 1998, la organización no lucrativa Electronic Frontiers Foundation construyó una máquina para encontrar claves DES. Dicha máquina puede recuperar dichas claves en 3-4 días. Coste: unos $250.000, o 40 millones de pts.]

En lo más alto, una organización -supuestamente una agencia de inteligencia gubernamental- dispuesta a gastar 300 millones de dólares [50.000 millones de pts.] podría recuperar claves DES en !doce segundos! La inversión necesaria es grande, pero no descabellada para la comunidad de inteligencia. Es menos que el coste del Glomar Explorer, construido para rescatar un solo submarino ruso, y bastante menos que el coste de un satélite espía. Tal gasto sería difícil de justificar para atacar un solo objetivo, pero parece enteramente apropiado contra un algoritmo criptográfico, como DES, que goce de extensa popularidad en todo el mundo.

Hay bastantes evidencias del peligro representado por las agencias gubernamentales de inteligencia en la búsqueda de información, no sólo para fines militares sino para ventajas comerciales. Las audiencias del Congreso en 1993 reveló casos en que los gobiernos de Francia y Japón espiaron en beneficio de empresas de sus propios países. Así, tener que proteger información comercial contra tales amenazas no es un caso hipotético.

4.2 Hay maneras más inteligentes de ataque que fuerza bruta.

Es más fácil rodear un árbol que subirlo y volverlo a bajar. No hay necesidad de romper la ventana de una casa para entrar si la puerta abierta no está cerrada.

Los cálculos acerca de la fortaleza del cifrado contra ataques de fuerza bruta son parte de escenarios del tipo "caso peor." Suponen que los métodos de cifrado son en cierto modo perfectos y que los intentos para encontrar atajos han sido inútiles. Una observación importante es que la aproximación más cruda (revisar todas las claves) es enteramente factible contra muchos sistemas de uso amplio. Otra es que las longitud de clave que discutimos aquí son siempre mínimas. Como se dijo anteriormente, los diseños prudentes deberían usar claves dos o tres veces mayores para dar un margen de seguridad.

4.3 El análisis para otros algoritmos es aproximadamente comparable.

El análisis anterior se ha centrado en el tiempo y dinero necesarios para encontrar una clave que descifre información usando el algoritmo RC4 con clave de 40 bits o el algoritmo DES con su clave de 56 bits, pero los resultados no son característicos sólo para estos algoritmos. Aunque cada algoritmo tiene sus propios rasgos peculiares, el esfuerzo necesario para encontrar la clave en otros métodos de cifrado es comparable. Puede que haya algunas diferencias como resultado de los procedimientos de implementación, pero no afectan materialmente a la "reventabilidad" mediante fuerza bruta de algoritmos con longitudes de clave aproximadamente iguales.

Específicamente, se ha sugerido a veces que las diferencias en los procedimientos de inicio, como el largo proceso de establecimiento de clave en RC4, se traduce en que algunos algoritmos tienen a todos los efectos claves más largas que otros. Para los fines de nuestros análisis, tales factores parecen variar la longitud efectiva de clave en no más de ocho bits.



Longitudes apropiada de clave para el futuro: propuesta.

La Tabla I resume los costes de llevar a cabo ataques mediante fuerza bruta contra criptosistemas simétricos con claves de 40 y 56 bits usando redes de ordenadores de propósito general, Sistemas de Puertas Programables de Campo y chips diseñados especialmente.

Muestra que 56 bits otorga un nivel de protección -un año y medio, más o menos- adecuaco para muchos fines comerciales contra un oponente preparado para gastar $10.000. Contra un oponente listo para gastar $300.000, el período de protección cae al mínimo de 19 días. Por encima de esto, la protección decae rápidamente hasta lo ínfimo. Una inversión muy grande, pero fácilmente imaginable, por una agencia de inteligencia le permitirá claramente recuperar claves en tiempo real.

¿Qué factor de trabajo será necesario hoy para la seguridad? Para un oponente cuyo presupuesto esté en la línea de entre 10 y 300 millones de dólares [1.000 a 50.000 millones de pesetas], el tiempo necesario para buscar claves en un espacio de claves de 75 bits sería de entre 6 años y 70 días. Aunque el último dato pueda parecer comparable a los "mínimos" 19 días mencionados antes, representa (bajo nuestros supuestos de amortización) un coste de $19.000.000 [3.000 millones de pts.] y una tasa de recuperación de solamente cinco claves al año. Las víctimas de tales ataques realmente han de tener buenas alforjas.

Puesto que mucha información debe mantenerse confidencial durante largos períodos de tiempo, la evaluación no puede limitarse a la protección necesaria hoy. Igualmente importante, los criptosistemas (especialmente si son estándar) a menudo siguen en uso durante años, incluso décadas. DES, por ejemplo, ha estado en uso durante más de 20 años, y probablemente continuará siendo empleado durante varios años más. En particular, la vida de un criptosistema probablemente excederá la vida útil de cualquier producto que lo contenga.

Una estimación cruda de la fortaleza mínima necesaria en función del tiempo puede obtenerse aplicando una regla empírica, popularmente conocida como "Ley de Moore", que dice que la potencia de computación disponible por un precio dado se duplica cada 18 meses. Teniendo en cuenta tanto la vida del equipo criptográfico como la vida media de los secretos que protege, creemos que es prudente exigir que los datos cifrados sigan siendo seguros dentro de 20 años. La ley de Moore predice entonces que las clave deban ser de unos 14 bits más que lo necesario para proteger contra un ataque hoy.

Teniendo en cuenta que los costes adicionales de computación para el cifrado fuerte son modestos, recomendamos encarecidamente una longitud mínima de clave de 90 bits para criptosistemas simétricos.

Es instructivo comparar esta recomendación con el Estándar Federal sobre Procesado de Información 46 (DES) y 185 (Estándar de Cifrado con Depósito, EES). DES fue propuesto hace 21 años y usa una clave de 56 bits. Aplicando la ley de Moore y añadiendo 14 bits, vemos que la fortaleza de DES cuando fue propuesto en 1975 era comparable a la de un sistema de 70 bits hoy (1995). Más aún, se estimó en su momento que DES no era lo bastante fuerte y que las claves podrían recuperarse a razón de una por día para una inversión de unos 20 millones de dólares [3.000 millones de pts.]. Nuestra estimación de 75 bits hoy corresponde a 61 bits en 1975, lo bastante para mantener el coste de recuperación de clave justo fuera de límites. El Estándar de Cifrado con Depósito [Escrowed Encryption Standard, EES] aunque inaceptable para muchos usuarios potenciales por otras razones, engloba la noción de longitud de clave apropiada similar a la nuestra. Usa claves de 80 bits, número que cae entre nuestras cifras de 75 y 90 bits.


Tabla 1: Tiempo y coste para recuperar una clave

Tipo de atacante

Presupuesto

Herramienta

Tiempo y coste por clave de 40 bits recuperada

Id. por clave de 56 bits.

Longitud(*)

Pirata de medio pelo

Minúsculo

Tiempo inútil de ordenador

1 semana

Inviable

45

$400

FPGA

5 horas ($0.08)

38 años ($35.000)

50

Empresa pequeña

$10,000

FPGA

12 minutos ($0.08)

556 días ($5.000)

55

Departamento corporativa

$300.000

FPGA

24 segundos ($0.08)

19 días ($5.000)

60

ASIC

0.005 segundos ($0.001)

3 horas ($38)

Gran empresa

$10M

FPGA

0.7 segundos ($0.08)

13 horas ($5.000)

70

ASIC

0.0005 segundos ($0.001)

6 minutos ($38)

Agencia de Inteligencia

$300M

ASIC

0.0002 segundos ($0.001)

12 segundos ($38)

75

(*): Longitud necesaria para protección a finales de 1995


Sobre los autores


Matt Blaze es investigador científico decano de AT&T Research en el área de seguridad informática y criptografía. Recientemente Blaze descubrió debilidades en el sistema de cifrado con depósito "Chip Clipper" del gobierno de EEUU. Sus intereses actuales incluyen adminsitración de confianza a gran escala y las aplicaciones de tarjetas inteligentes.

Whitfield Diffie es un ingeniero distinguido de Sun Microsystems especializado en seguridad. En 1976 Diffie y Martin Hellman crearon la criptografía de clave pública, que resolvía el problema de enviar información codificada entre individuos sin relación previa, y forma la base del cifrado en la era de la información digital.

Ronald L. Rivest es profesor de ciencias informáticas en el Instituto de Tecnología de Massachusetts (MIT) y es Director Asociado del Laboratorio de Ciencias Informáticas del MIT. Rivest, junto con Leonard Adleman y Adi Shamir, inventado el criptosistema de clave públics RSA que se usa en toda la industria. Ron Rivest es uno de los fundadores de RSA Data Security Inc. y es el creador de algoritmos de cifrado simétrico con longitud de clave variable (p. ej. RC4).

Bruce Schneier es president de Counterpane Systems, una firma consultora especialista en criptografía y seguridad informática. Schneier escribe y habla frecuentemente sobre seguridad informática e intimidad, y es el autor del conocido libro de texto sobre criptografía "Applied Cryptography", así como el creador del sistema de cifrado en clave simétrica Blowfish.

Tsutomu Shimomura es físico computacional empleado por el Centro de Supercomputación de San Diego, experto en diseñar herramientas para seguridad en software. El año pasado [1995], Shimomura fue responsable del seguimiento del fuera de la ley informático Kevin Mitnick, quien robó y alteró electrónicamente información valiosa por todo el país.

Eric Thompson lidera el equipo criptográfico de AccessData Corporation, y es un orador frecuente sobre criptografía aplicada. AccessData se especializa en recuperación de tados y en descifrar información utilizando fuerza bruta así como otros ataques más "inteligentes". Sus clientes habituales incluyen el FBI y otras agencias fuerzas de seguridad, así como corporaciones privadas.

Michael Wiener es criptógrafo asesor en Bell-Northern Research, donde se centra en criptoanálisis, arquitecturas de seguridad e infraestructuras de clave pública. Su influyente artículo de 1993, Efficiente DES Key Search [Búsqueda Eficiente de Claves en DES], describe con detalle cómo construir una máquina para reventar, mediante fuerza bruta, información codificada con DES (y también da estimaciones de costes).

AGRADECIMIENTO: Los autores desean agradecer a la Business Software Alliance, que dio apoyo para una reunión de un día, realizada en Chicago el 20 de Noviembre
de 1995


Traducido por Arturo Quirantes Sierra (aquiran arroba ugr.es)
Vuelta a la sección Informes y expedientes