Boletín ENIGMA - nº 1

4 Marzo 2002

 


Boletín del Taller de Criptografía de Arturo Quirantes Sierra


Dirección original: http://www.cripto.es/enigma/boletin_enigma_1.htm


EDITORIAL

CRIPTOGRAFÍA HISTÓRICA - El telegrama Zimmermann

AMENAZAS LEGISLATIVAS - CNI: Los nuevos espías del Presidente

ELECTRONES SIN FRONTERAS - Privaterra: criptografía para los oprimidos

CRIPTOGRAFÍA IMPRESENTABLE - Tarjetas no tan inteligentes
 


 

EDITORIAL

 

Ahora que tengo compuesto el primer ejemplar de este boletín, no sé bien qué decir. Resulta difícil no caer en los lugares comunes de siempre, así que seré breve. Bienvenidos al boletín ENIGMA. Aquí encontraréis secciones que espero os haga sentir la magia de la criptografía. No sé que tiene ese bicho, pero cuando te pica resulta difícil vacunarse. Los códigos secretos han atraído al hombre desde siempre. ¿O acaso no jugábais a los mensajes secretos cuando érais pequeñitos? Pues aquí nos vamos a dedicar a ellos a tumba abierta.

Bucearemos en archivos antiguos en busca de sucesos históricos enterrados en el pasado, les quitaremos las telarañas y les daremos lustre. Buscaremos anécdotas, curiosidades y también hitos que han decidido la suerte de batallas y reinos. Pero no olvidaremos el presente, donde los sistemas de códigos y cifrados se ha extendido en nuestro nuevo mundo digital de una manera que no tiene parangón en la historia. Examinaremos los códigos modernos. Y, ya sean antiguos o modernos, veremos qué pasa cuando los códigos invulnerables resultan no serlo.

Pero no olvidemos por qué tenemos necesidad de la criptografía. Usamos técnicas de ocultación porque hay quien quiere meter las narices donde no le llaman. Eso lleva al campo de los espías industriales, gubernamentales, policiales, militares, toda una legión de "grandes hermanos" que pululan a nuestro alrededor. Y, puesto que los primeros fisgones son nuestros representantes, nada como revisar las leyes, nuevas, viejas o en proyecto, que nos tienen preparadas, por nuestro bien por supuesto. Amenazas potenciales o reales como la LSSI tendrán aquí su espacio.

ENIGMA es el nombre dado a una máquina de cifrado usada por los alemanes durante la Segunda Guerra Mundial. Incluso sesenta años después de su momento de gloria, los velos de secreto nos ocultan parte de los hechos, pero lo que se está descubriendo ahora puede llegar a reescribir los libros de historia. En este boletín que le ha tomado prestado el nombre le dedicaremos especial interés, y si sois lectores fieles os garantizo que seréis recompensados con primicias y exclusivas.

Pero basta de adelantar acontecimientos y de prometer lo que vendrá, que comienzo a sonar como un político. En el boletín ENIGMA número uno os encontraréis con un análisis exhaustivo del Telegrama Zimmermann, un conjunto de números aparentemente inocuos pero que arrastró a una nación a la guerra. Volveremos a escenarios más modernos y prestaremos atención a la nueva agencia de espionaje española, tan nueva que todavía no existe. Veremos un interesante proyecto de "cripto sin fronteras", y espero que con ello se contribuya a disipar el sofisma de que cripto es igual a delincuencia. Por último, unas consideraciones sobre tarjetas no tan inteligentes como se supone harán que nos pensemos dos veces a la hora de saltar al DNI digital. Y es que hay que hacer las cosas bien, o no hacerlas en absoluto.

Y yo espero haberlo hecho bien. Si consigo que mis dedos dejen de una vez de engordar este editorial, podréis zambulliros en mi nueva publicación digital. Que aproveche.
 


 

 CRIPTOGRAFÍA HISTÓRICA - El telegrama Zimmermann
 

El día 17 de Enero de 1917, un mensaje cifrado llegó al departamento criptoanalítico del gobierno británico bautizada como Sala 40. Dos funcionarios de guardia comenzaron la tediosa tarea de descifrarlo, ignorantes de que contenía la clave para arrojar a los Estados Unidos del lado de los aliados, y tal vez terminar con la más cruenta guerra jamás conocida hasta la fecha.

El mensaje, que pasó a la historia como el "telegrama Zimmermann", estaba cifrado con una clave diplomática alemana, conocida como clave 0075, y fue enviado por el ministro alemán de exteriores Arthur Zimmermann al embajador alemán en Washington, Conde von Bernstorff. Los criptoanalistas ingleses consiguieron una solución parcial, que posteriormente fue confirmada gracias a una segunda copia del telegrama, enviado por von Bernstoff a su homólogo en Ciudad de Méjico, embajador Eckardt, y cifrado mediante la clave 13042 (variante a su vez de la clave diplomática alemana 13040).

Según Barbara Tuchmann, los ingleses tenían en su poder una copia de la clave 13040 tras habérsela arrebatado a un agente alemán en Persia. David Kahn, por contra, afirma que el conocimiento de dicha clave vino por los medios criptoanalíticos habituales: captura de mensajes cifrados, análisis de redundancias y frecuencias, y mucha inventiva. El hecho de que los dos expertos más ilustres en este campo sean incapaces de ponerse de acuerdo nos da una idea de la capa de secreto que incluso hoy envuelven sucesos de hace casi cien años.

Pero cualquiera que fuese su origen, las consecuencias finales son incontestables. El telegrama Zimmermann, una vez descifrado, indicaba las intenciones alemanas por llevar a Méjico y Japón a una guerra con Estados Unidos con objeto de mantener a este país lejos del teatro de guerra europeo. Pero su consecuencia última fue precisamente la opuesta: el pueblo norteamericano, indignado ante la conspiración alemana, obligó al pacifista presidente Woodrow Wilson a entrar en guerra del lado de los aliados.

El telegrama Zimmermann tenía la siguiente expresión cuando fue enviado de Bernstorff a Eckardt [la separación entre grupos de cifras es la misma que en el telegrama original]:

  130 13042 13401  8501   115  3528   416 17214  6491 11310 18147 18222
21560 10247 11518 23677 13605  3494 14936 98092  5905 11311 10392 10371
 0302 21290  5161 39695 23571 17504 11269 18276 18101  0317  0228 17694
 4473 22284 22200 19452 21589 67893  5569 13918  8958 12137  1333  4725
 4458  5905 17166 13851  4458 17149 14471  6706 13850 12224  6929 14991
 7382 15857 67893 14218 36477  5870 17553 67893  5870  5454 16102 15217
22801 17138 21001 17388  7446 23638 18222  6719 14331 15021 23845  3156
23552 22096 21604  4797  9497 22464 20855  4733 25610 18140 22260  5905
13347 20420 39689 13732 20667  6929  5275 18507 52262  1340 22049 13339
11265 22295 10439 14814  4178  6992  8784  7632  7357  6926 52262 11267
21100 21272  9346  9559 22464 15874 18502 18500 15857  2188  5376  7381
98092 16127 13486  9350 9220  76036 14219  5144  2831 17920 11347 17142
11264  7667  7762 15099  9110 10482 97556  3569  3670


Estaba dirigido a la embajada alemana en Ciudad de Méjico [German Legation, Mexico City] y firmado "Bernstorff"

¿Y qué decía tan importante telegrama? Podemos hacer una traducción, pero antes veamos exactamente qué significa cada grupo de cifras. El significado está tomado del libro de Barbara Tuchmann "El telegrama Zimmermann." La traducción es de Arturo Quirantes.

GRUPO     SIGNIFICADO             TRADUCCIÓN
=====     ===========             ==========
  130                             (número del telegrama)
13042                             (número de identificación de la clave)
13401     Auswartiges amt         ministerio de asuntos exteriores
 8501     telegraphiert           telegrafía
  115     Januar 16               16 de Enero
 3528     colon                   dos puntos
  416     nummer 1                número 1
17214     ganz geheim             alto secreto
 6491     selbst                  usted mismo
11310     zu                      (signo de infinitivo)
18147     entziffren              descifrar
18222     stop                    punto
21560     Wir                     nosotros
10247     beabsichtigen           tenemos la intención de
11518     am                      a partir de
23677     ersten                  primero
13605     Februar                 febrero
 3494     un-                     sin
14936     eingeschrankt           restricciones
98092     U-boot                  submarino
590       Krieg                   guerra
11311     zu                      a
10392     beginnen                comenzar
10371     stop                    punto
 0302     Es wird                 se
21290     versucht                intentado
 5161     werden                  será
39695     Vereiningten Staaten    Estados Unidos
23571     trotzdem                no obstante
17504     neutral                 neutrales
11269     zu                      a
18276     erhalten                mantener
18101     stop                    punto
 0317     Für den Fall            Para el caso
 0228     dass dies               de que (ello)
17694     nicht                   no
 4473     gelingen                lograr
22284     sollte hubiera          (adverbio modal)
22200     comma                   coma
19452     schlagen                ofrecer
21589     wir                     nosotros
67893     Mexico                  Méjico
 5569     auf                     sobre
13918     folgender               siguientes
 8958     Grundlage               bases
12137     Bündnis                 alianza
1333      vor                     (prefijo del verbo ofrecer)
 4725     stop                    punto
 4458     Gemeinsam               juntos
 5905     Krieg                   guerra
17166     führen                  conducir
13851     stop                    punto
 4458     Gemeinsam               juntos
17149     Friedenschluss          tratado de paz
14471     stop                    punto
 6706     Reichlich               generosa
13850     finanzielle             financiera
12224     unterstützung           ayuda
 6929     und                     y
14991     einverständnis          acuerdo
 7382     unserer seits           nuestra parte
15857     dass                    de que
67893     Mexiko                  Méjico
14218     in                      en
36477     Texas                   Tejas
 5870     comma                   coma
17553     neue                    nuevo
67893     Mexiko                  Méjico
 5870     comma                   coma
 5454     AR                      AR
16102     IZ                      IZ
15217     ON                      ON
22801     A                       A
17138     früher                  anterior
21001     verloren                perdido
17388     Gebiet                  territorio
 7446     zurück                  de vuelta
23638     erobern                 conquistar
18222     stop                    punto
 6719     Regelung                tramitación
14331     im                      en
15021     Einzelnen               detalles
23845     Euer Hochwohlgeboren    Su Excelencia
 3156     überlassen              quedan
23552     stop                    punto
22096     Sie                     usted
21604     wollen                  sírvase
 4797     vorstehendes            de lo que precede
 9497     dem                     al
22464     Präsident               presidente
20855     streng                  alto
 4733     geheim                  secreto
25610     eröffen                 hacer saber
18140     comma                   coma
22260     sobald                  tan pronto (como)
 5905     Kriegs                  guerra
13347     Ausbruch                declaración
20420     mit                     con
39689     Vereiningten Staaten    Estados Unidos
13732     fest                    seguro
20667     steht                   sea
 6929     und                     y
 5275     Anregung                sugerencia
18507     hinzufügen              agregar
52262     Japan                   Japón
 1340     von                     por
22049     sich                    sí mismo
13339     aus                     de
11265     zu                      a
22295     sofortig                inmediatamente
10439     beitretung              unión
14814     einladen                invitar
 4178     zu                      (partícula infinitiva del verbo anterior)
 6992     und                     y
 8784     gleichzeitig            simultáneamente
 7632     zwischen                entre
 7357     uns                     nosotros
 6926     und                     y
52262     Japan                   Japón
11267     zu                      a
21100     vermitteln              intermediar
21272     stop                    punto
 9346     Bitte                   por favor
 9559     den                     al
22464     Präsident               presidente
15874     darauf                  de esto
18502     hinweisen               advertir
18500     comma                   coma
15857     dass                    que
 2188     rücksichtslos           despiadado
 5376     Anwendung               uso
 7381     unserer                 nuestros
98092     U-boote                 submarinos
16127     jetzt                   ahora
13486     Aussicht                perspectiva
 9350     bietet                  ofrece
 9220     comma                   coma
76036     England                 Inglaterra
14219     in                      en
 5144     wenigen                 pocos
 2831     Monat-                  mes-
17920     -en                     -es
11347     zum                     hacia
17142     Frieden                 paz
11264     zu                      (infinitivo)
 7667     zwingen                 obligar
 7762     stop                    punto
15099     Empfang                 recibo
 9110     bestahigen              acuse
10482     stop                    punto
97556     Zimmermann              Zimmermann
 3569     stop                    punto
 3670     Schluss der Depesche    Fin del telegrama


La traducción aproximada sería:

"(Telegrama) 130, (clave) 13042. Telegrama del ministerio de asuntos exteriores, 16 de Enero: número 1. Alto secreto. A descifrar por usted mismo. Tenemos la intención de comenzar la guerra submarina sin restricciones a partir del primero de febrero. Se intentará, no obstante, que los Estados Unidos se mantengan neutrales. Para el caso de que no sea posible lograrlo, ofrecemos a Méjico una alianza sobre las siguientes bases: guerra conjunta, tratado de paz conjunto, generosa ayuda financiera y acuerdo por nuestra parte de que Méjico podrá reconquistar los territorios de Tejas, Nuevo Méjico y Arizona perdidos en el pasado. Dejo los detalles a su excelencia. Sírvase usted comunicar lo anteriormente dicho al presidente, en el más absoluto secreto, tan pronto como la declaración de guerra contra Estados Unidos sea algo seguro, y sugiérale que invite inmediatamente, por iniciativa propia, a Japón para unirse y que haga de intermediario entre nosotros y Japón. Sírvase advertir al presidente que el uso despiadado de nuestros submarinos ofrece ahora la perspectiva de que Inglaterra sea forzada a la paz en pocos meses. Acuse recibo. Zimmermann. Fin del telegrama."

Véase cómo algunas palabras (Estados Unidos, punto, presidente) están representadas por más de un grupo de cifras, práctica habitual para dificultar el trabajo de los criptoanalistas. La clave aparentemente no contenía la palabra arizona, de manera que hubo de cifrar las letras o pares de letras que la componían.

Por último, parece que la niebla sigue envolviendo al telegrama Zimmermann. Se cree que la versión inicial de la captura de la clave 13040 puede esconder los trabajos de criptoanálisis llevados a cabo por la Sala 40; tal es, al menos, la teoría de David Kahn. Ni siquiera parece haber acuerdo sobre qué clave fue usada. El embajador Eckhardt declaró que la clave usada había sido la 13040, y como tal se refiere la mayoría de estudiosos; sin embargo, el lector puede comprobar cómo el segundo grupo de cifras indica claramente la clave 13042. Se cree que ésta era una variante de la clave principal 13040.

Incluso quien esto escribe se encontró con sorpresas. Al cotejar mi traducción con la que ofrece Barbara Tuchman en su excelente obra "El Telegrama Zimmermann", descubrí pequeños errores en la traducción. De hecho, dos de los grupos codificados que aparecen en la versión de Tuchman difieren del telegrama original tal como aparece fotografiado en otras referencias. Misterios sobre misterios...
 


 

AMENAZAS LEGISLATIVAS - CNI: Los nuevos espías del Presidente

 

[El 14 de Febrero de 2002, la Comisión de Defensa del Congreso presentaba sus conclusiones sobre el Proyecto de Ley del Centro Nacional de Inteligencia, organismo que en breve sustituirá al CESID. El presente artículo, publicado en Kriptópolis el 10 de Enero de 2002, inaugura una serie sobre la nueva macroagencia española de inteligencia.]


El CESID tiene los días contados. El Congreso de los Diputados está tramitando el proyecto de ley reguladora de la nueva agencia de espionaje: el CNI (Centro Nacional de Inteligencia). Aunque lleva bastante tiempo en el horno, los sucesos del 11S han dado nuevo impulso a esta ley.

Ojalá que los servicios de "inteligencia" simplemente no existiesen, pero su existencia tiene una razón de ser. Poniéndonos en lo más básico, son los encargados de evitar que otra banda de chiflados asalte un avión para estrellarlo en el Bernabéu durante un Madrid-Barsa. Así que, asumiendo que es un mal necesario, veamos si puede cumplir su propósito respetando al mismo tiempo la legalidad vigente. No es cosa de dar un cheque en blanco a nuestros vigilantes, que luego acabaremos necesitando vigilantes para los vigilantes (Juvenal dixit).

Primero, su propósito. Según el artículo 1, el CNI será responsable de "facilitar al Presidente del Gobierno y al Gobierno de la Nación las informaciones, análisis, estudios o propuestas que permitan prevenir y evitar cualquier peligro, amenaza o agresión contra la independencia o integridad territorial de España, los intereses nacionales y la estabilidad del Estado de derecho y sus instituciones." Grave responsabilidad, tanto del propio CNI como del hombre ante quien responde. En realidad, resulta curioso. Aunque informa al Presidente, el CNI estará orgánicamente adscrito al Ministerio de Defensa (aunque hay un proyecto de servicio de inteligencia puramente militar en marcha, pero de eso ya hablaremos otro día) ... pero el Presidente puede cambiar esa adscripción cuando quiera.

Hay algunas similitudes con el ejemplo norteamericano; no en vano, la ley afirma inspirarse en "el modelo de lo países de nuestro entorno político y cultural." En España, los objetivos del CNI vendrán determinados por medio de una Directiva de Inteligencia -igual que al norte del Río Grande- y existirá un juez, magistrado del Tribunal Supremo, que otorgará las autorizaciones para allanamientos y escuchas electrónicas (calcado del tribunal FISA de los EEUU). También copia algunas de sus funciones, como son la de promover las relaciones de colaboración con servicios de inteligencia de otros países (traducción: ¿dónde enchufamos esto, señor Bush?), interceptar y evaluar el "tráfico de señales de carácter estratégico" (esto es, tender un Escalón a la española) y garantizar la seguridad de las comunicaciones, adquirir y asesorar sobre el uso de material criptológico. Estoy deseando saber si tendremos un departamento de criptoanálisis ... y que no consista solamente en ordenadores con el WinZip password cracker.

Parece ser que en la versión anterior del proyecto de Ley, se permitía la posibilidad de comenzar las escuchas en casos de urgencia ANTES de solicitar autorización judicial. También se establecía la obligación de comunicar a las autoridades competentes el resultado de las investigaciones si se apreciasen indicios de delito. Es decir, que el CNI podría ser usado como entidad policial: se investiga a alguien bajo la acusación de terrorismo, y si resulta que no lo es pero se descubre que es un estafador financiero, pues al trullo. Evidentemente, la policía y los servicios de inteligencia se regirán por baremos distintos -por no hablar de los derechos de los sospechosos-, así que menos mal que el borrador de ley se ha cambiado para evitar tanto ese problema como el de las escuchas de "urgencia."

Aunque el CNI tendrá un director (ocupado, entre otras cosas, en llevar el hasta hace poco supersecreto Centro Criptológico Nacional, ¿oyes, Mercé?), habrá una Comisión Delegada del Gobierno para efectuar un seguimiento de los objetivos del CNI. A mí me suena como si no se fiasen demasiado. Bueno, mejor pecar por exceso de celo. Lo que no entiendo es qué hace en dicha Comisión Delegada el Ministro de Economía. Puestos a ello, ¿por qué no la de Ciencia y Tecnología, o la de Sanidad? !Anda que no nos hubiera venido bien enterarnos a tiempo de lo del Tireless o las vacas locas!

También serán responsables de "coordinar" el CNI con los servicios de información de la Guardia Civil, Policía Militar y "los órganos de la Administración Civil y Militar." Todo un consorcio deespías asociados. Muy útil y lógico eso de coordinar servicios de espionaje, por ejemplo para la lucha contraterrorista. Lo que me temo es que pueda funcionar al revés, permitiendo al CNI hacer el trabajo sucio de la policía. Pst, oye, vigílame a ese tipo, que tiene cara de malo y el juez no me da la orden.

En general no es demasiado mala esta ley; lo que, a tenor de lo que vemos últimamente, ya es mucho decir. Con todo, puntos filipinos, lo que se dice haberlos, haylos. Se considerarán secretos la organización, estructura y actividades del CNI, así como su procedimientos, personal, instalaciones, bases y centros de datos. Normal en un servicio de inteligencia. Lo que no me gusta es que también serán considerados como
secretos "las informaciones o datos que puedan conducir al conocimiento de dichas materias." A ver si me entero: si leo en el periódico que hay una instalación del CNI en Albacete, ¿el propio periódico será considerado materia secreta? ¿Y un documento de acceso público que muestre un mapa de dicha instalación? ¿Puede ser usada esta disposición como una "ley mordaza"? Pues poder, se puede. Otra cosa es que acabe siendo así. A ver si acaban empapelando Kriptópolis porque alguien incluyó una vez un enlace a una página que se refería a un artículo donde una vez se habló de alguien que resulta que es conserje en elCNI...

También se afirma que el CNI podrán mantener "relaciones de cooperación y coordinación" con otras Administraciones para cumplir su misión. Esto quiere decir que, si el CNI cree que soy una amenaza para la seguridad nacional, podrá entrar a saco buscando informes sobre mi persona en la Policía Nacional, la Guardia Civil, los Mossos D´Esquadra, Aduanas, Hacienda, el Colegio de Agentes de la Propiedad y hasta en el SEPLA si se lo pide el cuerpo.

Y aún me he dejado lo mejor. Hemos visto la intervención del poder ejecutivo (Comisión Delegada) y del judicial (magistrado del TS ad hoc). ¿Qué hay del legislativo? Si queremos imitar a -perdón, quiero decir inspirarnos en- los países de nuestro entorno, lo primero que necesitamos es un control serio y eficaz por parte del legislativo. Y para eso está el artículo 11. Será la Comisión que controla los gastos
reservados la que ejerza dicha misión (y espero que vigilen el CNI mejor de lo que han controlado hasta ahora los fondos reservados). Por
supuesto, estarán obligados a guardar secreto, y esperaremos de ellos que actúen de forma responsable.

Pero hay dos tipos de materias reservadas a las que ni siquiera los miembros de esta Comisión tendrán acceso. La ley excluye del control
parlamentario:

1) las materias relativas a las fuentes y medios del CNI

2) las procedentes de "servicios extranjeros u Organizaciones Internacionales establecidos en los correspondientes acuerdos"

Es decir, el CNI no estará obligado a decir cómo obtuvo una información determinada, a revelar sus fuentes o el nombre de sus agentes. Eso ya es de por sí malo, porque incluye posibilidades de abuso. ¿Pero no informar al CNI sobre la información procedente de otros servicios de inteligencia" O sea, que la NSA o la CIA pueden haber pasado al CNI información obtenida mediante su red Echelon, y el legislativo no tiene nada que decir al respecto. No importa que esa información se haya obtenido ilegalmente, que proceda de fuentes no confirmadas, o incluso que sean datos ya procesados -en lugar de la información original,- hay que tragar y callar. Tela marinera.

Pues señores, que a nadie le extrañe si el CNI, gracias a esos "acuerdos de colaboración", piden a la NSA o el GCHQ que le hagan los trabajos sucios. ¿Quieren espiar a Zapatero, pinchar el teléfono del Rey, copiar bases de datos sin orden judicial? No hay problema. Basta con solicitar a otro servicio de espionaje extranjero que lo haga y le pase los datos al CNI. Total, esos datos no están sujetos a escrutinio parlamentario.

¿Creen que soy exagerado? Pues permítanme decirles que eso ya ha sucedido en otros países. Puedo comenzar a citar un ejemplo tras otro. Y aquí, encima, se lo ponemos fácil. Pues aviados vamos.

Lo que realmente me da miedo es que tanto todos los grupos parlamentarios apoyan esta ley (exceptuados IU, PNV y Grupo Mixto). Espero que sepan lo que están haciendo, porque no hay más que mirar el ejemplo de esos "países de nuestro entorno" para ver en qué se convierten las agencias de inteligencia cuando encuentran el más mínimo resquicio en las leyes. De todos modos, me resulta raro que el plazo de presentación de enmiendas se haya ampliado tres veces. La última fecha límite es la del 1 de Febrero de 2002. O no tienen mucha prisa, o las
aguas están mas revueltas de lo que parecen.

Pero en fin, podría ser peor. No por mucho margen, pero podría ser peor.
 


 

ELECTRONES SIN FRONTERAS - Privaterra: criptografía para los oprimidos

 

A comienzos de los años ochenta, un grupo de informáticos se rebeló frente a las pretensiones del gobierno Reagan de crear un escudo estratégico antimisiles, conocido con el sobrenombre de "guerra de las galaxias". Como resultado, crearon una asociación dedicada a dotar a la comunidad informática de un sentido de responsabilidad social, facilitar la interacción persona-máquina, y en general procurar que el ordenador trabajase para el hombre y no al revés. Dicha asociación fue llamada Computer Professionals for Social Responsibility, o CPSR (Profesionales Informáticos para la Responsabilidad Social).

Esta asociación (cuyo capítulo español fue fundado el año pasado) ha lanzado el Proyecto Privaterra, una especie de "criptógrafos sin fronteras" Para conocer su razón de ser y sus objetivos, cedo la palabra a Robert Guerra, su principal impulsor:

"Los defensores de derechos humanos en todo el mundo ponen a menudo sus vidas en peligro durante sus actividades. Las personas a quienes pretenden ayudar están a menudo en peligro debido a sus actividades, identidades e ideas. Asegurar que las comunicaciones y la información que recogen permanezca privada es a veces asunto de vida o muerte.

Los avances tecnológicos han hecho más fácil para los trabajadores de derechos humanos compilar información y llevar sus asuntos adelante. Sin embargo, estos avances también han facilitado el espionaje contra esas personas, entrando en sus redes de comunicaciones y abriéndose paso hacia la información privada. Si bien es imposible erradicar del todo tales actividades, las tecnología de cifrado y otras medidas de seguridad pueden disminuir considerablemente la probabilidad de que las comunicaciones de los defensores de derechos humanos sean penetradas por individuos no autorizados.

Privaterra trabaja para educar a dichos trabajadores sobre técnicas de privacidad y seguridad, y para ayudarles a usarlas en su trabajo cotidiano.

Nuestra misión es la de ser una fuerza de protección de los defensores de derechos humanos por todo el mundo, ofreciendo e implementando técnicas de privacidad y seguridad. Lo hacemos para ayudarles a que puedan comunicarse y llevar a cabo sus actividades con seguridad frente a los peligros de ojos y oídos espías que puedan limitar su efectividad, violar sus derechos y poner en peligro sus vidas."

Según explica Barb Bocek, de Amnistía Internacional, "hemos visto muchos casos en los que las comunicaciones y redes informáticas intervenidas ponen en peligro a los activistas de derechos humanos. Muchas ONGs en países en desarrollo tienen pocas opciones de ayuda en temas como conexiones de Internet o diseño de redes. Si además -como es el caso en muchos países de América Latina- los activistas trabajan bajo amenazas constantes y vigilancia electrónica, necesitan desesperadamente la ayuda de una organización como Privaterra para diseñar sistemas seguros. Y para identificar quién está pinchando sus teléfonos o hackeando sus discos duros. Ansío colaborar con Privaterra en el futuro, puesto que creo que va a haber un papel cada vez más relevante de las tecnologías de privacidad en la protección del trabajo de los defensores de los derechos humanos."

Privaterra es una organización de voluntarios, con oficinas en EEUU y Canadá, y miembros en el continente americano y en Europa. Si cree que puede ofrecer ayuda (económica, técnica o de otro tipo), póngase en contacto con el coordinador del proyecto Privaterra, Robert Guerra (puede escribirle en español o inglés) en privaterra@cpsr.org

 


 

CRIPTOGRAFÍA IMPRESENTABLE - Tarjetas no tan inteligentes

 

"Usted confía en que los daños de 400 años no hayan debilitado la base. Usted confía en que las bases de granito soporten las columnas corintias de ocho metros de altura. Usted confía en que nada más que ocho columnas sostengan una cúpula de 15.00 toneladas sobre su cabeza. ¿Y es reticente a usar una tarjeta de crédito online?" (Anuncio de Verisign)

Una de las bazas del gobierno para crear confianza en el comercio electrónico consiste en la utilización de tarjetas inteligentes. En dichas tarjetas se almacenarían claves de firma, lo que facilitaría las compras on-line. Ya el nuevo borrador de ley sobre Firma Electrónica contempla la creación de un "DNI digital" con claves de autenticación (firma). Esto podría agilizar la tramitación de actos tales como la declaración de la Renta o la cumplimentación del censo (ver el Informe "Pague sus impuestos...digitalmente" en

http://www.cripto.es/informes/info010.htm).

Sin embargo, la emisión de tarjetas inteligentes con claves de firma y/o cifrado han de vérselas con varios problemas. El primero es de índole técnica. Los lectores de tarjetas requieren de algoritmos criptográficos lo más rápidos y eficientes posibles, ya que se trata de un entorno en el que cada bit y cada milisegundo cuenta. Esto puede llevar al uso de claves con un número de bits demasiado pequeño para que proporcionen seguridad contra un ataque de "fuerza bruta" (en el que sencillamente se prueban todas las claves posibles).

Supongamos que hemos hallado algoritmos fiables y eficientes. El gobierno o fabricante de las tarjetas podría guardarse una copia "por si acaso." Tras los acontecimientos del 11 de Septiembre se ha vuelto a poner en tela de juicio el uso de métodos criptográficos para la protección de datos. A pesar de las informaciones iniciales, no existe la menor prueba de que los terroristas de Al Qaeda hayan usado ningún método de cifrado (el propio FBI tuvo que desdecirse de sus palabras). Pero ello no ha sido óbice para que un congresista norteamericano haya reabierto el debate sobre la necesidad de restringir o controlar la criptografía. ¿Podemos, en estos momentos de histeria colectiva, confiar en que un gobierno no va a guardarse una copia de las claves que realice para sus ciudadanos? Este es un asunto de la máxima importancia, y no debe trivializarse.

Pero hagamos un ejercicio de fé, y supongamos que el gobierno hace un genuino esfuerzo en pro de la seguridad. Diseña tarjetas inteligentes, inserta claves de cifrado y de firma -sin guardarse copia alguna- y las pone a disposición de sus ciudadanos. Esas mismas tarjetas podrían llegar a convertirse en una ficha personal, con datos biométricos, historiales médicos, antecedentes penales, expedientes académicos... Por supuesto, toda esa información estará cifrada, de tal modo que solamente accedan a dicha información las personas autorizadas a ello. ¿Estamos ya seguros?

Pues la respuesta es no. Incluso con algoritmos de cifrado impecables, una tarjeta puede exponer los datos que guarda al escrutinio de ojos no autorizados. Eso se debe al carácter peculiar de las tarjetas inteligentes. Cada proceso de una firma o cifrado implica la activación de algoritmos, lo que lleva un tiempo y un consumo de energía eléctrica muy concretos. Existen procedimientos de ataque criptoanalítico que no atacan los algoritmos en sí, sino el tiempo que tardan dichos algoritmos en ejecutarse, la potencia eléctrica requerida o el calor desprendido.

Una empresa llamada Datacard ha dado la sorpresa en la exhibición de productos de seguridad organizada por la empresa RSA. Usando técnicas denominadas Análisis Diferencial de Potencia y Análisis Diferencial de fallos, lograban averiguar las claves de cifrado usadas por una tarjeta inteligente. El hecho de que Triple-DES sea un algoritmo invulnerable desde el punto de vista criptoanalítico clásico no les impedía obtener la clave en apenas tres minutos. Bastaba con alimentar la tarjeta con voltajes y frecuencias diversos y analizar los resultados mediante un osciloscopio. Es como si nosotros pudiésemos adivinar la combinación de una caja fuerte simplemente oyendo el ruido que ésta hace al ser abierta. O más sutilmente, es como si lográsemos duplicar una llave sin más información que el tintineo que hace en el bolsillo de su dueño.

Lo que es aún más sorprendente, según uno de los asistentes, es que la tarjeta podía ser analizada basándose solamente en las ondas de radiofrecuencia que emitía. Es decir, !ni siquiera había que tocar la tarjeta! El uso de técnicas de interrogación pasiva (extraer información de la tarjeta sin que ésta esté siquiera dentro de un lector) podría revelar nuestras claves sin siquiera sacar la tarjeta de la cartera. Afortunadamente, eso parece que no es posible ... todavía.

Eso les dará una pista de por qué no existen todavía tarjetas inteligentes para el almacenamiento de datos confidenciales como firmas digitales. Al margen de vacíos legales, existen problemas de índole técnica. La Universidad de Granada planeó crear tarjetas inteligentes para sus estudiantes hace un par de años; hasta donde yo sé, el proyecto nunca se ha llevado a cabo. El DNI digital del gobierno puede retrasarse no por problemas legales sino por la imposibilidad de crear tarjetas inteligentes seguras. Si los billetes de euros, que se suponen incorporan todos los adelantos en seguridad, ya están siendo falsificados, puede imaginarse cuánto más tendrán que sudar los responsables para asegurarse de que los ladrones de datos no hacen su agosto con las tarjetas inteligentes.

 


 

El boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia, distribución y comunicación para fines no lucrativos, citando nombre y referencia.

Para más información, véase la licencia Creative Commons en sus formas reducida y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es

PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es añadiendo las palabras alta_enigma en el asunto (subject).

PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es añadiendo las palabras baja_enigma en el asunto (subject)

Para comentarios a este boletín (dudas, preguntas, consultas, críticas, noticias, colaboraciones, etc.), estoy a su disposición en la dirección noticias arroba cripto.es

Página del Boletín Enigma (incluyendo números atrasados): http://www.cripto.es/enigma.htm

(c) Arturo Quirantes 2007

 


Vuelta a la Página principal del Boletín ENIGMA