-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 _____________________________________________________________________ | | | ======= == === === ==== == == === | | = == = = = = == == = | | = = = = = = = = = = = = | | xxxxx x x x x xxxxxx x x x x x | | x x x x x x x x x xxxxxxx | | x x xx x x x x x x x | | xxxxxxx xxx xx xxx xxxxx xxx xxx xxx xxx | |_____________________________________________________________________| Boletín del Taller de Criptografía de Arturo Quirantes http://www.ugr.es/~aquiran/cripto/cripto.htm Número 22 1 Abril 2004 ======================================================================== EDITORIAL CRIPTOGRAFÍA HISTÓRICA - Cuando la inteligencia no basta CRIPTOGRAFÍA IMPRESENTABLE - Telefónica clónicos - La seguridad de los teléfonos móviles CORREO ENIGMÁTICO LIBERTAD VIGILADA - Un satélite para espiar a ETA ======================================================================== <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> EDITORIAL <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> Cuando este que escribe se planteó la lista de asuntos a tratar en el boletín Enigma de marzo (el que usted, lector, tiene ahora a la vista), uno de los asuntos pendientes de escribir trataba de los fallos de los servicios de inteligencia. En la parte que nos interesa, se centraría en aquellas ocasiones en las que el criptoanálisis de mensajes enemigos, por uno u otro motivo, no resultaron de utilidad a la hora de plantar cara al enemigo. Por ironías del destino, el día siguiente era 11 de marzo, un día a señalar en los anales de la infamia. Un día en el que los servicios de seguridad e inteligencia españoles se mordieron los puños de rabia, impotentes por no haber podido evitar la más sangriente actuación terrorista en la España moderna. El Taller de Criptografía quiere, en este boletín, rendir homenaje a las víctimas del atentado del 11M. Y lo hará dedicándose a diversas materias relacionadas en mayor o menor cuantía. Bajo el título de "cuando la inteligencia no basta", se examinarán algunos casos en los que la inteligencia ULTRA derivada del criptoanálisis de señales Enigma no fue suficiente para evitar derrotas aliadas. Si bien no guarda relación directa con el 11M, resulta un higiénico recordatorio de que, en esta época de satélites, interceptaciones electrónicas, descifrado y análisis de datos, la inteligencia humana -tanto en el sentido de "recogida y procesado de información" como en el tradicional del término- sigue siendo una pieza clave para la lucha contra las amenazas del siglo XXI. El hilo del que se está tirando para desenredar esta maraña parece ser el hallazgo de una mochila con explosivos que no llegaron a explotar ese día. El detonador era un teléfono móvil clonado, o bien liberado. Por ese motivo, hemos "repescado" dos artículos (un Informe y una columna de Libertad Digital) relacionados con los aspectos de la seguridad en telefonía móvil. Aunque algo largo en extensión -lo que ha obligado a recortar el artículo sobre inteligencia para continuar el próximo mes-, creo que resultará de interés para los lectores. Algunos enlaces pueden haber caducado -lo que nos recuerda que nuestra querida Internet es un elefante de memoria grande pero efímera-, lo que solamente puedo remedar parcialmente. En el apartado del libro "Libertad vigilada" se reproduce un artículo sobre la conexión ETA-AlQaeda, y sobre la vigilancia hecha contra ETA por medio de satélites. Por azares del destino, fue transcrito a este boletín a comienzos de Marzo. También tenemos una baja debida a la falta de espacio y tiempo: la Sección de Libros cede su espacio por esta vez. Pero no temáis por su existencia, ya que volverán en la próxima ocasión, y seguirá con nosotros hasta que se me acaben los libros. Por cierto, que también podéis colaborar vosotros con vuestros comentarios a libros que hayáis leído, tanto si ya se han revisado aquí como si no. En cuanto a la serie de artículos sobre la "solución polaca" de Enigma, sigue su curso, y volverán con nosotros lo antes posible. También se abre una sección nueva que ojalá tenga continuidad: Correo Enigmático. Como dije al comienzo de este proyecto, el boletín Enigma es un espacio donde vuestra opinión también entra. Tenemos en cartera diversas colaboraciones, algunas de las cuales ya han visto la luz en estos bits, como el concurso Stego del mes pasado. Al mismo tiempo, los comentarios, sugerencias, críticas y aclaraciones de nuestros enigmáticos lectores comienzan a alcanzar ya la "masa crítica" necesaria como para merecer sección aparte. Que se desarrolle hasta alcanzar un valor comunicativo similar al de un chat o grupo de discusión es tarea vuestra. Del resto del boletín ya me encargo yo. Y, para acabar con las desgracias -que nunca vienen solas-, una de índole personal. Si todo sigue su curso, la edición de abril de la revista norteamericana Cryptologia incluirá un artículo -con fotografía en portada- de un extraño bicho denominado "Enigma Z", basado en documentos descubiertos por este que escribe en los archivos de Asuntos Exteriores. Me moría de ganas de ver la cara que pondría mi padre cuando viese la revista con el artículo de su hijo. Pero no podrá ser. En la noche del jueves 24 de marzo, José Quirantes Puertas, investigador científico y mi padre, falleció víctima de un ataque al corazón. Su muerte ha sido menos trágica, y ciertamente menos conocida, que la de las víctimas del 11M, pero no por eso menos dolorosa. Quede este boletín como homenaje a mi padre y a las víctimas del 11M, así como -por extensión- a los seres queridos que pierden un padre, un marido, un hermano, un amigo. Y, al mismo tiempo, que sea también testimonio de que, por grande que sea nuestro dolor, nos levantaremos y seguiremos caminando. Con el corazón roto, pero con el alma entera. Sin desfallecer. Sin olvidar. Y sin miedo. <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> CRIPTOGRAFÍA HISTÓRICA <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> =----------------------------------------------------------------------= Cuando la inteligencia no basta (I) =----------------------------------------------------------------------= A lo largo del último siglo, se han ganado y perdido batallas gracias a la información proveniente del criptoanálisis de las comunicaciones enemigas. Algunos historiadores han jugado a las hipótesis y determinado que, de no haber sido por la inteligencia de ULTRA -derivada de la ruptura de los códigos Enigma alemanes-, la Segunda Guerra Mundial bien pudiera haberse extendido hasta 1947. En esto, entendemos "inteligencia" no en el sentido tradicional de capacidad intelectual, sino en el de deducción de las intenciones enemigas por medio de los diversos procedimientos de espionaje. Algunos estudiantes de esta nueva hornada de historiadores llegan a preguntarse: si Ultra era tan fantástica, ¿por qué tardaron tanto los aliados en vencer a Alemania? No caen en la cuenta de que la inteligencia militar no es un factor que gane batallas por sí sólo. Los norteamericanos conocían las intenciones japonesas de atacar Midway, pero fueron los portaaviones y los pilotos de caza los que lucharon para ganar la batalla. Similarmente, el conocimiento sobre la posición e intenciones de los submarinos de Doenitz no hubiese servido de nada sin una Armada desplegada en el Atlántico capaz de buscar y batir dichos submarinos. La inteligencia permite optimizar los recursos propios, de tal forma que pueda uno enfrentarse al enemigo en la mejor de las condiciones posibles. Pero ni siquiera la ruptura de Enigma sirve en un campo de batalla donde los recursos propios son insuficientes, los mandos incompetentes, o donde la "niebla de la guerra" se empeña en torcer los planes mejor concebidos. Existen diversas situaciones que pueden limitar o anular el valor del criptoanálisis, como ha sucedido en el pasado con la ruptura de Enigma. En primer lugar, podemos citar casos donde la información no influye en el desarrollo de los acontecimientos por falta de fuerza para ejecutar una reacción adecuada. En la Francia de Mayo de 1940 tenemos un buen ejemplo. La poca información que llegaba procedente de Enigma al comandante del ejército expedicionario británico en Francia era fragmentada y tardía, pero incluso entonces no hacía más que expresar lo obvio, a saber: que los ejércitos alemanes se estaban abriendo paso y no había nada que los aliados pudiesen hacer con las fuerzas a su disposición. El 26 de Mayo, los criptoanalistas descifraron diversos mensajes alemanes en los que se detallaban los planes para un ataque aéreo masivo sobre el área de París. Durante varios días, enviaron al mando francés información concreta sobre el orden de batalla de los bombarderos y los cazas de escolta, su ruta de vuelo, altitud, todo. Podemos imaginarnos el sentimiento de impotencia de los criptoanalista cuando averiguaron que el ataque alemán había tenido lugar, exactamente según lo planearon, y los aliados no hicieron nada por evitarlo. Sencillamente, no disponían de los aviones necesarios para un contraataque. No, al menos, sin desguarnecer el frente, que ya se encontraba al borde del colapso. En abril de 1941, durante la invasión alemana de Grecia, las fuerzas británicas tuvieron un acceso increíblemente preciso de los planes alemanes. El comandante británico escribió posteriormente: "teníamos el Orden de Batalla alemán cada noche, pero desafortunadamente no podíamos hacer nada al respecto, ya que carecíamos con lo que contraatacar" Si acaso, podría decirse que permitió retrasar el avance alemán un poco, así como favorecer una retirada ordenada de las tropas británicas. En segundo lugar, tenemos casos en los que la inteligencia Ultra se usada en todo su potencial, pero a pesar de todo la "niebla de la guerra" inclina la balanza en contra. Otras consideraciones entran en juego, ya las debilidades propias, ya la fortaleza del enemigo, ya el puro azar, para que el dominio de la criptografía no baste. Tenemos en Creta un caso típico. Allí, las fuerzas británicas tenían toda la información necesaria sobre el ataque alemán. Cuando los primeros paracaidistas alemanes comenzaron a hacer su aparición sobre los cielos de Creta, el general Freyberg, comandante de la guarnición británica, se limitó a exclamar "llegan justo a tiempo" ¿Quién perdió Creta? Resulta difícil de apuntar a una sola causa. Algunos dijeron que "un centenar de radios la hubieran salvado", en alusión a las malas comunicaciones entre los diferentes puestos ingleses. En efecto, la pérdida de la línea de comunicación con el cuartel general indujo a las fuerzas que protegían el aeródromo de Máleme a retirarse. Ello produjo un boquete en el sistema defensivo que permitió a los paracaidistas alemanes afianzarse en ese punto y, a la postre, alcanzar la victoria. También puede achacarse parte de culpa al general Freyberg, quien estaba más preocupado por la posibilidad de un desembarco que de un ataque de paracaidistas, lo que le llevó a proteger los aeródromos de forma insuficiente. Los lectores interesados en los pormenores de la batalla por Creta seguramente encontrarán interesante el libro del historiador británico Anthony Beevor (hasta donde yo sé, por desgracia, aún no traducido al castellano). Con todo, Ultra jugó aquí un papel crucial incluso en la derrota. Convirtió la derrota de aplastante a por los pelos. Creta fue una victoria pírrica para Alemania debido al alto coste. El propio Führer declaró al comandante de paracaidistas alemanes, general Student: "Creta demuestra que la era de los paracaidistas ha pasado". A partir de entonces, las tropas paracaidistas alemanas dejaron de participar en las operaciones ofensivas del Eje. De no haber sido así, la isla de Malta también podría haber caído en manos alemanas, y las fuerzas inglesas en Egipto se hubieran visto aisladas en el Mediterráneo, con consecuencias incalculables. La pérdida de Malta bien hubiera impedido a los aliados atacar los convoyes de suministros que mantenían el Afrika Korps en acción. Por otro lado, las fuerzas de paracaidistas de Student jugarían un papel crucial en la operación Market-Garden, ayudando a detener el ataque de Montgomery en Holanda ... tres años después. ¿Habrían estado allí de haber sido relegadas a meras tropas de tierra? Hagan sus apuestas. Un tercer caso de la limitada utilidad de Ultra proviene de situaciones en las que la información obtenida es incompleta o poco clara. La inteligencia se convierte así en un factor que, lejos de ayudar a aclarar la situación, no contribuye más que con confusión adicional. La tragedia del convoy PQ17 es un buen ejemplo, pero por falta de espacio lo dejaremos hasta el próximo boletín. <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> CRIPTOGRAFÍA IMPRESENTABLE <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> =----------------------------------------------------------------------= Telefónica clónicos =----------------------------------------------------------------------= http://www.libertaddigital.com/php3/opi_desa.php3?fecha_edi_on=2002-05-20 &num_edi_on=817&cpn=9305&tipo=3&seccion=AME_D (17 Mayo 2002) También disponible en el libro "Futuro imperfecto": http://www.ugr.es/~aquiran/cripto/tribuna/futuro-imperfecto.pdf Cuando usted pone en marcha su móvil, lo único que le interesa es que tenga cobertura. Pero ¿alguna vez se ha preguntado cómo sabe la red que su móvil es realmente su móvil? Puede que alguien se esté intentando pasar por usted, lo que no sería nada divertido a la hora de la factura. En el caso de un teléfono fijo es sencillo, porque el abonado está al final de la línea. Sin embargo, cuando "el final de la línea" puede moverse a lo largo de todo un continente, las cosas cambian. Es ahí donde intervienen las técnicas criptográficas. Dentro de su tarjeta SIM hay una clave identificadora de su móvil. Para identificarse, el móvil extrae la clave y la introduce como dato de entrada en una función o algoritmo de autenticación. El resultado es enviado a la antena de cobertura más próxima. Puesto que esa clave es secreta, nadie podrá hacerse pasar por su móvil. O dicho en otras palabras, su móvil no puede ser "clonado" Al menos, eso se creía. Por eso, a los telecos les debió sentar como un tiro cuando tres investigadores norteamericanos descubrieron en 1998 cómo extraer la clave de la tarjeta. Con un proceso de interrogación electrónica cuidadosamente diseñado, se las apañaron para obtener la clave de la tarjeta. Inserte usted dicha clave en otra tarjeta, y habrá conseguido un móvil clonado. No se necesita más que un lector de tarjetas, un grabador y conocimientos técnicos. Por supuesto, la industria GSM se apresuró a quitarle hierro al asunto. Reconociendo a regañadientes el problema, contraatacaron afirmando que dicho ataque no sería práctico. El que, poco después, el grupo de hackers alemán Chaos Computer Club afirmase haber conseguido clonar un móvil, no pareció quitarles el sueño. A fuer de sinceros, reconozco que clonar un móvil es un proceso técnicamente complejo. Imaginen ustedes mi sorpresa cuando me encuentro página tras página en Internet con la receta para clonar un móvil. No hace falta siquiera saber de criptografía. Basta seguir las instrucciones a piñón fijo. Un programita por aquí, una lectora de tarjetas por allá, instrucciones de uso y listo. ¿Creen que la industria ha reaccionado a estas alturas? Bueno, déjenme que les cuente una batallita. El año pasado pedí oficialmente al consorcio GSM los algoritmos de cifrado y autenticación del sistema, y hace unos días volví a pedirlos. Pueden encontrarse en Internet sin mayor esfuerzo, pero la respuesta oficial es la misma ahora que antes: "desafortunadamente, las normas que regulan la distribución de las especificaciones de los algoritmos GSM solamente me permiten distribuirlos a los operadores y fabricantes" El amable portavoz que me atendió vía e-mail reconoció la existencia de la clonación de móviles, pero como si fuese una actividad marginal y apenas practicada. Tal vez debería recordarles que en Asia la clonación de móviles GSM es un hecho cotidiano. El equipo necesario puede comprarse en el mercado negro por diez dólares USA, así que ya me contarán. Respecto al software que se necesita, no tiene usted más buscar "GSM cloning" en google.com, y los enlaces aparecen a millares. Les daría con gusto direcciones españolas si no fuera porque lo mismo a alguien le da por hacer un escarmiento, y yo no quiero meter a nadie en un lío. O mejor aún, pregúntenle al grupo sobre seguridad Internet de la IBM, que hace unos días consiguieron todo un récord: clonar una tarjeta SIM en un minuto. Para que luego digan que los móviles GSM son seguros. Probablemente se preguntará dos cosas. La primera es: ¿acaso la industria GSM no puede hacer nada al respecto? Claro que pueden. Lo primero -negar el peligro- ya lo intentaron. Ahora anuncian que van a cambiar los algoritmos de cifrado y autenticación por otros nuevos. Pero, puesto que no van a hacerlos públicos hasta fin de año, no hay forma de saber si son seguros. Y la segunda pregunta es ¿por qué no me he enterado antes de esto? Puede que sea porque no es el tipo de noticias que una empresa poderosa quiera que se disemine. Y, sinceramente, no creo que muchos de los que consideran los móviles imprescindibles en sus vidas dejen de usarlos solamente porque pueden clonárselos. Además, aquí lo que importa es que usted se gaste su dinero. Así que deje de navegar por Internet de una pastelera vez, que ya tarda en ponerse a enviar mensajitos y en ponerle el tono de Bustamante o del pájaro loco. Hay que revitalizar la industria. =----------------------------------------------------------------------= La seguridad de los teléfonos móviles =----------------------------------------------------------------------= http://www.ugr.es/~aquiran/cripto/informes/info026.htm (16 Marzo 2001) [Nota: En los tres años transcurridos desde la redacción de este Informe, muchos enlaces han desaparecido o han sido cambiados. Las referencias a www.counterpane.com han sido sustituidas por las de la página personal de su presidente, www.schneier.com, donde ahora están albergadas. Las referencias a jya.com o cryptome.org pueden ser recuperadas haciendo una búsqueda en http://cryptome.org ] Con la excepción del venerable (y ya próximo a la jubilación) DES, los algoritmos de cifrado usados por los teléfonos móviles son los más usados en el mundo. Cada vez que un usuario echa mano de su móvil, un sofisticado sistema de protocolos criptográficos se pone en marcha. El objetivo es hacer la conversación impenetrable a fisgones indeseables, al menos en el tramo de la conversación comprendido entre el teléfono y la estación base que recibe la llamada. ¿Cómo son esos algoritmos? ¿De qué tipo? ¿Son seguros? En este Taller de Criptografía no podíamos menos que involucrarnos en el asunto. Casualmente, pocas horas antes de escribir estas palabra, el Chapucero Jefe escuchaba atentamente un noticia en Informativos Telecinco sobre la seguridad de los teléfonos móviles. El caso es que recientes descubrimientos han puesto en tela de juicio la seguridad de las comunicaciones móviles. Veamos qué hay de cierto, y qué de leyenda urbana. No voy a desvelar el final de la película, así que a ponerse cómodo y a aprender se ha dicho. Antecedentes y precedentes Hasta el advenimiento de la telefonía móvil, y con raras excepciones, las conversaciones telefónicas no han incluido una protección mediante cifrado. Los motivos son diversos. Aparte las motivaciones conspirativas del tipo "el gobierno no quiere que cifremos para poder oír todas nuestras llamadas" (que de todo hay en esta viña), el hecho es que antes de la invención de la telefonía digital era muy difícil cifrar llamadas. Los sistemas de encriptación actuales -basados en algoritmos y códigos ejecutados en sistemas informáticos- son inaplicables en telefonía analógica, ya sea fija o móvil. Sería como intentar usar Word o Excel en una máquina de escribir. Existían, eso sí, dispositivos "mezcladores" [scrambler] que permitían embarullar la conversación de forma que no pudiese ser oída por terceros. Esto resulta más difícil de lo que parece, puesto que el ser humano tiene una asombrosa capacidad para "corregir errores" y entender voces incluso fuertemente alteradas. Los mezcladores existentes estaban destinados a proteger llamadas en entornos de alto secreto (redes diplomáticas o militares), y ciertamente no estaban al alcance de ciudadanos de a pie. Incluso en la década de los noventa, los teléfonos seguros estaban fuera de límites. Bruce Schneier, en su Applied Cryptography (2ª Edición, 1996) menciona un teléfono diseñado por la NSA (Agencia de Seguridad Nacional) llamado STU, que utilizaba sistemas criptográficos de clave pública, y que sería usado por el Departamento de Defensa de EEUU y sus contratistas. Existe una versión comercial, pero tiene sus sistemas de cifrado muy debilitados, y una versión para la exportación, más insegura todavía. Posteriormente, la NSA volvió a la carga con el Surity 3.600, modelo fabricado (al igual que el STU) por la AT&T. Su seguridad vendría de la mano del chip Clipper, que usaba un algoritmo llamado Skipjack. Con su clave de 80 bits, hubiese sido una buena opción... de no ser por la insistencia por parte del gobierno de quedarse con una copia de la clave usada por cada teléfono. Aunque se intentó persuadir a las empresas para que lo usasen como estándar, al final no fue usado ni por el propio gobierno norteamericano. Resulta digno de mención el proyecto PGPfone. Fue un intento por parte de Philip Zimmermann de dotar a las conversaciones de voz transmitidas por Internet de la misma seguridad que otorga a los mensajes de correo electrónico el programa PGP. Desafortunadamente, parece que nunca tuvo éxito comercial, y a pesar de los esfuerzos de Will Price y del propio Zimmermann, no pasó de la versión 2.1 y no llegó a ser comercializado. Digital y móvil Con el advenimiento de la telefonía móvil, el cifrado se convirtió en una necesidad. Para "pinchar" un teléfono fijo, antiguamente había que introducirse físicamente en el sistema, sea en la central telefónica, en los cables de transmisión o en el propio teléfono. ¿Quién no ha visto en una película al agente federal de turno insertar un micro o pinchar unos cables con clips de cocodrilo?. Pero si usamos un teléfono móvil, el tramo final de la conversación (entre la estación base y el teléfono) tiene lugar en el aire mediante microondas. Estas, a fin de cuentas, no son sino un tipo de ondas de radio, y pueden ser captadas con un receptor adecuado. La situación no es muy diferente, en ese sentido, de las conversaciones entre radioaficionados de onda corta. Así pues, los teléfonos móviles de primera generación (los analógicos) carecían de protección contra escuchas ilegales. En España, hasta donde yo sé, solamente Moviline comercializó este tipo de sistemas. Y aunque eran inseguros, no hubo mucha gente que cayera en ese detalle. A fin de cuentas, eso de liberarnos del cable y caminar por la calle con el teléfono en la mano y aires de superioridad era ya novedad suficiente para los usuarios de la nueva telefonía. Pero como contrapartida, se emitían al éter conversaciones confidenciales de personas que creían hablar por un teléfono más seguro que los de tipo fijo. En un caso que se hizo famoso, el dirigente del PSOE Txiqui Benegas sufrió el pinchazo de su móvil por parte de un grupo de avispados periodistas. El grado de desconocimiento sobre los problemas de la telefonía móvil analógica era tal que el propio Benegas se negó a creer que le habían interceptado las llamadas, replicando que "iba a más de 200 km/h, y es imposible que me hayan pinchado el móvil." Dejando aparte el riesgo de accidente inherente a una carrera a tales velocidades por las calles de Madrid, creo que alguien debiera haber informado al señor Benegas sobre la velocidad de las ondas electromagnéticas... En cualquier caso, la segunda generación de telefonía móvil aparecía en el horizonte. Al contrario que su hermana, ésta usaba tecnología digital. Como consecuencia de ello, el usuario tenía un canal de comunicación más claro y libre de interferencias. Y más seguro, porque las señales digitales se pueden cifrar a conveniencia. Recordemos que ello no significa un cifrado durante todo el recorrido de la llamada, sino solamente entre la estación base y el teléfono receptor; el resto del camino, la señal va sin cifrar. Pero por fin se pudo cerrar la "ventana de vulnerabilidad" base-receptor. Al mismo tiempo, se perfeccionan los sistemas de autenticación, de manera que nadie puede "clonar" un móvil y hacerse pasar por otro. A cada uno, su móvil ... y su factura. Pero si hay algo que los fieles lectores de estos Informes habrán aprendido a estas alturas, es que en el mundo de la criptografía suele haber un buen trecho entre teoría y práctica. ¿Cómo han respondido los móviles a las pruebas del mundo real? El debilucho primo americano Las siglas GSM son para los europeos sinónimas de móvil digital, pero no sucede así en Estados Unidos. En 1992, su Asociación de Industrias de Telecomunicaciones (TIA) desarrolló un conjunto de estándares para la integración de las tecnologías de cifrado en sus sistemas de telefonía celular avanzada. Se eligieron los mejores sistemas diseñador por sus mejores técnicos. Sin embargo, el proceso se llevó a cabo en un ambiente cerrado, sin escrutinio público y sin revisión por parte de expertos externos. Y, como en muchos otros casos de "seguridad mediante oscuridad", esto resultó ser una mala idea. Ya en 1992 se pudo comprobar que el algoritmo usado para el cifrado de voz era inseguro (esto no significa necesariamente que sea inútil, pero sí que es cuando mínimo mucho menos fuerte de lo que se suponía que debería ser). Posteriormente fue atacado el algoritmo usado para cifrar servicios de datos. Y en 1997, se anunció que su algoritmo CMEA era asimismo inseguro. Para no extendernos en explicaciones, baste decir que CMEA protegía los números que se pulsaban en el teclado del móvil, incluyendo los del código de identificación (PIN). La historia de la ruptura de CMEA y sus repercusiones no tiene desperdicio. Para empezar, CMEA es un código de cifrado con clave de 64 bits. Eso significa que, de haber estado bien diseñado, un atacante habría tenido que probar 2^64 claves distintas. O dicho en lenguaje técnico, tendría un "factor de trabajo" de 64 bits. Sin embargo, David Wagner, Bruce Schneier y John Kelsey mostraron que el factor de trabajo real estaba entre 24 y 32 bits. Es decir: a todos los efectos, es como si el algoritmo tuviese solamente entre 24 y 32 bits. Puede hallarse el artículo que muestra dicho ataque en la página de Bruce Schneier (http://www.schneier.com). Pongamos el consabido ejemplo del maletín con cerradura de combinación. Una combinación de tres dígitos que varían entre 0 y 9 nos da un total de 1.000 posibles combinaciones. Así, un ladrón que no conozca la combinación tendría que probar los 1.000 posibles números. Ahora bien, supongamos que haya un error de diseño, gracias al cual un ladrón inteligente solamente tuviese que probar las combinaciones que fuesen múltiplos de tres. Esto significa que solamente habría que probar 333 números. De repente, la tarea del ladrón se ha hecho tres veces más fácil. En el caso de CMEA, el trabajo del atacante se ha hecho hasta un billón de veces más sencillo. Conclusión: las escuchas, que antes eran poco menos que imposibles, se hacen factibles. Las reacciones al ataque WSK (Wagner, Schneier, Kelsey) son dignas de pasar a la historia del disparate. En un comunicado, la CTIA (Asociación de Industrias de Telecomunicaciones Celulares) se defiende afirmando que: * el algoritmo de cifrado de voz no fue atacado en esta ocasión. Cierto. Pero ese algoritmo ya fue atacado en 1992. De hecho, estaba basado en el cifrado Vigenère, que fue reventado !durante la década de 1850! * el ataque requiere "conocimientos criptográficos muy sofisticados" Por lo que yo he visto, cualquier criptógrafo medianamente competente podría entender y aplicar dichos conocimientos. * cualquier tecnología desarrollada por una persona puede ser reventada por otra con la aplicación de la suficiente tecnología. Cierto. Pero me pregunto: si me venden una puerta acorazada y un atacante consigue abrirla con un abrelatas, ¿sirve esa explicación como consuelo? * es irrelevante para los usuarios de telefonía analógica. Claro que los teléfonos analógicos no sufren ataques criptoanalíticos: !no tienen sistemas de cifrado en absoluto! * un teléfono con algoritmos de cifrado seguro sería inviable por su coste y exigencias técnicas. Aunque como afirma Schneier, "se requiere más procesamiento computacional para digitalizar la voz que para encriptarla." El lector interesado puede leer por sí mismo el comunicado de la CTIA (http://www.schneier.com/cmea-ctia.htm) y la respuesta de Bruce Schneier (http://www.schneier.com/cmea-response.htm). Resulta asimismo muy instructivo leer los comunicados de prensa de algunas de las empresas fabricantes de teléfonos analógicos. Qualcomm (http://www.schneier.com/cmea-qualcomm.htm), sin reconocer ni negar la veracidad del ataque WSK, se ratifica en la necesidad de aumentar la seguridad y privacidad para los usuarios. Pacific Bell Mobile Services (http://www.schneier.com/cmea-pactel.htm) afirma tajante que las escuchas telefónicas son actividades ilegales, si bien tanto esta empresa como Omnipoint (http://www.schneier.com/cmea-omnipoint.htm) y Powertel (http://www.schneier.com/cmea-powertel.htm) afirman ser inmunes a este ataque. El motivo es que no usan CMEA ni ningún otro algoritmo de la TIA. En su lugar, han preferido apostar por una tecnología de allende los mares, denominada GSM. "Nuestra tecnología pone una sólida barrera contra intentos de intrusión electrónica", llega a afirmar Omnipoint Pero como dijo Pedro Navaja, sorpresas te da la vida. Entra el GSM Por qué son tan débiles los protocolos criptográficos de los teléfonos móviles norteamericanos es un tema de debate. Algunos ven tras ello la mano de la poderosa NSA, que durante décadas se ha esforzado en restringir el uso de criptografía fuerte. Otros lo explican en términos de simple incompetencia, sazonada con algo de arrogancia. Probablemente habrá de todo un poco. En cualquier caso, los ataques anteriormente descritos elevaron la cotización de la telefonía GSM. El sistema GSM (Global System for Mobile communications, o Grupe Speciál Mobile, que en esto no hay unanimidad) fue desarrollado por el Instituto Europeo de Estándares en Telecomunicaciones ETSI (http://www.etsi.org) para proporcionar un estándar común a los sistemas de telefonía móvil en el viejo continente. Al igual que en el caso norteamericano, se incluyeron un conjunto de protocolos criptográficos para proporcionar tanto confidencialidad como autenticación. Son los siguientes: * A3 Es el algoritmo de autenticación. Es el que hace que cada teléfono móvil sea único. Permite, entre otras cosas, saber a quién hay que cobrar la llamada. * A5 Es el algoritmo de cifrado de voz. Gracias a él, la conversación va encriptada. Se trata de un algoritmo de flujo [stream cipher] con una clave de 64 bits. Hay dos versiones, denominadas A5/1 y A5/2; esta última es la versión autorizada para la exportación, y en consecuencia resulta más fácil de atacar. * A8 Es el algoritmo que genera claves tanto para autenticación (A3) como para encriptación (A5). Básicamente, se trata de una función undireccional parecida a las funciones "hash" (tipo MD5 o SHA-1) que permiten la firma digital en los documentos electrónicos. * COMP128 Es un algoritmo que permite funcionar a los A3 y A8. Las especificaciones GSM permiten el uso de varios tipos de algoritmos como "corazón" de A3 y A8. COMP128 es uno de ellos. No es el único posible, pero sí uno de los más usados. Y ahora, agárrense, porque para entender los ataques contra los algoritmos GSM hemos de explicar cómo funcionan. No se preocupen, que no vamos a sacar código fuente ni funciones matemáticas. Simplemente, vamos a explicar los rasgos básicos de su funcionamiento. Apuesto a que lo hallará bastante instructivo. Supongamos que usted va tan tranquilo por la calle cuando decide llamar a su suegra. Inserta su número PIN (si es que no lo hizo con anterioridad), y mientras usted se pega el auricular a la oreja, en las tripas electrónicas de su móvil se llevan a cabo los siguientes pasos: * Su teléfono toma de la tarjeta (SIM) una clave que estaba almacenada en su interior. Llamaremos Ki a dicha clave. * A continuación, el teléfono toma ciertos datos aleatorios que se intercambian entre éste y la estación base más cercana. A este paquete de datos se le suele llamar "semilla aleatoria" [random seed]. * El conjunto clave+semilla son transformados mediante el algoritmo de autenticación A3. El resultado de dicha transformación es enviada a la estación base. * La estación base autentica la identidad del llamante. Es decir, toma los datos de semilla aleatoria y la clave del teléfono Ki (que están almacenados a disposición de dicha estación) y realiza la comprobación. * Si la estación base ha quedado satisfecha con los resultados de la comprobación, da vía libre a la comunicación. Toma la clave del teléfono Ki y una semilla aleatoria para crear una clave de sesión Kc, de 64 bits de longitud. Esa clave es usada para encriptar la comunicación, gracias al algoritmo A5. Y eso es todo. El resto son detalles triviales: que el teléfono receptor tenga cobertura, que no se quede usted sin batería, que no salte el contestador ... pecata minuta. Los algoritmos han cumplido su función. Véase, por lo tanto, cómo la autenticación de la llamada recae sobre el algoritmo A3, en tanto que la confidencialidad de ésta es tarea de A5. Ambos algoritmos requieren de una clave, generada mediante A8. De hecho, los algoritmos A3 y A8 suelen tratarse prácticamente como si fuesen uno solo. ¿Y qué pinta el COMP128? Como he dicho, es una de las posibles variantes que se pueden usar en A3 y A8. Digamos que, si A3 y A8 fuesen un modelo de automóvil, COMP128 sería uno de los motores que pueden llevar en su interior (TDi, gasolina, inyección directa, GTi...). Se supone que cada empresa de telecomunicación puede usar su propio algoritmo. Pero en la práctica, la gran mayoría de ellas se limitaron a implementar COMP128, que es el algoritmo de prueba presente en las especificaciones técnicas (Vodaphone, según Marc Briceno, es una de las compañías que NO utiliza COMP128). Y ya basta de tecnicismos. Pasemos al ataque Ataque al A3 Puesto que A3 es el algoritmo de autenticación, su ruptura permitiría "clonar" teléfonos, es decir, hacer que un tercero utilizase el mismo número de teléfono que otro ... y le cargase a éste las facturas. Ni que decir tiene que las telecos se guardarían mucho de permitir que eso ocurriese. En Abril de 1998, se publicó la noticia de que Ian Goldberg y David Wagner (del grupo ISAAC de la Universidad de Berkeley), junto con Marc Briceno (de la Smartcard Developer Association) consiguieron "clonar" un móvil que usaba COMP128 como algoritmo de A3 y A8. Lo que hicieron se denomina ataque mediante texto escogido [chosen-challenge attack]. Básicamente, "interrogaban" al teléfono de forma controlada. Cotejando los datos emitidos por el móvil, los investigadores consiguieron obtener la clave Ki, que como vimos anteriormente se utilizaba para autenticación. El proceso requería acceso físico al teléfono, cierto equipo informático y un proceso de interacción con el teléfono de unas 8 horas de duración. No es tan rápido como hacer fotocopias, pero el hecho de que se pudiese extraer la clave Ki del SIM con poco más de 150.000 interacciones hacía quedar mal tanto al algoritmo como a sus dueños. La GSM Alliance contraatacó (http://jya.com/gsm040298.txt) vigorosamente, intentando cuando menos minimizar los daños (recomiendo leer la interesante lista de puntualizaciones redactada por Jesús Cea Avión (http://www.argo.es/~jcea/artic/gsm.htm) al respecto).En primer lugar, negaron que el ataque permitiese clonar teléfonos, ya que no se pueden usar dos teléfonos con el mismo número al mismo tiempo. Esto es discutible, cuando menos, ya que las redes de telefonía móvil se diseñaron pensando que eso no sucedería, y muchas simplemente no pueden adaptarse a la nueva situación. A continuación, se cuidaron de recordar que el ataque requería acceso físico. Es decir, habría que obtener el teléfono, interactuar con él y devolverlo sin que su dueño se percatase (ya que llamar para desactivarlo es cuestión de segundos). Sin embargo, hay que tener un hecho bien claro: un ataque "en el aire" (interactuando desde el aire, sin acceso físico) no es imposible. De hecho, los investigadores fueron incapaces de clonar un móvil "en el aire", no porque no fuese técnicamente posible, sino porque es ilegal. De hecho, David Wagner afirma que (http://www.isaac.cs.berkeley.edu/isaac/gsm.html): "Extensas conversaciones con ingenieros de GSM nos hacen concluir que los ataques 'por el aire' deben ser considerados posible en la práctica para un atacante sofisticado. No hemos intentado aún construir una demostración de laboratorio (parece que sería ilegal, bajo las leyes de EEUU, hacer este tipo de investigación), pero los expertos de GSM con los que hemos hablado han confirmado que sería posible en teoría y en la práctica. Han informado de que diversos aspectos de los protocolos GSM se combinan para permitir montar el ataque matemático de entrada escogida sobre COMP128, si se pudiese construir una estación base falsa. Tal estación base no necesita soportar todo el protocolo GSM, y podría ser construida por unos 10.000 dólares" Es decir, que con un par de millones de pesetas podríamos montar una estación "de pega" que se dedicase a interrogar a todo móvil que permaneciese unas cuantas horas en su radio de acción, 24 horas al día. En algunos puntos las empresas usuarias de GSM tienen razón. Copiar teléfonos mediante la técnica de interrogación electrónica mediante contacto físico sería técnicamente difícil, y de resultados limitados, ya que el teléfono clonado no puede en teoría usarse simultáneamente con el legítimo y no podría, por tanto, usarse para espiar conversaciones. Pero sin duda tiene muchas aplicaciones. Por ejemplo, es una buena herramienta para las agencias de espionaje electrónico, grupos del crimen organizado y, en general, entidades con recursos económicos y técnicos que tengan necesidad y ganas de complicarse la vida si la recompensa lo requiriese. Cualesquiera que fuesen sus resultados en la práctica, el hecho es que el que se creía invulnerable algoritmo A3 resulta de calidad mediocre; o, para ser más exacto, el algoritmo COMP128 usado por A3 resulta vulnerable. Resulta especialmente llamativo el hecho de que COMP128 era un algoritmo secreto. Sin embargo, los investigadores consiguieron recomponerlo mediante técnicas de ingeniería inversa y diversos documentos (algunos públicos, otros filtrados de una u otra forma). Esto no es sino otro recordatorio de que la técnica de seguridad mediante oscuridad, simplemente, no funciona. Y si tres científicos norteamericanos pudieron atacarlo, otros podrían copiar dicho ataque. De hecho, a finales de Abril, el grupo alemán Chaos Computer Club anunció que había puesto en práctica el ataque a A3 con éxito en una de las redes alemanas GSM, llamadas D2. Incluso afirmaron que consiguieron conectar a la red ambos teléfonos (el legítimo y el clonado) simultáneamente. Como vemos, el esquema de "seguridad mediante oscuridad" simplemente no funciona. Ya en 1997, dentro de la conferencia Global Communications Interactive ´97, Ilhana Nurkic (http://www.globalcomms.co.uk/interactive/development/21.html)afirmaba que una de las debilidades en el diseño del sistema GSM era la ausencia de la resistencia de los algoritmos usados. Y añadía: "Parece que no es posible un cambio dramático positivo en el clima actual, donde se mantiene el ´mito´ de la GSM segura... parece que los intereses comerciales y políticos (de cortas miras) quieren explorar la infraestructura proporcionada por GSM, así como las soluciones de seguridad fragmentadas y convencionales de tipo GSM (que también permite la interceptación por motivos de ínterés último´). Como mínimo, los telecos no podrán decir que no estaban avisados. Ataque al A5... en varios asaltos. Como hemos visto, el conocimiento de la clave Ki permite "clonar" teléfonos. En principio, también permitirían descifrar la conversación, es decir, poder escuchar lo que dos interlocutores hablan. Esto es posible porque la clave de sesión Kc (usada para cifrar la llamada) se obtiene mediante la clave Ki y una semilla aleatoria. Pero habría que obtener esa semilla para cada conversación, y hay que recordar que el ataque anteriormente descrito requiera horas o días. Y recordemos que solamente son vulnerables los sistemas que utilicen el algoritmo COMP128 para autenticación y generación de claves. Por ello, ni los propios autores estimaron que su método fuese útil en la práctica para interceptar y descifrar la llamada. Pero se las arreglaron para darnos otro susto. Como ya se ha dicho, la clave de sesión Kc -usada por el algoritmo A5 para cifrar las llamadas- tiene una longitud de 64 bits. Esto significa que, si el algoritmo estuviese bien diseñado, un atacante tendría que probar las 2^64 combinaciones posibles de claves para descifrar el mensaje. Y 2^64 son casi veinte trillones, una cantidad grande. Está teóricamente al alcance de atacantes bien organizados, pero sólo mediante esfuerzos enormes tanto en material como en recursos económicos (véase los Informes 22 y 23). Demasiado trabajo para pinchar una simple llamada. Sin embargo, Goldberg, Wagner y Briceno hicieron un inquietante descubrimiento adicional. Su análisis de los algoritmos del sistema GSM mostraron inequívocamente que, de los 64 bits de la clave de sesión Kc, !diez de ellos son siempre iguales a cero! Este debilitamiento, aparentemente deliberado, de la clave, pone las cosas 2^10 = 1.024 veces más fáciles a un atacante interesado ... como, por ejemplo, una agencia de inteligencia con gran presupuesto. Por supuesto, la industria no reconoce que sea ése el motivo. En una vuelta de tortilla, afirmaron que los 10 bits proporcionan una "flexibilidad adicional en respuesta a amenazas de fraudes y de seguridad." Este debilitamiento se vio en todos las implementaciones del algoritmo generador de claves A8, incluso las que no usaban COMP128. Es decir, parece ser una característica global a toda la infraestructura GSM. Segundo asalto: nótese que hace dos párrafos aparece el condicional "si el algoritmo estuviese bien diseñado." Al igual que su primo autenticador, A5 fue desarrollado de puertas para adentro, en la creencia de que mantener el algoritmo secreto evitaría que se le pudiese atacar. Parece que nadie les ha explicado todavía que existe algo llamado ingeniería inversa. Marc Briceno afirma haber reconstruido el algoritmo A5 en sus ratos libres, a lo largo de unos pocos meses, bajo un presupuesto de menos de cien dólares. Podría haberse ahorrado el trabajo. Cuenta Bruce Schneier en su Applied Cryptography que: "una compañía telefónica británica dio toda la documentación [sobre A5] a la Universidad de Bradford sin recordarles que debían firmar un acuerdo de no revelación. Se filtró aquí y allí, y eventualmente acabó en Internet. Un artículo describiendo A5 fue [presentado en el congreso CHINACRYPT´94] ..." Añade Schneier que hubo muchas cosas raras alrededor de A5. Según ciertos rumores, hubo diversas peleas entre agencias de inteligencias europeas: los alemanes querían cifrado más fuerte, pero los otros países ignoraron sus peticiones y acabaron imponiéndose las tesis francesas. Rumores aparte, hay un ataque criptoanalítico que requiere un total de 2^40 cifrados, y entre 2^40 y 2^45 operaciones informáticas, bien al alcance de los ordenadores actuales de alta velocidad, o bien de chips construidos a tal efecto. Ya en 1994, el criptógrafo Ross Anderson abogaba porque A5 se considerase un algoritmo exportable, ya que parecía ser equivalente en fortaleza a sistemas como RC2 o RC4 con clave de 40 bits. A5 tiene dos "sabores": la versión A5/1 (para uso doméstico) y la A5/2 (para la exportación). No hay que ser un genio para suponer que la versión exportable estará lo bastante debilitada como para que cualquier agencia de espionaje electrónico medianamente competente pueda comérsela con patatas. No he hallado datos sobre la fortaleza teórica de A5/2, salvo un documento titulado "Informe sobre la especificación y evaluación del algoritmo de cifrado GSM A5/2" redactado en 1996 por el Grupo de Expertos sobre Seguridad de Algoritmos [Security Algorithms Group of Experts, SAGE] del Instituto Europeo de Estándares de Telecomunicación [ETSI]. Dicho documento (código ETR 278) se prodiga poco en datos técnicos, pero afirma que: "los resultados de los análisis matemáticos no identificaron características del algoritmo que pudieran ser explotadas para un ataque de interceptación práctico en el tramo radio de GSM" Una de dos: o el grupo de expertos SAGE es una banda de chapuceros o, por el contrario, hicieron un excelente trabajo de evaluación ante un algoritmo deliberadamente debilitado. Un ataque diseñado por Wagner, Goldberg y Briceno en agosto de 1999 mostró que solamente tenía una resistencia equivalente a la de un algoritmo de 16 bits. Es decir, solamente hay que hacer un esfuerzo computacional equivalente a probar 66.000 claves, y ya está. En palabras de Goldberg, "puede ser reventado en tiempo real ... lo mismo daría que los GSM no llevasen esta algoritmo de privacidad de voz." Efectivamente, un mensaje que pueda ser descifrado en milisegundos tanto daría que no fuese cifrado. Un miembro de otro equipo de criptógrafos que criptoanalizó la variante A5/2 con éxito afirmó "nuestro ataque solamente funciona porque diversas propiedades del sistema de cifrado son justo las correctas. ¿Casualidad? Muchos lo dudan. Solamente podemos esperar y ver si las mismas ´coincidencias afortunadas´ funcionan también en un ataque contra A5/1." Ese era el estado de cosas a finales de 1999, mientras el mundo estaba preocupado por el cambio de milenio (o no). Efecto 2000, versión israelí En Diciembre de 1999, los investigadores israelíes Alex Biryukov y Adi Shamir (la S en RSA) lanzaron un ataque criptoanalítico sobre A5/1 aprovechando ciertos "fallos sutiles." Con el título de "Criptoanálisis de A5/1 en tiempo real con un PC" (http://cryptome.org/a51-bsw.htm), el artículo de Biryukov y Shamir sorprendió a los entendidos por la relativa facilidad con la que se pueden descifrar conversaciones cifradas mediante A5/1. ¿Los medios? Nada de grandes equipos informáticos ni presupuestos multimillonarios. Esto es lo que necesita el malo de la película para husmear donde no le llaman: un ordenador personal con 128 Mb de RAM (el artículo menciona los PC, pero no creo que le hagan ascos a los Mac :-), una capacidad de almacenamiento equivalente a entre dos y cuatro discos duros de 73 Gb cada uno y un escáner digital (esto último no se menciona en el artículo, pero sería necesario para un ataque real). El ataque precisa de una etapa de cálculo previo consistente en unos 2^48 pasos, que solamente ha de llevarse a cabo una vez. Una vez hecho, el atacante puede elegir entre diversos tipos de ataque. En uno de ellos se precisa el equivalente a un par de segundos de conversación (cifrada), y el ataque requiere unos minutos. En otro, es preciso obtener dos minutos de conversación, pero el tiempo del ataque se reduce a apenas un segundo. No cabe duda que estos datos pueden mejorarse, tal y como sugieren los propios autores. Una de las cosas que llaman la atención es que NO se aprovechan del hecho de que 10 de los 64 bits de la clave de cifrado son cero. Es decir, el ataque valdría hasta para claves que incorporasen lo que la industria denominaba "flexibilidad adicional" ¿Podría obtenerse un resultado más rápidamente para una clave de 54 bits efectivos? Hagan sus apuestas. Como puede uno imaginarse, un ataque criptoanalítico prácticamente en tiempo real, al alcance de cualquiera que sepa leer inglés, programar y disponga de un ordenador de sobremesa y unos 150 Gb no es lo que denominaríamos trivial. Pero no parece que la industria de telecomunicaciones pierda el sueño por ello. En un artículo del New York Times de 7 de Diciembre, un portavoz de Ominpoint (la que presumía de ser inmunes a los ataques contra el algoritmo CMEA, ¿recuerdan?) calificó los resultados como "ridículos... lo que describen es un ejercicio académico que nunca funcionaría en el mundo real." El lector interesado puede leer los comentarios de Gregorio Álvarez Marañón (Boletín del Criptonomicón, nº 62 http://www.iec.csic.es/criptonomicon/susurros/susurros15.htm) y Bruce Schneier (Crypto-Gram 15 Diciembre 1999 http://www.counterpane.com/crypto_gram_9912.html; existe traducción en Kriptópolis: Cripto-Grama nº 20 http://www.kriptopolis.com/criptograma/cg.html) Al día de hoy, centenares de millones de teléfonos GSM siguen funcionando por todo el mundo. Puede que usted sea usuarios de este tipo de tecnología. Puede que, antes de leer este informe, se creyese a salvo de oídos indiscretos gracias a tanto código de bloqueo y desbloqueo, PIN, PUK y similares. Le pido disculpas por haberle robado su tranquilidad. Pero eso es lo que hay. ¿Y qué quiere que le diga? Se supone que los expertos sabían hacer su trabajo. ¿Lo saben todavía? 3G: la nueva generación La tecnología analógica constituyó la "primera generación" de telefonía móvil. La telefonía digital (GSM) fue la segunda. Ahora se está preparando la tercera generación (llamada UMTS o 3G), que nos promete acceso móvil a Internet, videoconferencia y un sinnúmero de maravillas. A la vista de la historia reciente, cabe preguntarse si veremos cometerse los mismos errores. En un principio, también los algoritmos de la telefonía de tercera generación (llamémosla 3G) fueron mantenidos en secreto. Pero en Septiembre de 2000, la ETSI publicó un comunicado (http://www.etsi.org/press/algo3gpp.htm)en el que anunciaba la distribución de los algoritmos de confidencialidad f8 e integridad f9 que protegerán el tramo aéreo en las futuras comunicaciones 3G. Tambíen se han hecho públicos los detalles de funcionamiento del conjunto de algoritmos para autenticación y generación de claves (f1, f1*, f2, f3, f4, f5 y f5*). En realidad, la estructura 3G es bastante más compleja que la GSM a efectos de confidencialidad y autenticación, así que pido disculpas si cometo algún error. Vamos allá. La seguridad en 3G será tal que no será necesario que todos los operadores usen los mismos algoritmos para autenticación o intercambio de claves. El problema es que lo mismo sucedión en el caso de GSM, y los operadores se limitaron en su mayoría a adoptar el algoritmo proporcionado como ejemplo. No obstante, a la vista de los documentos que he leído, parece que esta vez se toman más en serio la posibilidad de elegir algoritmos "a la carta." En el caso de 3G, el conjunto de algoritmos de autenticación y generación de claves sugerido como ejemplo se denomina MILENAGE. Este es un conjunto construido alrededor del cifrado en bloque conocido como Rijndael. Existían buenos motivos para elegir Rijndael: tiene clave de 128 bits, ha sido bien estudiado, es de dominio público (es decir, carece de patentes que puedan limitar su uso), es eficiente tanto en funcionando en hardware como en software, y en el momento de ser propuesto era uno de los finalistas para ser elegido como Estándar de Cifrado Avanzado (AES), el sucesor del ya caduco DES. Esto último significa que Rijndael ya sido extensamente atacado por la comunicad criptográfica, y que por tanto Milenage no se convertiría en otro algoritmo desarrollado en secreto. Aunque el grupo SAGE no lo sabía en ese momento, estaban dando en el clavo. Rijndael fue finalmente escogido por el NIST (Instituto Nacional de Estándares y Tecnología) norteamericano como algoritmo AES. Esto significa que el núcleo de la seguridad 3G es el mismo algoritmo que será difundido para todo tipo de aplicaciones de cifrado, y por lo tanto será uno de los más ampliamente estudiados de la historia. Como contrapartida, la confidencialidad e integridad en el intervalo aéreo (entre el móvil y la estació base) es tarea reservada al algoritmo KASUMI. Traducible como "niebla", Kasumi parece ser un algoritmo en bloque de 128 bits que tiene ciertos derechos intelectuales. La ausencia de ataques conocidos hasta ahora contra Kasumi significa una de dos cosas: o bien yo soy un manta buscando información :-(, o bien no existen hasta la fecha. A falta de más datos, quiero pensar que este algoritmo ha sido bien diseñado. Personalmente, hubiese preferido un algoritmo más conocido y usado (por ejemplo, el mismo Rijndael), pero reconozco que me baso en los prejuicios. En cualquier caso, es bueno que el algoritmo Kasumi haya sido hecho público, de forma que la "seguridad mediante oscuridad" sea sustituida por la alternativa "luz y taquígrafos" que tan buenos resultados ha dado hasta ahora para separar el trigo de la paja. Y ahora, querido lector (o mejor: después de leer este Informe) puede usted echarle un vistazo a los algoritmos. Janows Csirij, de la AT&T Labs Research, mantiene una introducción a la seguridad en 3G, junto con enlaces a Milenage y Kasumi, en http://www.research.att.com/~janos/3gpp.htm. La ETSI, entidad co-custodia de los algoritmos f8 y f9, los tiene en un enlace en http://www.etsi.org/dvbandca. Y puede leer un artículo sobre la resistencia de Kasumi a los ataques de criptoanálisis, escrito por Johan Wallén de la Universidad Tecnológica de Helsinki, enhttp://www.niksula.cs.hut.fi/~jwallen/kasumi/kasumi.html. Pasen y pónganse cómodos. Palabras finales (por ahora) Debemos ahora bajarnos del limbo de las abstracciones criptográficas y poner los pies en el suelo. Incluso si Kasumi, Rijndael y toda su cohorte de algoritmos funcionan perfectamente, y aún si el esquema de seguridad para la telefonía 3G soporta los embates del mundo real debemos tener presentes que la conversación solamente es segura en el trayecto que va de la estación base al móvil. Durante el resto del trayecto (de la estación base de un interlocutor a la del otro), la conversación viaja sin cifrar. Esto significa que cualquier persona o entidad con acceso a la red telefónica podrá pinchar las llamadas. Nuestra privacidad sigue sin estar garantizada más que a trozos. Y un aviso final. No crean que tanta autenticación y cifrado sirve para mantener sus comunicaciones a salvo de los oídos del Estado. Todos los sistemas de comunicación actuales incluyen sistemas para el llamado "acceso legal", de forma que una autoridad policial pueda espiar en la conversación haya o no cifrado de por medio. En el caso de la telefonía 3G, los requisitos sobre "interceptación legal" han sido plasmados en los documentos TR33.106 y TR33.107. Por cierto, una de las referencias contenidas en dichos documentos se denomina Resolución del Consejo de la Unión Europea sobre la Interceptación Legal de las Telecomunicaciones de 17 Enero de 1995. Esta Resolución fue ampliada en 1999 y se hizo muy conocida bajo el nombre de resolución Enfopol. Tal vez hayan oído hablar de ella. <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> CORREO ENIGMÁTICO <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> Inauguramos esta sección participativa con los datos sobre el concurso del mes pasado. Como recordaréis, se incluyó un mensaje oculto en uno de los artículos, escondido esteganográficamente por medio del programa Stego que ha preparado uno de nuestros lectores, Francisco Gómez Carrasco. Cinco lectores se aprestaron a enviar sus respuestas. No sé si los demás encontraron dificultades, o sencillamente les entró la pereza feroz :) La frase en cuestión era: "El Gran Hermano vigila ... pero a veces se queda traspuesto" La primera respuesta no se hizo esperar, y llegó cruzando el charco a velocidad de vértigo. El ganador ha sido Gabriel Di Vito, de Argentina, y queda nombrado Lector Enigmático del mes, lo que le otorga el privilegio de invitar al editor de este boletín Enigma a una ronda de cervezas cada vez que se lo encuentre por la calle -:) La medalla de plata es para José Luis L.S, quien perdió la primera posición por muy escaso margen. En cuanto a la medalla de bronce, también cruza los mares y aterriza en el cuello de Gonzalo Artemio, de Mar del Plata, Argentina. Según parece, la delegación argentina de lectores de este boletín, aunque minoritaria en número, es muy activa. También tenemos una aclaración por parte de un lector ocasional. En el boletín 17 se introducía el libro "Poligrafía", de Francisco de Paula, escrito en 1808. Me preguntaba qué sería el oropimente, y cuántos litros serían un azumbre. De no ser por vagancia pura y dura, podría haberlo averiguado yo mismo, pero Ramón Peiró me ha ahorrado el trabajo. Al parecer, el oropimente es una sustancia química conocida hoy día como sulfuro de arsenio. En cuanto al azumbre, es una medida de volumen equivalente a unos dos litros (2,016 para ser más exactos). Así que ya tenéis más datos para intentar reproducir las tintas simpáticas que nos relata Paula en su libro. ¿Se atreverá alguien? Eso sí sería para medalla... <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> LIBERTAD VIGILADA <><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><> =----------------------------------------------------------------------= Un satélite para espiar a ETA =----------------------------------------------------------------------= [Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso del autor. Más información en http://www.libertadvigilada.com ] Segunda parte, capítulo 21: Apenas unos días después de los atentados del 11 de septiembre, fueron capturados en distintos puntos de España varios supuestos terroristas de una "célula durmiente" de Al-Qaeda que, en realidad, eran presuntos integrantes del Grupo Salafista para la Predicación y el Combate argelino, uno de los grupos integrados en la banda de Ben Laden. Eran los amigos de Mohamed Bensakhria, detenido en junio de ese mismo año en Alicante y, por tanto, también debían conocer a Mohamed Atta, uno de los pilotos suicidas de la masacre de las Torres Gemelas, que viajó a España en sendas ocasiones a lo largo de 2001. A partir de esa fecha, numerosas informaciones en la prensa fueron aportando indicios sobre la intensa relación entre ETA y Al-Qaeda. Por su parte, el Gobierno español facilitó a Estados Unidos abundantes informes sobre grupos terroristas árabes. El CESID, ahora Centro Nacional de Inteligencia, es una de las agencias de espionaje mejor informadas en ese terreno ya que, para España, los movimientos en los países árabes tienen implicaciones para la seguridad nacional debido a su cercanía geográfica. Como contrapartida, parece que Estados Unidos cumplió su promesa y activó el sistema "Echelon" para espiar a ETA, como había insinuado el ministro de Asuntos Exteriores, Josep Piqué, tras la visita de George W. Bush a España en junio de 2001. El domingo 14 de octubre, el periodista y escritor Gordon Thomas publicó un reportaje en el diario El Mundo donde desvelaba algunos detalles de la operación. Según Thomas, el miércoles 10 de octubre de 2001, a las 00.00 GMT, una hora más en la España peninsular, "el mecanismo interno de uno de los 95 radares operativos en Menwith Hill, oculto tras una enorme esfera con forma de gigantesca pelota de golf, comenzó a emitir un tenue zumbido electrónico. Era el sonido inaugural de la colaboración en la lucha contra ETA que EE.UU. acaba de ofrecer a España". Como ya se ha mencionado, la base de Menwith Hill, situada en el centro de Inglaterra, y es uno de los puestos más importantes de la red "Echelon". [1] El satélite al que se refería Gordon Thomas puede guardar relación con el que se lanzó, el 5 de octubre de 2001, desde la base de la Fuerza Aérea Norteamericana situada en Vandenberg, California. Un cohete de carga Titán 4B lo puso en órbita, según recoge la página de Internet de la Oficina Nacional de Reconocimiento (National Reconnaissance Office, NRO), una de las agencias de inteligencia norteamericanas que se dedica, exclusivamente, al espionaje espacial. Dirigió la operación el coronel Stephen Wojcicki, director del departamento de Lanzamientos Espaciales de la NRO. [2] Esta operación fue la segunda de tres consecutivas organizadas por la NRO y llevadas a cabo desde la citada base militar californiana y desde Cabo Cañaveral, en Florida. El primer satélite de esta serie se lanzó el 8 de septiembre desde Vandenberg. Una nave propulsora Atlas 2AS puso en órbita un artefacto diseñado para la "interceptación de señales", según el veterano periodista Jim Banke, editor de la publicación en Internet Space.com. El segundo, que se correspondería con el mencionado por Gordon Thomas, fue lanzado también desde la misma base. Según Banke, la misión más probable de ese satélite sería "la captación de imágenes desde el espacio". El tercero se puso en órbita el 10 de octubre desde la base de la Fuerza Aérea de Cabo Cañaveral, Florida. También fue impulsado por un cohete Atlas 2AS y su ambigua misión era la de soportar "la transmisión de comunicaciones", según la misma fuente. [3] En su reportaje, Gordon Thomas citaba al director del programa de Ciencia y Medio Ambiente de la Universidad de Nueva York, William Burroughs, también especialista en vigilancia espacial, quien dijo que "en términos prácticos (estos satélites) son capaces de mirar a través de una ventaja de una pequeña calle de Bilbao, o pueden escuchar una conversación en el interior de un coche que viaja por carretera hacia Santander". Burroughs se refería al segundo satélite de los tres mencionados, el que fue lanzado el 5 de octubre y empezó a transmitir, según Gordon Thomas, el día 10 de octubre de 2001. Sin embargo, una fuente de inteligencia española confirmó que el satélite norteamericano puesto a disposición de España es capaz de interceptar hasta sesenta mil comunicaciones a la vez, lo que se asimila al estándar del mejor equipo de interceptación de comunicaciones fabricado por Applied Signal Technology, Inc. (AST), empresa proveedora de la NSA y ya citada con anterioridad. Tales aclaraciones confirmarían la hipótesis de que al menos dos de los tres satélites lanzados entre septiembre y octubre de 2001 operan conjuntamente para espiar a ETA. De acuerdo con Jim Banke, el primero de ellos se ocuparía de la "interceptación de señales", y según los datos y testimonios recabados durante nuestra investigación, estaría controlado desde la Tierra por un sistema que puede captar hasta 57.600 comunicaciones simultáneas, siguiendo con exactitud los estándares de AST, lo que vendría a ratificar lo dicho por una fuente de la inteligencia española. Asimismo, el segundo satélite, dedicado a la "observación", estaría dotado con una potente cámara de infrarrojos y micrófonos láser para dar seguimiento a los objetivos. El tercero, dedicado a "transmitir comunicaciones" según Jim Banke, no parece que tenga que ver con los otros dos, al menos por la información que pudimos recabar. Una valiosa fuente norteamericana dijo bajo anonimato que los agentes españoles no tienen acceso directo a la tecnología necesaria para operar estos satélites en tierra, lo que confirma las palabras de un directivo de Applied Signal Technology, quien aseguró que el Gobierno de Estados Unidos no había autorizado la exportación a España de equipos fabricados por AST para la interceptación de las comunicaciones. "Norteamérica autoriza a exportar esta tecnología sólo a unos cuantos países aliados, pero no a España", afirmó. Esta fuente dijo durar de la veracidad del reportaje de Gordon Thomas y subrayó que, de ser cierto lo publicado, la relación entre los servicios de inteligencia seguiría esta fórmula: "Los españoles dicen qué es lo que quieren, los norteamericanos lo buscan y les entregan los informes terminados." Al parecer, la puesta en marcha de este presunto operativo de espionaje espacial contra ETA puso en peligro la cooperación hispano-norteamericana en asuntos de inteligencia. La controversia se produjo, precisamente, como consecuencia de la publicación del reportaje de Gordon Thomas en El Mundo. Una fuente política española dijo que la noticia "fue una filtración del Gobierno español". Según afirmó, en Estados Unidos "montaron en cólera" y "Washington pidió explicaciones a Madrid", pero "nadie supo qué decir". A su juicio, "lo hicieron (el Gobierno español) para sacar pecho y decir: 'así nos ayudan los amigos norteamericanos' ". Una fuente española de inteligencia también lo confirmó en términos similares e incluso señaló a un departamento concreto como posible fuente de la filtración, pero por prudencia hemos preferido no desvelar ese dato. El mismo día que se publicó la noticia, el embajador español en Estados Unidos, Javier Rupérez, esperaba la llegada a Washington del entonces ministro del Interior, Mariano Rajoy, que tenía previsto reunirse con varios altos cargos de la Administración Bush. La legación ya había recibido el resumen de prensa habitual desde Madrid, donde se incluía el reportaje de Gordon Thomas. En España se celebraba el Puente del Pilar, de modo que el país estaba a medio gas. Ni siquiera el Gobierno suponía que su publicación podía generar cierta polémica, pero el embajador parece que sí era consciente. Al menos, eso se deduce de sus palabras. En declaraciones a la Agencia Efe, no se sabe en respuesta a qué pregunta, el diplomático dijo que "la experiencia española demuestra que es posible la lucha eficaz contra el terrorismo junto con la defensa de los derechos y las libertades de los ciudadanos". [4] Parece que Rupérez se estaba poniendo la venda antes de que la herida manara ríos de tinta en España. Era muy posible que se creara una corriente de opinión en contra del espionaje electrónico supuestamente puesto en marcha por EE.UU: para actuar sobre territorio español. Muchos cuidadanos quizá no estarían de acuerdo en que una constelación de satélites observen día y noche los movimientos de todos para, en principio, detectar sólo a los miembros de ETA y de cualquier otro grupo terrorista que se esconda en España. El embajador estaba seguro de que algún medio de comunicación protestaría, sobre todo en el País Vasco. El diplomático, víctima de ETA muchos años atrás, cuando fue secuestrado en 1979 por la banda terrorista en Madrid y retenido contra su voluntad durante 32 días hasta su liberación en Burgos, sólo estaba haciendo lo que creía su deber. Pero pese al celo de Rupérez, ningún medio de comunicación en España siguió la ola informativa iniciada por el diario El Mundo. Al día siguiente, todos los periódicos obviaron el reportaje de Gordon Thomas, aunque algunas publicaciones en Internet se hicieron eco del asunto. Tampoco las agencias informativas reprodujeron la noticia en sus teletipos. Es muy probable que el Puente del Pilar hiciera sentir sus efectos en las redacciones, siempre mermadas de periodistas durante los días festivos. Asimismo, la dificultad para confirmar una noticia tan complicada seguramente impidió que los medios españoles pudieran hacerse eco de ella. Sin embargo, sí se informó en España sobre la visita a Washington del ministro del Interior. El entonces máximo responsable de la política antiterrorista se reunió con el fiscal general de Estados Unidos, John Ashcroft, el director del FBI, Robert Muller, y el vicepresidente, Dick Cheney. Trataron aspectos de la colaboración contra el terrorismo. Tras sus encuentros, Mariano Rajoy declaró que "en materia de lucha antiterrorista, necesitamos más medios técnicos y nuevos avances tecnológicos". [5] Un mes más tarde, el director del CESID, Jorge Dezcallar, viajó a Estados Unidos para impulsar la cooperación con las principales agencias norteamericanas de espionaje y reiterar, según publicó el diario El País, una reivindicación histórica del servicio secreto español: el acceso a tecnologías de última generación en sectores como las comunicaciones y los programas de cifrado y descifrado. Dezcallar visitó las sedes de la CIA, en Langley (Virginia), y de la NSA, en Fort George Meade (Maryland), donde se reunió con sus respectivos responsables, George J. Tenet y el teniente general de la Fuerza Aérea Michael V. Hayden. El director del CESID, ahora Centro Nacional de Inteligencia, viajó a Estados Unidos acompañado por uno de los principales expertos del centro en "tecnologías sensibles". Según la citada información, el acceso a este tipo de tecnologías en materia de espionaje era una de las reivindicaciones que el Gobierno español había puesto sobre la mesa en las negociaciones para la revisión del Convenio bilateral de Defensa de 1988, que el presidente del Gobierno, José María Aznar, quería que culminaran antes del finales de 2001. El propio presidente visitó Washington el 28 d noviembre y se reunió con George W. Bush en la Casa Blanca. Al término de este encuentro, Aznar dijo que "todos los mecanismos de cooperación en operaciones de inteligencia están puestos en marcha". [6] [1]. Gordon Thomas, "EE.UU. ya espía a ETA" Op. cit. [2]. "National Reconnaissance Office Satellite Successfully Launched", 9 de octubre de 2001. Agencia Nacional de Reconocimiento. Archivo de Noticias. Disponible en: http://www.nro.gov [3]. Jim Banke, "NRO wellcomes Yet Another Spy Satellite to Earch Orbit". 10 de octubre de 2001. Disponible en el archivo de noticias de: http://www.space.com [4]. Agencia Efe. "EE.UU.-ESPAÑA / Rajoy llega a Washington para reunirse con Cheney y Ashcroft." Teletipo. Washington, 14 de octubre de 2001. [5]. Agencia Efe. "EE.UU.-ESPAÑA / Rajoy pide a EE.UU. más medios tecnológicos en la lucha contra ETA." Teletipo. Washington, 15 de octubre de 2001. [6]. Miguel González, "El director del CESID viajó este mes a Washington para pedir el apoyo técnico de la CIA y la NSA". El País. Viernes, 30 de noviembre de 2001 ======================================================================== El boletín ENIGMA es una publicación gratuita del Taller de Criptografía. Se permite su reproducción y difusión sin ánimo de lucro, citando nombre y referencia. Para darse de alta, envíe un mensaje a la dirección aquiran arroba ugr.es añadiendo las palabras alta_enigma en el asunto (subject). Para darse de baja, envíe un mensaje a la dirección aquiran arroba ugr.es añadiendo las palabras baja_enigma en el asunto (subject) Para consultas o comentarios a este boletín, se ruega añadir noticias_enigma el comienzo del asunto (subject). Si desea colaborar con el Boletín Enigma, no dude en ponerse en contacto con el editor añadiendo colaboración_enigma al asunto (subject). Página del Boletín Enigma (incluyendo números atrasados): http://www.ugr.es/~aquiran/cripto/enigma.htm (c) Arturo Quirantes 2004 ======================================================================== -----BEGIN PGP SIGNATURE----- Version: PGP 6.5i iQA/AwUBQZSLZ9Pjg85OIDHsEQI6EQCg6rC+MNXdHdGv9VWAzAuK2x+iRF8AoPLM Moz6h22AEbtNqQZ+3yNyq8rR =d/+y -----END PGP SIGNATURE-----