Boletín ENIGMA - nº 54
1 Noviembre 2007
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_54.htm
TEMAS DE ACTUALIDAD - SHA-1: vamos a buscar colisiones
CRIPTO 101 - La criptografía de curva elíptica
CRIPTOGRAFÍA HISTÓRICA - El asesino del Zodíaco
LIBERTAD VIGILADA - El Convenio hispano-norteamericano más controvertido
Reconocedlo, ¿a que estábais con la mosca detrás de la oreja? Pasa el verano,
pasa septiembre, pasa el día uno de octubre ... y el Boletín ENIGMA no llega.
Pero nunca es tarde si la dicha llega. Aunque ha sido difícil. Un ataque de
feroces troyanos adware casi ponen fuera de combate mi ordenador, y la lista de
suscriptores estuvo a punto de desaparecer a pesar del cuidado con el que hice
las copias de seguridad. De hecho, es posible que algunos suscriptores que se
dieron de alta a comienzos de septiembre se hayan caído de la lista. Desventuras
en vacaciones, una inundación en casa, vuelta al cole ruinosa ... !qué mas da!
Lo importante es que estamos aquí.
Y el panorama está caliente. Hace tan sólo unos días, un usuario de la consola
Wii afirmó que la consola usa criptografía de curva elíptica para firmar
digitalmente los archivos de puntuación de los juegos ("savegames"). ¿Y qué es
la criptografía de curva elíptica? Difícil de explicar es, mi joven aprendiz de
jedi, pero aquí no nos asustamos ante nada. Confío en que el artículo sobre la
ECC no te resulte demasiado laborioso de entender. Es lo que tiene la
criptografía: desde que la cifra de César pasó a la historia, todo son
complicaciones.
Del presente, al pasado. Este verano se estrenó la película Zodiac, que desvela
el caso real de un asesino en serie norteamericano. El tema en sí no tendría
interés para nosotros de no ser porque algunas de las cartas que envió a los
periódicos estaban cifradas. !Ah!, entonces sí que hemos de prestarle atención.
Y eso hemos hecho. ¿Quiere usted intentar descifrar sus mensajes? Pues
inténtelo, no es difícil.
Vuelta al presente, para hablar del proyecto de computación distribuida de la
Universidad de Graz. La misma ciudad que vio nacer al "gobernator" Arnie
Schwharzen... bueno, el que hacía de Terminator, ahora se ha puesto las pilas
para "terminar" con la función SHA-1 a base de colisiones. Ponte las pilas y
aprovecha los ciclos inútiles de tu ordenador para convertir al equipo del
Taller de Criptografía en una implacable Skynet colisionadora. !Sayonara, baby!
TEMAS DE ACTUALIDAD - SHA-1: vamos a buscar colisiones
Hace algún tiempo, vimos cómo las funciones hash, usadas para "condensar"
mensajes con vistas a firmar digitalmente, debían cumplir algunas condiciones.
Los lectores interesados pueden echar mano al Boletín ENIGMA nº 35, así como
también en el Informe nº 3, de 1997 pero aún válido:
http://www.cripto.es/informes/info003.htm. Para recordar conceptos, una
función hash toma um mensaje o texto digital M y lo convierte en un hash h=H(M)
de menor tamaño. La ventaja es que h es mucho más pequeño que M, lo que nos
permite usarlo para firmar digitalmente. En efecto, una firma digital de un
mensaje M consiste sencillamente en cifrar h.
Una de las condiciones que ha de cumplir la función hash es la llamada
resistencia a las colisiones. Esto significa que las funciones hash de dos
mensajes distintas den resultados distintos: si M<>M' entonces H(M)<>H(M'). En
realidad, esta propiedad es teóricamente imposible, ya que existen muchos más
posibles mensajes M que condensados h. Básicamente, lo que hace la función de
condensado es "mapear", es decir, hacer corresponder un h para cada M. Pero,
puesto que M es de mayor tamaño que h, necesariamente habrá muchos mensajes M
cuyos valores h coincidan.
En la práctica, vale una función que de un gran número de posibles valores de h,
de forma que la probabilidad de que tengamos H(M)=H(M') sea enormemente baja. Se
puede demostrar que, para una función hash donde h tenga n bits, la probabilidad
de que ello suceda es de una entre 2^(n/2).
Una de las funciones hash más utilizadas hoy día es la llamada SHA-1 (Secure
Hasl Algorithm 1). Produce valores hash de 160 bits, así que para que obtengamos
una colisión del tipo H(M)=H(M') tendríamos que hacer del orden de 2^80 parejas.
Eso es mucho, ciertamente. Sin embargo, se sabe que el algoritmo SHA-1 no es
perfecto, y se conocen trucos criptoanalíticos para conseguir una colisión con
tan sólo 2^69 parejas. Aunque sigue siendo mucho, eso ya nos aleja de la
seguridad que nos daban los 160 bits iniciales. Y el problema es que nadie sabe
qué ataques matemáticos nos esperan en el futuro.
Una alternativa para probar la resistencia de SHA-1 es hacer una prueba
experimental. Es decir, tomemos 2^80 mensajes M, otros tantos mensajes M',
hallemos sus valores hash y veamos si alguno de ellos coincida. El volumen de
cálculos necesarios lo convierten en una tarea hercúlea. La solución:
computación distribuida. Bruce Schneier reflejó en su libro "Applied
Cryptography" un esquema denominado "lotería china". Supongamos, decía que cada
radio o televisor que se venda en china lleve incorporado un chip capaz de
probar un millón de claves por segundo. Cada vez que el gobierno chino quiera
descifrar un mensaje, lo retransmite a todos los aparatos receptores del país.
En algún lugar, un televisor o radio dará la respuesta correcta. El ganador
avisa al gobierno y recibe un premio. De ese modo tendremos millones de personas
dispuestas a ayudarnos en la tarea, sin tener siguiera que saber qué dice el
mensaje o por qué el gobierno quiere romperlo.
Eso fue en 1995. Ahora, en pleno siglo XXI, los televisores se cambian por
ordenadores y las ondas radioeléctricas por Internet, pero la idea es la misma.
La potencia de cómputo de millones de ordenadores, que suelen usarse a sólo una
fracción de su potencia de cálculo, podrían hacer el efecto de un ordenador de
computación masiva en paralelo. Mientras usted está leyendo esto, su máquina
podría estar probando millones de claves por segundo, sin apenas merma en la
velocidad con la que se ejecutan otros programas.
A finales de la década pasada, el proyecto Seti@home hizo precisamente eso.
Millones de ordenadores, cuyo tiempo sobrante de CPU era cedido voluntariamente
por sus dueños, formaron el ordenador más potente del mundo. El objetivo era
analizar los datos obtenidos en el radiotelescopio de Arecibo en busca de
señales extraterrestres. Varios años antes, Arjen Lenstra usó esa idea para
factorizar dos grandes números primos. En la actualidad, seti@home se ha
integrado, junto con otros proyectos, en una plataforma de computación
distribuida llamada BOINC (Berkeley Open Infrastructure Network Computing). El
voluntario puede escoger uno o más proyectos en una lista que incluye
aplicaciones físicas, médicas, biológicas ... y criptológicas.
En efecto: la Universidad de Tecnología de Graz, en Austria, ha fundado el
proyecto de búsqueda de colisiones en SHA-1. Como una lotería china (aunque sin
premio), el proyecto fue lanzado en Agosto de este año. Y en el Taller de
Criptografía no nos ibamos a quedar quietos, faltaría más. He aquí las
instrucciones. En primer lugar, entrad en la web del proyecto, en
http://boinc.iaik.tugraz.at/sha1_coll_search/. Allí podréis descargaros (http://boinc.berkeley.edu/download.php)
la versión de BOINC que necesitéis. Una vez hecho, no hay más que ejecutar el
programa y seguir las instrucciones. Cuando se os pida el nombre del proyecto al
que queráis apuntaros, la dirección es esta:
http://boinc.iaik.tugraz.at/sha1_coll_search/
Deberéis incluir una dirección de e-mail, escoger una clave ...y ya estáis
listos. Solamente necesitáis configurar el programa. No es necesario, pero
podéis, entre otras cosas, decidir cuánto disco duro o CPU queréis dedicar al
proyecto. No es aconsejable convertirse en un talibán y dejar el ordenador
encendido día y noche para tener más puntos. La idea es aprovechar los tiempos
muertos del ordenador, no forzarlo a trabajar sólo en el proyecto BOINC y gastar
energía tontamente.
Una opción que os recomiendo es la de unirse a un equipo. Aunque seguiréis
siendo usuarios individuales, y podréis ver vuestras estadísticas en
http://boinc.iaik.tugraz.at/sha1_coll_search/home.php, participar en un
equipo siempre es más divertido. Así que, si sois buenos enigmáticos, os convoco
a filas. Una vez hecho login en la dirección que acabo de indicaros, escoged
uniros al equipo "Taller de Criptografia". Que cunda el ejemplo, y ojalá que
podamos contribuir a lo grande.
En el momento de escribir estas líneas, el "Top Teams" está encabezado por
nuestros estimados colegas de Kriptópolis, a los que aplaudimos por su entrega.
En este momento suman 487 miembros y un total de más de 3.600.000 créditos de
trabajo (para haceros una idea, un ordenador normal puede tardar cerca de una
hora en ejecutar 10 créditos). Les siguen por los alemanes de Planet3Dnow! y
otro equipo español, elhacker.net. El equipo de este nuestro Taller se
encuentra, en estos momentos, en una honorable 113ª posición. A ver dónde
estamos el mes que viene.
CRIPTO 101 - La criptografía de curva elíptica
En
general, los sistemas de criptografía de clave pública están basados en
problemas matemáticos de muy difícil resolución. El sistema RSA, que ya
examinamos en el Boletín ENIGMA nº 46, debía su fortaleza al hecho de que
factorizar números grandes es una tarea computacionalmente compleja, tanto más
cuanto mayor sea el número utilizado. En el sistema RA, sin embargo, las claves
han de ser mucho más grandes que en el caso de los algoritmos simétricos para
otorgar una seguridad parecida. Se conoce desde hace tiempo un tipo de
criptografía de clave pública que requiere claves más pequeñas. Conocida bajo el
nombre de Criptografía de Curva Elíptica (ECC), ha sido apenas usada hasta
ahora, pero el hecho de que requiere claves más pequeñas que otros sistemas de
clave pública lo hacen un buen candidato para aplicaciones donde los requisitos
de tamaño de memoria son más exigentes, como por ejemplo en sistemas de
identificación mediante tarjetas.
Como contrapartida, son sistemas más engorrosos de entender desde el punto de
vista matemático. Pero para eso estamos aquí. Vamos a intentar descifrar el
funcionamiento de los sistemas ECC. Les advierto que va a ser algo pesado, pero
como de costumbre pondré las neuronas a funcionar con el objeto de simplificar
en lo posible la explicación. El lector juzgará hasta qué punto he tenido éxito.
Vamos a comenzar a cocinar. Para este plato necesitaremos logaritmos, grupos,
puntos y operaciones. Si en el caso del algoritmo RSA, el problema consistía en
factorizar números, en la ECC se trata de obtener logaritmos. Por si alguien no
tiene fresco el concepto, recordemos. Supongamos que tenemos una expresión del
tipo a^x=b, donde el signo ^ quiere decir "elevado a". Para "despejar" x,
utilizamos la operación inversa a la potenciación, y eso es el logaritmo. Esto
es, si a^x=b, entonces x=Log(a)b, lo que se lee "x es el logaritmo en base a de
b" Si a=10, hablamos de logaritmos decimales, y si a es el número e
(=2.71828...), tenemos logaritmos naturales o neperianos.
Bueno, en principio hallar un logaritmo no comporta mayor problema que hallar
una potencia. Así que vamos a complicar las cosas en seguida. En primer lugar,
necesitaremos un grupo. No se trata de una agrupación de personas. En álgebra,
un grupo es un conjunto de elementos unidos a una operación matemática. Dicha
operación matemática (llamémosla *) debe cumplir las siguientes propiedades:
-
Si a,b son elementos del grupo, su combinación a*b también es un elemento del
grupo
- La operación cumple la propiedad asociativa: a*(b*c)=(a*b)*c
- Existe el elemento neutro 1, tal que 1*a=a*1 para cualquier a
- Existe el elemento opuesto, y, tal que x*y=y*x=1.
Por ejemplo, el conjunto de números enteros con la operación suma (y el cero
como elemento neutro) formaría un grupo.
Existen muchos tipos de grupos. Los que nos interesan se denominan "grupos
cíclicos". Un grupo cíclico se caracteriza porque todos sus elementos se pueden
obtener mediante un sólo elemento, llamado generador. Si la operación es la
multiplicación, se denomina grupo cíclico multiplicativo. Como ejemplo, podemos
tomar el grupo formado por las cuatro raíces cuartas de 1: +1,-1,+i,-i (i es la
raíz cuadrada de uno). El número i puede servir de multiplicador. En efecto:
i*(+1) = i
i*(+i) = -1
i*(-1) = -i
i*(-i) = 1
El concepto de grupo multiplicativo nos permite complicar la obtención de
logaritmos. Supongamos un grupo G con n elementos, y sea b un generador. Eso
significa que podemos obtener todos los elementos del grupo como {1, b, b^2, b^3
... b^(n-1)}. Es decir, habrá un número entero k de forma que podamos escribir
g=b^k para cualquier número g del rupo. En realidad, existen muchos
números enteros k que cumplan esta propiedad. Por ejemplo, el número k'=k+n
también nos vale, puesto que b^(k+n)=(b^k)*(b^n),y b^n=1. Esto nos dice que
cualesquiera dos enteros k,k´ capaces de representar el elemento g son
congruentes módulo n (o dicho de otra forma: nos dan el mismo resto al
dividirlos por n).
Me huelo la cara que estará poniendo. Así que, antes de que pierda usted el
apetito, vamos a aderezar el guiso con el elemento filipino: los logaritmos
discretos. ¿Recuerda? Bien, se trataba de que si a^x=b, entonces x=Log(a)b. Aquí
tenemos algo muy similar. La diferencia es que, en lugar de movernos por todo el
campo de los números reales, nos restringiremos al grupo cíclico G. El LOGARITMO
DISCRETO de g en base b es la operación inversa a la potenciación: si g=b^k,
entonces k=Log(b)g.
En el caso de nuestro grupo, tendríamos b=i, k=0,1,2,3:
b^k=g k=Log(b)g.
i*1 = i 1 = Log(i)i
i*2 = -1 2 = Log(i)(-1)
i*3 = -i 3 = Log(i)(-i)
i*4 = 1 4 = Log(i)(1)
Vale, ya está. La salsa está lista. Ahora, la pregunta del millón es ¿y esto qué
complicación tiene? Nos hemos aburrido como locos con todo ese rollo de los
grupos multiplicativos, total, para terminar haciendo un logaritmo. El problema
está cuando el grupo es muy grande. En nuestro caso, el número n es pequeño, de
forma que he podido generar los elementos g como b^k (k=1,2,3,4). Si quiero
saber cuál es el logaritmo discreto de -i no tengo más que mirar en la tabla y
leer "i^3=-i", de forma que la respuesta que busco es k=3.
Pero, ¿y si el número n es muy grande? ¿Y si es enorme? ¿Y si n es 2^100? !Ah!
Entonces tengo un problema gordo. !A ver quién se dedica a calcular g, g^2, g^3
... hasta g^(2^100)! Calcularlos todos requiere un tiempo de ejecución
polinómico, lo que nos deja en la cuneta cuando n alcanza valores grandes. Es
decir, podemos hacer operaciones del tipo g=b^k fácilmente, pero su inversa k=Log(b)
ya es mucho más difícil. Nos recuerda el caso del algoritmo RSA: es fácil
multiplicar dos números primos grandes, pero resulta mucho más difícil
factorizar el producto.
¿Y dónde entran las curvas elípticas? Básicamente, y simplificando mucho, nos
permiten crear el grupo G. Según sea el grupo, así de complicado será el
problema y, por tanto, así de seguro será el esquema a efectos de montar
sistemas de cifrado. Por ejemplo, el algoritmo de cifrado Diffle-Hellman (bueno,
en realidad es de intercambio de claves, pero viene a ser lo mismo) usa un grupo
que se denota como Zn* y que se lee ""grupo multiplicativo de enteros módulo n".
No es necesario aquí saber qué significa, así que sean buenos y no me obliguen a
explicárselo.
Volvamos a las curvas elípticas. ¿Recuerdan sus tiempos de instituto?. La
ecuación y=ax+b nos daba una recta, x^2+y^2=r^2 representaba una circunferencia
... y la curva del tipo y^2=x^3+ax+b nos da nuestra curva elíptica. Para cada
pareja de valores (a,b), la curva nos da un montón de puntos (x,y). Añadiremos
el "punto en el infinito" a efectos de complitud. Ese montón de puntos forma un
grupo.
Es importante distinguir entre dos conceptos: los números x,y son reales y
forman un campo finito (otro bicho matemático como el grupo, pero con
propiedades distintas), pero los puntos (x,y) forman un grupo. Es como una
coordenada en un plano. Si decimos "longitud 4.3, latiud 45.8", los números 4.3
y 45.8 son una cosa, pero el lugar geográfico que representan es otra. Por eso
suele hablarse de "grupos multiplicativos de campos finitos". Puede parecer
complicado, pero por lo que parece el problema de logaritmos discretos en los
grupos generados mediante curvas elípticas es más complejo que el
correspondiente al grupo de elementos muitlplicativos no nulos subyacentes al
campo en sí (y si no lo han entendido, lo tachan y ya está).
El esquema sería algo así:
a) Escogemos una curva elíptica
b) La curva elíptica tiene un conjunto de soluciones (x,y).
c) Si los valores x,y pertenecen a un campo finito, entonces los puntos (x,y) de
la curva forman un grupo
d) Tomamos un elemento del grupo, y hallamos su logaritmo discreto para una base
dada. Eso nos servirá de base para establecer algoritmos criptográficos de
intercambio de claves y de firma digital.
Mis disculpas por lo engorroso del tema, y coincido con ustedes en que quienes
inventaron todo ese galimatías debería ser puesto en busca y captura. Los
"sospechosos habituales" son Victor Millery Neil Koblitz, quienes descubrieron
la ECC en 1985 como mecanismo alternativo para distribución de claves.
En cualquier caso, el hecho es que la ECC es mucho más compleja que el sistema
RSA, tiene más incertidumbres y puede que nos de más de una sorpresa. También es
bastante lento, al menos en su implementación inicial. En el apartado positivo,
requiere claves de longitud menor que las RSA, aunque todavía mayores que las de
los algoritmos simétricos. Según el NIST (el instituto de estándares de EEUU),
el algoritmo
simétrico AES con clave de 128 bits proporciona una seguridad aproximadamente
igual a la de ECC con clave de 256 bits ... o a la del algoritmo asimétrico RSA
con clave de 3072 bits. Quizá el mayor inconveniente del esquema ECC sea legal:
según la NSA norteamericana, la empresa Certicom tiene más de 130 patentes en
ese campo, lo que seguramente desanima a más de uno. Claro que la propia NSA
tiene un acuerdo de licencia con Certicom, y acepta dos algoritmos basados en
ECC dentro de su "Suite B" de algoritmos de cifrado y firma. Así que algo debe
tener.
CRIPTOGRAFÍA HISTÓRICA - El asesino del Zodíaco
En
1971, Clint Eastwood protagonizó una de sus películas más conocidas, "Harry el
Sucio". Quizá sin pretenderlo, su personaje de policía cínico y brutal creó
escuela: Magnum 44, cara de implacable con los asesinos y los burócratas,
métodos expeditivos, todo bajo la imagen de azote contra el crimen. Alégrame el
día.
Lo que no saben muchos de sus seguidores es que la película está basada en un
hecho real. En la ficción, un asesino llamado Scorpio mata gente con un rifle de
mira telescópica por los tejados de San Francisco, en busca de un rescate.
Mientras tanto, un asesino real mataba de forma distinta, pero en una época
similar. En la reciente película "Zodiac", aparece incluso una referencia a la
película de Eastwood.
La historia, que comentaremos aquí brevemente, es la de un asesino en serie que
mató al menos a cinco personas en el norte de California. La policía se encontró
desbordada e impotente para hallarlo, e incluso hoy día existen dudas acerca de
la identidad del culpable.
Lo que nos interesa aquí es la vertiente criptográfica del caso. Un mes despúes
de los primeros asesinatos, Zodiac envió tres cartas a otros tantos periódicos.
Cada una de ellas incluía una parte de un texto cifrado de 408 símbolos de
longitud. Eran tan sólo el comienzo de un conjunto de cartas con símbolos y
dibujos que aparecieron en la prensa de la época.
La película "Zodiac", dirigida en 2007 por David Fincher, incluye algunas
referencias sobre el uso de criptografía. En una escena, el periodista que sigue
el caso, en un intento por penetrar en la mente del asesino, aparece con dos
libros sobre criptografía. Uno de ellos era el Codebreakers, de David Kahn,
nuestra "biblia" favorita sobre el tema; el otro era una versión en inglés del
libro "Códigos y cifras", de John Laffin. Dudo que el protagonista pudiera sacar
algo en claro. Por un
lado, Codebreakers es un excelente texto sobre historia de la criptografía, pero
da pocos ejemplos prácticos. Por el otro, tengo una copia en español del libro
de Laffin, y lamento decir que es uno de los peores de mi colección
(advertencia: el libro de la peli era bastante más gordo que el mío, así que a
lo mejor yo tengo una versión reducida y me equivoco en mi juicio).
Resulta interesante ver cómo se descifró el código de la primera cifra Zodiac.
Según se cuenta, fue roto en apenas unas horas por el profesor de instituto
Donald Harden y por su esposa. Desafortunadamente, la película no da detalles
sobre cómo lo hicieron. Pero tenemos un punto de partida que resulta lógico. En
la versión en castellano, se dice que se apoyaron en una "palabra probable", es
decir, supusieron que el mensaje contenía una palabra, e intentaron averiguar
cuál era. Dicha
palabra era "matar". Pero claro, Zodiac escribía en inglés. Así que, ¿qué
palabra podía ser? Lo lógico es que un asesino hable de matar, "kill" en inglés.
"Kill" es una palabra interesante desde el punto de vista criptográfico. Consta
de una consonante poco frecuente, una vocal y una consonante que se repite. El
grupo "ll" resulta especialmente útil. Es evidente que, si se trata de una cifra
de sustitución monoalfabética con homófonos, habrá más de un símbolo para
representar cualquier letra. Pero Zodiac seguramente no será un criptógrafo
profesional, así que es posible que en algún lugar de su texto haya dos signos
repetidos. Por supuesto, la presencia de dos signos iguales no implica que sea
una letra dúplice como la ll (por ejemplo, hay una parte que incluye las
palabras "your rocks", lo que nos da una doble r entre las dos palabras), pero
sería una buena indicación para empezar. Por otro lado, el texto cifrado incluye
solamente 57 signos, así que probablemente no haya muchos que se usen para
cifrar la L.
Zodiac cometió un error que facilitó la tarea de descifrado: la letra K
solamente tiene un signo, así que si buscamos letras que parezcan repetirse, y
dos posiciones antes tenemos siempre el mismo símbolo, vamos por buen camino. En
realidad, tiene sentido que los signos más probables sean los que representan
letras frecuentes, así que Zodiac se comportaba con cierta coherencia. Pero,
paradójicamente, son las letras poco frecuentes las que a menudo marcan la
diferencia.
Un análisis del texto cifrado nos muestra cuatro ocasiones en las que aparece la
palabra "kill", mas otras dos donde aparece "killing" (matar, o matando, según
el contexto). Si lo añadimos a palabras como "will" (partícula que indica el
tiempo futuro) o "all" (todo, o todos), tendremos un esquema fácil de
visualizar. Como la cifra Zodiac incluye tanto letras como símbolos, voy a
representar estos últimos por números.
Vean ustedes lo que podemos entresacar. En dos partes distintas del texto
cifrado podemos leer "1GSS" y ""/TSS", lo que según nuestra hipótesis implicaría
que S es la letra "L" (no sabemos si las dos esconden la palabra "kill", así que
vayamos despacio). En otro lugar, tenemos los grupos de símbolos "CB" que se
repiten en varios lugares. Es posible que se trate de un dígrafo, o sílaba de
dos palabras, pero justo dos lugares antes tenemos el mismo símbolo repetido, es
decir, algo que
podría representar "kill", o bien "will".
Para que vean la estructura, permítanme incluir varias secciones del mensaje de
esta forma:
.../UBSKOR...
.../TCBPOR...
.../PCB...
...LMRTCBPDR...
...ATCB...
...GSS...
.../TSS...
...APBS...
...ATBS...
...ATSS...
...EDCCJEXPOR...
...QSCB...
(donde, recuerden, algunos de los símbolos han sido
sustituidos para poder representados aquí). ¿No comienzan a ver un patrón? En
algunos casos, aparece / o bien A, luego un signo, y después una pareja de
signos tomados de entre el conjunto "C, B, S". Vamos a suponer que, por ejemplo,
/ es la letra K y "C, B, S" son tres formas distintas de escribir la letra L.
Por supuesto, podemos equivocarnos. Podría ser, por ejemplo, que / represente la
letra W y en realidad formen la palabra "will". Pero por eso es una hipótesis.
También, si suponemos cualquiera de las dos posibilidades, tendríamos la
representación de la letra "I". Puestos a ello, vean los grupos primero, segundo
y cuarto. Todos ellos terminan de forma similar. Bueno, si estamos en la
hipótesis "kill", ¿podría ser que el resto fuese el sufijo "ing" que indica el
gerundio?
De este modo, a base de ensayo y error, podemos ir obteniendo el significado de
algunos bloques del mensaje. En nuestro caso, vean cómo queda el descifrado:
/UBSKOR = killing
/TCBPOR = killing
/PCB = kill
LMRTCBPDR = thrilling
ATCB = will
GSS = all
/TSS... = killed
APBS = will
ATBS = will
ATSS = will
EDCCJEXPOR = collecting
QSCB = fall
Si desea usted probar suerte, y ver hasta dónde es capaz de
descifrar, puede encontrar las tres partes del mensaje cifrado aquí:
http://www.timesonline.co.uk/multimedia/archive/00161/zodiac_code01_1610
16a.jpg
http://www.timesonline.co.uk/multimedia/archive/00161/zodiac_code02_1610
17a.jpg
http://www.timesonline.co.uk/multimedia/archive/00161/zodiac_code03_1610
19a.jpg
Compárelo con la solución anténtica y cuénteme cómo le ha ido.
http://www.scn.org/anon/dossiers/zodiac/zodiac.htm
Una curiosidad: de igual modo que la identidad de Zodiac sigue siendo tema
abierto, algunos de sus mensajes cifrados permanecen envueltos en el misterio.
El final de la tercera parte, por ejemplo, es un galimatías sin sentido. Se
debate sobre si incluye alguna información sobre el asesino (¿un anagrama, tal
vez?) o es tan sólo "relleno" para despistar. También hay otras cartas que
incluyen signos cifrados o que sugieren mensajes ocultos, y que han suscitado
muchas hipótesis (como muestra, un botón:
http://www.opordanalytical.com/articles/Zodiac2.htm
Pero el secreto mayor yace en la llamada "cifra 340", publicada el 9 de
noviembre de 1970. Su nombre se debe a que consta de 340 signos. Hasta ahora,
nadie ha conseguido descifrarla, lo que nos da una idea de su complejidad. Si lo
intenta usted, ojo con caer en el "síndrome de Yardley" (del que ya hablaremos
otro día) y convertirse en un obseso. Me gusta pensar que la cripto es como un
resfriado contagioso, pero no vaya a dejarse la salud en ello. Yo ya he
avisado,y aquí va el mensaje misterioso (y si alguien lo resuelve, !le dedico un
Boletín!):
http://www.zodiackiller.com/340Cipher.html
LIBERTAD VIGILADA - El Convenio hispano-norteamericano más controvertido
[Extraído del libro "Libertad Vigilada", de Nacho García Mostazo, con permiso
del autor]
Segunda parte, capítulo 23:
El día 10 de abril de 2002 pasará a la historia de las relaciones bilaterales
entre los Gobiernos de España y Estados Unidos. Tras varios años de negociación
y una serie de prórrogas consecutivas al anterior Convenio Defensivo
hispano-norteamericano de 1988, se ratificó un nuevo acuerdo. El secretario de
Estado norteamericano, Colin Powell, y su homólogo español, el entonces ministro
de Asuntos Exteriores Josep Piqué, firmaron en Madrid el Protocolo al Convenio
de Cooperación para la Defensa hispano-norteamericana. El acto tuvo lugar en el
Palacio de la Moncloa.
Cinco días después, el Consejo de Ministros había autorizado la firma e hizo
pública una nota donde se resumía lo más destacado. Entre otras cosas, afirmaba
que se concedía "autorización a los servicios de investigación criminal, que
actuarán en España en conjunción con sus homólogos de los Cuerpos y Fuerzas de
Seguridad del Estado". Asimismo, mencionaba un nuevo capítulo sobre "cooperación
en inteligencia militar". En cuanto a la base de Rota, se anunciaba el
"reajuste" del personal, reduciendo el número de militares norteamericanos
asignados a la misma, pero incrementando el de civiles. Además, en Rota y Morón
se autorizaba la presencia de "unidades de tierra, mar y aire, los servicios de
investigación criminal, la compañía de seguridad", etc. A juicio del Ejecutivo
español, tal medida se justificaba por "los cambios producidos en la escena
internacional desde 1988 (fecha del anterior Convenio), los nuevos requisitos de
seguridad y la necesidad de reforzar la relación bilateral de defensa con
Estados Unidos", según la citada nota. [1]
La ambigüedad de las autorizaciones levantó una importante polémica en el
Congreso de los Diputados. Los ministros de Asuntos Exteriores, Josep Piqué, y
de Defensa, Federico Trillo, acudieron al Parlamento a explicar los aspectos más
controvertidos del Convenio, como el fomento de "los intercambios en el campo de
la inteligencia militar" o la autorización a los espías norteamericanos a
trabajar en España. Pero de todos estos aspectos, uno de ellos pasó totalmente
inadvertido: Estados Unidos ampliaría el número de miembros del Grupo de
Seguridad Naval en Rota, pasando de 108 integrantes a 180, es decir, casi el
doble, según desveló "El País". Sin embargo, este mismo periódico consideraba
que el Grupo de Seguridad Naval se dedica a proteger al personal y las
instalaciones de la Marina norteamericana. Desconocía que está formado por los
criptoanalistas de la Navy y que su misión fundamental es romper los códigos de
cifrado de las comunicaciones que interceptan. [2]
Tras la ratificación del Convenio, se celebró una rueda de prensa en el Palacio
de la Moncloa. El secretario de Estado norteamericano, Colin Powell, estaba
sentado a la izquierda de su homólogo español, Josep Piqué, en la sala de prensa
del Consejo de Ministros. Inició la ronda de preguntas Lucía Yeste, una
periodista de Radio Nacional de España especializada en temas de Defensa, y le
pidió a Colin Powell que explicara en qué condiciones actuarían los espías
norteamericanos en España. El secretario de Estado respondió a la cuestión con
aplomo y diplomacia. Dijo que las agencias norteamericanas iban a desarrollar
"esfuerzos conjuntos acordados mutuamente" con sus homólogas españolas. Mientras
contestaba, el ministro español miraba alternativamente a Colin Powell y a la
nutrida audiencia que llenaba prácticamente todos los asientos de la sala de
prensa. Cuando Powell terminó, no parece que Piqué quedara satisfecho con la
respuesta de su colega norteamericano, e hizo un inciso para puntualizar.
Consciente del revuelo que se había organizado en la prensa y en el Congreso de
los Diputados ante la autorización del espionaje norteamericano para actuar en
España, el ministro trató de suavizarlo asegurando que, "evidentemente, por
razones de seguridad, muchas de ellas (las misiones de los cuerpos de
inteligencia) no procede que sean conocidas de manera normal, pero es cierto que
parlamentariamente hay procedimientos como para que todas estas cosas puedan
conocerse salvaguardando todos los requisitos de seguridad necesarios, y así va
a ser", dijo Piqué. El ministro se refería, probablemente, a las Comisiones de
Fondos Reservados o de Secretos Oficiales, donde los Grupos Parlamentarios
reciben información confidencial de estos temas. Para salvaguardar el control
parlamentario, la actuación de los espías nacionales se somete al mismo foro
desde la aprobación, en mayo de 2002, de las nuevas leyes que regulan el Centro
Nacional de Inteligencia (CNI), sucesor del CESID.
Sin embargo, al ministro de Asuntos Exteriores no debió de parecerle suficiente
aquella respuesta. Le delató una mirada a su derecha, concretamente al lugar
donde se encontraba el ministro español de Defensa, Federico Trillo, al que
parecía pedirle permiso para ofrecer un dato novedoso, más allá de la frontera
de la discreción. La actuación de los espías norteamericanos en España es "algo
que estaba pasando desde hace muchos años", dijo Piqué. Trillo no parpadeó
siquiera, pero minutos más tarde, al término de la rueda de prensa, parecía
molesto. En su ánimo de complacer a la prensa, algo habitual en él, Josep Piqué
había destapado un secreto que seguramente Federico Trillo no quería que se
conociese. En todo caso, ya hemos demostrado que el NAVSECGRU de Rota lleva
estacionado en la base hispano-norteamericana desde mediados de los años 60.
Además, agentes de la comunidad de inteligencia norteamericana también llevan
mucho tiempo trabajando con total libertad sobre territorio español; por
ejemplo, colaborando con los españoles en la lucha contra ETA. En este Convenio,
simplemente, se puso por escrito, aunque no deja de sorprender que el Gobierno
reconociera sus actividades anteriores. [3]
No obstante, basta con buscar en Internet para encontrar ese mismo dato en las
páginas del Servicio Criminal Naval de Estados Unidos (NCIS), uno de los cuerpos
autorizados a operar en España, junto con la Oficina de Investigaciones
Especiales de la Fuerza Aérea de EE.UU. (OSI), según el nuevo Protocolo. En su
web, en NCIS no cuida las formas políticas y admite directamente que está
instalado y operando en España desde, al menos, 1993. Afirma tener oficinas y
"unidades residentes" en la base de Rota y reconoce que "es responsable para
realizar misiones en España, Portugal, Gibraltar, Marruecos, Sahara Occidental,
Guinea-Bissau, Sierra Leona, Liberia, Ghana, Nigeria, Angola, Namibia y
Sudáfrica". [4]
El Convenio hispano-norteamericano iba acompañado, además, por un acuerdo sobre
cooperación industrial en materia de Defensa. Según la nota oficial del Consejo
de Ministros del 5 de abril de 2002, "el artículo 3 del Protocolo tiene gran
relevancia para España y establece las bases para la Cooperación Industrial y
Tecnológica en el ámbito de la Defensa. Este artículo se remite, a su vez, a un
acuerdo separado en este ámbito que ha sido ya acordado entre los Ministerios de
Defensa de España y de Estados Unidos, acuerdos de carácter político y que no
forma parte, por tanto, del Protocolo. Este acuerdo tiene la forma de una
Declaración de Principios para el desarrollo de la Cooperación en Materia de
Equipamiento e Industria de la Defensa", dice textualmente. [5]
Para quien no conozca el interés del Gobierno en lograr transferencias de
tecnología estadounidense en materia de criptoanálisis y, seguramente, también
en el campo de la interceptación de las comunicaciones, esta Declaración de
Principios pasaría inadvertida, ya que se puede interpretar como un acuerdo para
comprar armas, carros de combate, aviones, etc. Pero después de haber visto que
el Gobierno español había pedido al norteamericano que autorizara la exportación
a España de su tecnología más avanzada, como hace con algunos de sus mejores
aliados, este apartado del Protocolo, al menos, nos invita a sospechar, ya que
podría interpretarse como un pacto para que Norteamérica permita a España
comprar lo que desea. Sin embargo, fuentes estadounidenses de la industria
tecnológica militar confirmaron en junio de 2002 que no habían recibido
notificación alguna del Gobierno Federal para levantar las restricciones de
exportación a España, lo que no quiere decir, según las mismas fuentes, que el
permiso pudiera concederse más tarde y "caso por caso".
No obstante, parece que no será necesario que España compre directamente esa
tecnología a sus proveedores originales. Aunque el Convenio anterior ya lo
mencionaba, el nuevo Protocolo precisa que "las autoridades españolas tendrán
derecho a la adquisición de cualquier equipo, material, estructura desmontable o
suministro que las Fuerzas de Estados Unidos de América consideren excedente de
los inventarios de las IDA (Instalaciones de Apoyo) y proyecten enajenar en
España". Por ejemplo, una IDA es la antena AN/FLR de Rota y los edificios del
Grupo de Seguridad Naval, así como los equipos que manejan los criptoanalistas
norteamericanos. De este modo, si el NAVSECGRU recibe nuevos equipos
tecnológicos y no sabe qué hacer con las viejas herramientas, el Ejército
español tendrá "derecho preferente" a comprarlo. En el mismo sentido, si el
Grupo de Seguridad Naval encarga a Estados Unidos más material del que necesita
realmente, el Protocolo le autoriza a traspasárselo a las fuerzas españolas, ya
que se refiere a material "excedente" y no sólo a productos de segunda mano. [6]
En el Protocolo, el Gobierno español incluye también un anejo donde se detallan
las instalaciones que hay en las bases norteamericanas. Entre otras, admite la
existencia de una "instalación naval de comunicaciones" que, dicho así, parece
totalmente inofensiva, lo mismo que ocurre con la "instalación de información
para vigilancia oceánica", cuya misión es el "acopio y distribución de
información en apoyo a la flota" estadounidense. Sin embargo, éstas son las IDA
operadas por el Grupo de Seguridad Naval, cuya misión hemos mencionado
reiteradamente. Pero además, en el artículo 47 del Convenio dice lo siguiente:
"las Fuerzas de Estados Unidos de América podrán llevar acciones en el campo de
las telecomunicaciones que puedan precisar para: 1) satisfacer nuevas
necesidades operativas, 2) mejorar la capacidad de los sistemas existentes y 3),
contribuir al bienestar y al adiestramiento de dichas fuerzas". La única
condición para ello es que "no deberá producir interferencias con los sistemas
existentes de las Fuerzas Armadas españolas". Este dato significa que el Grupo
de Seguridad Naval puede ampliar sus instalaciones tanto como desee, añadiendo
nuevos sistemas de interceptación de las comunicaciones siempre que la operación
no afecte a las del Ejército español. Pero además, también confirma que tales
instalaciones se usan para el "adiestramiento", lo que ya mencionamos con
anterioridad al explicar que la base de Rota es uno de los puestos donde los
criptoanalistas recién licenciados, sobre todo aquellos que hablan español,
hacen sus primeras prácticas en el espionaje de las comunicaciones. [7]
Por último, el nuevo Protocolo también autoriza la instalación de una "oficina
de investigación criminal" en la base de Morón de la Frontera (Sevilla), según
contempla el Anejo 2, pero el Gobierno español también admite que Morón dé
servicio a las que denomina "operaciones espaciales". Según fuentes oficiales
del Ministerio de Defensa, tales operaciones harían referencia a que la base
española puede servir como aeropuerto circunstancial para el aterrizaje de los
transbordadores espaciales de la NASA. Sin embargo, no hemos de olvidar que el
Departamento de Defensa estadounidense tiene varias agencias de inteligencia
dedicadas al espionaje espacial, por lo que la ambigüedad de la autorización a
las "operaciones espaciales" no deja de ser llamativa. [8]
[1]. Ministerio del Portavoz del Gobierno. Palacio de la Moncloa. "Referencia"
del Consejo de Ministros. Bajo el epígrafe "Asuntos Exteriores" se recogen los
datos públicos sobre el "Protocolo al Convenio de Cooperación para la Defensa
hispano-norteamericana". Madrid, 5 de abril de 2002.
[2]. Miguel González, "Los servicios de investigación de EE.UU. que autorizará
el Convenio ya actúan en España". El País. Lunes, 8 de abril de 2002.
[3]. Declaraciones textuales anotadas durante el transcurso de la rueda de
prensa celebrada el 10 de abril de 2002 con motivo de la firma del Convenio
defensivo hispano-norteamericano. Reacciones y otros detalles tomados del
testimonio de Lucía Yeste (conversación telefónica mantenida en abril de 2002) y
de otros asistentes a la misma, así como de la transmisión hecha en directo por
el canal de televisión CNN+.
[4]. C. Segovia y A. Yanel, "EE.UU. admite que sus servicios secretos operan en
España antes de que el Convenio lo autorice". El Mundo, 10 de septiembre de 2002
[5]. Ministerio del Portavoz del Gobierno. Palacio de la Moncloa. "Referencia"
del Consejo de Ministros. Madrid, 5 de abril de 2002.
[6]. "Protocolo de Enmienda del Convenio de Cooperación para la Defensa entre el
Reino de España y los Estados Unidos de América". Artículo 13. Documento
110/000198. Boletín Oficial de las Cortes Generales. Serie A. Número 340. 20 de
agosto de 2002.
[7]. "Protocolo de Enmienda del Convenio de Cooperación para la Defensa entre el
Reino de España y los Estados Unidos de América". Anejo 2, "Bases españolas y
niveles de fuerza autorizados", y artículo 47. Op. cit.
[8]. Conversación telefónica con Juan Miguel Ramiro, del departamento de prensa
del Ministerio de Defensa. Octubre de 2002.
El boletín ENIGMA es una publicación gratuita del Taller de
Criptografía, y se rige por las normas de la licencia de Creative Commons
Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia,
distribución y comunicación para fines no lucrativos, citando nombre y
referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA