Boletín ENIGMA - nº 66

1 de Marzo de 2009

 


Boletín del Taller de Criptografía de Arturo Quirantes Sierra


Dirección original: http://www.cripto.es/enigma/boletin_enigma_66.htm


EDITORIAL

NOTICIAS DE ACTUALIDAD - Concurso SHA-3: primera ronda

NOTICIAS DE ACTUALIDAD - Las Enigmas españolas ven (finalmente) la luz

NOTICIAS DE ACTUALIDAD - La seguridad de Skype

 


 

 EDITORIAL

 

!Ya estamos de vuelta! Para aquellos que no os acordéis, esto es el Boletín ENIGMA, una publicación electrónica para los aficionados al campo de la criptología, tanto técnica como histórica.

El último boletín salió ya hace tres meses. Me gustaría sorprenderos con grandes cambios y novedades, pero no es así. El parón invernal fue motivado por el cansancio puro y duro. Tenía demasiada carga encima, tanto de trabajo como de proyectos de tiempo libre, y me vi obligado a hacer un pequeño descanso. A eso hay que unir un desastre informático -en realidad, dos- que casi me deja fuera de combate. Felizmente no fue así, y tras una temporadita de ajustes estamos de nuevo en el aire.

A juzgar por el volumen de mensajes recibidos estos tiempos, no parece que me hayáis echado de menos. Malos, que sois malos. Pero que no suene como que estoy mendigando aplausos, aunque sí me gustaría volver a elevar el nivel de participación de los suscriptores (esos sois vosotros). Mientras tanto, sigamos con los asuntos habituales.

En esta ocasión, el boletín viene cargado de noticias de actualidad. En realidad, no tenemos otra cosa hoy. De todos modos, un de los artículos está relacionado con las venerables máquinas Enigma. Concretamente, a las que aparecieron en Madrid hace unos meses. El Taller de Criptografía se ha metido en el Cuartel General del Ejército y os trae no sólo un artículo, sino también fotos en exclusiva que ya están disponibles en la web.

Tenemos una baja en nuestras filas. El capítulo habitual del libro "Libertad Vigilada" desaparece. El motivo es que, sencillamente, ya no quedan más. Agradezco a su autor, Nacho García Mostazo, su permiso para incluirlo en el Boletín, y aprovecho para preguntarle: Nacho, ¿dónde está mi jamón? !Lo digo en serio!

Quedamos en un compás de espera mientras encuentro otro libro que sea de interés para todos ... y cuyo escritor no desee denunciarme por plagio. Y ya me retiro, que el Boletín pide paso. Sea.

 


 

  NOTICIAS DE ACTUALIDAD - Concurso SHA-3: primera ronda

 

El lector veterano recordará cómo, en diversas ocasiones, hablamos acerca de las funciones resumen, o hash. Sus aplicaciones en firma digital hacen que en ocasiones resulte incluso más relevantes que los algoritmos de cifrado. Sin embargo, habitualmente han recibido poca publicidad, como si se tratase de algo accesorio y de segunda fila.

Nada más lejos de la realidad. En el último boletín, por ejemplo, mostramos cómo pueden ser usadas para efectuar registros en ordenadores, con lo que ello significa desde el punto de vista legal ("Hashing y búsquedas razonables", Boletín ENIGMA 65). El pasado Diciembre se hizo público en el Chaos Communication Congress cómo se pueden aprovechar las debilidades del algoritmo MD5 para falsificar certificados digitales, noticia de la que daremos buena cuenta en otro momento (aunque los impacientes pueden ir abriendo boca con el buen hacer de los chicos de Security by Default, en español: http://www.securitybydefault.com/2008/12/md5-tocado-hundido-y-encima-muere.html).

El propio algoritmo SHA-1 se halla en entredicho, debido a algunos ataques recientes. De hecho, el equipo del Taller de Criptografía participa desde sus inicios en el "SHA-1 Challenge", un reto de computación distribuida para encontrar colisiones en dicho algoritmo. Está patrocinado por la Universidad Técnica de Graz, y en este momento nuestro equipo se encuentra en una meritoria 68ª posición. Quienes deseen apuntarse, pueden hacerlo siguiendo las instrucciones disponibles en http://www.cripto.es/enigma/boletin_enigma_54.htm#2, y no quiero tener que pasar lista, ejem.

Estos y otros problemas han hecho que los expertos del ramo sugiriesen la necesidad de jubilar no sólo al algoritmo de hash MD5 sino al más robusto SHA-1. La idea es que SHA-1 es todavía adecuado, pero más vale prevenir (V. Boletines ENIGMA 31, 35, 50 y 54 para más información sobre SHA-1). Y dicho y hecho, el NIST (instituto de estándares de EEUU) ha establecido un concurso para seleccionar una nueva función hash, del mismo modo que en su momento hizo para sustituir al venerable DES por el reluciente Advanced Encryption Standard (AES). De momento, el nombre que se baraja para el ganador es SHA-3.

Como ya informamos en su momento (Boletín ENIGMA 56), el proceso es largo. Los diversos algoritmos han de ser seleccionados, evaluados y estudiados a fondo. No se trata tan sólo de cuál es el que tiene más bits, sino que se deben tener en cuenta muchas propiedades: resistencia a colisiones, rapidez tanto en hardware como en software, uso de memoria y muchos otros. Condición sine qua non es la de ser público y perfectamente conocido, lo que incluye el algoritmo completo, vectores de prueba y todas las especificaciones necesarias. Luz y taquígrafos, en suma.

La fase preliminar del concurso (presentación de candidatos) se cerró el 30 de Octubre de 2008. Ha sido todo un acontecimiento: nada menos que 64 funciones candidatas. No tenemos información acerca de ocho de ellas, lo que resulta curioso considerando que es un concurso abierto y público.

Para refrescar conceptos, sean M el mensaje, H la función y h=H(M) el valor de dicha función al aplicarlo sobre H. Las propiedades que han de cumplir las funciones hash son esencialmente las siguientes:

1) Dado un valor h, ha de ser inviable hallar el mensaje M que cumpla que h=H(M)

2) Dado un valor M, ha de ser inviable hallar otro mensaje M' que cumpla que H(M)=H(M')

3) Dados dos valores M, M', ha de ser inviable que H(M)=H(M')

Cuando no se cumple la propiedad 1, se dice que tenemos un ataque de PREIMAGEN (o más correctamente de PRIMERA PREIMAGEN). La violación de la condición 2 se denomina ataque de SEGUNDA PREIMAGEN, y la ruptura de la condición 3 se denomina COLISIÓN (o más correctamente, COLISIÓN FUERTE). Cuando un atacante de la condición 2 conoce el mensaje M además del hash m, se denomina COLISIÓN DÉBIL. Como aclaración a mis lectores, la violación de la condición 3 es lo que en el Boletín ENIGMA 31 llamé "colisiones de cumpleaños ("SHA-1 y las colisiones de cumpleaños", Boletín ENIGMA 31).

Varias de las 64 funciones hash presentadas a concurso han caído ya. Ocho de ellas han desaparecido por motivos desconocidos, y otras cinco han sido retiradas antes de pasar a la "primera ronda." De las 51 restantes, más de la mitad presentan algún tipo de vulnerabilidad; en diez de ellas, sus propios diseñadores han reconocido su vulnerabilidad (tres eran susceptibles de ataques de segunda preimagen, y las otras siete presentaban colisiones). Eso no significa que todas esas funciones hayan de ser descartadas, ya que algunas de dichas vulnerabilidades son poco relevantes; por otro lado, al menos una docena son graves, ya que se conocen ataques prácticos contra ellas.

En cualquier caso, cada fallo en las funciones hash será observado con lupa, ya que los ataques contra funciones criptográficas solamente empeoran. Si hoy hay un ataque sin consecuencias, mañana puede aparecer otro más grave. Hace unos días se descubrió que al menos dos de esas funciones son susceptibles de errores por desbordamiento de búfer (buffer oveflow). Uno de ellos, llamado MD6, ha sido desarrollado por un equipo dirigido por nada menos que Ron Rivest (sí, el R de RSA). El algoritmo Skein, de nuestro estimado Bruce Schneier, fue revisado para corregir dos pequeños fallos. Lo que demuestra que ni los mejores en este campo se las deben tener todas consigo.

Además de la fortaleza contra colisiones y preimágenes, los algoritmos serán considerados en función de otros parámetros como la facilidad de uso, cantidad de memoria útil y rapidez entre otros. Según una clasificación reciente, uno de los más rápidos en software es Blue Midnight Wish, literalmente traducible como "Deseo Azul de Medianoche" (¿quién dijo que los criptógrafos no eran poéticos?), cuyas iniciales hacen honor a su rapidez: BMW. El algoritmo de Schneier, Skein, es asimismo uno de los más veloces, junto a otros bichos con nombre tales como Edon-R o EnRUPT; en el otro extremo, Rivest y su MD6 alcanzan aquí resultados más bien pobres.

En estos momentos, los algoritmos seleccionados para la primera ronda están siendo analizados en la "First SHA-3 Conference" celebrada en Leuwen, Bélgica dentro del congreso Fast Software Encryption. A partir de ahí, se abre un período de aproximadamente un año durante el cual todos los criptoanalistas del mundo (de hecho, cualquier persona) puede enviar sus comentarios. Será lo que Schneier denomina un "derby de demolición", donde los mejores irán destacando y los peores serán eliminados. Pero no es un concurso estilo "Los Inmortales", donde sólo puede quedar uno. La idea es ir adelgazando la lista hasta unos 10-20 candidatos. Sólo puede haber una función SHA-3, pero seguro que las finalistas serán también consideradas por la industria. Algo así como Operación Triunfo, donde el ganador no es el único que vende discos.

 


 

 NOTICIAS DE ACTUALIDAD - Las Enigmas españolas ven (finalmente) la luz

 

Durante la Guerra Civil Española, las fuerzas nacionales recibieron un cierto número de máquinas de cifrado Enigma para proteger sus comunicaciones. Hay diversos indicios de esto, desde los testimonios del historiador Domingo Pastor Petit (quien ya en los años 70 afirmó haber visto algunas) hasta los archivos británicos, que muestran los esfuerzos que hicieron contra esas máquinas. Ver. p. ej. "Dilly Knox, maestro criptoanalista", en el Boletín ENIGMA nº 53. Menos claro queda hasta cuándo fueron usados, si bien se barajan las fechas de los años cincuenta para su retirada. Desde entonces, desaparecieron. Nadie sabe dónde fueron a parar.

O casi. En el Museo de Historia Militar de Madrid (ahora en fase de traslado a Toledo), su sección sobre la División Azul mostraba una Enigma comercial, modelo K, número de serie A-1216. Según la documentación existente, fue remitida en 2003 por el Centro Nacional de Inteligencia. Un examen realizado por este que firma, gracias a un permiso de dicho museo, revela que sus rotores son los mismos que los del modelo comercia.

Sin embargo, y aunque no se conocen cifras concretas, se cree que Franco recibió entre 25 y 50 de tales máquinas. ¿Dónde se encuentran? La razón diría que, tras tantos años, fueron finalmente vendidas como chatarra. Sin embargo, personalmente tenía la ilusión de que permanecieran en alguna buhardilla perdida, durmiendo el sueño de los justos.

Así las cosas, en octubre de 2008 el diario El País nos sorprende con una grata noticia: las Enigmas han aparecido. Un artículo de Rafael Moreno Izquierdo, "El arma secreta de Franco" (disponible en http://www.elpais.com/articulo/espana/arma/secreta/Franco/elpepuesp/20081011elpepunac_5/Tes ) desvela que un total de 16 máquinas Enigma, en buen estado de conservación, han aparecido en el Cuartel General del Ejército, en Madrid. Es un descubrimiento insólito, no sólo por su número (creo que ni el Museo Criptológico Nacional de EEUU tiene tantas) sino por que se daban ya por perdidas. Por supuesto, no pude estarme quieto, así que solicité un permiso para examinarlas, permiso que me fue concedido recientemente. Y allí que me fui.

La experiencia fue altamente gratificante en todos los aspectos. A despecho de todas las historias sobre militares celosos del secreto, la recepción que me esperaba no pudo ser más amable. Fui conducido a una sala de estar donde me esperaba un carrito con varias cajas de madera, que custodiaban el brigada Huertas y el Teniente Coronel Práxedes. Gracias a ambos, y a todos cuantos mostraron interés en mi trabajo.

En el Cuartel General del Ejército noté algo que ya había experimentado en el Museo Militar: curiosidad en alto grado. No solo los suboficiales que me "custodiaban" por turnos, sino casi todos los que pasaban por allí se paraban a mirar, algunos solamente observando, otros preguntando directamente. Ciertamente, una Enigma no es parte del equipo básico militar de hoy en día.

Una pega: llegué tarde. De las dieciséis máquinas Enigma, !solamente quedaban siete! Por lo visto, el Ministerio de Defensa ha adoptado la loable política de exhibir las máquinas, y las están repartiendo por todos los museos militares de España. Por desgracia, no se puede saber dónde, ya que el Instituto de Historia y Cultura Militar también está de mudanza.

En cualquier caso, siete máquinas Enigma seguían siendo un magnífico botín, así que me puse manos a la obra. Anteriormente, solamente fueron autorizadas a verlas otras dos personas. Una de ellas fue Rafael Moreno Izquierdo, el del artículo de El País. Y, un par de años antes, mi colega de fatigas José Ramón Soler recibió autorización para verlas (la Enigma que aparece en la contraportada de su "Soldados sin rostro" es una de ellas), pero bajo prohibición de revelar su paradero. Yo llegué un poco tarde, pero a cambio me han dejado abrirlas, examinarlas y fotografiarlas sin restricciones.

Las Enigma que, a fecha 6 de Febrero de 2009, quedan en el Cuartel General del Ejército son las K-204, K-205, K-289, K-356, K-693, A-1233 y A-1235. Tanto por fuera como por dentro, son prácticamente iguales, aunque cada una tiene sus particularidades. La A-1233, por ejemplo, todavía conserva el cable de conexión a la corriente, así como un letrero en parte exterior de la caja que dice "EMC [Estado Mayor Central] - E.M. - Ejército de Marruecos" También se encuentra allí la A-1235, que se cree estaba ubicada en el propio cuartel general de Franco, y la K-204, que cumplía similares funciones en un cuartel móvil ubicado en un tren, el denominado "Términus".

Los rotores de dos de ellas llevan marcada la leyenda "A1232-A1235, K203-208", lo que indica que pudieron formar parte de una remesa de diez máquinas. La K-356, que ostenta la marca "E.M. - Ejército de Marruecos - I", es una de las más peculiares. Todas las máquinas llevan un selector con diversas posiciones, para regular el uso de la batería; pero la K-356 es la única de las siete que la tiene en español (las demás están en alemán). Y no solamente eso, sino que tiene una plaquita que dice "Made in Germany" !escrito en inglés!

En general, las máquinas se encuentran en un excelente estado de conservación. Solamente habría que reseñar que algunas cajas han sido reforzadas con tornillos, y por supuesto que se notan los rasponazos y desgaste propios de su uso. A fin de cuentas, fueron usadas intensamente en una Guerra Civil. También los rotores se encuentran en buen estado. Con un multímetro digital intenté determinar el cableado de los rotores, pero la grasa impedía el buen contacto. El problema fue solucionado por un mando del Ejército que se apresuró a prestarme un bote de alcohol y un paquete de algodón. Mano de santo. Aún así, tuve problemas, y no pude examinar bien uno de los rotores. A pesar de eso, podemos extraer algunas conclusiones.

Un análisis de los rotores muestra que los correspondientes a la máquina K-356 son los estándar del modelo comercial. También el reflector comercial es el mismo que tienen las siete máquinas. Parece que no se atrevieron a recablear el reflector, pero no tuvieron tanto miedo con los demás rotores. En las seis máquinas restantes, los rotores I y II fueron recableados. Según la relación de rotores del Taller de Criptografía (http://www.cripto.es/museo/rotor.htm), no hay constancia de ninguna Enigma que haya usado dichos rotores, lo que indica que fueron recableados específicamente para España. En cuanto al rotor III, los hay de dos tipos. Uno de ellos, por desgracia, no lo pude determinar correctamente, pero los datos que tengo de ambos me indican que fueron asimismo recableados en España.

¿Quién los recableó y cuándo? Lo ignoro con detalle. Sin embargo, documentos procedentes de los archivos británicos y nortamericano indican que ya a comienzos de 1940 los agregados navales de las embajadas españolas en Berlín y Roma utilizaban los rotores de la Enigma comercial; por contra, los agregados militares de ambas legaciones utilizaron rotores recableados. Eso me indica que las máquinas Enigma recibidas por Franco fueron usadas tal cual por durante la Guerra Civil, pero que después de ello el Ejército recableó las suyas, en tanto que la Armada no lo hizo. Es decir, se trató de un trabajo interno, ya que haber sido un trabajo alemán imagino que se habrían molestado en recablear todas las Enigmas, ya fuesen militares o navales. Parece que, amigos o no, los militares españoles no se fiaban demasiado de los alemanes (Dios dijo hermanos, no primos).

Por qué la Armada española no cambió sus rotores es algo que ignoro. Durante la Guerra Civil, las armadas alemana, italiana y franquista acordaron comunicar sus respectivos Estados Mayores mediante máquinas Enigma. Estas eran probablemente del modelo comercial (Hitler no proporcionó Enigmas militares a los italianos, pero sí modelos comerciales). Es posible que, tras el final de la Guerra Civil, la Armada española quisiera seguir comunicándose con sus homólogos italianos (los alemanes usaban Enigmas especialmente reforzadas para su propia Armada). De ser así, su gozo en un pozo, ya que también los italianos recablearon sus máquinas. No se sabe si la Armada española se fiaba más de los alemanes que sus homólogos del Ejército, o si por el contrario éstos sabían más del tema y se curaron en salud. En cualquier caso, las Enigmas que guarda la Armada española podrían desvelar parte del enigma. Si alguien se pasa por allí, porfa, que se lleve un multímetro.

Cuando descubramos dónde fueron a parar las demás máquinas Enigma, quizá podamos ampliar nuestro conocimiento sobre qué máquinas fueron recableadas y cómo. Pero aún quedan muchas lagunas por llenar. La relación de máquinas guardadas por el Estado Mayor del Ejército (gracias, mi Teniente Coronel) cita 26 máquinas. Pero se echa en falta, por ejemplo, la K-206, que según Soler fue usada por la Séptima Región Militar. Tampoco aparece la K-206, que Soler cita como usada por el gabinete de cifra del Cuartel General del Generalísimo; ni la K-295 (usada por el Cuerpo de Ejército marroquí, y posiblemente también por la legación española en la Francia de Vichy); ni tampoco la K-202, usada en el Ministerio de Asuntos Exteriores. Mi propia lista da un total de 37 máquinas Enigma, y apuesto doble contra sencillo a que está incompleta. Imagino que más de una habrá sido retirada del servicio y destruida. Claro que, visto lo visto, no me sorprendería que aparecieran en otra buhardilla. A estas alturas, me lo creo todo.

Los lectores interesados en las características de los rotores anteriormente mencionados pueden consultar la información en la página http://www.cripto.es/museo/rotor.htm (Sparma01), así como algunas de las fotografías en http://www.cripto.es/museo/en-esp/en_esp-enigma.htm. Que os aproveche.

 


 

 NOTICIAS DE ACTUALIDAD - La seguridad de Skype

 

Todas nuestras comunicaciones telefónicas han sido siempre susceptibles de interceptación. La mayoría son en "texto llano", es decir, sin cifrar. En los años 90, la telefonía GSM se popularizó, pero su cifrado es incompleto (solamente desde el teléfono hasta la antena más cercana) y débil. Los teléfonos de tercera generación tienen un cifrado mucho más resistente, pero dispone de sistemas especiales para permitir la "interceptación legal", un eufemismo para recordarnos que el Estado puede poner la oreja siempre que quiera.

En los últimos años se ha desarollado una pequeña gran revolución en la telefonía: la VoIP (Voz por IP). Básicamente, se trata de usar los protocolos de Internet para "trocear" las conversación y enrutar los paquetes. Entre dichos sistemas, el más popular es el conocido como Skype. Se trata de un programa que convierte cualquier ordenador en un teléfono por Internet. Ambas partes establecen contacto directo sin necesidad de estaciones conmutadoras. Sus paquetes viajan como los de las redes peer to peer (p2p), lo que los hace mucho más seguros en términos de anonimato y privacidad (de hecho, sus creadores ya habían desarrollado el programa de intercambio de archivos Kazaa) y mucho más difícil de interceptar. Y, por si fuera poco, tiene cifrado fuerte de un extremo a otro. Es, de hecho, tan popular, que algunos teléfonos móviles lo están incorporando.

Se supone que Skype es tan seguro que incluso las fuerzas policiales y de espionaje encuentran poco menos que imposible interceptarlo. Según The Register, a mediados de febrero una fuente anónima desveló que la Agencia de Seguridad Nacional norteamericana (NSA) está dispuesta a pagar miles de millones de dólares a cualquier empresa capaz de desarrollar métodos para interceptar y descifrar el tráfico de Skype. Pocos días después, la misma publicación informa de que la policía italiana está buscando formas de penetrar la seguridad de Skype para interceptar las comunicaciones de la mafia, e incluso que han hecho peticiones al respecto a Eurojust (encargada de la cooperación judicial entre los Estados Miembros de la UE), cosa que este grupo desmintió poco después.

Aunque hay mucha confusión y las fuentes son poco claras, el hecho es que Skype está en el candelero. Y basta recitar la palabra "cifrado" para conjurar a este vuestro Boletín ENIGMA. De modo que fuera palabrería. ¿Qué tipo de cifrado usa Skype? Una búsqueda en el servidor de la empresa remite a un análisis escrito en 2005 por Tom Berson, consultor en seguridad de la información (y cuyo curriculum está disponible en http://www.anagram.com/berson/index.html). Dicho análisis nos permite arrojar algo de luz sobre cómo Skype utiliza el cifrado. El motivo por el que digo "algo" se aclarará más adelante.

Muy bien, a trabajar. Para establecer una comunicación segura entre dos puntos, con garantía de que nuestro interlocutor es quien afirma ser, necesitamos lo siguiente:

- Un algoritmo de cifrado simétrico para proteger la información.

- Un algoritmo asimétrico para intercambiar la clave de sesión del algoritmo de cifra.

- Una autoridad de certificación (AC) que garantice la identidad de los dos interlocutores.

Comencemos por lo que siempre nos preocupa: el cifrado simétrico puro y duro. Según Berson, Skype utiliza AES-256, con claves de 256 bits y bloques de 128 bits. De momento, vamos bien. A continuación, el sistema de clave pública: RSA. Aquí podemos poner un par de pegas. RSA es un sistema algo viejo, y la tendencia es a ser descartado en favor del Diffie-Hellman, a pesar de que sigue siendo el sistema usado en las comunicaciones seguras por navegador (https). Finalmente, la Autoridad de Certificación dispone de claves RSA de dos tamaños: 1536 y 2048 bits.

El procedimiento para "negociar" una conversación es algo elaborado, así que vamos a seguirlo paco a paso. Cuando uno se descarga el programa Skype, recibe entre otras cosas la clave pública del "Servidor Central", llamémosla Vs, cuya correspondiente clave privada Ss está protegida por la empresa bajo siete llaves. Cada usuario escoge un nombre de usuario A y una contraseña Pa, genera un par de claves RSA (Sa será la clave privada, Va la pública). El ordenador del usuario usará como datos privados dicha clave privada Sa y el hash de la contraseña H(Pa). El no guardar directamente la contraseña Pa es una elemental medida de seguridad: no queremos que un troyano, o el vecino, se pase por nuestro ordenador y nos robe el secreto, ¿verdad?

Siguiente paso: validar la clave. Para ello, el usuario escoge un número aleatorio y lo usa como clave para el algoritmo AES. Con dicho número aleatorio (que hace de clave de sesión), el usuario cifra un paquete conteniendo su contraseña A, el hash de la contraseña H(Pa) y su clave pública Va, y lo envía todo al servidor central de Skype. También ha de enviar la clave de sesión, protegida con RSA, para lo cual usa la clave pública Vs. La función hash usada es la SHA-1.

En el servidor central, se descifra el paquete RSA con la clave privada Ss, se recupera la clave de sesión y se usa para "abrir" el paquete cifrado con AES. En primer lugar, se comprueba que el nombre de usuario A no ha sido usado antes por otro usuario. En caso de que nadie lo haya usado, lo acepta, y procede a guardarlo junto con el hash del hash de la contraseña H(H(Pa)). De esa forma, tampoco Skype guarda una copia de la contraseña en texto llano. Lo siguiente que hace el servidor central es "firmar" la clave del usuario. Lo que hace, en realidad, es firmar algo llamado "Certificado de Identidad" (IC). Dicho IC contiene, entre otras cosas, la firma RSA que liga al usuario A con su clave pública Va.

¿Para qué todo este jaleo? En primer lugar, como he dicho, para asegurarse de que el nombre de usuario no está ya siendo usado. En segundo lugar, para devolver al usuario un paquete de datos que dice "esta firma es la suya, lo digo yo".

El resto, conectar al usuario A con el usuario B, es sencillo y lo hemos visto muchas veces. Cada usuario envía su IC al otro, el cual puede verificar (ya que tiene la clave privada del Servidor Central, Vs) que realmente el otro es quien dice ser. A continuación, A envía a B un paquete de 128 bits cifrado con la clave pública de B; B, a su vez, hace otro tanto. Los dos paquetes de 128 bits forman la clave simétrica (clave de sesión) que van a usar durante la comunicación. Una vez termine la llamada, la clave de sesión se borra. Como vemos, es un esquema conocido. Dos partes se ponen de acuerdo para que una tercera les "avale" por medio de un certificado digital, el cual asegura que las claves asimétricas intercambiadas son las correctas.

Esto es, en forma resumida, el proceso de uso de Skype. Hay algunos detalles que no he introducido para no liarla más, pero básicamente creo haberlo expresado bien (con mis humildes disculpas si he metido la pata en algún punto).

Como vemos, Skype parece hacer las cosas bien. Claves simétricas AES, claves públicas RSA, función hash SHA-1. Pero tiene un gran problema, algo que ha sido criticado y que hace que la seguridad de Skype tenga un signo de interrogación. El motivo es que el código informático Skype es cerrado. Nadie tiene acceso al código fuente. Más aún, algunos pasos son "propietarios", lo que atrae al espíritu de la seguridad mediante la oscuridad.

Aunque Skype ha evitado tirar de algoritmos propietarios en la mayor parte del proceso del cifrado (bien por ellos), el análisis de Berson afirma que el protocolo de acuerdo de claves es propietario. El generador de números aleatorios, clave para el buen funcionamiento de cualquier sistema de cifrado que use claves de sesión, usa SHA-1, pero no se dan más detalles, y el autor solamente evaluó el de la versión de Windows. Eso significa que cualquier fallo queda oculto por el secreto.

Otro problemas deriva del hecho de que no hay más análisis fiables, y el de Berson data de 2005 para la versión 1.3. También hay que tener en cuenta que los sistemas criptográficos suelen fallar por una mala implementación. Puede haber mil y un fallos, desde desbordamientos de búfer a canales laterales, que se hayan colado en el código fuente y que permanezcan indetectados.

Incluso algunos de los detalles que se conocen dan pie a dudas. En primer lugar, el tamaño de la clave RSA. ¿Por qué 1024 bits? Sabemos que de un tiempo a esta parte se están descartando las claves asimétricas de 1024 bits en favor de tamaños mayores ("El tamaño de mi clave", Boletín ENIGMA 62). Un análisis de seguridad de Skype ("Skype uncoved", por Desclaux Fabrice de EADS) indica que el Servidor Central utiliza al menos dos claves distintas para certificar las claves RSA de los usuarios. Estas parejas de claves (que antes llamé Vs, Ss) son de 1536 y de 2048 bits. ¿Por qué esa diferencia? Lo ignoro, pero si lo que dice la Wikipedia es cierto, las versiones de pago usan la de 2048 bits para correo de voz y la de 1536 para negociar la conexión. ¿Los usuarios de pago? ¿Y qué pasan los del servicio gratuito, qué tipo de clave usan? De nuevo los detalles son como poco nebulosos.

La ausencia de código fuente impide, entre otras cosas, disipar las dudas sobre si Skype tiene una puerta trasera. En julio de 2008 un alto funcionario del ministerio de Interior austríaco dijo públicamente que escuchar una conversación de Skype no representaba un problema. De ser cierto, resultaría tan extraño como oír a Alan Turing decir en 1940 que no tenían problema con los mensajes de Enigma. Si fue un desliz o una táctica de presión para que los proveedores de Internet austríacos aceptasen medidas de interceptación adicionales queda por ver. De momento, alemanes y norteamericanos afirma que no pueden con Skype.

¿Pero es realmente cierto? Si la NSA hubiese colocado una puerta trasera en Skype, su formato propietario la ocultaría. Pero si la NSA se acuesta con Skype, tal y como hace con las demás telecos desde hace décadas, lo raro sería que no tuviesen dicho acceso. Algunos recuerdan que, si bien Skype fue desarrollada por los inventores del programa p2p Kazaa, ahora está en otras manos. Skype fue adquirida en 2005 por eBay, a un coste de 2.600 millones de dólares (a los que hay que añadir otros 1.400 inyectados recientemente por eBay).

Dada la sangría económica que Skype representa para las arcas de eBay, y el hecho de que dependa del beneplácito gubernamental para seguir operando, ¿quién dice que no han hecho un acuerdo bajo cuerda? Ya en 2008 se desveló que el operador de Skype en China usaba un filtro para bloquear términos sensibles, es decir, para ejercer la censura. ¿Cómo puede hacerse eso sin descifrar los mensajes? La novedad no era esa (la propia Skype ya lo había reconocido dos años antes), sino que el filtro había sido alterado para almacenar conversaciones de texto.

Hay quienes opinan que la NSA y sus primas ya pueden descifrar los mensajes NSA, y están jugando al despiste para hacer creer a todos que no pueden hacerlo. Igual que cuando los aliados hacían creer a los alemanes que Enigma era indescifrable. O puede suceder todo lo contrario. Justo antes de la Segunda Guerra Mundial, los franceses tuvieron la desesperada idea de hacer saber a los alemanes que Francia podía descifrar los mensajes Enigma. En realidad no podían, pero confiaban en que los alemanes se lo tragaran y lo cambiaran por otro sistema de cifra contra el que los criptoanalistas franceses tuvieran más suerte. Cuando los polacos se enteraron casi les da un ataque, porque ellos sí que podían descifrar Enigma, !pero no se lo podían decir a los franceses!

¿Estan los norteamericanos intentando convencernos de que dejemos de utilizar Skype mediante un tortuoso razonamiento? "Vaya, la NSA dice que no puede leer Skype, seguro que sí pueden y nos están engañando, así que dejemos de usarlo" ¿Estarán los austríacos, o los alemanes, tirándose de los pelos porque ellos sí pueden? Y considerando lo fácil que es instalar un troyano subrepticiamente, sea ilegalmente o mediante una orden judicial, ¿acaso les importa? Y espero me disculpen por dejar aquí el tema, pero mi paranoiómetro está marcando ya el nivel de manicomio. ¿Quieren seguir ustedes el debate?

 



El boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia, distribución y comunicación para fines no lucrativos, citando nombre y referencia.

Para más información, véase la licencia Creative Commons en sus formas reducida y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es

PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es añadiendo las palabras alta_enigma en el asunto (subject).

PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es añadiendo las palabras baja_enigma en el asunto (subject)

Para comentarios a este boletín (dudas, preguntas, consultas, críticas, noticias, colaboraciones, etc.), estoy a su disposición en la dirección noticias arroba cripto.es

Página del Boletín Enigma (incluyendo números atrasados): http://www.cripto.es/enigma.htm

(c) Arturo Quirantes 2007

 


Vuelta a la Página principal del Boletín ENIGMA