Cómo la NSA consiguió desactivar la criptografía en Internet (segunda parte)

Por Arturo Quirantes, el 23 octubre, 2015. Categoría(s): Actualidad • Ingeniería • Matemáticas

NSA snowden

(continuación de la primera parte)

 

PASO 3: ATACANDO LOS 1.024 BITS

Desde hace años se especula con cuál es el tamaño mínimo de clave capaz de resistir los esfuerzos computacionales más fuertes. Hay que tener en cuenta especialmente a la NSA, que cuenta con recursos informáticos, matemáticos y presupuestarios casi ilimitados. ¿Cuánto es suficiente frente a tan imponente adversario? Y en un tono menos peliculero, ¿cuánto es suficiente para protegernos contra un enemigo organizado como una mafia de ladrones de bancos? Nos referimos aquí a la longitud de las claves asimétricas, como la RSA o la DH.

Ha habido opiniones para todos los gustos. Vea, por ejemplo, aquí y aquí, donde este que firma propugnaba en 2000 un límite mínimo de 1.866 bits para 2015. Otras recomendaciones de expertos en el campo, hechas entre 2004 y 2007, sugieren claves de al menos 2.048 bits. En la actualidad se considera que las claves de 1.024 ya son pequeñas. Con todo, nadie ha conseguido atacar con éxito una clave de 1.024 bits (que sepamos), de modo que gran cantidad de sitios web la siguen utilizando.

Ahora, las malas noticias. El mismo grupo que ideó el ataque LOGJAM hizo algunas predicciones sobre la posibilidad de romper una clave de 1.024 bits. Sería todo un reto, pero si como en el caso de LOGJAM hubiese pocos primos protegiendo las comunicaciones de Internet, el esfuerzo masivo de precomputación valdría la pena a un atacante avanzado.

¿Está una clave de 1.024 bits al alcance de la NSA? Recordemos que esta gente no mide sus ordenadores en flops sino en hectáreas. Los autores de LOGJAM hicieron algunos números, tomando como base sus propios esfuerzos para romper claves de 512 bits y los requeridos para romper la mayor clave DH reventada hasta la fecha (596 bits). En este último caso, el esfuerzo computacional fue equivalente a 50 años-núcleo (es decir, un ordenador de un solo núcleo funcionando durante 50 años; o uno de 100 núcleos durante 180 días). Una clave DH de 768 bits exige más de 36.500 núcleos-año.

¿Y una de 1.024 bits? Aunque extrapolar se hace difícil a estos tamaños, los autores dan las siguiente cifras: 45.000.000 de años-núcleo para la fase de precomputación y unos 30 días-núcleo para la fase de resolución. ¿Precio? Once mil millones de dólares con CPUs disponibles en la actualidad para reventar una clave de 1.024 bits en un año. Hasta el dueño de Zara podría permitirse una (media docena, en realidad). Y si en lugar de procesadores comerciales se utilizan chips específicos (ASIC), el precio podría bajar hasta los 100 millones.

La inversión es inmensa, y eso para una sola clave, pero nuevamente los espías se verán favorecidos por la extraordinaria vagancia que parecen tener los servicios de Internet a calcular números primos. Entre el millón de páginas web seguras (https) más visitadas, nada menos que un 18% utilizan el mismo número primo. El porcentaje es muy superior en el caso de las redes privadas virtuales (VPN), que utilizan el protocolo IKE: el 66% de ellas comparten el mismo número. Es decir, la NSA se lo tiene que currar durante un par de años (o menos, según su presupuesto) para espiar un quinto de las comunicaciones seguras de Internet ¡y dos tercios de las de redes privadas virtuales! Del correo electrónico supuestamente seguro, mejor ni hablemos.

Pero todo esto es conspiranoia de sillón. ¿O no?

PASO 4: LA NSA EN ACCIÓN

Ataques como los descritos anteriormente son, cuando menos, teóricos, y por supuesto la NSA no va a reconocer que los llevan a cabo. De ser así, no habría mas. Pero hay más. Las revelaciones de Edward Snowden son, en opinión de los expertos, compatibles con un esfuerzo masivo de descifrado tipo «LOGJAM con esteroides.» Una de las afirmaciones de Snowden es que la NSA puede derrotar protocolos como https y VPN de forma casi rutinaria.

No es el primero que sugiere algo así. En 2012 James Bamford, autor de libros sobre el funcionamiento de la NSA, afirmó que el gigantesco «centro de datos» que la agencia estaba construyendo en Utah a un coste de 2.000 millones de dólares (más 40 millones al año sólo en electricidad) es una instalación crítica para romper códigos, basada en un «enorme descubrimiento» que la NSA había realizado años antes en el campo del criptoanálisis y que le permitiría espiar todo tipo de comunicaciones cifrado mediante criptografía de clave pública.

Una copia clasificada del presupuesto oculto de la NSA para 2013, filtrada al público, indica que la agencia da alta prioridad a desarrollar «capacidades criptoanalíticas innovadoras [groundbreaking] para derrotar los sistemas criptográficos adversarios y explotar el tráfico en Internet.» Destacan dos programas con fuerte incremento presupuestario: «servicios criptoanalíticos de TI,» con 100 millones de dólares más de presupuesto, y algo llamado «programa C de criptoanálisis y explotación» que tiene asignados 360 millones de dólares, cuatro veces más que en 2011.

También hay detalles técnicos que apuntan en la dirección de un gran LOGJAM a escala gubernamental. Algunos de los documentos de Snowden muestran que las comunicaciones en los servicios de redes privadas virtuales (VPN) se consiguen de la siguiente forma: primero se intercepta la conexión cifrada, luego se envían algunos datos a los superordenadores, y éstos devuelven la clave al sistema que descifrará la comunicación.

¿Por qué este esquema tiene sentido? Pues porque si la NSA ha tenido éxito en el enorme esfuerzo computacional que requiere la fase de precomputación, el resultado no lo va a sacar de sus centros protegidos. La llave maestra no sale de casa. En su lugar, la información capturada se lleva al centro de datos, allí se efectúa la fase de resolución y se obtiene la clave para descifrar las comunicaciones VPN.

Visto lo visto, no me extraña que el gobierno norteamericano esté tan cabreado con el caso Snowden. Sus revelaciones hacen daño donde más duelen, ya que no solamente explica que Estados Unidos espía al mundo sino que detalla cómo lo hace, y eso permite pensar en contramedidas. Basta con cambiar un par de claves DH para que ese gigantesco esfuerzo en Utah resulte inútil. Sí, en la NSA deben estar realmente cabreados. Y también en su equivalente británico el GCHQ, que esa gente se lo comparte casi todo.

PASO 4: ¿AHORA QUÉ HACEMOS?

Si lo que he descrito hasta ahora es cierto (y todo parece indicar que así es), la teoría conspiranoica según la cuál todos somos objetivos para la NSA ya no es teoría. En realidad, llevamos décadas oyendo estas historias por boca de ex-empleados de la agencia, de profesionales del ramo, de escritores y periodistas. Yo podría recordárselas pero no quiero sonar a abuelo Cebolleta (cof, cof). Bástele, lector, con que tenga en cuenta que el peligro existe. Y es real. Y no estará siempre confinado a las agencias de inteligencia con tres letras. ¿Qué pasará si los grupos mafiosos organizados llegan un día al mismo nivel, sea mediante presupuesto o por simple Ley de Moore?

En el caso de la amenaza que nos ocupa, hay contramedidas que se pueden tomar. Algunas de estas opciones son sencillas. Otras requieren la participación de grandes empresas. He aquí algunas de las más efectivas:

 

Aumentar el tamaño mínimo de clave. A partir de ahora, 2.048 bits mínimo. Los servidores deben exigir ese tamaño, así como nuestros programas cliente (navegadores). Quien se aferre a claves más pequeñas que se actualice o calle para siempre. En conexión con esto:

Desactivar las opciones de cifrado. Ya no estamos en los noventa.

Usar otros tipos de cifrado. Se está hablando de sistemas de criptografía de curva elíptica como sustituto de la criptografía de clave pública basada en sistemas RSA o DH. Es más efectiva (claves más cortas y cálculos más rápidos para su uso).

No reutilizar las claves. Si los BOFHs pueden hacer algo por la seguridad en Internet, es eso. Nada de aprovechar la misma clave una y otra vez. En caso extremo, si hay que reutilizarlas, no uséis la misma siempre. Molestaros en crear diez, o mil, o un millón. La CPU es barata.

La moraleja es: no debemos confirmar ciegamente en la criptografía. Aunque es nuestra mejor opción para protegernos, no es un polvo mágico que se extiende y ya está. Por supuesto, todo eso es inútil en una sociedad que no valora su privacidad. ¿Que usted sí lo hace, me está diciendo? Claro. Ahora vaya a ver lo que su perfil de Facebook le dice al mundo, vea cuántas conexiones abiertas tiene su móvil, haga memoria de cuántas veces ha rellenado cupones para dar sus datos personales a cambio de la posibilidad de ganar un premio que nunca llega… y deje de considerar Gran Hermano como un referente social digno de atención. Hala, ya lo he dicho.

 



Por Arturo Quirantes, publicado el 23 octubre, 2015
Categoría(s): Actualidad • Ingeniería • Matemáticas