Estas aquiContenido / No es un buen momento para la firma electrónica y el voto electrónico
No es un buen momento para la firma electrónica y el voto electrónico
Por Fernando Acero
Lo primero he de decir, es que soy un firme partidario del voto electrónico y de las tecnologías anejas que lo hagan posible, tales como el DNI digital. Sin embargo, están ocurriendo una serie de cosas, que vistas en su conjunto, me hacen pensar que no es aconsejable llevar a cabo estos proyectos con el estado del arte actual.
Para entender lo que digo hay que tener una visión global de lo que está pasando en el mundo de las nuevas tecnologías en general y de las tecnologías de cifrado y firma en particular. Para entrar en materia y hacernos una idea de lo que vamos a comentar después, recomiendo la lectura de los siguientes documentos...
- El DNI electrónico y la firma-e. Consideraciones Técnicas y Operativas.
- SHA-1 y las "colisiones de cumpleaños"
- Algo -pero no mucho- sobre el DNI digital.
- Comentario al mensaje anterior.
- MD5, un juguete al alcance de un portátil.
- Consideraciones al mensaje anterior
- Consideraciones al mensaje sobre MD5.
- Un bolígrafo, nuevo sistema biométrico.
- Aprobadas las Patentes de Software en Europa.
- Comentario a un lector sobre los distintos tipos de brechas.
- El computador cuántico y el final de la criptografía de clave pública.
Vista esta documentación, ya estamos listos para continuar.
Lo primero que podemos sacar en consecuencia, es que los sistemas de firma electrónica y de cifrado de clave pública, están en grave riesgo en este momento por tres motivos:
a) Los avances para romper las claves de Hash (usadas para la firma digital y mucho sistemas de cifra).
b) Los avances en los computadores cuánticos, que pueden romper los sistemas basados en clave pública.
c) Los avances, en los que se fundamenta la Ley de Moore.
Por lo tanto, cabe pensar que a estas tecnologías, por un motivo u otro, les queda poca vida útil. Pueden ser meses o unos pocos años, pero el riesgo es evidente y real. Todos los sistemas de firma electrónica usan algoritmos, que aunque todavía se consideran y son seguros, han visto reducida su potencia en un 99,981%, es decir, que están a un paso de ser rotos de forma definitiva, nos referimos al SHA-1 y al MD5. Lo que hace dos años, parecía imposible, ahora se está haciendo posible y evidente. Yo mismo fui criticado, en ocasiones duramente, por decir que podría ocurrir lo que ahora está ocurriendo. Desgraciadamente, para aquellos que decían que lo que yo vaticinaba era imposible, los avances en los tres campos mencionados anteriormente y sus consecuencias directas, les han dejado sin razón ni argumentos. Incluso llegaron a hacer alusiones a mi competencia profesional o a mis conocimientos técnicos. Bueno, ahora parece que yo no estaba tan equivocado. Interlocutores que antes estaban como escorpiones, con el aguijón levantado, han desaparecido como por arte de magia y no se sabe nada de ellos.
A pesar de las innegables evidencias expuestas en la documentación de referencia, por las últimas declaraciones del Sr. Ministro de Justicia, hay intenciones de seguir adelante con proyectos como el DNI digital o el voto electrónico. Proyectos que pueden verse comprometidos, con todo lo que ello puede suponer, en pocos meses si no se usa la tecnología adecuada. Como indico en mi artículo sobre el DNI digital (referencia a) y que fue muy criticado hace dos años, para establecer un sistema de DNI o de voto electrónico, es necesario algo más que una legislación habilitante y unas buenas especificaciones técnicas.
¿Cuál es la solución?, solamente hay una, no implantar sistemas con la tecnología comprometida, o a punto de estar comprometida, e iniciar planes de I+D+i lo antes posible, para buscar tecnologías alternativas para la cifra y hash. Pero parece que hay una serie de problemas para que esto no se lleve a cabo como sería deseable:
a) Presiones políticas para la implantación de sistemas de autentificación/firma a través de Internet. Los estándares internacionales usan los sistemas que ahora están casi comprometidos. La NSA está recomendando un cambio urgente de dichos estándares. El problema es que la mayoría de los chips inteligentes los implementan mediante hardware, por lo que la flexibilidad ante un fallo total, es nula. No hablaremos de la prueba de voto electrónico y de toda su polémica asociada, pero es un hecho que no viene más que a confirmar mis temores.
b) En la era del terrorismo internacional, un sistema electrónico de identidad, puede ser algo interesante para muchos gobiernos. Del mismo modo, los dispositivos RFID, pueden útiles para controlar los movimientos de las personas en un área tan extensa como Europa. Motivos que, a pesar de la oposición de los defensores de las libertades civiles, también ejercen una notable presión para la implantación inmediata de sistemas electrónicos de identidad.
c) La existencias de monoculturas tecnológicas e ideológicas en los sistemas de firma y cifrado, con muy pocos interlocutores ante la Administración sobre estos temas. Cuando hablo de monoculturas lo hago en el sentido que lo hace Bruce Schneier en su obra, "Cyberinsecurity, the cost of monopoly" (pdf), que aunque se refiere a la monocultura informática muy determinada, los riesgos de los que habla bien se pueden extrapolar a otras áreas tecnológicas y monoculturas.
d) La reciente directiva de patentes de software que se acaba de implantar. Las presiones de las multinacionales pueden acabar como con algunos medicamentos. Si usted quiere y necesita cifrado... pague mi patente durante 30 años. Cuando más falta nos hace la libertad para innovar, la cortamos nosotros mismos. Este hecho es algo que se deberían plantear los políticos europeos. Todo hay que decirlo, considero que esta aprobación va en contra del espíritu del reciente Tratado de la Constitución Europea, en el sentido de lo que expongo en mi artículo.
e) Poderoso caballero es don dinero... hay mucho, pero que mucho dinero e intereses en juego en torno a este asunto, algo que distorsiona la realidad tecnológica y la forma en la que se perciben muchos riesgos. Esto es lo más peligroso y complicado de salvar como la experiencia ha demostrado en otras ocasiones. El efecto lobby, como ha ocurrido con la aprobación de las patentes de software en Europa, es algo que está presente y con lo que tenemos que contar, para poder luchar contra su influencia.
De caer sistemas como el SHA-1 o RSA, que caerán tarde o temprano a la vista del estado del arte, caería todo lo que ahora utilizamos con normalidad, páginas web seguras, mensajes cifrados o firmados, e-comercio, sistemas de intercambio de claves, e-administración, telefonía, etc, etc, etc... Es decir, un 99% de lo que conocemos y usamos de forma cotidiana, sin preocuparnos de las tecnologías que lo hacen posible y que garantizan el anonimato o la seguridad de las mismas. A poco que pensemos, podemos comprender que sería un desastre de consecuencias planetarias, que afectaría a la seguridad nacional y la economía de todos los países tecnológicamente avanzados. Tenemos los indicadores y los factores de análisis y lo que es peor, no tenemos tecnología alternativa, pero parece que casi nadie quiere entender lo que significa, o lo puede significar esta combinación de factores en un futuro inmediato.
Es evidente que tenemos que hacer algo. Si presionamos para la implantación de estos sistemas, aunque sea poniendo las cosas fáciles, podemos ser responsables del desastre, aunque sea parcialmente. Es es necesario que la sociedad y en especial, los políticos que toman las decisiones, comprendan la tecnología y tomen conciencia de lo que realmente puede suponer una decisión mal tomada en estos campos. Sencillamente, es el momento de tomar postura, una postura necesaria, que busque la mejor solución a estas necesidades y problemas tecnológicos. Los políticos han de tener cuidado con las asesorías y la información que reciben, ahora tienen una grave responsabilidad que deben asumir con calma y meditadamente. Si me pidieran consejo les diría, señores, ante la duda, mejor no implantar un sistema que se puede volver en contra de los ciudadanos en pocos meses. Pero que nadie me tache de tecnófobo, solamente digo que hay que hacerlo con la tecnología adecuada y teniendo en cuenta ciertas cosas que ahora no se tienen en cuenta.
Antes hemos hablado de buscar posturas, yo veo dos que son estratégicas para que esto salga bien:
a) Innovación tecnológica, eliminando todas las trabas a dicha innovación y a la compartición de información entre investigadores... las patentes son un grave problema. Hay que maximizar lo que se dice en la Constitución Europea y que reflejo en mi artículo.
b) Prudencia en la implantación de sistemas nuevos, para ello, lo mejor es:
1) Establecer planes de contingencia, para los casos más peligrosos, aunque parezcan más improbables. Por ejemplo, si se implanta el DNI digital, tener un sistema previsto de contingencia, para el caso de que la ruptura del SHA-1 sea total, ya sea por mejoras en el análisis o en la potencia de los ordenadores.
2) Establecer mecanismos que permitan a los ciudadanos limitar las operaciones que se pueden hacer o no hacer con un DNI digital, como ahora se pueden limitan las operaciones con tarjetas de crédito.
3) Abrir el abanico de I+D+i y de interlocutores en temas de seguridad y criptografía, hasta dar con las soluciones tecnológicas más adecuadas y duraderas para estos sistemas.
5) Establecer estándares abiertos, basando la seguridad de estos sistemas en la pública comprobación de los mismos, en lugar del oscurantismo tecnológico.
Pero ¿es tan preocupante la situación?, no seré yo el alarmista, pero la acumulación de circunstancias ha logrado que se me enciendan algunos indicadores de aviso. Los expertos dicen, que yo no soy el único: "aunque no se ven las llamas, hay humo y es el momento de ir hacia la puerta de incendios, sin correr, pero sin pararse". Vistas las circunstancias, no podemos sentarnos en el sofá rodeados de humo a ver lo que ocurre y lo que es peor, sin un extintor (alternativa tecnológica viable e implantable) que nos permita apagar el fuego de manifesarse, cuando sabemos que se manifestará con seguridad.
En resumen, estoy de acuerdo en que necesitamos un DNI digital y un sistema de voto electrónico que facilite, no solamente las elecciones, también todo tipo de consultas cuidadanas, pero las cosas hay que hacerlas bien y con cabeza. Desde mi punto de vista, que es muy personal, no es el momento para crear agujeros de seguridad a nivel nacional, agujeros que pueden llegar a ser el paraiso de las mafias tecnológicas, para mayor desgracia de los administrados y menos con una ley de patentes que corta la innovación en muchos campos. No podemos olvidar el efecto multiplicador y revulsivo sobre las operaciones económicas en la Red, que puede tener el DNI digital y algo muy goloso para muchos delincuentes tecnológicos.
No estamos hablando de la seguridad física de los DNI digitales, algo que está bien especificado por estándares internacionales y que se puede mejorar con una serie de soluciones tecnológicas, como me consta que se ha hecho. Estamos hablando de algo más grave y que no se ha contemplado en su diseño, a pesar de que muchos lo han avisando desde hace tiempo. Se trata de la seguridad real de los algoritmos sobre los que se sustenta su tecnología de seguridad. En resumen, no estamos preparados para una caida de los algoritmos SHA-1 o RSA. Algo que hace unos meses era impensable, ahora se intuye como muy posible en un horizonte temporal cercano.
Sí es cierto, la seguridad actual de los algoritmos SHA-1 y RSA son razonables, pero anque es suficiente ahora, no lo será dentro de meses o pocos años. Muchos dirán (yo mismo lo digo y mantengo), que ahora la cosa no está tan mal... Es cierto, pero si nos decidimos por implantar un sistema de DNI digital, no es para que el sistema dure dos días... ha de permanecer y ha de ser completamente seguro para los ciudadanos, durante todo el tiempo de su vigencia. No vale con que sea "razonablemente" seguro durante un tiempo, no vale un bajo porcentaje de fraudes, estamos hablando de algo mucho más serio. Cambiar 30 millones de DNI, con un coste global de 300 millones de euros para su implantación, no es una alternativa viable, lo he mantenido siempre y lo sigo manteniendo ahora.
Hemos de recordar que este DNI digital, además de ser nuestra identidad, puede hacer cosas en nuestro nombre. Es nuestra personalidad jurídica, puede vender nuestra casa, firmar un contrato o atribuirnos unas declaraciones comprometidas, todo de forma remota. También puede cifrar un contenido, que con el tiempo, al caer los sistemas, pueda revelarse al público, algo comprometido y que no debería se admisible durante un tiempo de varios cientos de años, como mínimo. Algo que tampoco garantizan las tecnologías empleadas actualmente. Como se puede ver, no estamos hablando ya de la seguridad física, activa o pasiva, o de la idoneidad del chip empleado para el DNI, estamos hablando de la vigencia en el tiempo de las tecnologías empleadas. Es decir, en lo que se basa realmente la tecnología del DNI digital y que hasta hace unos meses, todo el mundo consideraba como inviolables o completamente seguras. De hecho, se crucifiaba dialécticamente, al que como yo, osase indicar lo contrario. Esto es algo que debemos meditar de forma cuidadosa, antes de decidirnos por la implantación de lo que se puede convertir en un "agujero" de seguridad nacional.
Para el que no me crea, veamos un ejemplo de mala práctica reciente. En la bibliografía que he puesto al comienzo del presente artículo, se habla de los problemas del MD5, otro algoritmo de hash muy usado en Internet por bancos y otras instituciones. La situación del MD5 es mucho más crítica que la del SHA-1 en este momento, pero a pesar de ello, no se están viendo intentos de eliminar el MD5 en favor de sistemas más seguros y eso que en este caso, el problema se reduce a un cambio de software ¿que pasaría si este algoritmo, como se presume que lo estará en el DNI digital, estuviera implantado por hardware?.
Si pensamos en un dispositivo en el que algoritmos como el SHA-1 o RSA, por ser su base tecnológica, se se implantarán por hardware, ¿habrá un tiempo de vulnerabilidades hasta que la Administración reaccione y se cambie la tecnología? Si ese es caso, los que tengan la mala suerte de sufrir los primeros fraudes con un DNI digital, como están las cosas, también tendrán muchos problemas para probar que realmente ha sido un fraude. Hay muy pocos peritos que le puedan echar una mano a estas personas y muchos de los que hay, están involucrados en la toma de decisiones sobre su implantación y esto, sin contar que muchas de las tecnologías involucradas se mantienen en el más absoluto secreto. Además, ¿cúanto se tardaría en cambiar esos DNI, si no tenemos una tecnología alternativa y los DNI no están diseñados para poderla implementar?. ¿De cuánto dinero de los contribuyentes estamos hablando?. Creo que hay demasiadas dudas y pocas respuestas.
Pero, ¿Es razonable el coste/eficacia actual para su implantación, o sería más razonable eliminar todas las brechas, incluida la democrática, antes de proceder a implantar un sistema de DNI digital, lo que nos daría tiempo a hacer mejor las cosas? Yo voto por solucionar el problema de las brechas. Debemos evitar que el analfabetismo digital que impera en nuestra sociedad, nos convierta en presa fácil de las cibermafias por acciones poco meditadas o mal justificadas. Algo, que lejos de fomentar la e-democracia, lo que lograría es todo lo contrario, es decir, abrir una brecha democrática como se habla en este artículo.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
b) Los avances en los computadores cuánticos, que pueden romper los sistemas basados en clave pública.
Créeme, dado el estado del arte actual eso no es ninguna preocupación. Las ideas están muy desarrolladas pero la tecnología no, empezando por la estabilidad de los sistemas cuánticos usados como qubits y continuando con el diseño de puertas cuánticas.
Quiero decir, que dadas las premisas con las que has comenzado el artículo, acerca del estado del arte actual, no puedes incluir "los avances en computadores cuánticos" como argumento, ya que actualmente es una tecnología en mantillas y con un futuro pedregoso a menos que se den pasos cualitativos en la resolución de los problemas apuntados.
SKS, criptografía de curva elíptica de bolsillo
http://sks.merseine.nu
Bueno, tal vez dado el estado del arte actual de la computación cuántica, quizás no sea un problema inmediato.... si hablamos de computación cuántica.
Pero me parece mucho más preocupante que el sha1 de mi flamante tarjeta de identificación digital pueda ser roto _en_estos_momentos_ con computación "convencional" en unas semanas....
Como dice Schneier: "las alarmas han sonado, y aunque no es necesario -todavía- correr, si debemos andar deprisa hacia las salidas de emergencia"
Y mira que soy firme defensor del voto electrónico y de la identificación digital.... pero tanta política, tantos intereses económicos, tanta desconsideración al usuario... asquea
Parafraseando a Schiller:
Gegen die Dummheit kämpfen selbst die Götter vergebens.
"Contra la estupidez incluso los dioses luchan en vano"
A mí no me preocupa tanto la computación cuántica, o incluso la vulnerabilidad en SHA-1. Lo que me trae de los nervios, como apunta de algún modo Fernando, es que los políticos no tienen NPI de lo que tienen entre manos. Lo único que ven es que la idea del DNI digital es buena, permitirá tener más controlados a los ciudadanos, los impulsará a que compren más en Internet, bla, bla... ¿Han pensado un momento en los problemas derivados de la inmensa base de datos que precisarán montar (y que sería un objetivo de primera para un país enemigo, no digo ya el típico hacker)? ¿Qué pasará cuando se descubra la primera vulnerabilidad en un DNI digital?
Los únicos que se preocupan de todo eso son los técnicos, que se las ven y se las desean para meterles algo de cordura a sus jefes (¿eh, Fernando?). Cada año, el gobierno de turno lanza la gran campaña publicitaria del DNI digital o la firma electrónica. Mandan la orden a los técnicos, estos se pringan en la tarea, y a los seis meses responden siempre lo mismo: "pues va a ser que no". Unos meses más para esperar el milagro, y otra vez a lo mismo.
Recuerdo que el tercer artículo que publiqué en Libertad Digital era precisamente sobre eso. Lo pondré en un post aparte, creo que resultará de interés para todos.
Estoy de acuerdo en lo de NPI, pero el suponer fallos de implementación de antemano no me parece justo.
El no utilizar una tecnología alegando que en un futuro quedará obsoleta impediría el avance de la propia tecnología. No digo que sea lógico usar una tecnología con una caducidad muy cercana, ese no es el caso, cuando se resuelvan los problemas de la computación cuántica y se generalice su uso, será el fin del actual concepto de seguridad y el principio de otro nuevo, y en un futuro posterior también será el fin del cifrado cuántico y así sucesivamente. Que peligre SHA es un problema para el que use SHA y nos lleva a no utilizarlo a partir de hoy y usar otras alternativas como RIPEMD160 o SHA 256, igual que se migró de DES a otros algoritmos como AES.
El suponer que el futuro DNI va a usar SHA es eso, un suponer. La infraestructura PKI permite seleccionar los algoritmos que sean necesarios para garantizar la seguridad durante un periodo de tiempo razonable. Imagino que el responsable de garantizar este periodo será el fabricante de las tarjetas criptográficas (SafeLayer lo mas seguro...), y será quien tenga que implementar el CSP de su chip para que soporte los algoritmos necesarios que garanticen la seguridad. Los certificados digitales usarán los algoritmos que soporte su CSP y este será el responsable si aparece una vulnerabilidad o se rompe el algoritmo. El asociar una clave asimétrica a una identidad física no implica la creación de una bbdd nueva, por lo menos yo no veo la necesidad, al contrario da la posibilidad de cifrar dicha bbdd. Por otro lado el tener la posibilidad de identificarse en la red no implica que tengamos la obligación de identificarnos siempre, en la actualidad millones de españoles tienen esa posibilidad (comprando los certificados o usando los certificados de la FNMT para Hacienda por ejemplo) y su anonimato sigue estando garantizado si no se identifican. El que todos tengamos un certificado sin tener que comprárselo a una CA tendrá sus ventajas y sus inconvenientes, por ejemplo no podremos repudiar una compra hecha en la red si hemos firmado el pedido, pero no quiere decir que tengamos obligación de firmar el pedido. También abre las puertas a la oficina virtual, los parquets de contratación, la e-administración, la e-democracia, la intimidad del correo (generalización del correo cifrado), la supresión del papel y la agilización de trámites, las e-subastas, la autenticación fuerte en LAN, la ausencia de login y password en inicio de sesión, ftp’s, vpn’s, la protección del almacenamiento de datos (de carácter personal o no), la auditoría interna sin repudio, la protección y personalización del contenido web hasta la individualización, etc, por supuesto todo optativo, que exista la posibilidad no implica la obligatiriedad.
En lo que no estoy de acuerdo es en que se utilice el DNI para almacenar información, todo lo que no sea la pareja de claves y el certificado es un añadido que hay que proteger y que pone en peligro la intimidad.
Enriquez, el problema es que no estamos hablando de cuestiones teóricas, sino de aplicaciones prácticas en un estado que no se caracteriza precisamente por proteger a sus ciudadanos. Por poner sólo un ejemplo, sabían de la existencia de Echelon pero sólo se echaron las manos a la cabeza cuando vieron el dineral que perdían las empresas europeas; a los derechos de los ciudadanos, que les den.
"El no utilizar una tecnología alegando que en un futuro quedará obsoleta impediría el avance de la propia tecnología."
Ya, pero usar la tecnología por usarla, son ganas. Y no se trata tan sólo del SHA-1. Si repartes tarjetas electrónicas a todo el mundo y dos meses después el listillo de turno explica cómo reconstruir los códigos de cifrado mediante análisis de tiempos, o de potencia consumida, o por otros métodos, estamos fundidos. Una de dos: o tragamos con un sistema inseguro, o nos empeñamos en usarlo caiga quien caiga.
"El suponer que el futuro DNI va a usar SHA es eso, un suponer. La infraestructura PKI permite seleccionar los algoritmos que sean necesarios para garantizar la seguridad durante un periodo de tiempo razonable. Imagino que el responsable de garantizar este periodo será el fabricante de las tarjetas criptográficas (SafeLayer lo mas seguro...), y será quien tenga que implementar el CSP de su chip para que soporte los algoritmos necesarios que garanticen la seguridad."
Te equivocas. El que tome la decisión será el político de turno, más obsesionado en salir en los periódicos como el salvador de la Sociedad de la Información, y que habrá sido "persuadido" por de que hay que usar SHA-1 porque no quieren que el negocio se vaya a la empresa de al lado.
Es como los móviles GSM. Se supone que pueden usar muchos tipos de algoritmos de cifrado, pero ¿qué hicieron? Limitarse a tomar el que venía "por defecto" porque era más cómodo. Hace años que se sabe que ese algoritmo tiene más agujeros que una escopetilla de feria, pero ¿lo han cambiado por eso? No. Siguen usándolo, aunque hay alternativas fáciles de usar. Y todavía tengo que encontrarme a una teleco que reconozca siquiera el problema.
"El asociar una clave asimétrica a una identidad física no implica la creación de una bbdd nueva, por lo menos yo no veo la necesidad, al contrario da la posibilidad de cifrar dicha bbdd."
Tú no, pero tú no eres ministro o dueño de una empresa. Pero las ventajas en cuanto a control de masas (camuflado bajo la lucha contra el terrorismo) o a "fidelización" del cliente son enormes. Apuesta a que esas bases de datos se implantarán, y ganarás seguro.
"Por otro lado el tener la posibilidad de identificarse en la red no implica que tengamos la obligación de identificarnos siempre, en la actualidad millones de españoles tienen esa posibilidad (comprando los certificados o usando los certificados de la FNMT para Hacienda por ejemplo) y su anonimato sigue estando garantizado si no se identifican."
De nuevo, el mundo real. Todos los españoles mayores de edad nos vemos obligados a presentar el DNI ante un policía. Eso no sucede muy a menudo, pero la lista de lugares donde lo tienes que presentar es enorme. No saques el DNI y olvídate de seguros, hipotecas, compras con tarjeta, dormir en un hotel ... y cada vez más. ¿De verdad crees que gobiernos o empresas no van a aprovecharse de la oportunidad, cuando hoy día necesitas sacar el DNI hasta para sacar una peli en el Blockbuster?
Veamos, en el tema de los algoritmos de Hash, lo que hace unos meses era imposible, ahora es posible. Quede bien claro que el problema afecta a todos los algoritmos de la familia MDX y SHA-X, de forma diferente, en base a la longitud de la clave. La NSA mantiene que el uso de un SHA-2 sirve solamente para ganar tiempo, no para solucionar el problema, que reconoce que existe. Por cierto, el RIPMD160, tampoco está libre de fallo en este momento. Por muy diferentes que parezcan, con pequeños matices, todos los algoritmos de HASH son distintos perros con el mismo collar y en este punto está el problema, es monocultura tecnológica/intelectual con pequeñas variaciones. Por ello, concluyo... señores ¿qué alternativa nos queda si la serie SHA-X no vale y el RIPMD-X también tiene algunos problemas en este momento ante colisiones?. Efectivamente, suponer que se usará el SHA-X es mucho suponer, pero ¿cuántas alternativas tenemos?... yo las cuento con los dedos de una mano, necesitamos I+D+i como el comer.
Para el que diga que el problema de las colisiones no es grave, según el capítulo 9 del libro "Handbook of Applied Crytography" del amigo Menezes y compañía, que recomiendo a todo el mundo, queda bien claro que para un sistema como un DNI digital, que firma y encripta, es necesario que el algoritmo de hash tenga las tres fortalezas, colisiones, preimangen y segunda preimagen, si no es así no vale.
Pero aunque no hubiera estos problemas, que sí los hay, en un asunto tan importante y caro como un DNI digital, no se debería hacer una implantación, si no hay una alternativa viable para el improbable caso que decían algunos hace un par de años, de la caida total del sistema cripto/firma, que como se puede ver, es posible. Para ello, el dispositivo debe implementar algunas cosas por software para que se pueda cambiar en el momento necesario, sin tirar 30 millones de dispositivos a la basura ¿problema medioambiantal también?. Evidentemente, tampoco se debería hacer con nigún sistema o familia de algoritmos que estuviera amenazada de alguna forma y todos los que conozco en este momento, lo están de un modo u otro. Sus funciones de complejidad son inferiores a las que dicta el ataque de Yuval o del cumpleaños.
Yo no estoy hablando de que no se haga una implementación del DNI pensando en que los algoritmos pueden caer en un futuro, estoy hablando de no hacer la implementación con algoritmos que han caido o que están cayendo en este momento, que es algo muy distinto.
¿que se hizo con el AES?, sencillo, lo que estoy diciendo desde el principio, abrir el abanico de I+D+i mediante un concurso y elegir la mejor solución... pero para eso no ayudan mucho las patentes de software en Europa y tantas cosas. Creo que el mejor ejemplo de lo que se debería hacer en este momento, el del DES con el AES, es decir, menos hablar e implantar y más I+D+i.
Es cierto que los sistemas PKI permiten elegir el sistema de cifrado y el sistema de hash, pero el problema es que la mayoría de las implantaciones son por hardware y no dejan de ser una monocultura con pocas variaciones de la misma cosa. En parte, por la rigidez de algunos estándares muy establecidos en la industria del ramo y por los criterios de las poquísimas personas que tienen voz y voto en estos temas a nivel internacional.
Si la implementación de los algoritmos de HASH se hace por hardware en el 99% de los chips del mercado, habrá que hacer otros chips que usen otros algoritmos, pero ¿qué algoritmos? ¿por cuánto tiempo los tendremos en vigor?. Supongamos que nos decidimos por el SHA-2, que parece que contenta a mucha gente de los presentes. Pues bien, está afectado por el mismo problema que el SHA-1, pero en menor medida por ser un hash de mayor tamaño. Bien y ¿quién garantiza que ahora que hay colisiones en el SHA-1 como materia prima, que no se establece un patrón de construcción o una distribución espacial de preimágenes?, que por cierto, es lo que se está buscando. En este caso, el tiempo polinómico para construcción de preimágenes o segundas preimágenes sería 0 o casi cero. Pero lo dicho, para el DNI digital es inadmisible hasta la más remota colisión y en este momento las hay en los protocolos menores de la familia.
Por otro lado, hablar de responsabilidades para la empresa o para la Administración cuando el problema puede afectar a 30 millones de españoles con DNI, me parece algo ingenuo. Puede que esa responsabilidad no exista si en el pliego de prescripciones viene claro el algoritmo y luego resulta que falla. Las empresas se limitan a "interpretar" esas normas y estándares con la intención de crear un producto vendible... pero eso no sigifica que lo que se venda sea lo mejor o lo más seguro, solamente es lo que se vende, esté equivocado o no el que lo pide.
También repito, estoy de acuerdo en que es bueno y positivo disponer de un DNI digital, pero como la mayoría de los que estamos aquí, pongo unas sencillas condiciones que se deberían cumplir. Hay que hacer las cosas, pero hay que hacerlas bien.
Finalmente, hablar de lo avanzado o no avanzado que pueda estar la computación cuántica, es hablar por hablar... por lo que no entraré a discutir sobre el tema, pero alguno se llevaría más de una sorpresa si supiera lo que hay funcionando en algunos sitios. Suponiendo que no es cierto lo que acabo de decir, que seguramente no lo es y además siempre lo negaría ;-), lo que si es cierto, es que la mayoría de los expertos hablan de sistemas funcionales "de forma abierta al público" en seis años... ¿cuánto queremos que dure nuestro flamante DNI?. Pero bueno, podemos poner 7 o 8 años... tenemos casi 4 para la implantación plena del DNI en España y puede que tengan que convivir distintas "tranches" o versiones del dispositivo durante la implantación debido a mejoras y cambios, lo que también generará problemas a la hora de hacer que todos tenga el mismo estándar. En definitiva, aunque la computación cuántica se logre en el plano comercial en 10-12 años, sigo teniendo el mismo problema, un problema que a fecha de hoy, supone una inversión de más de 300 millones de euros, que por lo que veo, queremos que sean recursivos en el tiempo, por la necesidad imperiosa de migrar a otros sistemas, si es que los hay en un futuro cuando sean necesarios. Y en el fondo, ¿qué más da si lo que falla es el hash?, la cadena es el eslabón más débil.
Finalmente otro apunte, ya que ha salido, implantar un sistema como este con un único proveedor del chip, es una machada muy grande... ¿que pasa si la empresa decide dejar de fabricarlo, cambia las especificaciones o deja de dar soporte para él? ya se que alguien me dirá que es imposible... peores cosas he visto.
No quiero entrar en polémica con este asunto, pero antes de nada, me gustaría que todos los presentes entremos en situación y pensemos en la trascendencia que puede tener un dispositivo como este. No hablamos de otros problemas como:
a) Memoria adicional para, no sabemos el uso
b) Interfaz inalámbrica
c) Dispositivos RFID asociados
d) Claves precompiladas, etc
Creo que es un error entrar en esas cuestiones técnicas, que muchas de ellas encontraremos clasificadas, cuando hay problemas reales, que afectan a la seguridad de lo más importante. Leed bien lo que digo en mi artículo y lo que sugiero que se debe hacer... recordad:
a) Plantearse mejor la implantación en este momento y con esta tecnología.
b) Establecer prioridades
c) Iniciar I+D+i asap
d) Mandar otro planeta el tema de las patentes de software
e) Eliminar brechas digitales, inlcuida la democrática, en ambos sentidos.. y es que muchos ciudadanos no tienen ni idea de lo que estamos hablando en este momento.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
He leido con atención todos vuestros argumentos, pero estareis conmigo que aun siendo adecuado utilizar algoritmos criptograficos con todas las condiciones que todos conocemos. Hay situaciones habituales donde la utilización de las funciones hash sigue siendo igual de seguro porque se protegen por cifrado directo con claves asimetricas (cierto es que entonces el ataque se intentaría aplicar sobre el algoritmo asimetrico): Escenario clasico Cifrado+Firma
a) Texto A
b) Hash(Texto A)
c) Cifrado Clave Publica B (Texto A)
d) Cifrado Clave Privada A (Hash(Texto A))
e) Se envia:
Cifrado con Clave Publica B (Texto A)
+
Cifrado con Clave Privada A (Hash(Texto A))
Si duda la mejor solución, se va haciendo a cuentagotas, es realizar concursos publicos para elegir algoritmos de cifrado adecuados. Sin embargo, aun siendo esto una solución adecuada es interesante comentar que no necesariamente es ideal.
Podriamos hablar mucho sobre la elección del algoritmo AES, por ejemplo, y hasta que punto otros candidatos no eran más seguros (lo que pasan que influyen muchos otros factores).
El problema al final es que trabajamos con algoritmos cuya seguridad no esta matematicamente bien definida. Me explico:
En general algoritmos simetricos se basan en seguridad incondicional, es decir, se consideran seguros hasta que alguien demuestre que tiene vulnerabilidades, lo unico que se intenta es que presenten protección a ataques publicados.
Otros algoritmos que se suponen "que son": por ejemplo, el RSA no esta demostrado que su seguridad equivalga a factorizar. Y sin embargo todo el mundo alegremente lo cita, cierto es que aunque exista un ataque mejor, si se consigue factorizar en tiempo "razonable" el problema esta resuelto.
Fernando a veces leyendo tus posts noto cierta agresividad (puedo ser yo y posiblemente no sea tu intención, no te lo tomes como algo personal), creo que todos estamos aqui para compartir conocimientos y hablar de los diferentes temas. Como dice ciertos dicho oriental: "el fin de toda discusión no es que alguien tenga razón y otro no, sino la busqueda de la verdad".
Un Saludo!.
Todos somos ignorantes. La diferencia es que no todos ignoramos las mismas cosas. Albert Einstein.
Todos somos ignorantes. La diferencia es que no todos ignoramos las mismas cosas. Albert Einstein.
Lo dicho veo con terror que muchos de los concurrentes consideran equivocadamente que:
Hay situaciones habituales donde la utilización de las funciones hash sigue siendo igual de seguro porque se protegen por cifrado directo con claves asimetricas (cierto es que entonces el ataque se intentaría aplicar sobre el algoritmo asimetrico)
Ya he puesto un caso anteriormente en el que esta afirmación es tan peligrosa como que se puede generar un mensaje falso...Debemos aclarar nuestros conceptos antes de avanzar en algunos conocimientos.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Fernando no veas las cosas con terror. Si estoy de acuerdo en lo que planteas, pero no me gusta ser alarmista y aunque es hora de cambiar ciertos algoritmos criptograficos, en según que situaciones se pueden seguir utilizando.
Me gustaria que me comentaras un poco mas cuando hablas de: "se puede generar un mensaje falso... Debemos aclarar nuestros conceptos antes de avanzar en algunos conocimientos"
Un Saludo!
Todos somos ignorantes. La diferencia es que no todos ignoramos las mismas cosas. Albert Einstein.
Todos somos ignorantes. La diferencia es que no todos ignoramos las mismas cosas. Albert Einstein.
Mientras espero la respuesta de Fernando sobre el caso planteado en el que el mensaje va cifrado con la clave publica del usuario destino.
Otro caso en el que las colisiones no afectan a la utilización del algoritmo de HASH son (si me equivoco en algo decirmelo)
Situación clasica: Sistema Operativo UNIX que almacena la clave de autenticación del usuario haciendole un HASH, por ejemplo, MD5.
Datos iniciales:
a) Supon un sistema UNIX que necesita una clave de autenticación de 128 bits.(se puede configurar sin problemas -> 16 bytes de clave)
b) Porque utilizar una función HASH?, porque para cada una de las claves posibles genera una cifrada (2^128 posibles a 2^128 claves cifradas). La gracia esta en la correspondencia uno a uno. Y la unica debilidad (que destaco por ejemplo) es que se pueda invertir el algoritmo de forma rápida.
¿Porqué en este caso no afecta que se encuentren colisiones en algoritmo de HASH? Dandose la condición del apartado B, destacamos:
a) Todo algoritmo de HASH puede sufrir colisiones. Es simple, no puedes meter 3 zapatos en una caja donde entran 2. Si tienes un mensaje de 2^256 bits y le haces un resumen de 2^128 bits por ejemplo, pues tienes (suponiendo equiprobalidad): 2^256/2^128 = 2^128 colisiones posibles, otra cosas es que sea "facilmente computable" determinarlas. Hasta aqui todo OK.
Bien si para generar una colisión tienes que utilizar más de 128 bits de mensaje en claro pero como no puedes introducir una clave en claro de más de 128 bits, resulta que: tienes una clave en claro que produce el mismo hash que la tuya pero no te permite entrar al sistema, pues la clave está limitada a 128 bits.
Un Saludo!
Todos somos ignorantes. La diferencia es que no todos ignoramos las mismas cosas. Albert Einstein.