1. Redes
Criptoanálisis: factor clave
para la ingeniería de seguridad
de redes de ordenadores
EDICIONES TÉCNICAS REDE
• Marzo 2000 1
2. Redes
Criptoanálisis: factor clave para la
ingeniería de seguridad de redes
de ordenadores
Dr. Javier Areitio Bertolín
El presente artículo analiza la Tecno- lar características o manifestaciones ma muy predecible. También puede El Dr. Javier Areitio
logía de Criptoanálisis aplicada al no aleatorias (por ejemplo, contado- ser posible adivinar que algun bloque Bertolín,autor de este
campo de las Redes de Ordenadores. res de frecuencia, repeticiones, pa- de texto cifrado contiene una palabra artículo, es Director de
Se identifican, describen y clasifican trones, fenómenos simétricos), etc. común. Redes y Sistemas.
los diferentes métodos de ataque Los ataques a un sistema crip- ESIDE. Facultad de
más utilizados. También se sintetiza tográfico intentan explotar una de- Texto
Ataque a Texto Sin Cifrar Ingeniería. Universidad
e implementa un módulo software bilidad del mismo y pueden ser de Conocido de Deusto
para la ruptura criptoanalítica de dos tipos: El atacante (criptoanalista, ad-
PRNGs lineales. − Ataques al propio sistema, versario o espía) conoce o puede adi-
aquí se pretende deducir una debili- vinar/inferir el texto sin cifrar para
En la última década se ha producido dad en el diseño del sistema. algunas partes del texto cifrado. La
un crecimiento especialmente impor- − Ataques a la implementación tarea consiste en descifrar el resto de
tante en investigación en todos los del mismo, aquí la debilidad que se los bloques de texto cifrado utilizan-
aspectos relativos a la Criptología y pretende obtener es de la implemen- do esta información. Esto se puede
el Criptoanálisis ha sido una de las tación particular del mismo; este tipo hacer determinando la clave utiliza-
áreas más activas. Muchos sistemas de ataques suele tener más éxito, un da para cifrar los datos o utilizando
criptográficos (o criptosistemas, por ejemplo son las debilidades encon- algún “atajo”.
ejemplo DES) que se creían seguros tradas en las primeras implementa-
se han visto rotos y se ha desarrolla- ciones del protocolo de seguridad Texto
Ataque a Texto Sin Cifrar Elegido
do un elevado conjunto de herra- SSL del navegador Netscape. El atacante puede tener algo de
mientas matemáticas para poder lle- texto que quiere, cifrado con la cla-
var a cabo de la forma más adecua- Criptoanálisis y tipos de ve desconocida. La tarea consiste en
da el criptoanálisis. ataques a los determinar la clave utilizada para el
El criptoanálisis suele ser un pro- criptosistemas cifrado. Algunos métodos de cifrado
ceso duro, a menudo tedioso, repe- (por ejemplo, el algoritmo de clave
titivo y de gran costo económico. El El Criptoanálisis (es uno de lo pública o asimétrico RSA) son extre-
éxito nunca está asegurado y los re- dos componentes que conforman la madamente vulnerables a los ata-
cursos son siempre limitados. Conse- Criptología junto a la Criptografía ques de texto sin cifrar elegido.
cuentemente, también se deben con- que se define como la ciencia que Cuando tales algoritmos se utilizan
siderar otros enfoques, a veces, más trata de escribir mensajes que nadie debe tenerse extremo cuidado para
efectivos para obtener información salvo el receptor deseado lo pueda diseñar todo el sistema de modo que
oculta o las claves secretas (esto leer) puede definirse como la ciencia un atacante nunca pueda conseguir
plantea un compromiso entre el crip- que engloba un conjunto de técnicas texto sin cifrar elegido cifrado.
toanálisis y la subversión). Cuando la tendentes a descifrar comunicacio-
fuerza de un desarrollo criptográfico nes cifradas sin conocer las claves Ataque “man-in-the-middle”
(por ejemplo, un cifrador) excede por correctas, obtener el polinomio de Atacante mediante intromisión.
mucho el esfuerzo requerido para realimentación de un PRNG a partir El adversario se coloca en medio de
obtener la misma información de de la salida conocida, obtener el es- las partes legítimas que se comuni-
otra forma, el cifrador probablemen- quema interno de un determinado can o “meet-in-the-middle”. Este ata-
te es lo suficiente fuerte para resistir mecanismo criptográfico, etc. Existen que es relevante para protocolos de
los ataques. muchas técnicas, las más importan- intercambio de claves y comunica-
El criptoanálisis implica una tes para un diseñador/implementa- ción criptográfica. La idea es que
combinación de razonamiento ana- dor práctico de sistemas son: cuando dos partes se intercambian
lítico, aplicación de herramientas claves para comunicaciones seguras
matemáticas/informáticas, encuentro Texto
Ataques sólo a Texto Cifrado (por ejemplo utilizando Diffie-Hell-
de patrones, paciencia, determina- El atacante no conoce nada man) un adversario se coloca entre
ción, suerte, encontrar esquemas de acerca de los contenidos del mensa- las partes en la línea de comunicacio-
factorización de enteros, aplicar téc- je y debe trabajar a partir sólo del nes. El adversario entonces realiza un
nicas de inteligencia artificial (redes texto cifrado. En la práctica a menu- intercambio de clave separado con
neuronales, algoritmos genéticos, do es posible adivinar algo de texto cada parte. Las partes finalizarán uti-
sistemas expertos, etc.), utilizar algo- sin cifrar ya que muchos tipos de lizando una clave diferente cada una
ritmos discretos, aplicar métodos es- mensaje tienen cabeceras de forma- de las cuales es conocida por el ad-
tadísticos sofisticados, ordenación y to fijo. Incluso las cartas y documen- versario. El adversario entonces des-
reordenación de los datos para reve- tos ordinarios empiezan de una for- cifrará las comunicaciones con la cla-
2 • Marzo 2000
3. Redes
Figura 1. Esquema del PROTOCOLO, TARJETA análisis estadístico puede incluso El criptoanálisis lineal fue ideado
INTELIGENTE, ETC.
Principio sobre el que se conducir a la recuperación total de por Matsui y Yamagishi para un ata-
Fundamenta el Ataque de estos parámetros secretos. La idea que sobre FEAL. Fue extendido por
Tiempo. inicial fue presentarda por Kocker en Matsui para atacar al DES. Es un ata-
1996 y demandaba que el atacan- que de texto sin cifrar conocido y
SECRETO te dispusiese de un conocimiento utiliza una aproximación lineal para
muy detallado de la implementación describir el comportamiento del cifra-
del sistema a atacar. Actualmente dor de bloque. Dados suficientes
otros investigadores han mejorado el pares de texto sin cifrar y los corres-
método de Kocker y no se requiere pondientes textos cifrados, se pue-
un conocimiento tan detallado del den obtener los bits de información
PREGUNTA RESPUESTA sistema. acerca de la clave y cantidades cre-
DIFERENCIA DE TIEMPO cientes de datos darán normalmen-
Criptoanálisis Diferencial, Lineal y te una elevada probabilidad de éxito.
ve adecuada y las cifrará con la otra Lineal-Diferencial Existen una variedad de mejoras
clave para enviarla a la otra parte. Las El criptoanálisis diferencial es un al ataque básico. Langford y Hellman
partes creerán que se están comuni- tipo de ataque que puede aplicarse introdujeron un ataque denominado
cando de forma segura, pero de he- a cifradores de bloque iterativos criptoanálisis lineal-diferencial que
cho el adversario está escuchando y (como por ejemplo, los algoritmos combina los elementos del criptoaná-
entendiendo todo. simétricos o de clave secreta DES, lisis diferencial con los del criptoaná-
Una forma de prevenir los ata- 3DES, IDEA, etc.). Estas técnicas fue- lisis lineal. Así mismo, Kaliski y Robs-
ques de este tipo es que ambos ex- ron introducidas por Murphy en un haw demostraron que un ataque
tremos calculen una función cripto- ataque sobre FEAL-4, pero fueron criptoanalítico lineal utilizando múl-
gráfica unidireccional hash (por mejoradas y perfeccionadas poste- tiples aproximaciones, puede permi-
ejemplo, MD5, SHA/SHA1, etc.) del riormente por Biham y Shamir que tir una reducción de la cantidad de
intercambio de clave (o al menos de las utilizaron para atacar el DES. datos requerido para un ataque con
las claves de cifrado), la firmen utili- El criptoanálisis diferencial es éxito. Nyberg, Knudsen y O’Conner
zando un algoritmo de firma digital básicamente un ataque sobre texto han estudiado la protección de cifra-
y envíen la firma al otro extremo. sin cifrar escogido y se basa en un dores contra ataques criptoanalíticos
El receptor entonces verificará que análisis de la evolución de las diferen- lineales.
la firma viene de la otra parte desea- cias entre dos textos sin cifrar relacio-
da y que el «hash» de la firma coin- nados cuando se cifran bajo la mis- Ataques de diccionario
cide con el calculado localmente. Este ma clave. Mediante un cuidadoso Utilizados para romper palabras
método se utiliza por ejemplo en análisis de los datos disponibles, las de paso de los sistemas operativos.
Photuris. probabilidades pueden asignarse a En el «ataque de diccionario» no se
cada una de las posibles claves y pretende obtener la clave, si no direc-
Ataques de Tiempo eventualmente la clave más probable tamente el texto en claro ya que el
Este ataque es muy reciente y se se identifica como la correcta. método de cifrado es público y aun-
basa en la medida repetida de los El criptoanálisis diferencial se ha que no se disponga de la clave se
tiempos de ejecución exactos de las utilizado contra cifradores muy gran- puede reproducir. Este es el caso de
operacioes de exponenciación modu- des con grados de éxito variables. En los sistemas de cifrado de claves de
lar (figura 1). Es relevante al menos ataques contra el DES su efectividad acceso en sistemas operativos.
a los métodos criptográficos RSA, es limitada, por lo que fue muy cui- Cuando un usuario quiere darse
Diffie-Hellman y de Curvas Elipticas. dadoso el diseño de las cajas S du- de alta en un sistema, introduce su
Las implementaciones de algo- rante el diseño del DES a mediados código y su clave de acceso, ésta se
ritmos criptográficos a menudo rea- del año 1970. cifra y posteriormente se compara el
lizan cálculos en tiempo no constan- Nyberg, Knudsen Lai, Massey y resultado con la clave cifrada que se
te, debido a optimizaciones del ren- Murphy han realizado estudios sobre almacena en el fichero de claves. Si
dimiento. Si dichas operaciones im- protección de cifradores contra crip- son iguales, el sistema considera que
plican parámetros secretos, estas va- toanálisis diferencial. El criptoanálisis el usuario es quien dice ser y le per-
riaciones de tiempo pueden fugar diferencial ha sido útil en ataques a mite el acceso.
cierta información y si se proporcio- otros algoritmos criptográficos como Los programas rompedores de
na suficiente conocimiento de las por ejemplo las funciones criptográ- “palabras de paso” parten del hecho
implementaciones, un cuidadoso ficas unidireccionales «hash». de que se ha obtenido una copia del
• Marzo 2000 3
4. Redes
fichero de claves (por ejemplo, el de- Figura 2. PRNG basado en
nominado /etc/passwd de Unix) y Registro de Desplazamien-
comprueban si existe alguna cuenta to con Realimentación
sin clave, en cuyo caso utilizan, y con Lineal de longitud 7, de
el resto se realiza el siguiente ataque. función de realimentación
Por una parte se dispone de un dic- f(x)=1+x+x7. Su estado
cionario en claro con gran cantidad inicial es 1001011 o
de palabras y combinaciones muy expresado en forma
comunes y válidas como claves. Pos- polinómica 1+x3+x5+x6.
teriormente se realiza su cifrado con Su salida de longitud 20
la utilidad del sistema a atacar o una será
copia de la misma, se comprueba el 11010010110001101111.
resultado del cifrado con el conteni- una entrada de audio, los intervalos de cogerse de una parte de la bate-
do del fichero de claves y en el caso entre interrupciones de dispositivos o ría no devuelta) en un modo que
de que se produzca una coincidencia las pulsaciones de teclado de usua- hace que cada bit de la batería de-
inferimos cuál es la palabra en claro. rio. El ruido obtenido de una fuente penda de cada otro bit de la batería.
física se «destila» con una función Se debe mezclar nuevo ruido am-
Ataque de búsqueda exhaustiva hash criptográfica para hacer que biental a la batería antes de agitar
El ataque de búsqueda exhaus- cada bit dependa de los otros. A para hacer más imposible la predic-
tiva o fuerza bruta para encontrar la menudo una batería grande (varios ción de valores previos o futuros.
clave de un cifrador, es útil cuando el miles de bits) se usa para contener
tamaño de la clave a atacar es redu- aleatoriedad y cada bit de la batería Síntesis e
cido. Se realiza generando aleatoria- se hace dependiente de cada bit del implementación de un
mente todos los valores posibles de ruido de entrada y cada uno de los módulo software de
las claves de acceso y transformán- otros bits de la batería de una forma criptoanálisis para la
dolas. De esta forma se puede elegir fuerte criptográfica. ruptura de un PRNG
la clave de acceso cuya transforma- Cuando la aleatoriedad física basado en registro de
da coincida con la interceptada. Para verdadera no está disponible, se de- desplazamiento
claves de gran longitud este ataque ben usar números pseudoaleatorios.
se agiliza con un hardware ASIC de Esta situación no es deseable, pero a La figura 2 muestra un PRNG
ruptura de elevadísmo costo. menudo se utiliza en ordenadores de basado en un registro de desplaza-
propósito general. Siempre es desea- miento con realimentación de longi-
Generadores de ble obtener algún ruido ambiental tud 7, posee una función de reali-
números aleatorios (latencias de dispositivos, estadísticas mentación lineal f(x)=1+x+x7 y su
criptográficos. de utilización de recursos y de red, estado inicial es 1001011 (MSB a la
Criptoanálisis cadencia de pulsación de teclados, derecha) en binario o expresado en
etc.). Los datos no deben ser prede- forma polinómica 1+x3+x5+x6, su
Generan números aleatorios uti- cibles por ningún observador exter- salida en binario de longitud 20 es
lizados en aplicaciones criptográficas no; para conseguir esto, la batería 11010010110001101111.
como claves, passwords, etc. Los aleatoria debe contener al menos La figura 3 muestra la especifica-
convencionales disponibles en la 128 bits de entropía verdadera. ción en C de un mecanismo software
mayoría de lenguajes de programa- Los generadores pseudoaleato- de criptoanálisis que permite obtener
ción o entornos de programación, no rios criptográficos poseen una gran la «complejidad lineal» (L) de una
son adecuados para aplicaciones batería (valor de semilla) que contie- secuencia binaria producida por un
criptográficas, ya que estan diseña- ne aleatoriedad. Los bits son devuel- PRNG basado en registro de despla-
dos para aleatoriedad estadística y tos desde esta batería tomando da- zamiento con realimentación lineal,
no resisten la predicción por criptoa- tos de la batería, opcionalmente eje- así como su polinomio de realimen-
nálisis. En el caso óptimo, los núme- cutando los datos a través de una tación. La ayuda del programa se
ros aleatorios se basan en fuentes función hash criptográfica para evi- obtiene tecleando «criptoanálisis h».
verdaderamente físicas de aleatorie- tar revelación de los contenidos de la Supongamos que se conoce una
dad que no pueden ser predecibles. batería. Cuando se necesitan más cadena de bits que proviene de un
Dichas fuentes son por ejemplo el bits, la batería se agita cifrando sus PRNG lineal desconocido. Esa cade-
ruido de los dispositivos semiconduc- contenidos con un cifrador adecua- na es la entrada del módulo de crip-
tores, el bit menos significativo de do con una clave aleatoria (que pue- toanálisis. Supongamos que el PRNG
4 • Marzo 2000
5. Redes
Figura 3. Listado del
Módulo Software de
Criptoanálisis para un
Generador de Números
Pseudoaleatorio (PRNG).
esta basado en un registro de despla- Veinte bits de la cadena genera- bits al ataque/criptoanálisis de Berle-
zamiento de realimentación lineal (o da por este PRNG son: kamp-Massey dado por el módulo
LFSR) formado por el polinomio pri- “criptoanálisis.exe” se obtine la si-
mitivo x7+x+1 y dicho registro se 11010010110001101111. guiente salida:
inicializa con el valor (1001011) o en
notación polinómica 1+x3+x5+x6. Si sometemos esta cadena de Secuencia?
• Marzo 2000 5
6. Redes
11010010110001101111 jidad lineal” de dicha función menos de veinte bits, por ejemplo
L=7 (1+x+x7) es 7 y el ataque criptoana- doce:
Polinomio de lítico ha conseguido obtener el poli-
realimentación=1+x+x7. nomio original del que partía la se- 110100101100
cuencia.
Esto significa que la “comple- Si se introduce una secuencia de el módulo software diseñado
6 • Marzo 2000
7. Redes
“criptoanálisis.exe” también podrá La complejidad lineal de una secuen- salidas del PRNG no se ven de forma
adivinar el polinomio de realimenta- cia es la longitud del LFSR más corto directa.
ción deseado del PRNG. Si en cambio que puede generar dicha secuencia.
sólo introducimos once o menos bits El algoritmo Berlekamp-Massey Ataques Basados en la Entrada
el criptoanálisis será incorrecto y la obtiene la complejidad lineal de for- Un ataque de entrada ocurre
ruptura no tendrá éxito, debido a ma iterativa y también obtiene el cuando un atacante puede utilizar el
que poseemos poca información polinomio de realimentación asocia- conocimiento o control de las entra-
para que el criptoanálisis infiera lo do al LFSR. Puesto que el grado del das del PRNG para criptoanalizar el
deseado. polinomio es igual al del registro de PRNG, es decir para distinguir entre
En este ejemplo de criptoanálisis desplazamiento LFSR, el grado de la salida del PRNG y los valores alea-
se ha utilizado un PRNG basado en este polinomio es la complejidad li- torios. Los ataques de entrada pue-
un LFSR o registro de desplazamien- neal. El número de bits necesarios den ser a su vez clasificados en tres
to realimentado linealmente por un para roomper una secuencia genera- categorias:
polinomio primitivo basado en el da por un LFSR de longitud n dado,
operador suma módulo 2 (o O-exclu- utilizando el algoritmo de Berle- a) Ataques de Entrada Conoci-
siva), es decir perteneciente a GF(2) kamp-Massey es en el peor de los da.- Pueden ser prácticos en cual-
(Grupo Finito de orden 2). El núme- casos 2n. quier situación en la que alguna de
ro de polinomios de realimentación El orden de un polinomio de rea- las entradas del PRNG ideadas por el
primitivos sobre GF(2) para grado limentación de un LFSR f(x), para el diseñador del sistema difíciles de pre-
n=1,2,3,..., es el indicado en el cua- que f(0) es distinto de cero, es el decir, resultan ser fácilmente predi-
dro 1, es decir para grado n=1 sólo menor entero “e” para el que f(x) di- chas en algunos casos especiales. Un
hay un polinomio el (1+x), para n=2 vide a 1+x e; un polinomio sobre ejemplo de esto es una aplicación
sólo existe uno, el (1+x+x2); para GF(2) es primitivo si posee orden (2n que utiliza la latencia del «hard-
n=3 existen dos, el (1+x+x3) y el –1), por ejemplo 1+x+x2 posee or- drive» para algunas de las entradas
(1+x2+x3), etc. den e = 3 = 2 2 -1 ya que (1+ del PRNG, pero tienen que estar eje-
En general el número de polino- x+x2)(1+x)=(1+x3). cutándose por medio de un “drive”
mios primitivos sobre GF(2) para gra- Otra ruptura con el módulo soft- de red cuyos «timings» (diagramas
Cuadro 1.
do k es: ware diseñado sería para la señal de de tiempo) son observables por el
entrada procedente del PRNG a rom- atacante.
[FI(2k – 1)]/k per con, por lo menos, 12 bits:
101010100110 y la salida es L=7 y b) Ataques de Entrada Elegida.-
donde la función FI(m) de Euler re- el polinomio es 1+x+x7; en este caso Pueden ser prácticos contra tarjetas
presenta el número de valores ente- el estado de partida del LFSR es inteligentes y otros “token” (o testi-
ros positivos menores que m y rela- 1010101 (1+x2+x4+x6). gos) resistentes a intentos de forzar
tivamente primos con m; p. ejemplo: bajo un ataque físico/criptoanalítico;
Clasificación de clases pueden también ser prácticos para
FI(26 -1) = FI(63) = 36 = de ataques aplicaciones que suministren mensa-
= cardinalidad{2,4,5,8,...,62} criptoanalíticos a jes entrantes, palabras de paso selec-
PRNGs cionadas por el usuario, estadísticas
por tanto, el número de polinomios de red, etc. en su PRNG como mues-
de grado k=6 es 36/6=6. Ataque de Criptoanálisis Directo tras de entropía.
Una secuencia de salida se dice Cuando un atacante puede distin-
que es m si es generada por un LFSR guir directamente entre las salidas - c) Ataques de Entrada Repeti-
de longitud m y si el polinomio de del PRNG (o Generador de Números da.- Es probable que sean prácticos
realimentación del LFSR es primitivo; Pseudoaleatorios) y las salidas alea- en las mismas situaciones que los
se dice que es primitivo si es irredu- torias, se dice que es un ataque crip- anteriormente mencionados ataques
cible y divisible por 1+xp donde el tográfico directo. Este tipo de ataque de entrada elegida, pero requieren li-
período p de la secuencia es (2m –1). es aplicable a la mayoría, pero no a geramente menos control/sofistica-
Las secuencias m poseen un núme- todos los métodos de PRNGs. ción por parte del atacante.
ro casi equilibrado de unos y ceros en Por ejemplo, un PRNG que úni-
un período; la diferencia entre unos camente se utilice para generar cla- Ataques de Extensión que
y ceros en un período es sólo uno. ves de un cifrador, como puede ser Comprometen el Estado
Aparentemente una secuencia m triple-DES, nunca puede ser vulnera- Los intentos de ataque de exten-
posee un comportamiento aleatorio. ble a este tipo de ataque, ya que las sión que comprometen el estado ex-
• Marzo 2000 7
8. Redes
tienden al máximo posible las venta- terno «S» del PRNG en el instante de práctica mientras el cifrador está uti-
jas de un esfuerzo previamente con tiempo «t», todos los valores futuros lizándose.
éxito que ha recuperado el estado y pasados de «S» son vulnerables al • Si un cifrador es secreto, ese
interno «S» (figura 4). Supóngase ataque. secreto se ve comprometido de for-
que por cualquier razón (una pene- ma creciente por el hecho de hacer-
tración temporal a la seguridad del c) Ataques de Adivinación Itera- se disponible para su uso. Para que
ordenador, una fuga inadvertida, un tiva.- Utilizan el conocimiento del un cifrador sea utilizado debe estar
suceso criptoanalítico, etc.) un adver- estado interno «S» en el instante de presente en varios lugares y a más
sario conoce el estado interno «S» en tiempo «t» y las salidas del PRNG in- amplia utilización mayor es el riesgo
algún instante de tiempo «t». Un ata- termedias para aprender el estado de que el secreto se vea expuesto. Por
que de extensión que compromete al interno «S» en el instante de tiempo tanto, cualquier ventaja que puede
estado sucede cuando el atacante (t + e) cuando las entradas recogi- proporcionar un cifrador secreto no
puede recuperar las salidas descono- das durante este intervalo de tiempo puede mantenerse y el oponente
cidas del PRNG (o distinguir aquellas son adivinables (pero no conocidas) eventualmente tendrá las mismas
salidas del PRNG de los valores alea- por el atacante. ventajas que tendría al revelarse pú-
torios) desde antes de que “S” se blicamente.
haya visto comprometido, o recupe- d) Ataques «man/meet-in-the- Los diseñadores de mecanismos
rar las salidas desde después de que middle».- Son en esencia una com- criptográficos (cifradores simétricos/
el PRNG haya recogido una secuen- binación de un ataque de adivinación asimétricos, PRNGs, funciones hash,
cia de entrada que el atacante no iterativo con un ataque de vuelta firmas digitales, etc.) se pueden au-
puede adivinar. atrás. El conocimiento del estado in- toengañar de forma peligrosa, supo-
Los ataques de extensión que terno «S» en los instantes de tiempo niendo que su oponente no posee
comprometen al estado son más «t» y «t + 2e» permite al atacante información que de hecho puede
probables que operen cuando un recuperar el estado interno “S” en el poseer. Los requisitos de Kerckoff
PRNG se arranca en un estado inse- instante de tiempo (t + e). formulados en 1883 relativos a los
guro (adivinable) debido a la insufi- criptosistemas generales son:
ciencia entropía de arranque. Tam- Cifradores secretos. − El sistema debería ser irrompi-
bién pueden operar cuando “S” se ha Requisitos de Kerckhoff ble, si no teóricamente, al menos en
visto comprometido por cualquiera la práctica. No existen sistemas rea-
de los ataques señalados o por cual- Aunque en algunos casos el crip- les que sean «irrompibles», y tiene
quier otro método. toanálisis puede realizarse incluso poco sentido utilizar cifradores rom-
En la práctica es prudente asu- aunque el proceso de cifrado no se pibles conocidos. El «One Time Pad»
mir que puede suceder que se vea conozca, parece que ésto puede en (OTP) que utiliza una clave tan larga
ocasionalmente comprometido el principio dificultar el trabajo del ad- como el mensaje a cifrar y absoluta-
estado interno “S”; para preservar la versario. Por tanto, se puede argu- mente aleatoria, es el único método
robusted del sistema, los PRNGs de- mentar que el proceso de cifrado impracticable que cumple la condi-
berían ser resistentes al máximo a los debería permanecer en secreto, de ción de «secreto perfecto». En la
ataques de extensión que compro- hecho los sistemas de cifrado milita- práctica se buscan sistemas que sean
meten el estado. res no se publican. En criptografía «computacionalmente seguros», es
Esta categoría de ataques puede comercial se asume normalmente decir el costo de obtener el mensaje
a su vez clasificarse en las siguientes (los requisitos de Kerckhoff) que el original sin conocer la clave es extre-
categorias: adversario/oponente conoce los de- madamente alto en tiempo y/o en
talles del cifrador (aunque no la cla- espacio de computación.
a) Ataques de Vuelta Atrás (o ve). Existen varias razones para esto: − Comprometer los detalles del
«backtracking»).- Utilizan la situa- • Es común para todo cifrador la sistema criptográfico no debería pre-
ción de verse comprometido el esta- existencia de ciertas debilidades (o ocupar. Hoy en día se asume que el
do interno «S» del PRNG en el instan- «bugs») no esperadas que no detec- oponente tiene suficientes detalles
te de tiempo «t» para aprender las tan sus diseñadores. Pero si el dise- del cifrador, ya que para que el cifra-
salidas del PRNG previas. ño del cifrador se mantiene en secre- dor se pueda utilizar ampliamente
to, no podrá ser examinado por otras debe estar presente en muchos luga-
b) Ataques de verse comprome- partes competentes y, por tanto, res y por tanto es probable que pue-
tido en el estado de forma perma- la debilidad no se expondrá pública- da quedar expuesto. También se asu-
nente.- Ocurren si una vez que un mente. Esto viene a significar que la me que el oponente tendrá cierta
atacante compromete el estado in- debilidad puede explotarse en la cantidad de texto sin cifrar (o «pla-
8 • Marzo 2000
9. Redes
Figura 4. Representación ware para la clave y una frase de
de Bloques Simplificada paso para la clave.
de las Operaciones − El criptograma debería ser
Internas de la mayoria de transmisible por telégrafo. Esto no es
PRGNs. muy importante hoy en día ya que
incluso el texto cifrado binario pue-
de convertirse a ASCII para la trans-
misión si es necesario.
- El cifrador debería ser portable,
operable y fácil de utilizar por cual-
quier persona. o
Bibliografia
Areitio, J. «Análisis y Evaluación
de la Seguridad en Redes». Revista
Española de Electrónica. Nº 521.
Abril 1998.
Gleason, AM. «Elementary Cour-
intext») conocido para poder traba- tros días es un problema. El «hash» se In Probability for The Crypta-
jar con él. nos permite recurrir al empleo de fra- nanyst». Aegean Park Press. 1998.
− La clave debería ser recordable ses de lenguaje largas; por ello, el Foster, C.C. «Cryptanalysis for
sin necesidad de anotaciones y fácil- mejor enfoque consiste en utilizar Microcomputers». Hayden Books.
mente cambiable. Esto aún en nues- simultáneamente una tarjeta hard- Rochelle Park. 1990.
• Marzo 2000 9