Kriptpolis

Entrar Crear cuenta

Search this site:

Buscar

search_theme_fo

Enlaces principales

Kriptpolis o Contacto o Consultas o Mapa del sitio o Novedades o Opinin o Publicidad o Sugerencias o Twitter o Trminos de uso o About Criptografa o Enigma o Criptoanlisis o Curso Bsico o Desafos o Kriptojuegos o TrueCrypt Foro TrueCrypt o Foro de Criptografa Privacidad o Anonimato o Espionaje o RFID Seguridad o Consejos bsicos PC o Contraseas o Cortafuegos iptables

 o o o o o

IP Cop
Foro IPcop SmoothWall Foro SmoothWall Artculos

Foros Robo y fraude Software Libre Vulnerabilidades Windows Foro o Wireless Foro Y Ms... o DNI Electrnico Foro o Voto electrnico o Virtualizacin Foro o Documentos Librera o Cacharreo o Conspiranoia o Chapuzas o Inclasificable o Leyes y tribunales o Opiniones o Propiedad intelectual o Sociedad Civil o Spam

Fue buena idea usar AES256 con el archivo INSURANCE de Wikileaks?

Enviado por Fernando Acero el 9 Diciembre 2010 - 5:46pm

Criptografia

Por Fernando Acero Desde hace tiempo, estoy recibiendo correos de gente que me pregunta sobre la posibilidad de decodificar el archivo INSURANCE de Wikileaks, que presuntamente (el nombre lo pone) est codificado usando el algoritmo AES256. Al margen de las discusiones morales, prcticas y ticas, derivadas de decodificar a las bravas un archivo que presuntamente sirve para salvar la vida de alguien, nos podemos centrar en el estudio de la parte tcnica de este

asunto de la decodificacin del AES, que todo hay que decirlo, es un asunto que me interesa mucho ms... De todos modos, alguien se imagina lo que me pasara si yo dijera en este momento: Seores, durante una noche de insomnio y usando mi batera de tarjetas NVIDIA, he logrado decodificar el archivo INSURANCE de Wikileaks?. Puede que en la puerta de mi casa encontrase tantos agentes secretos vigilando mis movimientos y tanta gente atacando mis sistemas informticos, como periodistas en la final del mundial de ftbol y eso no me apetece en absoluto y a ustedes?.

El ALGORITMO AES
El algoritmo AES (Advanced Encryption Satandard), tambin conocido como Rijndael, es un sistema de cifrado por bloques simtrico, pensado para sustituir al obsoleto DES y optimizado para las transmisiones seguras de mensajes a travs de las redes de telecomunicaciones. AES es muy rpido, tanto en las implementaciones de software, como en las de hardware y adems de ser relativamente fcil de implementar, requiere poca memoria para realizar los clculos. Como nuevo estndar de cifrado, se est utilizando a gran escala por todo el mundo, lo que le parece muy interesante a los amigos de asuntos conspiratorios. El AES/Rijdael, fue desarrollado por dos criptlogos Belgas, llamados Daemen y Rijmen, cuando eran estudiantes de la Universidad Catlica de Leuven. La principal diferencia entre el AES y el DES al que sustituye, es que el AES usa una red de sustitucin-permutacin (serie de sustituciones y permutaciones, que se suceden unas a otras sobre una matriz), en lugar de una red de Feistel. El AES utiliza un bloque de tamao fijo de 128 bits (originalmente poda usar bloques de varios tamaos) y las claves pueden ser de 128, 192 y 256 bits. Al igual que el DES, el procedimiento de codificacin se basa en una operacin bsica llamada "ronda", que se repite un nmero fijo de de veces dependiendo del tamao de la clave. As, con las claves de 128 bits, se usan 10 rondas, 12 rondas con las de 192 bits y 14 rondas, para las claves de 256 bits. AES trabaja sobre una estructura conocida como el "estado AES", que es simplemente una reordenacin del bloque bsico, usando una matriz de 44 y por lo tanto, es un sistema que tiene una descripcin matemtica bastante simple, aunque para la mayora de los comunes mortales, es ms sencillo verlo como operaciones con bytes en una matriz de datos. Los bloques bsicos del AES son:

SubBytes - Una sustitucin no lineal en el estado AES. ShiftRows - Realiza un desplazamiento sobre las filas del estado AES. MixColumn - Mezcla columnas del estado de AES, haciendo cada celda una combinacin de otras celdas. AddRoundKey - Mezcla la clave con el estado AES.

Una codificacin AES consiste en la realizacin de los siguientes pasos sencillos:

1. Ronda Inicial:

AddRoundKey

2. R-1 Rondas:

SubBytes ShiftRows MixColumns AddRoundKey

3. Ronda final

SubBytes ShiftRows AddRoundKey

El proceso de decodificacin sin embargo, es ms complicado que con el DES, en el que simplemente haba que volver a codificar un mensaje ya codificado, usando por supuesto, la misma clave. En el caso del AES, es necesario definir las operaciones inversas para ShiftRows, SubBytes y MixColumns. Hay que sealar, que para la operacin AddRoundKey no se requiere una inversa, puesto que basta con aplicarla otra vez con la misma clave, para obtener su inversa.

SEGURIDAD REAL DEL AES

Se dice que un sistema criptogrfico est roto cuando existe algn ataque ms rpido que una bsqueda exhaustiva (ataque por fuerza bruta), aunque este ataque sea solamente terico, y no sea viable por la cantidad de datos, tiempo, o memoria necesaria. Algunas personas han dicho que el AES est roto por los resultados obtenidos con una clave de 64 bits, que fue llevado a cabo por distributed.net, pero la realidad es que solamente fue un ataque por fuerza bruta de una clave muy pequea de 64 bits, por lo que no lo podemos considerar como una ruptura del AES. De hecho, el AES, a pesar de ser un algoritmo pblico y de uso pblico, est considerado como la NSA (Agencia de Seguridad Nacional de los EEUU) desde el ao 2003, como algoritmo seguro para proteger informacin clasificada de nivel SECRETO usando claves de 128 bits y de ALTO SECRETO, si se usan claves de 192 o 256 bits. No deja de sorprender, teniendo en cuenta el amor-odio del Gobierno de los Estados Unidos con los sistemas de cifrado, que el gran pblico pueda tener acceso a un sistema de cifrado considerado apto por la NSA, para proteger informacin sensible del ms alto nivel, lo que no deja de levantar muchas suspicacias.

LOS ATAQUES POSIBLES

La forma ms asequible de ver si es posible realizar un ataque a un codificador de bloques, es intentar atacarlo mediante la reduccin del nmero de rondas utilizadas en la codificacin. Si recordamos, el AES usa 10 rondas para las claves de 128 bits, 12 rondas para claves de 192 bits, y 14 rondas para claves de 256 bits. Hasta el ao 2005, los mejores ataques conocidos tuvieron xito sobre versiones reducidas a 7 rondas para claves de 128 bits, de 8 rondas para las claves de 192 bits, y de 9 rondas, para las claves de 256 bits. Sin embargo, tambin es cierto que en estos ataques se evidencia una escasa diferencia entre las rondas reales y las de los mejores ataques conocidos, por lo que con una pequea mejora en los ataques, cabra la posibilidad de romper un cifrado que use todas las rondas. Est claro, la mejor vacuna para el problema, sera aumentar el nmero de rondas sin cambiar el algoritmo. Sin embargo, esta solucin tambin tendra un impacto en la eficiencia del algoritmo y sobre todo, en la actualizacin de los sistemas basados en hardware. Hay que sealar, que se conocen algunos ataques exitosos sobre determinadas implementaciones del AES, que se basan en el canal auxiliar, pero estos ataques no atacan al algoritmo en s mismo, sino a una implementacin especfica del mismo, por lo que tampoco son aplicables a la decodifcacin del archivo de Wikeleaks. En esta lnea de investigacin, en el ao 2009, Alex Biryukov y Dmitri Khovratovich, de la Universidad de Luxemburgo, publicaron este interesante artculo, con dos ataques contra el algoritmo de cifrado AES, que mejoran de forma impresionante los resultados anteriores. Biryukov y Khovratovich anunciaron un ataque contra AES de 256 completo, es decir, con sus 14 rondas. El ataque tiene una complejidad computacional de solamente 2^96 operaciones, es decir, romper la seguridad de un AES256/14 sera tan difcil como probar 2^96 claves. No cabe la menor duda de que est fuera del alcance de la mayora de los mortales, pero ver un algoritmo de 256 bits con una fortaleza equivalente a la de uno de solamente 96 bits, no dice mucho a favor del algoritmo. Pero tranquilidad, que esta afirmacin tiene trampa, solamente funciona con determinadas claves podridas, es decir, con una clave de cada 34.000 millones. Habr usado Wikileaks una de esas claves podridas de forma voluntaria o involuntaria?. Sin duda es una buena pregunta, ya que no sabemos exactamente lo que pretende Wikileaks con este archivo, si que no lo abra nadie, o que solamente lo abran los que estn retratados en l, para darles miedo. Sin embargo, el otro ataque de Biryukov y Khovratovich, aunque es menos efectivo que el anterior, funciona con cualquier clave y demuestra otros datos preocupantes sobre el AES. El ataque contra el AES-128/10, tendra una complejidad matemtica de 2^123 datos (claves), 2^176 en tiempo y de 2^152 en memoria, as que aunque curioso, esto no es nada preocupante por el momento. Sin embargo, el ataque contra el AES-256/14 es mucho ms efectivo, ya que solamente se necesitan 2^119 en datos y tiempo y 2^77 en memoria. Dicho de otro modo, el AES-256 tiene la misma fortaleza que un terico AES-119/14, por debajo del AES-123/10 que se obtendra con el ataque a un AES-128/10 y esto, con independencia de la clave que usemos. Es evidente que esto sigue estando fuera del alcance de cmputo de

la mayora de los mortales, pero lo est del alcance de una superpotencia?, sobre todo, si tenemos en cuenta adems, que los autores dicen que pueden mejorar el ataque al AES256/14 a una complejidad de solamente 2^110,5?. Dicho esto, aunque la NSA dijo que el AES-128/10 era seguro para los SECRETOS y el AES-192/12 y el AES-256/14 para los ALTOS SECRETOS, lo cierto es que visto lo anterior, el AES-128/10 es ms seguro que el AES-256/14 en igualdad de condiciones. Pero si lo anterior no nos preocupa demasiado, hay otro interesante artculo, fechado el 19 de agosto de 2009, y firmado por unos reputados Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich, y Adi Shamir. En este articulo comentan algo mucho ms preocupante sobre el AES-256, ya que lograron ataques contra el AES-256/9 con una complejidad matemtica de solamente 2^39 operaciones, contra el AES-256/10 con una complejidad de solamente 2^45 y consideran que el AES-246/11, podra tener una complejidad de solamente 2^70, valores todos ellos, muy por debajo de los logrados por Biryukov Khovratovich. Est claro, no se est hablando del AES-256/14, pero es evidente, que hay un problema y grave con el AES-256, aunque solamente hayan llegado a las 10 rondas y especulado un poco sobre las 11 rondas. De nuevo me pregunto est esto fuera del alcance de la NSA con todos sus medios tcnicos y sus miles de matemticos en plantilla?. Bueno, para ser justos, hay otra trampa en el plantemiento de Shamir y sus amigos, estos ataques no son prcticos con el archivo de Wikileaks, pero solamente desde nuestro lado, ya que el que el que tiene los mensajes en claro (aunque no sepa exactamente los que son). Es decir, el Gobierno de los EEUU, lo tiene complicado, pero no tanto como nosotros, que no tenemos nada para empezar a trabajar. Los ataques anteriores se denominan de claves relacionadas, es decir, que se supone que el criptoanalista dispone de acceso a una serie de textos en claro, que han sido codificados mediante varias claves distintas, las cuales, tienen una relacin especfica entre ellas. Parece demostrado en el caso del AES, que a mayor tamao de la clave, menor es la dificultad para romperla. Algo que puede significar que no se eligi un nmero de rondas adecuado para el tamao de cada clave, puede que por un compromiso entre la seguridad y la velocidad, pero que al final, ha comprometido la seguridad las versiones de AES 192/12 y 256/14. Los dos paper que hemos revisado anteriormente dicen lo mismo con distintas palabras, en este momento, es ms seguro el AES-128/10 que el AES-256/14 y en trminos estrictos lo podemos considerar roto, desde los primeros resultados de Biryukov y Khovratovich, ya que su fortaleza en ciertas condiciones es inferior a la de un ataque por fuerza bruta. Teniendo en cuenta que Bruce Shneier ya recomendaba en su blog el da 30 de julio de 2009, que se usase AES-128/10 en lugar de AES-256/14, es curioso y no menos inquietante, que los responsables de Wikileaks, tan preocupados por la seguridad como estn, hayan decidido proteger su archivo salvavidas con un roto AES-256. Si me hubieran preguntado, si buscase la seguridad absoluta de que el archivo no sera abierto en un tiempo razonable y mi vida fuera en ello, yo no hubiera optado por el AES-

256/14 ni por asomo, que hablando claro, en este momento, lo podemos considerar seguro, aunque menos seguro que el DES que pretende sustituir. "Copyleft 2010 Fernando Acero Martn. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

Conecta o crea cuenta para participar 26882 lecturas

Formatted: Font: (Default) Times New Roman, 12 pt, Font color: Blue

Comentarios
form-e57f49f9c3 comment_control Lista anidada - expandida Fecha - antes los ms antiguos 10 comentarios por pgina
Guardar opciones

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botn para guardar tu eleccin para prximas visitas (slo si eres usuario registrado).
Formatted: Font: (Default) Times New Roman, 12 pt

No tiene porqu ser as

Enviado por Andy el 9 Diciembre 2010 - 6:38pm. Hola Fernando, Me alegro de verte leerte nuevamente por aqu. Dices: con las claves de 128 bits, se usan 10 rondas, 12 rondas con las de 192 bits y 14 rondas, para las claves de 256 bits Hablas del standard. En el caso de AES256 (Rijndael) se utilizan 14 rondas en el standard. Pero en realidad eso no est grabado en piedra. Dichos valores de rondas hacen que el algoritmo vaya lo bastante rpido como para ser prctico.

Sin embargo, nada impide utilizar por ejemplo AES256 con 30, 40, 50 o ms rondas, a expensas de tiempo de procesado, por supuesto. En el caso que nos ocupa, este seor puede tranquilamente haber tardado 1 semana en encriptar el fichero utilizando todas las rondas necesarias, ya que se trata de datos estticos (opuesto a, por ejemplo, paquetes IP de una sesin SSH que hay que encriptar y transmitir). Un saludo, Andy

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

Tocando de oido
Enviado por Shevek el 10 Diciembre 2010 - 5:04pm. Andy, ests tocando de odo. Pero en realidad eso no est grabado en piedra. La especificacin AES S est grabada en piedra, si no, no sera posible intercambiar archivos cifrados entre aplicaciones distintas. Todas tienen que saber a qu atenerse. Sin embargo, nada impide utilizar por ejemplo AES256 con 30, 40, 50 o ms rondas, a expensas de tiempo de procesado, por supuesto. Que no, que no te enteras. Que no se trata de discutir la fortaleza de Rijndael aadiendo o quitando rondas, sino de si Wikileaks hizo bien o mal en cifrar el archivo con AES256, que tiene una especificacin pblica muy bien conocida que no se cambia a capricho; y si se cambia, deja de ser AES. As de fcil. SKS, criptografa de curva elptica de bolsillo http://sks.merseine.nu

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

Cifrados simtricos existiendo los de clave privada+pblica?

Enviado por Pedro Fdez. el 9 Diciembre 2010 - 6:42pm. Saludos y gracias, como siempre Fernando; te explicas como un "libro abierto"... Lo que ms te agradezco es lo enormemente didcticos que resultan tus artculos. A m tampoco me llama demasiado la atencin todo lo que est ocurriendo con estos asuntos sobre filtraciones para las masas o, como se ha dado en llamar por quienes se dedican a la profesin informativa o periodstica: "Mass Leaks", que nos recuerda ese otro, ya acuado en el pasado siglo XX, de "Mass Media". Ahora, como fenmeno socilogico, reconozco que es muy importante e interesante aunque yo no tenga el tiempo necesario para poder dedicrselo con un mnimo de rigor ya que, de otra forma, se quedara todo en un simple cotilleo del que poco conocimiento se podra extraer. El presente comentario era, ms que nada, para expresar un pensamiento que a m me surgi de inmediato al tener constancia de la verdadera existencia del fichero cifrado 'Insurance.aes256' Por qu usar criptografa simtrica si se puede usar la asimtrica u otra ms avanzada que, seguramente, existir? De la misma forma que se puede hacer pblica una simple contrasea o "password" tambin se puede hacer pblica una clave privada cuando fuera necesario... Por ms vueltas que le doy no encuentro justificacin si de un "nivel alto" estamos hablando. Por otra parte, parece estar claro que la eleccin de ese algoritmo concreto (AES) tendr su razn de ser en alguna de las especulaciones ya vertidas en Kriptpolis estos ltimos das. Yo no estoy demasiado al da, pero recuerdo que Bruce Shneier, sin ir ms lejos, puso a disposicin de todos el Twofish o, mejor, el Blowfish que seguramente son incluso ms robustos para un cifrado simtrico. A ver en que para todo esto, como decan antiguamente: Seguro que, al cocer, mengua! Saludos cordiales, Pedro Fernndez -

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

ms seguro
Enviado por anv el 10 Diciembre 2010 - 10:20am. Porque la criptografa simtrica es ms segura. La debilidad de la criptografa simtrica es la necesidad de divulgar la clave para que sea descifrada, pero por lo dems es segura. De hecho, la criptografa asimtrica se basa en un cifrado simtrico hecho con una clave generada al azar. Esa clave se enva por mtodos asimtricos pero el verdadero cifrado es simtrico. Para descifrar un sistema asimtrico hay dos opciones: o atacar al cifrado asimtrico para obtener la clave simtrica, o tratar de atacar directamente el cifrado simtrico. Como bien sabemos, es mucho ms fcil atacar el asimtrico que meterse con la parte simtrica. Alejandro Nestor Vargas http://theflatearthsociety.org/

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

Cifrado simtrico
Enviado por xblasco el 10 Diciembre 2010 - 11:09am. Los algoritmos de clave privada+pblica (asimtricos) tienen un costo computacional muy elevado. Los programas de cifrado de mensajes (GPG, etc.) en realidad aunque haya una clave pblica+privada cifran los mensajes con una clave simtrica generada aleatoriamente. Y usan el par privado+pblico para cifrar la clave simtrica.

Por lo tanto utilizar la clave publica+privada no incrementa la seguridad en un ataque por fuerza bruta a un nico fichero cifrado.

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

Gracias Fernando
Enviado por Gargamel el 9 Diciembre 2010 - 7:10pm. Gracias Fernando. Leerte y conocer cosas ... , explicadas con brevedad y sencillez .... Siempre - o casi - aprendo algo de tus envos Saludos Gargamel ID: 9841AC9E

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

Me uno a las felicitaciones

Enviado por usrdxt el 9 Diciembre 2010 - 8:55pm. por la sencillez y lo didctico del artculo.

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

Hola, Fernando
Enviado por Agustn el 9 Diciembre 2010 - 9:34pm. Me uno a las felicitaciones y agradecimientos. Caramba, entrar en tus artculos o en los Enigmas es como hacerlo en una catedral, resuenan las pisadas y se te encoge el espritu. Bueno, pues para completar tu magnfica exposicin, pongo un enlace que nos proporcion inedit00 en otro foro, por si alguien no lo ha visto, donde se visualiza claramente el algoritmo. http://www.formaestudio.com/rijndaelinspector/archivos/rijndaelanimation... Que conste que a m el Rijndael cada vez me gusta menos. (REEDICIN) P.S. No es imposible que INSURANCE est cifrado de cualquier otra forma, aparte de AES. Al fin y al cabo, uno puede ponerle a un fichero la extensin que ms le agrade. El que el fichero empiece por "SALTED_" puede significar algo o no. Tambin puede ser un postizo.

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

He encontrado esto tan curioso...

Enviado por Fernando Acero el 16 Diciembre 2010 - 9:43pm. Hola Agustn: He encontrado esto tan curioso sobre el cifrado del INSURANCE, al parecer, no est cifrado con AES Crypt, tal como afirmaba Assange y est cifrado con OpenSSL. http://www.securitybydefault.com/2010/12/como-se-descifraria-el-fichero-...

Un saludo, Fernando Acero "Copyleft 2011 Fernando Acero Martn. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved". Quotation is allowed.

Conecta o crea cuenta para participar

Formatted: Font: (Default) Times New Roman, 12 pt

Perdona el retraso
Enviado por Agustn el 16 Diciembre 2010 - 10:06pm. en contestarte, Fernando. S que es curioso. Y an ms curioso resulta que Assange no se haya molestado en cambiar la cabecera, porque no le hubiera costado nada modificar/aadir unos cuantos bytes, para que pareciera que realmente estaba cifrado con AES Crypt, o con el mtodo de Perico de los Palotes. Bastaba con que junto con la clave hubiera unas instrucciones para restaurar la cabecera original. Eso es lo que yo hubiera hecho para despistar ms a los atacantes, si el objetivo era dificultar el descifrado. Claro que yo no soy Assange, y no conozco sus objetivos. Otro misterio ms que aadir a la lista. Un saludo.

Conecta o crea cuenta para participar

1 2 3 siguiente final

Patrocinadores

Kriptpolis alojado en:

Cmo patrocinar CC Kriptopolis 1996 - 2011