Documentos de Académico
Documentos de Profesional
Documentos de Cultura
search_theme_fo
Enlaces principales
Kriptpolis o Contacto o Consultas o Mapa del sitio o Novedades o Opinin o Publicidad o Sugerencias o Twitter o Trminos de uso o About Criptografa o Enigma o Criptoanlisis o Curso Bsico o Desafos o Kriptojuegos o TrueCrypt Foro TrueCrypt o Foro de Criptografa Privacidad o Anonimato o Espionaje o RFID Seguridad o Consejos bsicos PC o Contraseas o Cortafuegos iptables
o o o o o
IP Cop
Foro IPcop SmoothWall Foro SmoothWall Artculos
Foros Robo y fraude Software Libre Vulnerabilidades Windows Foro o Wireless Foro Y Ms... o DNI Electrnico Foro o Voto electrnico o Virtualizacin Foro o Documentos Librera o Cacharreo o Conspiranoia o Chapuzas o Inclasificable o Leyes y tribunales o Opiniones o Propiedad intelectual o Sociedad Civil o Spam
Criptografia
Por Fernando Acero Desde hace tiempo, estoy recibiendo correos de gente que me pregunta sobre la posibilidad de decodificar el archivo INSURANCE de Wikileaks, que presuntamente (el nombre lo pone) est codificado usando el algoritmo AES256. Al margen de las discusiones morales, prcticas y ticas, derivadas de decodificar a las bravas un archivo que presuntamente sirve para salvar la vida de alguien, nos podemos centrar en el estudio de la parte tcnica de este
asunto de la decodificacin del AES, que todo hay que decirlo, es un asunto que me interesa mucho ms... De todos modos, alguien se imagina lo que me pasara si yo dijera en este momento: Seores, durante una noche de insomnio y usando mi batera de tarjetas NVIDIA, he logrado decodificar el archivo INSURANCE de Wikileaks?. Puede que en la puerta de mi casa encontrase tantos agentes secretos vigilando mis movimientos y tanta gente atacando mis sistemas informticos, como periodistas en la final del mundial de ftbol y eso no me apetece en absoluto y a ustedes?.
El ALGORITMO AES
El algoritmo AES (Advanced Encryption Satandard), tambin conocido como Rijndael, es un sistema de cifrado por bloques simtrico, pensado para sustituir al obsoleto DES y optimizado para las transmisiones seguras de mensajes a travs de las redes de telecomunicaciones. AES es muy rpido, tanto en las implementaciones de software, como en las de hardware y adems de ser relativamente fcil de implementar, requiere poca memoria para realizar los clculos. Como nuevo estndar de cifrado, se est utilizando a gran escala por todo el mundo, lo que le parece muy interesante a los amigos de asuntos conspiratorios. El AES/Rijdael, fue desarrollado por dos criptlogos Belgas, llamados Daemen y Rijmen, cuando eran estudiantes de la Universidad Catlica de Leuven. La principal diferencia entre el AES y el DES al que sustituye, es que el AES usa una red de sustitucin-permutacin (serie de sustituciones y permutaciones, que se suceden unas a otras sobre una matriz), en lugar de una red de Feistel. El AES utiliza un bloque de tamao fijo de 128 bits (originalmente poda usar bloques de varios tamaos) y las claves pueden ser de 128, 192 y 256 bits. Al igual que el DES, el procedimiento de codificacin se basa en una operacin bsica llamada "ronda", que se repite un nmero fijo de de veces dependiendo del tamao de la clave. As, con las claves de 128 bits, se usan 10 rondas, 12 rondas con las de 192 bits y 14 rondas, para las claves de 256 bits. AES trabaja sobre una estructura conocida como el "estado AES", que es simplemente una reordenacin del bloque bsico, usando una matriz de 44 y por lo tanto, es un sistema que tiene una descripcin matemtica bastante simple, aunque para la mayora de los comunes mortales, es ms sencillo verlo como operaciones con bytes en una matriz de datos. Los bloques bsicos del AES son:
SubBytes - Una sustitucin no lineal en el estado AES. ShiftRows - Realiza un desplazamiento sobre las filas del estado AES. MixColumn - Mezcla columnas del estado de AES, haciendo cada celda una combinacin de otras celdas. AddRoundKey - Mezcla la clave con el estado AES.
1. Ronda Inicial:
AddRoundKey
2. R-1 Rondas:
3. Ronda final
El proceso de decodificacin sin embargo, es ms complicado que con el DES, en el que simplemente haba que volver a codificar un mensaje ya codificado, usando por supuesto, la misma clave. En el caso del AES, es necesario definir las operaciones inversas para ShiftRows, SubBytes y MixColumns. Hay que sealar, que para la operacin AddRoundKey no se requiere una inversa, puesto que basta con aplicarla otra vez con la misma clave, para obtener su inversa.
la mayora de los mortales, pero lo est del alcance de una superpotencia?, sobre todo, si tenemos en cuenta adems, que los autores dicen que pueden mejorar el ataque al AES256/14 a una complejidad de solamente 2^110,5?. Dicho esto, aunque la NSA dijo que el AES-128/10 era seguro para los SECRETOS y el AES-192/12 y el AES-256/14 para los ALTOS SECRETOS, lo cierto es que visto lo anterior, el AES-128/10 es ms seguro que el AES-256/14 en igualdad de condiciones. Pero si lo anterior no nos preocupa demasiado, hay otro interesante artculo, fechado el 19 de agosto de 2009, y firmado por unos reputados Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich, y Adi Shamir. En este articulo comentan algo mucho ms preocupante sobre el AES-256, ya que lograron ataques contra el AES-256/9 con una complejidad matemtica de solamente 2^39 operaciones, contra el AES-256/10 con una complejidad de solamente 2^45 y consideran que el AES-246/11, podra tener una complejidad de solamente 2^70, valores todos ellos, muy por debajo de los logrados por Biryukov Khovratovich. Est claro, no se est hablando del AES-256/14, pero es evidente, que hay un problema y grave con el AES-256, aunque solamente hayan llegado a las 10 rondas y especulado un poco sobre las 11 rondas. De nuevo me pregunto est esto fuera del alcance de la NSA con todos sus medios tcnicos y sus miles de matemticos en plantilla?. Bueno, para ser justos, hay otra trampa en el plantemiento de Shamir y sus amigos, estos ataques no son prcticos con el archivo de Wikileaks, pero solamente desde nuestro lado, ya que el que el que tiene los mensajes en claro (aunque no sepa exactamente los que son). Es decir, el Gobierno de los EEUU, lo tiene complicado, pero no tanto como nosotros, que no tenemos nada para empezar a trabajar. Los ataques anteriores se denominan de claves relacionadas, es decir, que se supone que el criptoanalista dispone de acceso a una serie de textos en claro, que han sido codificados mediante varias claves distintas, las cuales, tienen una relacin especfica entre ellas. Parece demostrado en el caso del AES, que a mayor tamao de la clave, menor es la dificultad para romperla. Algo que puede significar que no se eligi un nmero de rondas adecuado para el tamao de cada clave, puede que por un compromiso entre la seguridad y la velocidad, pero que al final, ha comprometido la seguridad las versiones de AES 192/12 y 256/14. Los dos paper que hemos revisado anteriormente dicen lo mismo con distintas palabras, en este momento, es ms seguro el AES-128/10 que el AES-256/14 y en trminos estrictos lo podemos considerar roto, desde los primeros resultados de Biryukov y Khovratovich, ya que su fortaleza en ciertas condiciones es inferior a la de un ataque por fuerza bruta. Teniendo en cuenta que Bruce Shneier ya recomendaba en su blog el da 30 de julio de 2009, que se usase AES-128/10 en lugar de AES-256/14, es curioso y no menos inquietante, que los responsables de Wikileaks, tan preocupados por la seguridad como estn, hayan decidido proteger su archivo salvavidas con un roto AES-256. Si me hubieran preguntado, si buscase la seguridad absoluta de que el archivo no sera abierto en un tiempo razonable y mi vida fuera en ello, yo no hubiera optado por el AES-
256/14 ni por asomo, que hablando claro, en este momento, lo podemos considerar seguro, aunque menos seguro que el DES que pretende sustituir. "Copyleft 2010 Fernando Acero Martn. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."
Comentarios
form-e57f49f9c3 comment_control Lista anidada - expandida Fecha - antes los ms antiguos 10 comentarios por pgina
Guardar opciones
Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botn para guardar tu eleccin para prximas visitas (slo si eres usuario registrado).
Formatted: Font: (Default) Times New Roman, 12 pt
Sin embargo, nada impide utilizar por ejemplo AES256 con 30, 40, 50 o ms rondas, a expensas de tiempo de procesado, por supuesto. En el caso que nos ocupa, este seor puede tranquilamente haber tardado 1 semana en encriptar el fichero utilizando todas las rondas necesarias, ya que se trata de datos estticos (opuesto a, por ejemplo, paquetes IP de una sesin SSH que hay que encriptar y transmitir). Un saludo, Andy
Tocando de oido
Enviado por Shevek el 10 Diciembre 2010 - 5:04pm. Andy, ests tocando de odo. Pero en realidad eso no est grabado en piedra. La especificacin AES S est grabada en piedra, si no, no sera posible intercambiar archivos cifrados entre aplicaciones distintas. Todas tienen que saber a qu atenerse. Sin embargo, nada impide utilizar por ejemplo AES256 con 30, 40, 50 o ms rondas, a expensas de tiempo de procesado, por supuesto. Que no, que no te enteras. Que no se trata de discutir la fortaleza de Rijndael aadiendo o quitando rondas, sino de si Wikileaks hizo bien o mal en cifrar el archivo con AES256, que tiene una especificacin pblica muy bien conocida que no se cambia a capricho; y si se cambia, deja de ser AES. As de fcil. SKS, criptografa de curva elptica de bolsillo http://sks.merseine.nu
ms seguro
Enviado por anv el 10 Diciembre 2010 - 10:20am. Porque la criptografa simtrica es ms segura. La debilidad de la criptografa simtrica es la necesidad de divulgar la clave para que sea descifrada, pero por lo dems es segura. De hecho, la criptografa asimtrica se basa en un cifrado simtrico hecho con una clave generada al azar. Esa clave se enva por mtodos asimtricos pero el verdadero cifrado es simtrico. Para descifrar un sistema asimtrico hay dos opciones: o atacar al cifrado asimtrico para obtener la clave simtrica, o tratar de atacar directamente el cifrado simtrico. Como bien sabemos, es mucho ms fcil atacar el asimtrico que meterse con la parte simtrica. Alejandro Nestor Vargas http://theflatearthsociety.org/
Cifrado simtrico
Enviado por xblasco el 10 Diciembre 2010 - 11:09am. Los algoritmos de clave privada+pblica (asimtricos) tienen un costo computacional muy elevado. Los programas de cifrado de mensajes (GPG, etc.) en realidad aunque haya una clave pblica+privada cifran los mensajes con una clave simtrica generada aleatoriamente. Y usan el par privado+pblico para cifrar la clave simtrica.
Por lo tanto utilizar la clave publica+privada no incrementa la seguridad en un ataque por fuerza bruta a un nico fichero cifrado.
Gracias Fernando
Enviado por Gargamel el 9 Diciembre 2010 - 7:10pm. Gracias Fernando. Leerte y conocer cosas ... , explicadas con brevedad y sencillez .... Siempre - o casi - aprendo algo de tus envos Saludos Gargamel ID: 9841AC9E
Hola, Fernando
Enviado por Agustn el 9 Diciembre 2010 - 9:34pm. Me uno a las felicitaciones y agradecimientos. Caramba, entrar en tus artculos o en los Enigmas es como hacerlo en una catedral, resuenan las pisadas y se te encoge el espritu. Bueno, pues para completar tu magnfica exposicin, pongo un enlace que nos proporcion inedit00 en otro foro, por si alguien no lo ha visto, donde se visualiza claramente el algoritmo. http://www.formaestudio.com/rijndaelinspector/archivos/rijndaelanimation... Que conste que a m el Rijndael cada vez me gusta menos. (REEDICIN) P.S. No es imposible que INSURANCE est cifrado de cualquier otra forma, aparte de AES. Al fin y al cabo, uno puede ponerle a un fichero la extensin que ms le agrade. El que el fichero empiece por "SALTED_" puede significar algo o no. Tambin puede ser un postizo.
Un saludo, Fernando Acero "Copyleft 2011 Fernando Acero Martn. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved". Quotation is allowed.
Perdona el retraso
Enviado por Agustn el 16 Diciembre 2010 - 10:06pm. en contestarte, Fernando. S que es curioso. Y an ms curioso resulta que Assange no se haya molestado en cambiar la cabecera, porque no le hubiera costado nada modificar/aadir unos cuantos bytes, para que pareciera que realmente estaba cifrado con AES Crypt, o con el mtodo de Perico de los Palotes. Bastaba con que junto con la clave hubiera unas instrucciones para restaurar la cabecera original. Eso es lo que yo hubiera hecho para despistar ms a los atacantes, si el objetivo era dificultar el descifrado. Claro que yo no soy Assange, y no conozco sus objetivos. Otro misterio ms que aadir a la lista. Un saludo.
1 2 3 siguiente final
Patrocinadores