[HACK] Cripto practica I

Fri Mar 1 00:18:40 CET 2002

(es  una  introduccion muy general a la criptografia. no se si sera de
interes para vuestro nivel pero ahi va..)

15:41 08/01/02

BUENOS TIEMPOS PARA EL CIFRADO

Mercè Molist
"El  genio  del  conocimiento  criptológico está fuera de la botella",
asegura  el  científico  Tom  Berson  en un reciente artículo titulado
"Abundancia  criptográfica".  La explosión del negocio de la seguridad
informática arrastra al cifrado, que empieza a estar por todas partes,
aunque  se  vea  en  pocas.  Pura matemática, es vital para esconder y
autenticar  textos,  comunicaciones,  identidades...  Algo  que  le ha
valido ser arma por excelencia de la privacidad.

La  criptología  fue  un arte militar hasta la segunda mitad del siglo
XX.  Entonces, se expandió a la universidad y de allí a la sociedad de
la  información. Aunque los gobiernos fueron en principio reticentes a
dejar  circular  criptografía fuerte, hoy las normas se han relajado y
crece su implantación. Como declaraba Moti Young, vicepresidente de la
empresa  CertCo,  después  del  11S:  "Quizás  los  terroristas usaron
criptografía,  como  usaron  cuchillos  de  plástico,  pero esta misma
criptografía   podría  haber  servido  para  evitar  el  desastre,  no
permitiendo  que cogieran el avión, o para recibir una señal del avión
secuestrado y hacerlo volver a casa..".

Juego  de muchos usos, el cifrado crece con la necesidad de privacidad
electrónica,  para evitar espionajes, usurpaciones de identidad, robos
de  información  médica o financiera, fraudes en pagos... "Es un campo
que  avanza  a pasos agigantados. Me atrevería a decir que el de mayor
auge en la informática y telemática", explica Jorge Ramió, profesor de
seguridad  de  la  Universidad  Politécnica  de  Madrid.  No hay datos
globales  sobre  el  negocio, que en España cuenta con poca producción
propia  y  muy  centrada  en "hardware" criptográfico y firma digital.
Pero en la universidad aumentan, ininterrumpidamente desde mediados de
los 90, los estudiantes de esta disciplina.

El  científico  del  Xerox Palo Alto Research Center, Tom Berson, nota
una  brecha  entre el cada vez mayor interés popular y el poco caso de
las  empresas:  "Un  problema  importante  es  que  los  intereses  de
privacidad   de  los  consumidores  no  coinciden  con  los  intereses
económicos de las compañías que proveen sistemas de información. Estas
empresas  no  tienen ningún incentivo para proteger los datos privados
de sus clientes. De hecho, su verdadero incentivo es coger cuantos más
datos mejor. Pero, en el futuro, toda nuestra información privada será
protegida  por  cifrado,  sin  importar  cómo  es generada, guardada o
transmitida".

Contra la vigilancia 
La  necesidad de criptografía crece también con la globalización de la
vigilancia  electrónica  gubernamental.  Carnivore,  el  sistema espía
utilizado  por  el FBI, que puede monitorizar toda la vida 'online' de
una  persona, está instalado desde principios del 2000 en cada vez más
proveedores norteamericanos. Algo que preocupa a nivel mundial, ya que
la mayoría de tráfico de Internet pasa por estas empresas.

Según  un  estudio de los proveedores holandeses, si sigue el ritmo de
demandas  policiales,  en  el  2004  habrá 300.000 internautas con las
comunicaciones intervenidas en Holanda. En Alemania, el gobierno acaba
de  aprobar  una  ley  que  obliga a compañías de telefonía, incluidos
"carriers"  de Internet, a instalar equipos para el ciberespionaje. En
Gran  Bretaña  y  bajo  la  Regulation of Investigatory Powers Act, la
policía puede obtener datos electrónicos sin orden judicial.

La  criptografía  evita  esta  vigilancia. Existen programas gratuitos
para cifrar y descifrar lo que se quiera, sea la navegación, el correo
electrónico,  los  mensajes  instantáneos... Anonymizer es un conocido
servicio  para  acceder a páginas web anónimamente, con la posibilidad
de  cifrar  las direcciones URL o crear túneles seguros con los sitios
visitados, usando Secure Shell (SSH), un protocolo (programa que marca
cómo  debe  funcionar  un  servicio)  de  comunicación  cifrada  entre
máquinas.  Para el correo electrónico, Pretty Good Privacy (PGP) es la
herramienta  más popular: cifra el mensaje y autentica su integridad y
remitente.

El  autor  de  PGP,  Phil  Zimmermann, asegura que lo diseñó, en 1991,
"para aplicaciones de derechos humanos y para proteger la privacidad y
las  libertades  civiles  en  la  era  de  la información". Zimmermann
promociona  ahora  Hushmail,  un  servicio  de correo cifrado por web,
mientras  PGP es sospechoso de tener puertas traseras y abandonado por
la  empresa  que  lo  adquirió, Network Associates. Buena parte de los
expertos en criptología se han pasado a otro programa para proteger su
correo, GNU Privacy Guard (GnuPG), de código libre.

Criptocomercio
Las  empresas  de  productos  digitales utilizan también criptografía,
para  proteger  de  la  copia  programas, videojuegos, fotos, música o
películas.  "Algunas,  como  Canal + o DVD, cifran los contenidos y el
cliente  compra la clave, pero deben fiarse de que nadie manipulará el
dispositivo.  Otra  opción, a veces complementaria, son las "marcas de
agua",   que   no   impiden   la  copia  pero  sí  dejan  unas  marcas
imperceptibles,  cifradas,  que  pueden  tener  información  sobre  el
vendedor, el comprador o cuantas veces se puede copiar", explica Josep
Domingo-Ferrer,  subdirector  de  la  ETSE  de la Universitat Rovira i
Virgili.

El  problema es que se usan algoritmos débiles y cada vez aparecen más
sistemas  violados.  La industria, de momento, prefiere recurrir a los
tribunales que a una criptografía más fuerte. Donde sí se ha dado este
paso  ha  sido en el comercio electrónico, para el que son vitales las
comunicaciones  seguras.  El protocolo de cifrado Secure Sockets Layer
(SSL)  es el más usado en las compras por Internet. Otro protocolo con
éxito  es  IPsec,  que permite la creación de Redes Privadas Virtuales
(VPNs):  "Hace  que  dos máquinas se pongan de acuerdo automáticamente
para  pasarse  información  cifrada,  sea  un mensaje, un acceso a una
página...  Hoy  por  hoy, las aplicaciones comerciales más importantes
son SSL y VPN", afirma José Luis Martín Mas, experto en seguridad.

Ambos   protocolos   suelen   utilizar   componentes  del  sistema  de
Infraestructura  de  Clave  Pública  (PKI),  un  área  prometedora  en
seguridad  electrónica. "SSL, por ejemplo, utiliza una clave, generada
por  una  PKI,  para que los ordenadores que se conectan comprueben su
identidad",   alecciona   el   experto.  La  infraestructura  PKI  usa
criptografía  para generar claves, certificados y firmas digitales que
autentican   a   personas,  máquinas  y  otros,  antes  de  establecer
comunicación  segura  con ellos. "Una vez despegue, será la joya de la
corona  ya  que  puedes introducirla en el resto de aplicaciones: SSL,
VPN, correo cifrado..", asegura Martín Mas.

Quien es quien
Empresas  y  gobiernos  tienen  los ojos puestos en la infraestructura
PKI,  también  llamada de Firma Digital. Su base son los certificados,
documentos  electrónicos  donde una autoridad -un banco, un estado, un
supermercado-  da  fe de que su poseedor es quien dice ser y suyas son
las claves de cifrado que usará para la comunicación, cumpliéndose las
premisas  de  autenticación, confidencialidad, integridad y no repudio
de  la  información.  Los  certificados con que se compra por Internet
vienen  preinstalados en los navegadores y se activan al contactar con
un "servidor seguro" que tiene un certificado de la misma "marca".

Los  gobiernos  son  grandes  impulsores  de  la PKI, con interesantes
aplicaciones  como  la  declaración  de  la renta en línea, que el año
pasado  hicieron  más de 26.000 personas, o el futuro DNI electrónico,
una  tarjeta  inteligente  que  guarda en su chip el certificado y las
claves criptográficas del ciudadano o ciudadana. En este caso, como en
el del notariado o los bancos, que trabajan en un certificado estándar
para   interoperar   con   empresas,   el   usuario  debe  solicitarlo
expresamente  y  demostrar  su  identidad.  Es  lo  que se llama Firma
Digital Avanzada.

En  la  Universidad de Málaga imaginan usos futuristas, como el exámen
seguro a través de Internet, uno de los proyectos de fin de carrera de
la Escuela Superior de Ingeniería Informática: "Mientras el examinador
se  encuentre  en una habitación, las personas que van a ser evaluadas
pueden  estar  dispersas en distintas aulas y sitios geográficos, sólo
con  una  persona  encargada de vigilarlos", explica su autor, Mariano
Jesús  Pérez  García.  Los certificados se usan aquí para autenticar a
los  alumnos  y  los  exámenes viajan cifrados, así como las preguntas
particulares que se hagan al examinador.

Este  campo,  llamado  criptografía  a  nivel de aplicación, "tiene un
enorme  potencial  de  crecimiento",  según  Andreu  Riera,  CEO de la
empresa  SCYTL.  La  votación  y  el  juego  seguros son sus productos
estrella.  En  la  votación, los certificados prueban la identidad del
votante,  mientras  la  criptografía  asegura su anonimato y que nadie
pueda espiar ni manipular el voto. En el juego electrónico, aparece un
nuevo  nivel  de dificultad: el dinero, en un escenario donde nadie ve
al  resto  de  jugadores  ni empleados del casino, sin fichas físicas,
garantizando el pago seguro y, por supuesto, el juego limpio.

La  criptología  goza  de  un  dulce futuro que describe Andreu Riera:
"Creo firmemente en el "pervasive computing" (informática envolvente),
en un futuro más próximo de lo que la gente imagina. Como consecuencia
directa,  allí  tendremos  "pervasive  cryptography". La evolución del
sustrato  de  comunicación  hacia  los entornos inalámbricos, junto al
predominio  de  redes  abiertas  frente  a  sus  antecesoras cerradas,
combinado  con  el  crecimiento de la sensibilidad y la importancia de
las  transacciones  que  se  realicen  digitalmente,  lleva  de  forma
inevitable a la necesidad del uso de la criptografía".

Herramientas para la privacidad
http://www.epic.org/privacy/tools.html
StopCarnivore
http://www.stopcarnivore.org
Anonymizer
http://www.anonymizer.com
PGP
http://www.pgpi.org
Hushmail
http://www.hushmail.com
GnuPG
http://www.gnupg.org/es
DNI electrónico
http://www.cert.fnmt.es
Exámenes seguros
http://www.criptored.upm.es/investigacion/examenes_seguros.htm
CriptoRed
http://www.criptored.upm.es
Sctyl
http://www.scytl.com
CriptoLab
http://tirnanog.ls.fi.upm.es
CryptoRights Foundation
http://www.cryptorights.org/
MundoCripto
http://MundoCripto.come.to
CriptoZona
http://www.dat.etsit.upm.es/~mmonjas/cripto
Kriptópolis
http://www.kriptopolis.com
Criptonomicón
http://www.iec.csic.es/criptonomicon
Seguridad en la red
http://seguridad.internautas.org/criptografia.php
Introduction to Cryptography
http://www.ssh.fi/tech/crypto/intro.html
Cryptography FAQ
http://www.faqs.org/faqs/cryptography-faq