lunes, 7 de octubre de 2013

El gobierno americano quiere que volvamos a confiar en los estándares de cifrado


Por mucho que la NIST (National Institute of Standards and Technology) quiera convencernos de que no creó sistemas de cifrado debilitados con el fin de que fueran fáciles de romper para la NSA, lo cierto es que parece bastante claro que se introdujeron puertas traseras en los algoritmos que sustentan la privacidad y la seguridad en Internet. El problema es que estos estándares de cifrado acaban formando parte de los estándares internacionales a través de ISO (International Organization for Standardization), de la que forman parte 163 países, entre ellos el nuestro.
A raíz de las filtraciones de Snowden, acabamos enterándonos (siempre según él) que en 2006 se certificó el estándar Dual EC DRBG 800-90, que es la especificación para un generador de números aleatorios determinista necesario para la implementación de cifrados de flujo, como los usados en las conexiones HTTPS en Internet o en las comunicaciones móviles, y que dicha especificación tenía una puerta trasera para la NSA.
Los cierto es que la comunidad criptográfica no ve con buenos ojos esta relación tan estrecha entre NIST y NSA. Desde luego, tiene sentido que exista una buena colaboración dada la experiencia y el conocimiento de la NSA sobre Criptografía, pero parece que esta última ha aprovechado la relación de confianza para introducir su caballo de Troya.
Por ello, NIST ha empezado a hacer movimientos para limpiar su imagen y tratar de recuperar la confianza perdida. Uno de los primeros movimientos ha sido abrir a consulta pública la publicación especial 800-90A nombrada anteriormente y los borradores de las publicaciones 800-90B y 800-90C que también usan el mismo generador de números aleatorios. Esto significa que la comunidad criptográfica podrá estudiar y dar el visto bueno a las especificaciones.
La agencia ha declarado que "si se encuentra alguna vulnerabilidad en este o en cualquier otro estándar de NIST, trabajaremos con la comunidad criptográfica para solucionarlo lo más rápidamente posible".
En definitiva, parece un buen paso en una buena dirección. Es vital recuperar la confianza en los estándares criptográficos. Que se reabran estos estándares para una revisión pública es algo objetivamente positivo, más allá de teorías conspiranoicas.