Ir al contenido principal

El gobierno americano quiere que volvamos a confiar en los estándares de cifrado


Por mucho que la NIST (National Institute of Standards and Technology) quiera convencernos de que no creó sistemas de cifrado debilitados con el fin de que fueran fáciles de romper para la NSA, lo cierto es que parece bastante claro que se introdujeron puertas traseras en los algoritmos que sustentan la privacidad y la seguridad en Internet. El problema es que estos estándares de cifrado acaban formando parte de los estándares internacionales a través de ISO (International Organization for Standardization), de la que forman parte 163 países, entre ellos el nuestro.
A raíz de las filtraciones de Snowden, acabamos enterándonos (siempre según él) que en 2006 se certificó el estándar Dual EC DRBG 800-90, que es la especificación para un generador de números aleatorios determinista necesario para la implementación de cifrados de flujo, como los usados en las conexiones HTTPS en Internet o en las comunicaciones móviles, y que dicha especificación tenía una puerta trasera para la NSA.
Los cierto es que la comunidad criptográfica no ve con buenos ojos esta relación tan estrecha entre NIST y NSA. Desde luego, tiene sentido que exista una buena colaboración dada la experiencia y el conocimiento de la NSA sobre Criptografía, pero parece que esta última ha aprovechado la relación de confianza para introducir su caballo de Troya.
Por ello, NIST ha empezado a hacer movimientos para limpiar su imagen y tratar de recuperar la confianza perdida. Uno de los primeros movimientos ha sido abrir a consulta pública la publicación especial 800-90A nombrada anteriormente y los borradores de las publicaciones 800-90B y 800-90C que también usan el mismo generador de números aleatorios. Esto significa que la comunidad criptográfica podrá estudiar y dar el visto bueno a las especificaciones.
La agencia ha declarado que "si se encuentra alguna vulnerabilidad en este o en cualquier otro estándar de NIST, trabajaremos con la comunidad criptográfica para solucionarlo lo más rápidamente posible".
En definitiva, parece un buen paso en una buena dirección. Es vital recuperar la confianza en los estándares criptográficos. Que se reabran estos estándares para una revisión pública es algo objetivamente positivo, más allá de teorías conspiranoicas.

Comentarios

Entradas populares de este blog

Criptografía en Python con PyCrypto

A la hora de cifrar información con Python, tenemos algunas opciones, pero una de las más fiables es la librería criptográfica PyCrypto, que soporta funciones para cifrado por bloques, cifrado por flujo y cálculo de hash. Además incorpora sus propios generadores de números aleatorios. Seguidamente os presento algunas de sus características y también como se usa.


Desbordamiento de enteros (Integer Overflow)

Ya os he hablado en este blog de posibles problemas potenciales que se pueden dar en los programas y que son susceptibles de ser explotados para hacer que dichos programas se comporten de forma diferente a la que deberían. Uno de estos problemas es el del desbordamiento de la pila. Sin embargo, hay otros posibles errores de programación que, aunque menos obvios, son igual de peligrosos. Uno de ellos es el desbordamiento de enteros o integer overflow. Para entender cómo funciona os presento un ejemplo muy sencillo pero didáctico.

Creando firmas de virus para ClamAV

ClamAv es un antivirus opensource y multiplataforma creado por Tomasz Kojm muy utilizado en los servidores de correo Linux. Este antivirus es desarrollado por la comunidad, y su utilidad práctica depende de que su base de datos de firmas sea lo suficientemente grande y actualizado. Para ello es necesario que voluntarios contribuyan activamente aportando firmas.
El presente artículo pretende describir de manera sencilla cómo crear firmas de virus para ClamAV y contribuir con ellas a la comunidad.