viernes, 19 de marzo de 2010

La seguridad de GSM se tambalea



Grandes compañías y gobiernos en todo el mundo se empeñan en perseguir la seguridad a través de la oscuridad: consideran que ocultando los detalles de cómo funcionan sus algoritmos criptográficos conseguirán aumentar la seguridad global de sus sistemas. Nada más lejos de la realidad. En estas situaciones, lo que inevitablemente ocurre es que el desarrollo de los algoritmos de protección de la confidencialidad se deja en manos de un equipo de ingenieros y técnicos que lo llevan a cabo de la mejor manera que saben y que, sin duda alguna, superan con éxito los ataques convencionales, ofreciendo una seguridad satisfactoria a primera vista.
Sin embargo, para contar con mayores garantías de que un algoritmo o protocolo es seguro, no basta con que sea revisado por un equipo de seguridad a sueldo. Es absolutamente imprescindible que se publique en revistas científicas, siendo accesible a todo aquel interesado en estudiar su robustez. Sólo así, sometiéndose al público escrutinio de la comunidad académica, se puede reunir un equipo de investigación de cientos o miles de expertos que trabajarán durante meses o años en la búsqueda de fallos y vulnerabilidades (considérese el caso de DES, sobre el que se lleva más de veinte años publicando artículos). Ninguna gran empresa ni gobierno puede permitirse una fuerza humana de semejantes dimensiones. Sólo los algoritmos de dominio público que superan durante años el análisis e indagación de profesionales de la criptografía se pueden considerar "seguros", en la medida en que no se conoce ningún medio de atacarlos (lo cual no significa que no existan, sino simplemente que en el estado actual de evolución de las matemáticas, la informática y la teoría de números no se conocen vías de ataque eficaces).
Microsoft ha protagonizado recientemente varios ejemplos patéticos de sistemas de seguridad irrisoria desarrollados por la propia empresa, dando la espalda a algoritmos y protocolos de dominio público ampliamente extendidos y probados. En consecuencia, algunos de sus productos, aparentemente seguros porque nadie conoce sus mecanismos internos, basan su seguridad en unos algoritmos criptográficos endebles o incluso triviales de resolver, como ha sido el caso, casi humorístico, de la protección de las contraseñas en máquinas con Windows CE, que utilizaban como algoritmo criptográfico una suma exclusiva XOR de los caracteres de la contraseña con la palabra Pegasus (nombre de la primera generación de sistemas operativos Windows CE). El caso de las debilidades de PPTP, protocolo de "tunelado" punto a punto se para asegurar las conexiones sobre enlaces TCP/IP, reseñadas por el famoso criptógrafo Bruce Schneier, ilustra nuevamente que el secretismo sólo sirve para retrasar lo inevitable: el ataque con éxito a un sistema que no ha sido públicamente estudiado, sino obcecadamente mantenido en secreto.
Por su parte, el estándar de telefonía móvil digital GSM tradicionalmente ha basado su seguridad en la fórmula oscurantista: ocultar los algoritmos y difundir mentiras para crear en los usuarios la sensación de privacidad y confidencialidad. Durante años se han mantenido en secreto sus algoritmos: A3, para autenticación de usuarios ante la red; A8, para derivación de claves de sesión; y A5, para cifrar el contenido de la conversación extremo a extremo. Estos nombres no son más que etiquetas para denominar a los algoritmos, cuya elección e implantación detallada queda al libre albedrío de cada operador en el caso de los dos primeros. Sin embargo, al suministrarse en el estándar un algoritmo de referencia, el COMP128, y recomendarse la adopción del mismo algoritmo para facilitar operaciones como el "roaming", resulta dudoso que existan muchas redes GSM que hayan desarrollado los suyos propios.
A lo largo de los últimos años han ido saliendo a la luz una serie de datos, negados sistemáticamente por las operadoras y organismos encargados del desarrollo de GSM, que han puesto de manifiesto el engaño y manipulación a que se encontraban sometidos los clientes.
Uno de los más controvertidos fue la constatación de que en las claves del algoritmo A5, utilizado para cifrar las conversaciones y preservar así su confidencialidad, teóricamente de 64 bits de longitud, en realidad sólo se utilizan 54, reduciendo por tanto 1024 veces el tiempo necesario para realizar un ataque de fuerza bruta sobre él. Este debilitamiento deliberado se conjetura pueda deberse al afán orwelliano de los gobiernos por espiar a sus ciudadanos, tarea drásticamente facilitada por esta reducción aparentemente intencionada en la seguridad de GSM.
Más aún, sin necesidad de limitar el espacio de claves, poco a poco se fue filtrando información acerca de los algoritmos concretos utilizados en A3 y A8, que resultaron ser variantes de COMP128, que posee importantes debilidades y fallos de diseño, como revelaron los estudios posteriores realizados por un grupo de criptógrafos.
La publicación en mayo de 1998 de un artículo acerca de la posibilidad de clonar tarjetas SIM (que identifican al usuario ante la red, hecho fundamental para saber a quién cobrar la factura de la llamada), destapó de nuevo la polémica en torno a la seguridad real o fingida de GSM. Merece la pena consultar a este respecto el monumental trabajo de reconstrucción llevado a cabo por Jesús Cea Avión, en el que se describe el ataque y sus consecuencias.
Recientemente, la noticia hace unos días de que dos investigadores israelíes, Alex Byriukov y Adi Shamir (uno de los más reputados criptógrafos del mundo, creador junto a Rivest y Adleman de RSA, de ahí el nombre del algoritmo), han descubierto nuevos fallos en la seguridad de GSM que les permiten descifrar las conversaciones cifradas con A5/1 ¡en menos de un segundo! reabre el debate acerca de la verdadera fortaleza de GSM frente a escuchas ilegales y uso fraudulento de sus tarjetas SIM. Organizaciones como la GSM Association perseveran en la negación de los hechos y en recalcar la seguridad sin parangón de GSM, ciegos a los esfuerzos criptoanalistas de investigadores de todo el mundo, que lenta pero sistemáticamente van obteniendo su fruto.
De momento, la dificultad de reproducir estos ataques, que exigen costosos recursos computacionales y equipos de telecomunicaciones muy sofisticados, como los escáneres digitales, de precio muy elevado, cuando no ilegales en muchos países, está frenando la comisión generalizada de delitos de escuchas y llamadas fraudulentas a cargo de otros abonados de la red. Sin embargo, mientras la industria GSM se empecine en el secretismo y en negar los riesgos reales que investigadores de todo el mundo descubren regularmente, llegará el día en que con modestos recursos se podrá escuchar cualquier conversación o timar a las operadoras y otros usuarios. Entonces los costes para reparar el boquete serán formidables, por no haberse querido tapar a tiempo los pequeños agujeros. No habrá que esperar mucho antes de que se demuestre que el oscurantismo es la mejor fórmula... ¡para el fracaso más estrepitoso!

No hay comentarios:

Publicar un comentario en la entrada