La criptografía y seguridad de datos es un tema controversial; se
dice que a veces se estandariza algoritmos débiles con la finalidad de
poder espiar en diversas naciones
Foto
Investigadores del Departamento de Computación del Cinvestav, encabezados por Debrup Chakraborty, demostraron que la norma de seguridad usada en dispositivos de almacenamiento como discos duros y memorias USB es vulnerable, lo anterior tras romper el algoritmo de encriptamiento estándar 1619.2-2010 del Institute for Electrical and Electronics Engineers (IEEE)
“El algoritmo es estándar y todo el mundo lo conoce y confía en él, razón por la cual debe estar instalado como sistema de seguridad en discos duros o dispositivos de almacenamiento, pero (al romperlo) demostramos que no brinda protección y se debe retirar”, sostuvo el investigador, doctorado en Ciencias de la Computación por el Instituto de Estadística de la India.
Con el concepto de cómputo en la nube --donde todo los programas, almacenamientos y hasta el correo electrónico se alojan en servidores externos, no en la computadora personal--, ya no se sabe dónde se encuentra la información y lo grave es no saber quién pueden entrar para leer los mensajes; antes se confiaba en la seguridad de los estándares de encriptamiento, pero ahora se descubre que son vulnerables.
“Antes la criptografía y la protección de datos preocupaba sólo en temas militares, empresariales o administrativos, ahora no; todos estamos conectados en red y tenemos datos sensibles guardados en la computadora, como información sobre la tarjeta de crédito, que significa la vida para muchas personas. Por ello necesitamos seguridad”, señaló Chakraborty.
Además, dijo que “esto significa un desastre porque los usuarios no pueden analizar el algoritmo y confían en los estándares de seguridad, lo mismo sucede con las empresas; cuando un comité establece una norma los usuarios se confían, no preguntan más, pero entonces si tiene problemas es un asunto muy grave”, señaló el investigador del Cinvestav.
En el tema de criptografía y seguridad de datos, dijo, intervienen asuntos políticos y es un tema controversial; se dice que a veces se estandariza algoritmos débiles con la finalidad de poder espiar en diversas naciones, porque algunos países realizan estas prácticas y ellos no quieren el uso de algoritmos fuertes para proteger datos.
“Nuestro descubrimiento tiene muchas implicaciones, pero en principio deberíamos saber exactamente qué pasó, porque si no se pueden proteger nuestros datos es un asunto muy grave, porque ahora en la computación la seguridad es muy importante y toca a todas las personas”, explicó.
La criptografía es un área de la computación que se encarga del estudio de los esquemas de cifrado y exige que los esquemas estén acompañados de una prueba de seguridad, la cual normalmente incluye rigurosas demostraciones matemáticas. En 2004, se propuso un esquema de cifrado llamado XCB, pero sin estar acompañado de una prueba de seguridad.
Con el objetivo de que fuera más fácil dar una prueba de su seguridad, sus autores propusieron una segunda versión del esquema; esta segunda versión junto con su prueba de seguridad llevaron a XCB a ser considerado como candidato para el estándar IEEE-std 1619.2-2010 del que finalmente resultó ganador en marzo de 2010, junto con otro esquema de cifrado llamado EME2.
Al estudiar XCB tal como se específica en el estándar, el equipo de Debrup Chakraborty encontró dos fallas en su prueba de seguridad; considerando estos errores se mostró que existen situaciones en las cuales la norma XCB es completamente vulnerable y en otros aspectos su seguridad es mucho menor a la originalmente publicada.
El resultado de este trabajo fue anunciado en un congreso especializado llamado Asiacrypt 2013, en diciembre pasado y ha recibido cierta publicidad en redes sociales; además fue comentado por Daniel Bernstein y Tanja Lange en el resumen de los descubrimientos criptográficos más importantes de 2013.
“El descubrimiento tiene muchas implicaciones pero se destacan dos: el trabajo de los investigadores mexicanos que tienen la calidad para hacer trabajos de frontera científica de muy alto nivel, porque es la primera vez que se rompe un esquema de este tipo en el país y, mostrar que el análisis de los comités para establecer los estándares no es bueno, porque no pudieron detectar un problema de seguridad”, afirmó Debrup Chakraborty.
