China y el cifrado

China encryptionChina ha aprobado una ley antiterrorista que obliga a toda empresa que actúe en el país a facilitar al gobierno claves de cifrado y contraseñas de usuarios sospechosos, lo que de facto pone fuera de la ley a compañías como Apple y algunas otras que no pueden hacerlo porque, en función de las características de su operativa y de su compromiso con los usuarios, sencillamente no poseen esas claves. La propia Apple ya manifestó previamente su oposición a leyes de este tipo en países como el Reino Unido, de acuerdo con el criterio de numerosos analistas.

Crear puertas traseras en un producto equivale a que esas puertas traseras puedan ser utilizadas no solo por quien las requiere, sino por cualquier otro con habilidades suficientes como para encontrarlas. El reciente caso Juniper, recientemente de actualidad, es una prueba de libro de este tipo de problemas: sea el gobierno chino, el británico o el de Kazajistán, las puertas traseras terminan introduciendo una vulnerabilidad que otros pueden encontrar y explotar, lo que compromete la seguridad de los propios ciudadanos a los que se pretendía supuestamente proteger.

En el caso de China, además, ofrecer al gobierno un acceso ilimitado a las comunicaciones de los usuarios es algo que plantea numerosos problemas. A pesar de los intentos del gobierno por quitar importancia a la cuestión, ese tipo de accesos podrían utilizarse, por ejemplo, para localizar a activistas, a minorías religiosas o a otro tipo de actividades insurgentes aunque no tengan en sus planes ningún tipo de actividad violenta o terrorista. Además, podría comprometer el acceso a diseños y otro tipo de información protegida por propiedad intelectual, otra importante fuente de problemas para las empresas radicadas en China. La nueva ley entra en vigor en pocos días, el día 1 de enero, y por el momento, el gobierno chino no ha dicho qué sanciones aplicará a aquellas empresas que no la cumplan, aunque niega que vaya a prohibir su actividad en el país.

No importa cómo de intuitiva parezca la idea: que un gobierno reclame medios para poder vigilar a todos sus ciudadanos no es algo que proteja su seguridad, sino todo lo contrario, la debilita. Que China, con su historial en este sentido, apruebe este tipo de leyes debería parecernos relativamente normal, sobre todo cuando ya hemos visto casos similares que afectaban a empresas del país. Que otros países con más tradición democrática y respetuosos de los derechos humanos haga lo mismo no debería serlo. La petición de puertas traseras y de sistemas para facilitar el espionaje por parte de un gobierno debe encontrarse no solo con la inequívoca oposición de las empresas de tecnología, sino también con la de todos los ciudadanos, por mucho que pretendan vendernos que «es por nuestra seguridad» y «para evitar la amenaza terrorista. Simplemente, no funciona así. Dejemos de imitar a China y hagamos caso al sentido común.

 

This article is also available in English in my Medium page, “When Western governments pursue the same security tactics as China, we should be worried«

 

18 comentarios

  • #001
    Gorki - 29 diciembre 2015 - 12:46

    No comprendo como existiendo tantos sistemas absolutamente indescifrables, independientemente de la potencia del ordenador para descifrar que se use, sin poseer la clave, laas personas se fian de medios cifrados hechos por otros en el que son ellos los que tienen los sistemas de desencriptado.

    Si alguien quiere conectar con su sucursal en China y quiere un sistema a prueba de desencriptado no tiene mas que tomar un ebook cualquiera y a partir de una pagina determinada, sumar el ASCII de las letras y espacios pares de esa pagina a los ASCII del mensaje que tiene que mandar y enviar las sumas para que en el lugar de recepción hagan las restas. Sin saber el libro y página escogido y sin saber si se cogen las letras pares o las impares o las múltiplos de cinco, es imposible el descifrarlo. El programar una cosa así es de primero de BUP.

    • Garepubaro - 29 diciembre 2015 - 15:44

      Hombre pues que los mas grandes mátematicos, premios nobel o aspirantes, los que SI saben de esto, te informan de lo mismo que tu dices, que encriptar con técnicas zafias y que sea indescifrable esta chupado … pero ahora aparecen los informáticos estos que asistieron a 2 Campus Party lo menos, los Menestro o Maestre Patarran y gentecilla similar a decirte que no, que no mandes un mensaje por la nube ni por ningun lado ya que ellos facilmente ven lo tuyo … es lo del eterno «adolescente hacker» … ellos se creen que viven en un subterraneo secuestrados por una gran compañia, una gran multinacional a la que proporcionaran, mediante algorritmos cuanticos, inteligencia informatica, «EL CONTROL MUNDIAL» gracias a su intelegencia andan secuestrados en sótanos de la NSA, Google, IBM y lo que no se sae, ¿ no es emocionante ?… lo cierto es que estan apesadumbrados y ni se planean llamar a la policia; eso seria peor todavia, complicaria la cosa

      • Gorki - 29 diciembre 2015 - 19:19

        ¿Hay un solo tema que tu domines? -. Por ejemplo, ¿sabes contar hacia atrás empezando en cien?.

    • Xose M. - 29 diciembre 2015 - 15:55

      «Libreta de uso único», se llama eso.
      Y cómo sabes que no es lo que se está utilizando realmente y que sólo los «pringaos» envían correos sin cifrar/firmar? OH WAIT!, no lo hacen!
      Por «pringaos» me refiero a todos esos políticos y empresarios, por ejemplo, que andan con las vergüenzas al aire.

      Supongo, y sólo supongo, que las empresas serias cifran/firman sus comunicaciones. No tengo ni idea, pero no es así @edans?

      No hace falta utilizar un método indescifrable, si no uno más sencillo y «virtualmente» seguro (miles de años quizás). Aunque bueno, mucha clave mucha clave pero al final el eslabón débil en estos sistemas suele ser el usuario humano en cada extremo.

      Está prohibido el cifrado? Al final estará más protegido legalmente el correo postal que el correo electrónico.

    • Krigan - 29 diciembre 2015 - 17:16

      Me temo que un sistema como el que propones sería muy fácil de descrifrar.

      Ahora bien, si el ebook se compone de letras aleatorias, entonces sí sería indescifrable, y es muy fácil de programar.

    • Devsaki - 29 diciembre 2015 - 17:27

      Capaz me equivoque, pero no es un cifrado demasiado facil de desencriptar?
      La clave es indiferente para el receptor porque se trata unicamente de un número (relativamente grande, pero tampoco como para que un ordenador se muera el procesar las posibilidades). Si tu me dices que tan solo es cuestion de restar la clave al mensaje, pues simplemente cojo el mensaje encriptado y lo voy restando -1 hasta que el mensaje muestre palabras con sentido.

      • Gorki - 29 diciembre 2015 - 19:14

        Aun suponiendo que tomar seguidos todas las letras al sumarse a las del mensaje quedan absolutamente aleatorias, e imposibles de descifrar, pero si ademas tomas las pares, o los múltiplos de siete, lo es con mayor medida, Si sabes el libro, con un ordenador muy potente que probara todas las páginas y todas las combinaciones posibles podrías descifrarlo pero sin saber la fuente es imposible.

        Como dice XOSE M, el riesgo está en que los extremos sean infieles y digan la clave. No es un invento mio, XOSE M también lo conoce. La, Libreta de uso único, la máxima seguridad, es cambiar la clave con cada mensaje Por ejemplo según el ´mes dia y hora M D y H en que se manda el mensaje. empezar por la página 10D+M y en la letra H.

        • Krigan - 29 diciembre 2015 - 22:15

          No, la libreta de uso único es con clave aleatoria. Si usas una clave no aleatoria, no es seguro, te lo van a poder descifrar:

          https://es.wikipedia.org/wiki/Libreta_de_un_solo_uso

          Con tu sistema, el resultado NO es aleatorio. Si quieres un resultado aleatorio, has de sumar el mensaje en claro (algo no aleatorio) con una clave aleatoria.

      • Gorki - 29 diciembre 2015 - 19:34

        Creo que no lo has entendido supomgamos que tomo el quijote por la primera pagina y quiero mandar el mensaje «Vende a 125″ y el texto
        En un lugar de la Mancha de cuyo nombre no quiero acordarme»

        Sumar los ASCII de n + V, u+e, » «+n, etcetera

        restando uno a cada gryupo no sacarías nada porque no sabrias donde parar.

        • Devsaki - 30 diciembre 2015 - 13:52

          Sí, no había entendido. Bastante interesante el método, no lo conocía.

    • Juanmi - 30 diciembre 2015 - 04:18

      ¿Qué tendrá que ver la seguridad de un algoritmo de cifrado con la implantación del mismo? Por mucho que puedas diseñar y usar sistemas que sean indescifrables, no te va a servir para nada si los servicios web que quieres utilizar no los implementan.

      «Si alguien quiere conectar con su sucursal en China y quiere un sistema a prueba de desencriptado no tiene mas que enviar las sumas para que en el lugar de recepción hagan las restas».
      Emmm… pues no. No van a abrir un canal privado de comunicación contigo usando el cifrado que tú quieras solamente porque tú se lo pidas. Es más, si haces eso, probablemente los de tu sucursal ni siquiera te respondan porque se pensarán que les estás gastando una broma.

      • Gorki - 30 diciembre 2015 - 11:46

        ¿Tu sabes enviar un adjnto por email? – Pues eso

        • Juanmi - 30 diciembre 2015 - 14:32

          O sea que según tú enviar un adjunto por email equivale a entrar en la web de tu banco para hacer gestiones desde ella. Algo me dice que el mundo no funciona así XD

  • #014
    Benjamin - 29 diciembre 2015 - 18:25

    El problema es que los cifrados han de ser descrifados para permitir la comunicación entre dos personas. Lo interesante sería una app que genere claves aleatorias con un hash salteado de 1024 bits o más para cada conversación y contacto. Que ni ellos puedan saber cual es ni se almacene (algo como las convesaciones secretas del telegram).

    No parece demasiado duro, solo demasiado lógico. Entiendo que EE.UU apoye implícitamente a Whatsapp (grupo facebook) con una herramienta diseñada para ser reventada al más mínimo uso. De hecho, ya la quité de mi móvil ayer.

    Pero vamos, si creen que los terroristas usan whatsapp o telegram para comunicarse están más alejados de la realidad de lo que suponía.

    Como dice XOSE M. más arriba, siempre puedes enviar el documento vía postal y tener las claves contigo. O ponerlas en un foro que no conozca nadie o uno que usen todo quisqui. Igual que en la guerra fría.

  • #015
    Pedro Trillo - 30 diciembre 2015 - 18:56

    Totalmente de acuerdo Enrique. Lo has descrito a la perfección. En virtud a proteger (bajo ese criteriob) a los cuidadanos no sólo no se protege si no que se le pone en una tesitura difícil, compromete su seguridad y se vulnera la propiedad intelectual. Parece un problema ajeno o como dicen muchos , a mí me da igual , si no me entero me da lo mismo. Pero será la clave estrátegia de negocio del próximo año. A todos los que decís que os da igual, os comento que lamentablemente los riesgos y las situaciones en las que se pueden ver los ciudadanos son muy altos, merece la pena pensar, reflexionar y prestarle atención os lo aseguro.

  • #016
    acerswap - 30 diciembre 2015 - 21:22

    No hay sistema indescifrable. A base de fuerza bruta se puede lograr descifrar cualquier cosa (junto con centenares de miles de mensajes erroneos). Lo que hay que hacer, para que el sistema sea imposible de distinguir es usar mensajes lo suficientemente cortos, que se confundan mensajes validos con posibles resultados erroneos, que sea largo de descifrar y cuya validez sea corta.

    Es decir, imaginad el mensaje «nos vemos en … a las …» y unas coordenadas . Ciframos las coordenadas de tal manera que al descifrar el mensaje con una clave erronea de un resultado aparentemente valido. Si el que quiere descifrar el mensaje lo hace mal, quizas vaya a buscarte a la torre Eiffel a las 20.32 cuando en realidad tu mensaje es que estarás en la Puerta del Sol a las 17.48. Si además el mensaje es dificil de descifrar a base de fuerza bruta, lo mismo no lo descifran hasta bien pasada la hora indicada en el mensaje.

    • Krigan - 31 diciembre 2015 - 10:40

      Sí hay un sistema indescifrable, la libreta de un solo uso:

      https://es.wikipedia.org/wiki/Libreta_de_un_solo_uso

      Si con este sistema de cifrado intentas usar la fuerza bruta con un mensaje de (digamos) 40 caracteres, te saldrán todos los posibles mensajes de 40 caracteres. Si además usas un relleno de 24 caracteres (con uno de ellos indicando «fin de mensaje»), entonces la fuerza bruta te dará todos los posibles mensajes entre 1 y 63 caracteres (sin contar el carácter de fin de mensaje).

      No sabrás si han dicho «Me gusta la pizza carbonara», o «¿Tienes ya lista la bomba?». Lo único que sabrás es que se han intercambiado 64 bytes.

  • #018
    Aitor - 30 diciembre 2015 - 22:59

    ¡Qué cosas tenéis con el cifrado y el descifrado.?
    1- Habláis de mandar mensajes o «caracteres de control incluidos (256 ASCII) que son el mensaje mismo.
    2- Se os olvida que se pueden mandar «mensajes sin mensaje.» Lo que es lo mismo, el mensaje mandado no es el mensaje, si no que es una ayuda para descifrar el «mensaje o caracteres» mandados».

    1- En este caso es descifra le totalmente. Es un mensaje y el contenido es el propio mensaje. Sólo hay que pensar en e imaginar una curva y como convertirla poco a poco en una línea recta. Ni que decir que los ordenadores lo pueden hacer. Lo hacen todos los días en «Wall Street», tonto el último. Por no decir que hay curvas que «siguen», afinan y engañan a otro tipo de curvas.

    2- Lo segundo es fácil y casi terrorífico y de terroristas. Tan simple como que dos personas «se hagan y tengan el un diccionario particular». Y según su propio diccionario crean-envían y reciben-descifran el «mensaje vacio». No me atrevo a decir más. El tiempo se mide en minutos, segundos, horas, días, semanas, años, etcétera y etcétera. Hay muchas variables.
    Ni qué decir que esto se puede hacer a mano o con el ordenador. No sigo, es terrorífico y da miedo. ¿Todavía no tenéis alarma en casa. No tenéis tal aplicación o programa.?
    ¡Cuidado con el lobo. Hay gente mala mala en mala en el mundo, nosotros te protegemos!

    En fin. Alguien seguirá diciendo que «todo» es descifrable.
    Mi punto hace incapaz en que se pueden mandar «mensajes embebidos o internos» y «mensajes no – embebidos, externos y prácticamente imaginarios y únicos entre dos personas»

    Saludos.

    PD.
    Pido disculpas por el «ladrillo» o posible «comecocos» de este mensaje.

Dejar un Comentario

Los comentarios están cerrados