Apuntan a una posible caída de RSA y Diffie-Hellman en pocos años

Imagen de squirrel
Enviado por squirrel en

Foros: 

Por squirrel

Recientes avances en la resolución de logaritmos discretos en tiempos computacionalmente asequibles apuntan a que la esperanza de vida de los actuales algoritmos RSA y Diffie-Hellman, basados en esa función matemática y en su actual dificultad para ser tratada, podría acortarse significativamente, al orden de cuatro o cinco años según estimaciones.

Si bien la sugerencia ahora mismo parece ser el empleo de curvas elípticas, tema sobre el cual ya se trató en Kriptópolis, y el abandono del uso de RSA por parte del gobierno ruso para usar su propio sistema basado en dichas curvas apuntaría en esa dirección, hay un par de cuestiones que personalmente me llaman la atención y me gustaría comentar, aún a riesgo de parecer conspiranoico...

  • Es de sobra conocido que muchos avances en criptología son conocidos en las agencias de seguridad años antes de que lleguen al gran público. De hecho, no recuerdo si fue en Kriptópolis donde leí que el algoritmo Diffie-Hellman lo habían desarrollado años antes matemáticos ingleses en la agencia británica de inteligencia pero se quedó guardado como información reservada.
  • Rusia no ha anunciado ahora esa migración, llevan años haciéndola. ¿Será que ya sabían de este avance, o alguno similar, y fueron adelantándose a los acontecimientos?
  • En EEUU se produjo hace algún tiempo (aparentemente de forma innecesaria) un concurso para elegir un nuevo estándar SHA (SHA3, del que dimos cuenta aquí). Curiosamente, se eligió un sistema totalmente diferente. Curiosamente...
  • Cuando Snowden dijo que la NSA podía interceptar las comunicaciones de cualquiera no dijo en ningún momento nada en plan "...excepto que se usen conexiones HTTPS o correo cifrado". ¿Seré muy malpensado, o en el fondo lo que ocurre es que ahora mismo dichas tecnologías ya están suficientemente comprometidas para según qué agencias?. Dicho sea de paso, eso explicaría también por qué con Assange se conforman con que esté de huésped permanente en Londres pero a Snowden lo quieren para ellos y lo quieren ya.

No sé si fue en Kriptópolis

Pero me suena que lo que descubrieron los matemáticos esos -y se mantuvo en secreto- fue precisamente lo que luego ha venido a ser RSA. Por otra parte, no alcanzo a distinguir Diffie-Helman, basado en el problema del logaritmo discreto, del método de las curvas elípticas. Que hablen los expertos.

En cuanto a decir que RSA está roto, imagino que habría que especificar la longitud de la clave. Ya se dijo -también en Kriptópolis- que 1024 bits era insuficiente, pero que probablemente 2048 era seguro. A lo mejor ha llegado el momento de aumentar esa longitud.

No menosprecio la capacidad -ni la falta de escrúpulos- de las Agencias para fisgonear en las comunicaciones de forma arbitraria e indiscriminada, bajo la excusa de la prevención del terrorismo, pero con intereses centrados en el espionaje industrial, en la supremacía militar, y en el control de cualquier entidad o persona que pueda ser, no ya una amenaza, sino sencillamente un rival de quienes están al mando. Pero lo de que lo "lean todo" no puede dejar de ser una exageración. Al menos mi versión pro de ACYNOS, os aseguro que ni la huelen, je, je.

Lo de leerlo todo, así como lo de filmarlo todo, como ya comenté cuando hablé del artículo Monitoring America, no es tanto un intento de conseguir el poder absoluto -que también-, como un inmenso negocio. Es hora de luchar por los derechos individuales y políticos, también contra nuestros gobiernos locales (europeos), que no son más que lacayos del imperio.

Evidentemente, los gobiernos de Rusia o de China -entre otros- están en lo mismo, y quizá con menos escrúpulos. si cabe.

No lo pillo

En el caso de RSA la seguridad viene, básicamente, de la dificultad de descomponer un número gordote en sus también grandes factores primos. En principio, cuanto más gordote sea el número, mayor seguridad. Evidentemente, si se ha encontrado un algoritmo que emplea un tiempo polinómico para factorizar, el cifrado está muerto, al menos si se dispone de la suficiente potencia de cálculo. Ya hace tiempo que algunas investigaciones académicas iban por ahí. A lo mejor las Agencias han contratado a los matemáticos de la especialidad,

La muerte de los cifrados de clave pública sería una muy mala noticia para el comercio on-line, entre otras cosas.

Es cierto...

Evidentemente, los avances en factorización entera podrían poner en serio aprieto a los criptosistemas basados en la multiplicación de primos grandes, pero no hay que ser alarmistas inicialmente.

En documentos oficiales, como es el caso de este draft de mayo de 2013 del documento "Cryptographic Algorithms and Key Sizes for Personal Identity Verification" del NIST, no se dice nada de abandonar el RSA, recomendando solamente que las claves RSA han de ser de como mínimo de 2048 bits, a partir del 31 de diciembre de 2008. Aunque también es posible que todávía no se haya reaccionado ante los afirmados avances declarados en la factorización entera a la hora de ajustar los criptoperiodos y las longitudes de las claves en estos documentos.

Sí se establece en este mismo documento del NIST, que desde enero de 2011 se debe usar el SHA-256 como mínimo para la firma de documentos, lo que no tiene nada que ver con los algoritmos RSA/ECDSA.

En el caso los algoritmos SHA-1/SHA-2, hay que tener en cuenta que son versiones derivadas de la serie MD, por lo que tras la caída completa del MD5-128 en 2004, el SHA-1 se acabó considerando roto en 2006, tras el trabajo de Xiaoyun Wang, Yiqun Lisa Yin y Hongbo Yu de la Universidad de Shandong (China).

Hay que recordar que un algoritmo criptográfico se considera roto cuando es necesario un menor esfuerzo que el teórico para hacerlo mediante la fuerza bruta, aunque no se tenga la capacidad real para hacerlo y solamente sea un trabajo teórico que demuestre que es más débil que la fuerza bruta. En el caso del SHA-1 se demostró que era unas 200 veces más débil que lo necesario para romperlo mediante la fuerza bruta.

http://www.theepochtimes.com/news/7-1-11/50336.html

Por ese motivo y no por otro, se consideró que era necesario o conveniente, el desarrollo de un nuevo algoritmo de hash, que se ha llamado SHA-3, que no se derivase directamente de la algoritmia de MD/SHA-1/2 para evitar arrastrar los problemas ya demostrados en dichos algoritmos al nuevo estándar.

Yo creo que como en el caso del SHA-1, si se demuestran que los avances en factorización entera son efectivos (habrá que ver en la medida de que lo son realmente con las capacidades de computación actuales y previstas a medio y largo plazo), lo primero que se hará, como se ha hecho en el caso del SHA-1, es aumentar inicialmente el tamaño de las claves y ajustar adecuadamente los criptoperiodos. Medida que es mucho más económica y rápida, que la de modificar toda la algoritmia de los sistemas criptográficos actuales, que en muchos casos, está embebida en dispositivos o grabada "a fuego" en los mismos, como es el caso de las tarjetas inteligentes. Dando tiempo así, a que se produzca ese cambio en los estándares, por ejemplo, para llegar a usar el SHA-3 y ECDSA en los futuros chips del DNIe.

Evidentemente, lo que no es de recibo es que se sigan firmando documentos con el estándar de hash SHA-1 en 2013, principalmente, por la falta de interoperabilidad con el SHA-2 de algunos sistemas operativos, tarjetas inteligentes o aplicaciones, que usan o manejan la firma electrónica, máxime cuando la única diferencia entre el SHA-1 y el SHA-2 es el tamaño. Desde mi punto de vista, este problema de interoperabilidad es otro problema con el que se tendrá que lidiar cuando los cambios en los algoritmos sean más radicales y haya que mantener la compatibilidad con los ya abandonados, como sería el paso del RSA a ECDSA o desde el SHA-1/2 al SHA-3.

En este sentido, también quiero comentar que el concepto de criptoperiodo puede ser algo confuso, sobre todo, cuando consideramos que el documento firmado por una persona con fecha de hoy debería seguir teniendo una firma segura, como mínimo, durante el tiempo cubierto por su esperanza de vida, aunque lo deseable es que se duplique o triplique ese tiempo.

Supongamos que mi hijo de 18 años firma con fecha de hoy un documento de una hipoteca de 30 años con su flamante DNIe y usando para ello RSA-2024/SHA-1 ¿seguirá siendo segura la firma de dicho documento en el año 2043?, pues probablemente no lo sea y en esa fecha, mi hijo tendría solamente 48 años. Si hablamos de firmas ¿qué podemos decir de los sistemas de cifrado RSA más allá del 2043?.

Un saludo, Fernando Acero

"Copyleft Fernando Acero Martín. Se permite la copia textual, la traducción y la distribución de este artículo entero en cualquier medio, a condición de que este aviso sea conservado".

sha3?

No se yo... crear un sha3 con un método nuevo tal vez no sea la mejor idea... Más vale malo pero conocido que bueno por conocer. Puede que una combinación de md5+sha2 sea suficiente. Puede haber colisiones en md5 pero no serán las mismas que en sha2, y encontrar una colisión que concuerde para los dos podría ser suficientemente dificil como para no necesitar nada nuevo.

Bueno por conocer mejor que malo desconocido

Creo que lo importante es que un algoritmo criptográfico se considera roto cuando se demuestra matemáticamente que existe la posibilidad de romperlo con un esfuerzo menor que el teórico; conjeturado mediante el uso de la llamada fuerza bruta en computadores convencionales. Como aquí se dice:

No efficient general method for computing discrete logarithms on conventional computers is known,...

Y que, aunque no se tenga la capacidad real para hacerlo y probar que es así, dicho algoritmo está matemáticamente roto y las bases teóricas en que hasta ese momento se sustentaba su seguridad han dejado de ser conjeturas para convertirse en falacias.

Por otra parte, las funciones hash son usadas en múltiples campos y son demasiado importantes porque son la herramienta básica con que se construyen otras utilidades más complejas para proteger la integridad en la firma digital, la suma de verificación, la prueba de la integridad de los contenidos, como herramienta vinculada a la autenticación y control de acceso o como herramienta para la identificación y la rápida comparación de datos. Así que por ello podría ser que el paradigma para su cálculo deba cambiar con SHA-3 abandonando soluciones parciales que podrían ser inadecuadas.

Saludos cordiales,

Pedro Fernández
--

algunos problemas son mas graves que otros

La verdad el hecho de que las comunicaciones SSL se puedan interceptar no es tan gravísimo. Sencillamente habrá que tenerlo en cuenta y dejar de hacer compras en ebay. Es un inconveniente pero no es gravísimo.

Lo que tal vez sea más grave es que se puedan romper sistemas como el DNI electrónico y permitir falsificar firmas de manera indetectable.

opinar

Texto puro

  • No se permiten etiquetas HTML.
  • Saltos automáticos de líneas y de párrafos.
By submitting this form, you accept the Mollom privacy policy.