19 sept 2013

"Los sistemas estándar ya están quebrados" (entrevista a Hugo Scolnik)

Hugo Scolnik es doctor en Matemática, además de fundador del Departamento de Computación de la Universidad de Buenos Aires, entre (muchas) otras cosas. También es una de las personas que más saben de criptografía en el país y tiene un pie en el mercado de la seguridad informática y otro en la investigación básica sobre criptografía.

Hace varios años que Assange dice que lo único que puede devolver la privacidad a Internet es la criptografía. ¿Es tan así?

–Eso es verdad. Totalmente. Es lo único que se puede hacer. El tema es qué tipo de criptografía y quién la hizo. Por ejemplo, a principios de los años ’70 IBM propuso un método, llamado Lucifer, y pidió permiso para hacer criptografía civil, para bancos, empresas, etc... El gobierno de EE.UU. tomó el método original, le bajó la longitud de las claves, lo simplificó y lo aprobó en 1975 con el nombre DES. Desde aquella época es lo que se usa en los sistemas bancarios. Los criptógrafos estuvimos siempre convencidos de que eso, de alguna manera, ya estaba quebrado. O sea que si uno usa sistemas estándar que ya están quebrados no va a tener comunicaciones seguras, pero si uno desarrolla sus propios sistemas, que ellos no conocen, es imposible, o al menos muy difícil.

¿El uso de criptografía está reglamentado?

–Sí. En EE.UU. había una ley que decía que no se podía enseñar criptografía a ningún extranjero. Si un profesor hablaba en una esquina y lo escuchaba un extranjero, iba preso. La ley se terminó en 2002, cuando Clinton liberó la longitud de las claves, lo que las hace mucho más difíciles de romper. Pero la liberaron porque ya estaban haciendo la captura de las claves y su longitud deja de ser importante para romperlas.

O sea que está claro que los sistemas de criptografía más usados ya están quebrados

–Algunos sí. Te cuento una anécdota: hace unos 10 u 11 años hubo un congreso de seguridad en Argentina, justo cuando yo empezaba a investigar este tema. Vinieron a verme dos tipos del FBI. Yo les decía: "Pero cómo ¿la principal democracia del mundo se dedica a espiar a todos los ciudadanos?". Y ellos se reían y me decían: "Sí, pero sólo al 99 por ciento; hay un 1 por ciento que es muy tecnológico que no es espiable, y con esos tenemos que resignarnos".

¿Les creyó que en ese momento espiaban al 99 por ciento de la población?

–Seguro, porque antes de todo esto de Snowden y demás, existía Echelon. Porque las cosas se ponen de moda de repente y la gente se olvida de las historias. Echelon estuvo interceptando todo tipo de comunicaciones desde la época de la Guerra Fría.

Pero no tenían la posibilidad de procesar la brutal cantidad de información recopilada.

–Nunca la tienen. En este momento en Internet se genera cada dos días más información que la que tenía la historia de la humanidad hasta dos días antes. Es una progresión geométrica terrible. Esa cantidad de información es imposible de analizar ahora y siempre. Hace poco vino gente de Europa a un seminario y hablamos justamente de eso: podés almacenar todo lo que quieras, pero el desafío es procesarlo. Por eso se está trabajando mucho en la presentación gráfica de la información, como para ver de un golpe de vista lo que es significativo.

¿Cuáles son los métodos vulnerables entonces?

–Son los métodos conocidos, los que están en los navegadores, mails, los que usan los bancos, etcétera. Son métodos que se rompen por puertas traseras, accediendo a las claves, algunos incluso por fuerza bruta. Por ejemplo, yo no sé si los servicios han logrado romper el mismo sistema de encriptación RSA que yo estoy tratando de romper. Es que hay dos mundos: el científico en el que se publican los avances y el de los servicios de inteligencia, donde todo es secreto y nadie dice nada. Nosotros hemos desarrollado métodos de 1024 bits simétricos que nadie puede romper. Con un método así, nos encontramos en un café, combinamos una clave y empezamos a comunicarnos. Puede venir la CIA o quien quiera y no va a poder hacer nada.

Dentro de sus investigaciones de ciencia básica, usted está abocado a encontrar un algoritmo que permita desencriptar mensajes que estén cifrados con sistemas asimétricos de 1024 bits. Si lograra romper el método de 1024 bits asimétrico, muchos servicios tendrían que pasarse a otros sistemas de criptografía.

–Eso está pasando. Incluso ya se están emitiendo certificados comerciales con curvas elípticas, que es un método que poco se ha usado fuera de los dispositivos móviles. Parecería que desde la NSA están tratando de frenar la implementación de sistemas de encriptación más sofisticados. Yo he estado con empresas de EE.UU. que me reconocieron que les pidieron todas estas cosas que dice Snowden. Hace unos años un ingeniero electrónico mexicano me contaba que había diseñado un sistema de telefonía de voz encriptada y se lo puso al presidente. A la mañana lo instaló y a la tarde llamaron de la Embajada de EE.UU. para preguntar qué estaban haciendo. Es real. Es lo mismo que se está poniendo en evidencia de nuevo ahora.

¿Cuán cerca considera que está de romper las claves asimétricas de 1024 bits?

–En un momento creímos que estábamos al borde, pero tuvimos problemas de complejidad que no esperábamos. Estamos trabajando en una línea muy nueva. Pero no puedo hacer pronósticos exactos. El problema es muy complejo y uno sabe cuándo empieza pero no cuándo termina. Tampoco siento la presión de decir para cuándo. En el camino salieron muchos resultados absolutamente desconocidos, lo que es muy gratificante para un matemático, porque está lleno de teoremas que nadie conocía y que no puedo compartir con nadie excepto por un par de criptógrafos en el mundo, que saben mucho de estas cosas. Lo único que me han pedido, tanto en Europa como en EE.UU., es que si logramos quebrarlo les avisemos con 10 días de anticipación por lo menos. Hay muchas cosas en el mundo que dependen de este tipo de sistema criptográfico. Además, si se encuentra cómo romper un sistema de este tipo de 1024 bits, también se podría romper el de 2048 y demás. Por eso nosotros decimos que ya hay que empezar a usar sistemas de curvas elípticas.

¿Es posible hacer lo que ahora propone Brasil, de reemplazar todos los servicios que no sean confiables?

–A nivel seguridad seguís teniendo el problema de que lo que mandes a servidores extranjeros te lo van a espiar, salvo que convenzas a todos de que usen tu desarrollo. Pero a nivel interno claro que se puede hacer. Yo creo que Brasil va a reaccionar. Los conozco muy bien, yo viví allá y estoy seguro de que van a tomar un camino autónomo.

¿En Argentina se podría?

–Es totalmente factible. Lo que hay que cambiar es el software, y eso es relativamente barato. La infraestructura tecnológica la tenemos toda. Es una decisión política, no hace falta comprar un millón de computadoras, el tema es lo que les ponés adentro. La estructura está.

Autor: Esteban Magnani
Fuente: Página 12

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!