La seguridad en internet depende de la generación de números primos de manera aleatoria
Imagen: Patrick Semansky, Associated Press |
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) dijo en una declaración pública; "Queremos asegurarle a la comunidad de ciberseguridad en Tecnologías de la Información (IT, por sus siglas en inglés) que el proceso público y transparente usado para examinar rigurosamente los estándares sigue en pie", "el NIST no debilitará de manera deliberada un estándar criptográfico".
El anuncio vino después de los reportes publicados por The New York Times, The Guardian, y ProPublica el jueves pasado sobre el éxito de la NSA en burlar mucha de la encriptación que protege vastas cantidades de información en la red. The New York Times reportó que, como parte de sus esfuerzos, la NSA insertó una "puerta trasera" en una norma del 2006 adoptada por el NIST y después por la Organización Internacional de Estandarización, la cual cuenta con 163 países como miembros.
Para que la encriptación sea segura, el sistema debe generar números primos secretos de manera aleatoria. Ese proceso de generación de números aleatorio -el cual se basa en algoritmos matemáticos- hace practicamente imposible para un atacante, o agencia de inteligencia, la predicción de los protocolos codificados que permitirían decodificar un mensaje encriptado.
Pero, memorándums internos filtrtados por el excontratista de la NSA, Edward Snowden, sugieren que la NSA construyó uno de los generadores de números aleatorios usados en una norma del NIST del 2006 -llamado Dual EC DRBG standard- el cual contiene una "puerta trasera" para la NSA. En la publicación del esrtándar, el NIST reconoció "contribuciones" de la NSA, pero no la autoría principal.
Memorándums internos de la NSA, describen cómo la agencia trabajó subsecuentemente en lo oscuro para endilgar el mismo estándar a la Organización Internacional de Estandarización. "El camino para desarrollar la norma fué sencillo desde el inicio", indicaba un memorándum. "Sin embargo, iniciar el viaje fué un reto en delicadeza".
En ese tiempo, el Establecimiento de Seguridad en Comunicaciones de Canadá (CSE, por sus siglas en inglés) administró el proceso de normas para la organización internacional, pero documentos clasificados describen como últimamente la NSA tomó el control. "Después de un sutil arreglo con el director de la delegación nacional de Canadá y con el CSE, todo estaba listo para que la NSA presentara un rediseño del programa preliminar", describe el memorándum. "Eventualmente, la NSA se convirtió en el único editor".
Los criptógrafos desde hace mucho han tenido sentimientos encontrados por la relación tan cercana del NIST con la NSA, pero muchos dijeron que las revelaciones de la semana pasada han hecho realidad sus peores pesadillas y han deteriorado la confianza que tenían en las normas del NIST por completo.
"Tenemos que reevaluar esa relación", fue lo que escribió el jueves pasado en un blog Matthew D. Green, criptógrafo investigador en la Johns Hopkins University. "La confianza ha sido violada".
Matthew D. Green, dijo el lunes en su cuenta de twitter que Johns Hopkins le pidió que borrara esa publicación de su blog. Se le permitió restaurarla horas después, cuando la universidad se dió cuenta de que el contenido estaba basado en reportes de noticias públicas. La universidad se disculpó después.
El martes, el NIST atribuyó los alegatos a confusión e hizo notar que se requería, por estatuto, la consultoría de la NSA.
"Ha habido algo de confusión acerca del proceso del desarrollo de normas y el papel de las distintas organizaciones involucradas", según declaraciones de la agencia. "El NIST tiene un largo historial de extensiva colaboración con los expertos a nivel mundial en criptografía para asegurar una encriptación fuerte. La Agencia Nacional de Seguridad (NSA) participa en los procesos de encriptación del NIST dada su reconocida experiencia. El NIST, además, requirió consultar con la NSA por estatuto".
La agencia dijo que debido a asuntos de los criptógrafos, reabriría el período de comentarios públicos para tres publicaciones - Special Publication 800-90A and drafts of Special Publications 800-90B and 800-90C - las cuales en su totalidad usan el generador de números aleatiorios en cuestión.
"Si se encuentran vulnerabilidades en este u otros estándares del NIST, trabajaremos con la comunidad criptográfica para abordarlas tan pronto como sea posible", dijo la agencia en una declaración.
"Conozco por comunicaciones de primera mano que cierto número de personas del NIST se sienten traicionadas por sus colegas en la NSA"; dijo Matthew D. Green en entrevista el martes. "Reabrir el estándar es el primer paso para reparar esa traición y restaurar la confianza en el NIST".
No hay comentarios.:
Publicar un comentario