15:41 08/01/02
BUENOS TIEMPOS PARA EL CIFRADO
Mercè Molist
"El genio del conocimiento criptológico está fuera de la botella", asegura el científico Tom Berson en un reciente artículo titulado "Abundancia criptográfica". La explosión del negocio de la seguridad informática arrastra al cifrado, que empieza a estar por todas partes, aunque se vea en pocas. Pura matemática, es vital para esconder y autenticar textos, comunicaciones, identidades... Algo que le ha valido ser arma por excelencia de la privacidad.La criptología fue un arte militar hasta la segunda mitad del siglo XX. Entonces, se expandió a la universidad y de allí a la sociedad de la información. Aunque los gobiernos fueron en principio reticentes a dejar circular criptografía fuerte, hoy las normas se han relajado y crece su implantación. Como declaraba Moti Young, vicepresidente de la empresa CertCo, después del 11S: "Quizás los terroristas usaron criptografía, como usaron cuchillos de plástico, pero esta misma criptografía podría haber servido para evitar el desastre, no permitiendo que cogieran el avión, o para recibir una señal del avión secuestrado y hacerlo volver a casa..".
Juego de muchos usos, el cifrado crece con la necesidad de privacidad electrónica, para evitar espionajes, usurpaciones de identidad, robos de información médica o financiera, fraudes en pagos... "Es un campo que avanza a pasos agigantados. Me atrevería a decir que el de mayor auge en la informática y telemática", explica Jorge Ramió, profesor de seguridad de la Universidad Politécnica de Madrid. No hay datos globales sobre el negocio, que en España cuenta con poca producción propia y muy centrada en "hardware" criptográfico y firma digital. Pero en la universidad aumentan, ininterrumpidamente desde mediados de los 90, los estudiantes de esta disciplina.
El científico del Xerox Palo Alto Research Center, Tom Berson, nota una brecha entre el cada vez mayor interés popular y el poco caso de las empresas: "Un problema importante es que los intereses de privacidad de los consumidores no coinciden con los intereses económicos de las compañías que proveen sistemas de información. Estas empresas no tienen ningún incentivo para proteger los datos privados de sus clientes. De hecho, su verdadero incentivo es coger cuantos más datos mejor. Pero, en el futuro, toda nuestra información privada será protegida por cifrado, sin importar cómo es generada, guardada o transmitida".
Contra la vigilancia
La necesidad de criptografía crece también con la globalización de la vigilancia electrónica gubernamental. Carnivore, el sistema espía utilizado por el FBI, que puede monitorizar toda la vida 'online' de una persona, está instalado desde principios del 2000 en cada vez más proveedores norteamericanos. Algo que preocupa a nivel mundial, ya que la mayoría de tráfico de Internet pasa por estas empresas.Según un estudio de los proveedores holandeses, si sigue el ritmo de demandas policiales, en el 2004 habrá 300.000 internautas con las comunicaciones intervenidas en Holanda. En Alemania, el gobierno acaba de aprobar una ley que obliga a compañías de telefonía, incluidos "carriers" de Internet, a instalar equipos para el ciberespionaje. En Gran Bretaña y bajo la Regulation of Investigatory Powers Act, la policía puede obtener datos electrónicos sin orden judicial.
La criptografía evita esta vigilancia. Existen programas gratuitos para cifrar y descifrar lo que se quiera, sea la navegación, el correo electrónico, los mensajes instantáneos... Anonymizer es un conocido servicio para acceder a páginas web anónimamente, con la posibilidad de cifrar las direcciones URL o crear túneles seguros con los sitios visitados, usando Secure Shell (SSH), un protocolo (programa que marca cómo debe funcionar un servicio) de comunicación cifrada entre máquinas. Para el correo electrónico, Pretty Good Privacy (PGP) es la herramienta más popular: cifra el mensaje y autentica su integridad y remitente.
El autor de PGP, Phil Zimmermann, asegura que lo diseñó, en 1991, "para aplicaciones de derechos humanos y para proteger la privacidad y las libertades civiles en la era de la información". Zimmermann promociona ahora Hushmail, un servicio de correo cifrado por web, mientras PGP es sospechoso de tener puertas traseras y abandonado por la empresa que lo adquirió, Network Associates. Buena parte de los expertos en criptología se han pasado a otro programa para proteger su correo, GNU Privacy Guard (GnuPG), de código libre.
Criptocomercio
Las empresas de productos digitales utilizan también criptografía, para proteger de la copia programas, videojuegos, fotos, música o películas. "Algunas, como Canal + o DVD, cifran los contenidos y el cliente compra la clave, pero deben fiarse de que nadie manipulará el dispositivo. Otra opción, a veces complementaria, son las "marcas de agua", que no impiden la copia pero sí dejan unas marcas imperceptibles, cifradas, que pueden tener información sobre el vendedor, el comprador o cuantas veces se puede copiar", explica Josep Domingo-Ferrer, subdirector de la ETSE de la Universitat Rovira i Virgili.El problema es que se usan algoritmos débiles y cada vez aparecen más sistemas violados. La industria, de momento, prefiere recurrir a los tribunales que a una criptografía más fuerte. Donde sí se ha dado este paso ha sido en el comercio electrónico, para el que son vitales las comunicaciones seguras. El protocolo de cifrado Secure Sockets Layer (SSL) es el más usado en las compras por Internet. Otro protocolo con éxito es IPsec, que permite la creación de Redes Privadas Virtuales (VPNs): "Hace que dos máquinas se pongan de acuerdo automáticamente para pasarse información cifrada, sea un mensaje, un acceso a una página... Hoy por hoy, las aplicaciones comerciales más importantes son SSL y VPN", afirma José Luis Martín Mas, experto en seguridad.
Ambos protocolos suelen utilizar componentes del sistema de Infraestructura de Clave Pública (PKI), un área prometedora en seguridad electrónica. "SSL, por ejemplo, utiliza una clave, generada por una PKI, para que los ordenadores que se conectan comprueben su identidad", alecciona el experto. La infraestructura PKI usa criptografía para generar claves, certificados y firmas digitales que autentican a personas, máquinas y otros, antes de establecer comunicación segura con ellos. "Una vez despegue, será la joya de la corona ya que puedes introducirla en el resto de aplicaciones: SSL, VPN, correo cifrado..", asegura Martín Mas.
Quien es quien
Empresas y gobiernos tienen los ojos puestos en la infraestructura PKI, también llamada de Firma Digital. Su base son los certificados, documentos electrónicos donde una autoridad -un banco, un estado, un supermercado- da fe de que su poseedor es quien dice ser y suyas son las claves de cifrado que usará para la comunicación, cumpliéndose las premisas de autenticación, confidencialidad, integridad y no repudio de la información. Los certificados con que se compra por Internet vienen preinstalados en los navegadores y se activan al contactar con un "servidor seguro" que tiene un certificado de la misma "marca".Los gobiernos son grandes impulsores de la PKI, con interesantes aplicaciones como la declaración de la renta en línea, que el año pasado hicieron más de 26.000 personas, o el futuro DNI electrónico, una tarjeta inteligente que guarda en su chip el certificado y las claves criptográficas del ciudadano o ciudadana. En este caso, como en el del notariado o los bancos, que trabajan en un certificado estándar para interoperar con empresas, el usuario debe solicitarlo expresamente y demostrar su identidad. Es lo que se llama Firma Digital Avanzada.
En la Universidad de Málaga imaginan usos futuristas, como el exámen seguro a través de Internet, uno de los proyectos de fin de carrera de la Escuela Superior de Ingeniería Informática: "Mientras el examinador se encuentre en una habitación, las personas que van a ser evaluadas pueden estar dispersas en distintas aulas y sitios geográficos, sólo con una persona encargada de vigilarlos", explica su autor, Mariano Jesús Pérez García. Los certificados se usan aquí para autenticar a los alumnos y los exámenes viajan cifrados, así como las preguntas particulares que se hagan al examinador.
Este campo, llamado criptografía a nivel de aplicación, "tiene un enorme potencial de crecimiento", según Andreu Riera, CEO de la empresa SCYTL. La votación y el juego seguros son sus productos estrella. En la votación, los certificados prueban la identidad del votante, mientras la criptografía asegura su anonimato y que nadie pueda espiar ni manipular el voto. En el juego electrónico, aparece un nuevo nivel de dificultad: el dinero, en un escenario donde nadie ve al resto de jugadores ni empleados del casino, sin fichas físicas, garantizando el pago seguro y, por supuesto, el juego limpio.
La criptología goza de un dulce futuro que describe Andreu Riera: "Creo firmemente en el "pervasive computing" (informática envolvente), en un futuro más próximo de lo que la gente imagina. Como consecuencia directa, allí tendremos "pervasive cryptography". La evolución del sustrato de comunicación hacia los entornos inalámbricos, junto al predominio de redes abiertas frente a sus antecesoras cerradas, combinado con el crecimiento de la sensibilidad y la importancia de las transacciones que se realicen digitalmente, lleva de forma inevitable a la necesidad del uso de la criptografía".
Herramientas para la privacidad
http://www.epic.org/privacy/tools.html
StopCarnivore
http://www.stopcarnivore.org
Anonymizer
http://www.anonymizer.com
PGP
http://www.pgpi.org
Hushmail
http://www.hushmail.com
GnuPG
http://www.gnupg.org/es
DNI electrónico
http://www.cert.fnmt.es
Exámenes seguros
http://www.criptored.upm.es/investigacion/examenes_seguros.htm
CriptoRed
http://www.criptored.upm.es
Sctyl
http://www.scytl.com
CriptoLab
http://tirnanog.ls.fi.upm.es
CryptoRights Foundation
http://www.cryptorights.org/
MundoCripto
http://MundoCripto.come.to
CriptoZona
http://www.dat.etsit.upm.es/~mmonjas/cripto
Kriptópolis
http://www.kriptopolis.com
Criptonomicón
http://www.iec.csic.es/criptonomicon
Seguridad en la red
http://seguridad.internautas.org/criptografia.php
Introduction to Cryptography
http://www.ssh.fi/tech/crypto/intro.html
Cryptography FAQ
http://www.faqs.org/faqs/cryptography-faq