Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/09/2013
Ens fiem dels rusos?
Yago Jesús ens presenta un algoritme d’encriptat ignorat i oblidat per Occident, GOST, i planteja la possibilitat d’utilització segons les notícies sobre la promoció dels algoritmes vulnerables per part de la NSA nord-americana.
Va haver-hi un temps, durant la guerra freda, que tot l’”occidental” tenia la seua rèplica en l’URSS, o tal vegada, a ulls d’un rus, tot el que era rus tenia la seua rèplica a Occident.
En el cas de la criptografia va succeir exactament el mateix, mentres el bloc occidental va implementar els algoritmes que actualment sustenten tota la seguretat en Internet globalment, els genis matemàtics russos van fer la seua pròpia aproximació al problema de xifrar les dades en un món modern.
El resultat de les seues investigacions van ser els algoritmes GOST, tant a nivell xifrat como a nivell funció resum
Addicionalment hi ha implementacions de GOST per a clau pública i clau privada més actuals (2001)basadas en corbes el·líptiques.
Estos algoritmes han sigut literalment ignorats -a propòsit o no- a l’hora de dissenyar la seguretat d’Internet.
No veuràs els algoritmes russos a l’hora de demanar una pàgina sotal SSL, tampoc els veuràs quan uses un certificat digital. Els algoritmes que veuràs són aquells que han sigut apadrinats per Occident.
I ara la pregunta del milió: Però els algoritmes GOST són segurs? Com tot en criptografia és un 'depén'. S’han fet avanços significatius en el criptoanàlisi de GOST -òbviament- però de la mateixa manera que s’han realitzat avanços en pràcticament qualsevol algoritme.
Si consultem els experts, a Bruce Schneier pareix que li convenç: "Against diferential and linear cryptanalysis, GOST is probably stronger than DES" (cita del llibre Applied cryptography)
Es poden consultar informes tècnics sobre la viabilitat de GOST com este.
I per què no s’han inclòs estos algoritmes en SSL/TLS? Esta pregunta li la vaig fer a Ivan Ristic, i em va facilitar un enllaç a un oblidat draft d’un RFC que proposava la seua inclusió. No pareix que s’hagen promogut més iniciatives respecte d’això.
En este sentit cal destacar les moltes fonts que apunten que SSL ja està trencat per part de la NSA
Afortunadament, GOST sí que es troba prou ben implementat en moltes llibreries, OpenSSL té suport per a GOST.
També hi ha llibreries en Perl o Python, amb la qual cosa qualsevol persona pot usar eixos algoritmes en els seus projectes.
Lamentablement este algoritme no es troba disponible, per exemple, en TrueCrypt, ni tampoc en Luks (xifrat de discos per a Linux) o la CryptoAPI de Windows
És hora de plantejar-nos l’ús d’algoritmes no 'tutelats' per EUA/NSA?