Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Ayuda Periodística (RC5-64)

Última Actualización: 25 de Mayo de 1.998 - Lunes

Los mensajes que siguen sirvieron como base al artículo
publicado en el CyberPaís del 14 de Mayo de 1.998.


Message-ID: <35015E0A.5FA2@argo.es>
Date: Sat, 07 Mar 1998 15:47:38 +0100
From: Jesús Cea Avión <jcea@argo.es>
To: rc5@arnal.es
Subject: Re: [rc5] Re: Ayuda periodistica
References: <3.0.3.32.19980306171004.0069801c@samedi>

> He recibido este mail.
> Alguien me echa una mano con las respuestas?

Lo intentaré, aunque ahora mismo no esté en mi mejor momento :)

>-¿que es esto del DES? ¿De que son las siglas? ¿I el DES-II? Por lo
> que he leido, creo entender que el 23 de febrero se encontro el mensaje
> encriptado con DES 56-bits y que ahora estais buscando desencriptar el DES 64-
> bits. ¿Pero, que es esto de los DES 56 y 64 bits? ¿A que se refiere? Y,
> para complicarlo mas, vosotros hablais en vuestra pagina del RC5-64.
> ¿Esto que es??? Socorro!! ;)

Estás confundiendo cosas. DES significa DATA ENCRYPTION STANDARD, y es un sistema de cifrado estadarizado en USA desde finales de los 70, si no recuerdo mal. DES consta de claves de 56 bits, lo que hace unas 2^56 claves posibles = 7.2*10^16. En un pequeño ordenador, capaz de comprobar un millón de claves por segundo, chequearlas todas para descifrar un mensaje supondría unos 2284 años como máximo. En un esfuerzo distribuido mundial como el del RC5, con decenas de miles de máquinas trabajando en el problema, el tiempo se reduce a semanas. De hecho el último reto DES, que recorrió el 90% del espacio de claves, supuso 36-39 días, si no recuerdo mal.

Ello da que pensar respecto a la seguridad del DES ante enemigos con recursos suficientes para fabricar, por ejemplo, máquinas especializadas: gobiernos, agencias gubernamentales, multinacionales...

Es por ello por lo que la compañía RSA (http://www.rsa.com/) saca, cada 6 meses o así, un texto cifrado con DES y reta al mundo a descifrarlo. Con ello pretende demostrar que 56 bits son insuficientes para cualquier propósito serio.

RC5 es otra cosa. RC5 (Rivest Cypher 5, en honor a su autor) no tiene una longitud determinada de clave, sino que permite gran flexibilidad a la hora de fijar los parámetros. El problema es que el gobierno EE.UU. declara ilegal la exportación de criptosistemas con una clave mayor de 40/56/64 bits, según las circunstancias. El objetivo de los retos RC5, al igual que los retos DES, es demostrar que esas longitudes de claves son insuficientes para cualquier aplicación seria, como comercio electrónico, por ejemplo.

El RC5-40 bits cayó en unas 3 horas y media.

El RC5-56 cayó en unos pocos meses de esfuerzo.

El RC5-64 es el que está siendo "forzado" en estos momentos, a buen ritmo, si bien cuando aparecen los retos DES (el próximo será en Junio/Julio) el RC5 se detiene para redirigir todos los esfuerzos a éste último, hasta que caiga.

>-¿Vosotros tambien estabais intentando descifrar la clave DES de 56
> bits?

Desconozco qué haría el resto de la gente, pero mis máquinas siguieron machacando claves RC5-64 todo el tiempo. Yo no "conmuté".

>¿En que puesto quedasteis? ¿Y como se calcula aqui en el puesto que
> quedas? ¿Segun que?

Los puestos están en función del número de claves que eres capaz de comprobar. Cuantas más claves chequeas, más arriba. En ese sentido el ranking da una idea de la potencia de cálculo que cada equipo dedica a la tarea. Que seas el más rápido no significa que seas el agraciado final. La clave que buscas es aleatoria, y puede darse el caso de que sea la primera clave que compruebes y ganes, aunque el equipo del edificio de enfrente haya comprobado ya 10 billones de claves. Si eres más rápido tienes más posibilidades, pero la estadística es caprichosa.

>-Ahora estais en lo de la clave DES de 64 bits, ¿no? Desde cuando
> trabajais en ello? ¿Cuanto tiempo os han dado?

El DES es 56 bits, y sale un reto nuevo cada 6 meses. Lo que estamos machacando ahora es RC5-64. Estamos trabajando en él desde Noviembre, si no recuerdo mal. No hay tiempo límite.

>-¿Para que sirven estas competiciones de desencriptar? ¿Que utilidad
> tiene para la gente corriente? ¿Para que se usan estas claves? ¿Estan aun
> en fase de experimentacion o ya funcionan en el mundo comercial? ¿Y para
> que?

Como ya he dicho antes, el objetivo, aparte de la diversión y rivalidad, es conseguir demostrar que claves tan cortas son vulnerables a ataques por parte de enemigos con recursos suficientes. De esta forma tal vez se pueda convencer a gobiernos tales como EE.UU. para que permita exportar programas con claves más largas. Es una paradoja que dentro de EE.UU. se usen 128 bits, y que el SSL de Netscape para la exportación sólo tenga 40 bits, por ejemplo. Uno tiembla sólo de pensarlo.

De cara al usuario particular, estos retos promueven el uno de cifrados de calidad, que el usuario emplea (sin ser consciente de ello) en la banda magnética de su 4B, en las transacciones electrónicas que realiza en la red, en la privacidad de su correo electrónico, en la seguridad de las bases de datos que mantienen información confidencial sobre todos nosotros, en los antirobo de nuestros coches y hasta en el cifrado de los canales de televisión de pago.

El código personal de tu tarjeta de crédito está guardado, cifrado, en la banda magnética. Si pierdes la tarjeta, o te la roban, significa que un ladrón con los recursos suficientes puede encontrar tu PIN en cuestión de segundos. Ello es debido a que el cifrado que se utiliza dista mucho del "estado del arte" actual. Estas situaciones no pueden tolerarse, y más si se dispone de tecnología mejor pero está "prohibido" usarla.

>-¿Como se hace para desencriptar una clave de estas? ¿Teneis un
> programa que funciona en diferentes computadores que trabajan en paralelo?
> ¿Como funciona exactamente?

Sí, es un programa funcionando en decenas de miles de ordenadores por todo el mundo. Cada programa se hace cargo de un pequeño número de claves (sigamos mil millones), las comprueba y luego se conecta a otro ordenador "coordinador" para decirle "éstas no son" y pedir un bloque nuevo.

Una clave se sabe si es correcta o no descifrando un texto cifrado (el reto) y obteniendo con ello un texto prefijado y conocido.

>-¿Y para encriptarlo, como lo han hecho? He leido en alguna parte
> que es una "randomly generated key", ¿que quiere decir esto?

Supongamos que el texto a encontrar es "lo has encontrado". RSA genera una clave al azar, de 64 bits, y cifra ese texto, dando un resultado tipo "ftbhgunh7j768", por ejemplo. La clave utilizada se borra inmediatamente. El segundo texto es el que se publica, y el reto es encontrar la clave aleatoria utilizada.

>-¿Desde cuando se organizan estas competiciones? ¿Participa gente de
> todo el mundo? ¿Cuantos equipos hay? ¿Los que participan son todos
> hackers y cypherpunks? ¿Lo sois vosotros? (que me vas a decir! ;)

Los retos tendrán cosa de un año largo y sí, participan equipos de todo el mundo. El número de personas y equipos varía cada día, pero siendo nosotros de los primeros (nos unimos unos tres días después de iniciarse el reto) y siendo los 359 en orden de llegada, es seguro decir que hay varios miles de equipos compitiendo, formados por decenas de miles de personas.

En cuanto a lo que nos mueve a cada uno, eso lo tendrá que decir cada persona. Personalmente soy un defensor de la intimidad y seguridad en la red, un criptólogo aficionado y, por tanto, me interesa probar que los "recortes políticos" a la tecnología de cifrado no garantizan la seguridad y sólo contribuyen a dar una sensación de fiabilidad irreal.

>-¿Lo haceis por el premio o por orgullo?

El premio son unos 10.000 dólares, de los cuales 9.000 son donados al proyecto Gutenberg, si no recuerdo mal. El proyecto Gutenberg pretende pasar a formato electrónico textos literarios sin copyright (textos del siglo pasado, por ejemplo) o textos donados, de forma que toda persona tenga acceso a ellos sin verse impedida por la inexistencia de libros, por su localización geográfica remota, etc. Es una lástima que, hasta ahora, no exista un "Proyecto Cervantes" encargado de recuperar la literatura de habla hispana.

Los 1.000 dólares restantes se invertirán en lo que se decida entre todos, si resultamos ganadores. Algunos pensamos que no estaría mal organizar una cena, por ejemplo, para conocer cara a cara a tus compañeros de equipo.

En todo caso el premio en metálico tiene un carácter puramente simbólico. Las personas que dedican su tiempo a esta tarea lo hacen "por amor al arte".

>-¿Y por que os llamais eÑe Power?

El nombre del equipo ha ido cambiando a medida que lo ha hecho el carácter de sus miembros. Al principio éramos "Proveedores de Internet Españoles", pero en estos momentos damos cabida a muchas más entidades: particulares, revistas, universidades... Lo de eÑe Power es un guiño gracioso para, por un lado, posibilitar que aparezca una eñe en nuestro nombre a pesar de estar escrito en inglés. Por otra parte es una seña de identidad y una muestra de afecto hacia el único idioma (el gallego también tiene ñ) que tiene esa letra.

>Por cierto: ¿esta actualizada la pagina de web donde aparecen los
> miembros del grupo y su equipo? ¿falta alguien?

Falta mucha gente. Me conta que la mayor parte de los miembros del grupo, aunque tal vez no el grueso de la potencia, no está representada. Es algo a subsanar en cuanto me recupere de la fractura de mi brazo derecho, en un mes o mes y medio. Con la izquierda me es imposible trabajar. Escribir este mensaje es ya un martirio.

Puedes encontrar información sobre los retos en http://www.distributed.net/ y http://www.rsa.com/, además de mi página y la de Arnal.

http://www.argo.es/~jcea/artic/cripto.htm
http://www.arnal.es/rc5/


Message-ID: <3502C66C.3B64@argo.es>
Date: Sun, 08 Mar 1998 17:25:16 +0100
From: Jesús Cea Avión <jcea@argo.es>
Subject: Re: [rc5] Re: Ayuda periodistica
References: <3.0.3.32.19980306171004.0069801c@samedi> <35015E0A.5FA2@argo.es>

Algunas precisiones a mi propio mensaje anterior:

> que recorrió el 90% del espacio de claves, supuso 36-39 días, si no
> recuerdo mal.

39 días y pico. Se consideran 40 como base al próximo reto DES, en Julio.

> >-Ahora estais en lo de la clave DES de 64 bits, ¿no? Desde cuando
> > trabajais en ello? <Cuanto tiempo os han dado?
>
> El DES es 56 bits, y sale un reto nuevo cada 6 meses. Lo que estamos
> machacando ahora es RC5-64. Estamos trabajando en él desde Noviembre, si
> no recuerdo mal. No hay tiempo límite.

Para los retos RC5 no se fija tiempo, pero los retos DES se "premian" en función de la velocidad con la que se encuentre la clave. Es decir, cuanto más rápido, más se cobra. Además, el tiempo que se tarde se tiene en cuenta a la hora de proponer el siguiente reto, de forma que se pretende incrementar la velocidad de búsqueda reto a reto.

> Una clave se sabe si es correcta o no descifrando un texto cifrado (el
> reto) y obteniendo con ello un texto prefijado y conocido.

Aquí metí la pata. El texto a descifrar, desconocido, se cifra mediante CBC, con un vector inicial aleatorio, y anteponiendo el siguiente texto conocido: "the unknown message is:". Todo esto se explica en la página RSA.

> >-¿Lo haceis por el premio o por orgullo?
>
> El premio son unos 10.000 dólares, de los cuales 9.000 son donados al
> proyecto Gutenberg, si no recuerdo mal. El proyecto Gutenberg pretende
> pasar a formato electrónico textos literarios sin copyright (textos del
> siglo pasado, por ejemplo) o textos donados, de forma que toda persona
> tenga acceso a ellos sin verse impedida por la inexistencia de libros,
> por su localización geográfica remota, etc. Es una lástima que, hasta
> ahora, no exista un "Proyecto Cervantes" encargado de recuperar la
> literatura de habla hispana.
>
> Los 1.000 dólares restantes se invertirán en lo que se decida entre
> todos, si resultamos ganadores. Algunos pensamos que no estaría mal
> organizar una cena, por ejemplo, para conocer cara a cara a tus
> compañeros de equipo.

Según la propia web de distributed.net, todavía no se ha decidido cómo distribuir el premio, aunque su idea es donar 8.000 dólares para el proyecto Gutenberg, 1.000 para el equipo ganador y 1.000 para la propia distributed.



Python Zope ©1998 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS