Sobre la polémica de la inseguridad de las claves de cifrado

Recientemente se han divulgado estudios e informaciones que revelan cierta inquietud sobre la fortaleza de las claves de cifrado empleadas como base para la tecnología de PKI.

Para comprender el origen del problema hay que fijarse en el proceso de generación del número primo que actúa como base de la clave privada de un certificado electrónico. En el fondo, la seguridad de una operación de firma o cifrado, reside en la longitud y robustez de este número primo.

Desde hace más de diez años el cálculo de estos números primos, tanto en software como en hardware, se realiza a través del algoritmo de Miller-Rabin, conocido también como test de primalidad. Este algoritmo toma como entrada un número aleatorio y asegura la primalidad de ese número con una probabilidad determinada. Es decir, permite asegurar que un número es primo con un 99,999…% de probabilidad. El número de “nueves” puede ser seleccionado en función del número de iteraciones que ejecuta el algoritmo.

Por tanto, resulta lógico pensar que estadísticamente 1 de cada N números comprobados con este algoritmo no es primo. Y que existen claves privadas de certificados electrónicos que son más sensibles a un ataque de factorización.

DNI electrónico

El DNI electrónico no es ajeno a este problema, ya que el primo de la clave privada es generado  a través del referido test de primalidad de Miller-Rabin mediante el chip criptográfico ST19WL34 incorporado en la tarjeta. He estado intentando averiguar el grado de certeza con el se ejecuta este algoritmo, pero no he encontrado el dato en la documentación técnica del chip ni en la información proporcionada sobre el DNI electrónico. No obstante, resulta lógico pensar que con varios millones de certificados electrónicos distribuidos, existe alguno cuya clave privada no está basada en un número primo y que por tanto las operaciones criptográficas realizadas con este certificado pueden ser descifradas con más facilidad.

Alternativas a Miller-Rabin

Hace muchos años que existen tecnologías que permiten calcular números primos de una manera segura, esto es, sin encomendarse a los designios de la estadística. Como muestra, en el año 1998 realicé una implementación del algoritmo propuesto por F. Morain para el cálculo de números primos robutos (o primos de Gordon) a través de curvas elípticas. Actualmente esta tecnología es conocida como ECC y está disponible tanto en su versión software como en su versión hardware. De hecho, algunas Autoridades de Confianza ya han comenzado a emitir certificados basados en esta tecnología.

Conclusiones

La tecnología basada en PKI sigue siendo la mejor herramienta tecnológica para asegurar la identidad, confidencialidad y no repudio de las operaciones electrónicas. El hecho de que exista alguna probabilidad de que en determinados supuestos la información pueda ser descifrada no implica que el usuario corra un riesgo real, ya que la coincidencia de factores necesaria se asocia más a la casualidad que a la probabilidad. Y por otro lado, como demuestra la evolución de las teorías de hash o la adopción de la criptografía de curvas elípticas, la seguridad sigue avanzando más rápido que las tecnologías de ataque y ruptura de evidencias criptográficas.

Un comentario en “Sobre la polémica de la inseguridad de las claves de cifrado

  1. Yo tambien considero que la tecnología PKI es segura dentro de los parametros que podemos controlar (el usuario final queda descartado). Creo que en general se debería exigir unas mínimas practicas en el desarrollo e implantación del software, de forma que se asegure un resultado final fiable. Como práctica fijemonos en el top 10 de OWASP y analicemos a quien podemos imputar las causas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s