Todo comenzó en 2004 y 2005, cuando la criptoanalista china Xiaoyun Wang sorprendió a la comunidad de criptógrafos del mundo al descubrir debilidades en el algoritmo “Secure Hash Algorithm-1” (SHA-1), el “estándar de oro” usado para encriptar casi todas las transacciones bancarias, firmas digitales y el almacenamiento de passwords, entre otras cosas.

Este tipo de algoritmos convierten archivos de casi cualquier longitud en una línea fija de unos y ceros. Luego, esta línea es “barajada” en múltiples ciclos, manipulada y condensada o expandida para producir el resultado final, llamado “hash“.

Bajo la norma SHA-1, se creía que la única manera de encontrar dos archivos que produjeran como resultado el mismo hash requeriría millones de años de trabajo computacional, pero Wang descubrió un atajo, logrando el primer ataque al SHA-1.

Como consecuencia nació el SHA-2, que son básicamente modificaciones del SHA-1 que se considera que siguen siendo vulnerables.

Después de esta revelación, en 2007 se organizó una competencia para elegir al sucesor – el SHA-3 – en una carrera organizada por el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST).

El envío de propuestas cerró en 2008, cuando el NIST había recibido unas 64 ideas de algoritmos de distinta calidad, que fueron examinadas hasta que en agosto de 2010 se redujo el número a 14. Ahora, el NIST anunció [PDF] que ha bajado más la cifra, a sólo 5 finalistas, dejando fuera a propuestas de grandes de la industria como IBM, France Telecom y Sandia National Laboratories, entre otros.

La decisión se tomó no sólo en base a la fortaleza de la seguridad de los algoritmos, sino también considerando la diversidad de diseño de los mismos, aseguró el NIST.

Finalistas

Entre los finalistas están BLAKE, un algoritmo creado por la compañía Nagravision en Suiza; Skein, creado por el experto en seguridad estadounidense Bruce Schneier; Keccak, diseñado por un equipo belga; Grøstl, diseñado en colaboración de las universidades de Graz en Austria y la Universidad Técnica de Dinamarca; y JH, creado por el criptógrafo singapurense Hongjun Wu.

Los equipos tienen hasta el 16 de enero para hacerle los últimos ajustes a sus algoritmos. Luego, se dará un año de plazo para que cualquier criptógrafo intente encontrar problemas en los algoritmos propuestos. En base a estos análisis, NIST elegirá al ganador a fines de 2012.

La idea de crear una competencia para elegir el estándar se inspiró en lo que hizo el gobierno de Estados Unidos con el Advanced Encryption Standard (AES), sistema de cifrado usado por ese país que fue elegido de forma similar.

“Hay un acuerdo general en que la competencia de AES realmente mejoró lo que la comunidad investigadora sabía sobre el cifrado en bloques. Creo que en el mismo sentido aquí estamos aprendiendo mucho sobre las funciones de hash”, afirmó William Burr, del NIST.

Queda esperar hasta 2012 para conocer quién será el nuevo “súper hash”, rey de la seguridad informática.

Links:
- Cryptographers chosen to duke it out in final fight (New Scientist)
- NIST

cc (Adam Feurer)

El nuevo episodio de la serie “Wikileaks contra el Imperio” bien podría llamarse “El archivo encriptado”. Y contaría esta historia: Si detienen a Julian Assange, o cierran las operaciones en Internet de Wikileaks, el mundo conocerá muchas verdades sobre la prisión de Guantánamo o el desastre ecológico causado por BP en el Golfo de México.

Con las tecnologías y el avance del tiempo todo cambia, así que nada de guardar estos documentos en una caja fuerte de un banco suizo, ni nada por el estilo: El director de Wikileaks, Julian Assange, ha decidido “poner a salvo” su pellejo, utilizando como garantía la información guardada en un archivo cifrado en la Red.

Según publicó este domingo el periódico británico The Sunday Times, uno de esos ficheros, el llamado “insurance.aes256”, ya ha sido descargado por decenas de miles de seguidores de la polémica web de revelaciones en todo el mundo.

Aseguran en el citado periódico que este “misterioso archivo” podría contener todos los secretos de Guantánamo, y que solo serán revelados en caso de que a Assange “le ocurra algo”.

Fuentes de Wikileaks aseguran que tienen en su poder otros ficheros, incluyendo un vídeo sobre un ataque aéreo estadounidense en Afganistán en el que murieron civiles, entre otros, que también podrían hacerse públicos en caso de un ataque a la web o a su director.

Recordemos que Assange es requerido por la justicia sueca con relación a supuestos delitos sexuales y, según les contábamos ayer, sus abogados podrían estar “negociando” su entrega en los próximos días.

EEUU desestima el archivo

Un elemento interesante, para llamarlo de alguna forma, es que el Departamento de Defensa estadounidense se habría pronunciado para restarle importancia al archivo que Assange coloca como “garantía” a su integridad física y la de Wikileaks.

Según The Sunday Times, fuentes del gobierno norteamericano habrían dicho que conocían la existencia de este archivo de seguridad, y que ha estado disponible para la descarga en Wikileaks desde el mes de julio.

Y es que la idea es esa: Miles de personas han descargado los archivos, disponibles en la web desde hace meses, pero las claves para abrir los mismos se publicarán automáticamente solo en caso de que a Assange o a Wikileaks “les pase algo”. Son entonces una suerte de “seguro de vida”.

Honestamente ahora me parece de lo más interesante el contenido de dicho archivo, porque si el Gobierno norteamericano se ha tomado la molestia de “restarle importancia” al mismo, lo que está por destaparse podría ser de dimensiones inimaginables… ¿No les parece?

Link: Assange cuelga en Internet nuevos datos encriptados de Guantánamo y BP (ABC)

La clave de cifrado se genera aleatoriamente, con la entrada de números proporcionada por el usuario combinada con el hashing realizado dentro de la unidad.

La unidad está protegida con un par de tornillos, que son difícil de quitar sin un desatornillado especializado y posee una cubierta anti-golpes para proteger el disco duro de 250, 320 o 500GB.

Apricorn es una empresa que ha desarrollado tecnología de seguridad para discos duros, aparte de Aegis Padlock, cuenta con modelos biométricos y basados en software.

El Aegis Padlock de 500GB 128-bits está disponible por USD$139.00, mientras que el modelo DE 256-bits se vende por USD$159.00.

¡Clave incorrecta!, lo sentimos este dispositivo no tiene la opción “Forgot your Password?”.

Link: Apricorn padlocks a hard drive (TGDaily)