sábado, 26 de abril de 2008

El peligro de la aleatoriedad

Los criptógrafos han descubierto que la aleatoriedad de las claves que sirven para encriptar documentos podría en realidad convertirse en su punto débil.

Adi Shamir, del Weizmann Institute of Science de Israel e inventor del conocido sistema de encriptación por clave pública usado por la RSA, y el británico van Someren, de nCipher, han descubierto que la aleatoriedad podría no ser un sistema totalmente óptimo en la generación de claves privadas.

Hasta ahora se sabía que cuanto más aleatoria era una clave privada, más difícil era acceder a archivos encriptados. Esto es cierto, pero sin embargo, de la misma manera, si buscamos en nuestro disco duro fragmentos de información particularmente aleatorios, tendremos muchas probabilidades de haber descubierto las claves almacenadas en él.

La mayoría de programas organizan los datos en una especie de estructura de niveles, de manera que los bloques que carecen de aleatoriedad pueden ser detectados con la misma facilidad que un ojo humano puede distinguir entre una buena imagen de televisión y otra que posee muchas interferencias. De esta forma, aunque las claves ocupen apenas 1 Kbyte de memoria, podrían ser descubiertas en un disco duro de 10 gigabytes en menos de 40 minutos.

De hecho, sería posible escribir un programa que busque en el disco de forma automática y que envíe las claves al agresor. Uno de estos programas puede ser introducido fácilmente por un virus, el cual podría actuar, por ejemplo, sólo cuando funcionase el salvapantallas, haciéndolo muy difícil de detectar por el usuario del ordenador.

Visto lo anterior, parece evidente que no podemos dejar nunca nuestras claves en un medio que no sea totalmente seguro, ya que siempre habrá una mínima posibilidad de que alguien consiga descubrirlas. Aunque un buen programa de encriptado hará lo propio con la clave antes de almacenarla, aún podría permanecer en el disco un archivo temporal con dicha clave sin encriptar, convirtiendo en vulnerable a nuestro ordenador.
(New Scientist)

No hay comentarios: