La seguridad de GSM se tambalea

Dos criptógrafos israelíes aseguran ser capaces de descifrar ¡en
menos de un segundo! las conversaciones protegidas con el algoritmo
criptográfico A5/1 de GSM, el estándar europeo de comunicaciones
móviles digitales y de otros muchos países, que cuenta con más de 200
millones de usuarios en todo el mundo.
Grandes compañías y gobiernos en todo el mundo se empeñan en
perseguir la seguridad a través de la oscuridad: consideran que
ocultando los detalles de cómo funcionan sus algoritmos
criptográficos conseguirán aumentar la seguridad global de sus
sistemas. Nada más lejos de la realidad. En estas situaciones, lo que
inevitablemente ocurre es que el desarrollo de los algoritmos de
protección de la confidencialidad se deja en manos de un equipo de
ingenieros y técnicos que lo llevan a cabo de la mejor manera que
saben y que, sin duda alguna, superan con éxito los ataques
convencionales, ofreciendo una seguridad satisfactoria a primera
vista. Sin embargo, para contar con mayores garantías de que un
algoritmo o protocolo es seguro, no basta con que sea revisado por un
equipo de seguridad a sueldo. Es absolutamente imprescindible que se
publique en revistas científicas, siendo accesible a todo aquel
interesado en estudiar su robustez. Sólo así, sometiéndose al público
escrutinio de la comunidad académica, se puede reunir un equipo de
investigación de cientos o miles de expertos que trabajarán durante
meses o años en la búsqueda de fallos y vulnerabilidades (considérese
el caso de DES, sobre el que se lleva más de veinte años publicando
artículos). Ninguna gran empresa ni gobierno puede permitirse una
fuerza humana de semejantes dimensiones. Sólo los algoritmos de
dominio público que superan durante años el análisis e indagación de
profesionales de la criptografía se pueden considerar «seguros», en
la medida en que no se conoce ningún medio de atacarlos (lo cual no
significa que no existan, sino simplemente que en el estado actual de
evolución de las matemáticas, la informática y la teoría de números
no se conocen vías de ataque eficaces).

Microsoft ha protagonizado recientemente varios ejemplos patéticos de
sistemas de seguridad irrisoria desarrollados por la propia empresa,
dando la espalda a algoritmos y protocolos de dominio público
ampliamente extendidos y probados. En consecuencia, algunos de sus
productos, aparentemente seguros porque nadie conoce sus mecanismos
internos, basan su seguridad en unos algoritmos criptográficos
endebles o incluso triviales de resolver, como ha sido el caso, casi
humorístico, de la protección de las contraseñas en máquinas con
Windows CE (www.cegadgets.com/artsusageP.htm), que utilizaban como
algoritmo criptográfico una suma exclusiva XOR de los caracteres de
la contraseña con la palabra Pegasus (nombre de la primera generación
de sistemas operativos Windows CE). El caso de las debilidades de
PPTP, protocolo de «tunelado» punto a punto se para asegurar las
conexiones sobre enlaces TCP/IP, reseñadas por el famoso criptógrafo
Bruce Schneier en http://www.counterpane.com/pptpv2-paper.html, ilustra
nuevamente que el secretismo sólo sirve para retrasar lo inevitable:
el ataque con éxito a un sistema que no ha sido públicamente
estudiado, sino obcecadamente mantenido en secreto.

Por su parte, el estándar de telefonía móvil digital GSM
tradicionalmente ha basado su seguridad en la fórmula oscurantista:
ocultar los algoritmos y difundir mentiras para crear en los usuarios
la sensación de privacidad y confidencialidad. Durante años se han
mantenido en secreto sus algoritmos: A3, para autenticación de
usuarios ante la red; A8, para derivación de claves de sesión; y A5,
para cifrar el contenido de la conversación extremo a extremo. Estos
nombres no son más que etiquetas para denominar a los algoritmos,
cuya elección e implantación detallada queda al libre albedrío de
cada operador en el caso de los dos primeros. Sin embargo, al
suministrarse en el estándar un algoritmo de referencia, el COMP128,
y recomendarse la adopción del mismo algoritmo para facilitar
operaciones como el «roaming», resulta dudoso que existan muchas
redes GSM que hayan desarrollado los suyos propios.

A lo largo de los últimos años han ido saliendo a la luz una serie de
datos, negados sistemáticamente por las operadoras y organismos
encargados del desarrollo de GSM, que han puesto de manifiesto el
engaño y manipulación a que se encontraban sometidos los clientes.

Uno de los más controvertidos fue la constatación de que en las
claves del algoritmo A5, utilizado para cifrar las conversaciones y
preservar así su confidencialidad, teóricamente de 64 bits de
longitud, en realidad sólo se utilizan 54, reduciendo por tanto 1024
veces el tiempo necesario para realizar un ataque de fuerza bruta
sobre él. Este debilitamiento deliberado se conjetura pueda deberse
al afán orwelliano de los gobiernos por espiar a sus ciudadanos,
tarea drásticamente facilitada por esta reducción aparentemente
intencionada en la seguridad de GSM.

Más aún, sin necesidad de limitar el espacio de claves, poco a poco
se fue filtrando información acerca de los algoritmos concretos
utilizados en A3 y A8, que resultaron ser variantes de COMP128, que
posee importantes debilidades y fallos de diseño, como revelaron los
estudios posteriores realizados por un grupo de criptógrafos
(www.scard.org).

La publicación en mayo de 1998 de un artículo acerca de la
posibilidad de clonar tarjetas SIM (que identifican al usuario ante
la red, hecho fundamental para saber a quién cobrar la factura de la
llamada), destapó de nuevo la polémica en torno a la seguridad real o
fingida de GSM. Merece la pena consultar a este respecto el
monumental trabajo de reconstrucción llevado a cabo por Jesús Cea
Avión (www.argo.es/~jcea/artic/gsm.htm), en el que se describe el
ataque y sus consecuencias.

Recientemente (v. art. 3), la noticia hace unos días de que dos
investigadores israelíes, Alex Byriukov y Adi Shamir (uno de los más
reputados criptógrafos del mundo, creador junto a Rivest y Adleman de
RSA, de ahí el nombre del algoritmo), han descubierto nuevos fallos
en la seguridad de GSM que les permiten descifrar las conversaciones
cifradas con A5/1 ¡en menos de un segundo! reabre el debate acerca de
la verdadera fortaleza de GSM frente a escuchas ilegales y uso
fraudulento de sus tarjetas SIM. Organizaciones como la GSM
Association (www.gsm.org) perseveran en la negación de los hechos y
en recalcar la seguridad sin parangón de GSM, ciegos a los esfuerzos
criptoanalistas de investigadores de todo el mundo, que lenta pero
sistemáticamente van obteniendo su fruto.

De momento, la dificultad de reproducir estos ataques, que exigen
costosos recursos computacionales y equipos de telecomunicaciones muy
sofisticados, como los escáneres digitales, de precio muy elevado,
cuando no ilegales en muchos países, está frenando la comisión
generalizada de delitos de escuchas y llamadas fraudulentas a cargo
de otros abonados de la red. Sin embargo, mientras la industria GSM
se empecine en el secretismo y en negar los riesgos reales que
investigadores de todo el mundo descubren regularmente, llegará el
día en que con modestos recursos se podrá escuchar cualquier
conversación o timar a las operadoras y otros usuarios. Entonces los
costes para reparar el boquete serán formidables, por no haberse
querido tapar a tiempo los pequeños agujeros. No habrá que esperar
mucho antes de que se demuestre que el oscurantismo es la mejor
fórmula… ¡para el fracaso más estrepitoso!

Más información:
Cell Phone Crypto Penetrated
Desarrolladores israelíes descodifican
las señales de los teléfonos móviles GSM
Two say they cracked A5/1 encryption code
Researchers claim GSM cell phones insecure