Al pilar que sostiene la privacidad de nuestras comunicaciones le ha salido una nueva grieta que vuelve a amenazar la integridad y el secreto que percibimos como seguros. Un golpe a la criptografía bautizado Logjam que demuestra (otra vez) la fragilidad de un sistema vital para la confianza. Veamos en qué consiste Logjam.
 |
| https://weakdh.org/ |
En toda comunicación segura existe un momento crítico al principio de la conexión. Ambas partes han de ponerse de acuerdo en la clave que van a utilizar para el uso de cifrado simétrico. El problema no era sencillo, más teniendo en cuenta que el medio por el que iban a viajar los mensajes para coordinar la elección de dicha clave era y es hostil: Internet.
A mediados de los años setenta, aparte del éxito de las patillas de hacha y los pantalones de campana, unos científicos propusieron un método de intercambio de claves, aunque sería más apropiado decir «método de acuerdo de clave compartida«, para solucionar el problema de intercambio inicial de mensajes entre dos partes a través de un canal inseguro. El método se conoce popularmente como Diffie-Hellman(si, suena a dúo de folk rock de los años 60), nombre derivado de sus autores: Whitfield Diffie y Martin Hellman. Según este último habría que añadir a Ralph Merkle como coautor del protocolo.
La base de este protocolo se basa en la dificultad de cálculo del logaritmo discreto de la forma g^a mod p, es decir, averiguar ‘a‘. Su análogo sería el problema de factorización de números primos que forma la base del algoritmo de clave pública RSA.
Diffie-Hellman se asienta en la forma que hemos visto: g^a mod p. Donde g y p son valores conocidos por ambas partes, es decir, no son valores secretos y pueden ser conocidos por todos. p es un número primo relativamente grande y g es una base matemáticamente relacionada con p (no vamos a profundizar en detalles). Pues bien, aun conociendo g y p, existe una dificultad computacional en hallar el exponente ‘a‘, que es el secreto que va a añadir cada una de las partes.
La parte Alfa enviará a Bravo un valor que será A = g^a mod p. De manera correspondiente Bravo enviará a Alfa su contraparte: B = g^b mod p.
Ahora cada una de las partes tiene un valor que contiene el componente secreto de la otra.
La «magia» de todo esto es que volviendo a aplicar la fórmula sobre los valores intercambiados, ambos tendrán el mismo número, que llamaremos S:
Alfa hará esto:
S = B^a mod p
Bravo por su parte:
S = A^b mod p
Ese número ‘S‘ será la clave «elegida» por ambos. Observemos que en ningún momento ‘S‘ ha sido enviado por el canal, se trata de una derivación que ambas partes pueden hallar de manera común aplicando sus respectivos secretos sobre resultados «imposibles» de computar…hasta hoy…
Entonces llegó un grupo de investigadores de varias universidades junto con gente de la división de investigación y desarrollo de Microsoft. Pensaron que sería buena idea echarle un vistazo a esa tecnología setentera y ver como aguanta los avances en potencia de cálculo y algoritmos de 2015.
En primer lugar se las ingeniaron para lograr un nuevo ataque que degrada las conexiones TLS al uso de Diffie-Hellman en su versión «exportable» (DHE_EXPORT). Esta versión era la que estaba autorizada en los años 90 por la administración Clinton para productos que usaran tecnología de cifrado. Cómo no, esta versión usa primos de hasta 512 bits, una longitud que veremos es insuficiente. Con este ataque, que recuerda poderosamente a FREAK, se aseguraban que las conexiones seguras de una gran mayoría de clientes y servidores usarán Diffie-Hellman con 512 bits.
El siguiente paso era obtener una «base de datos» de cálculos ya efectuados de los primos más usados de 512 bits para esa versión descafeinada de Diffie-Hellman. Con los recursos de cálculo de una universidad, tardaron un par de semanas en obtener estas tablas precalculadas para los dos primos de 512 bits más usados.
Esos dos primos de 512 bits por cierto, son los usados por el servidor Apache y su módulo SSL (mod_ssl). Como ponen de ejemplo, el 8% del índice Alexa del top 1M HTTPS permite o soporta el uso de DHE_EXPORT y usan uno de estos dos primos de 512 bits en un 92% de casos.
Ahora ya solo les queda «escuchar» el resultado de g^a mod p, preguntar en su base de datos y calcular ‘a‘. Cuando obtienen la forma derivada g^ab mod p, donde ‘ab‘ es la clave usada ya poseen el secreto para descifrar las comunicaciones.
Esto es un resumen a muy alto nivel del ataque. Os invitamos a leer la publicación del grupo de investigadores disponible aquí.
Algo que no pasó por alto al grupo era preguntarse hasta que punto era posible utilizar la misma técnica para valores de 768 y 1024 bits. Básicamente admiten que 768 bits puede alcanzarse de manera realista con una potencia de cálculo distribuido disponible en empresas y universidades y dejan los 1024 bits para organizaciones con muy buenos recursos y dedicados a estos menesteres de manera profesional, léase, la NSA por ejemplo.
No solo lo mencionan en la publicación que describe Logjam. El grupo de investigadores correlacionan directamente las filtraciones de Edward Snowden con la capacidad de la NSA para descifrar comunicaciones VPN usando este tipo de ataque. Casi nada.
¿Qué hacemos ahora? No nos queda otra opción. Es siempre la misma. Parchear y seguir adelante. Este no va a ser el último ataque a la criptografía, al secreto de las comunicaciones y a nuestra privacidad. Esto es una piedra más en el camino como tantas otras piedras llamadas FREAK, CRIMEo POODLEy las que quedan por venir.
Por cierto, a los descubridores se les ha olvidado algo «importantísimo«. Logjam no tiene un logo molón.
Más información:
Logjam
Imperfect Forward Secrecy:How Diffie-Hellman Fails in Practice
una-al-dia (03/03/2015) FREAK, un nuevo ataque a SSL/TLS
una-al-dia (15/10/2014) SSL tocado y hundido
una-al-dia (07/08/2013) Ataque BREACH, la seguridad HTTPS comprometida en 30 segundos
David García
Twitter: @dgn1729
«Por cierto, a los descubridores se les ha olvidado algo «importantísimo». Logjam no tiene un logo molón.» LOL … en serio, hay algo importante que resaltar, que la capacidad de cálculo para predecir esos números primos no está al alcance de cualquiera. Y solo hay poco tiempo antes de la negociación de cifrado. por lo que el 99% de los niños de internet se puede quedar sin jugar.
Muy bueno el artículo.
Siempre tuve un ligero mosqueo sobre cómo se iniciaba el diálogo de algo tan «seguro»…
Saludos y gracias por vuestro trabajo.