Liher Elgezabal: "la criptografia és art i ciència d'una banda"
Hola Liher, estàs treballant a Londres. Com?
El motiu principal per a venir a Londres va ser la curiositat. Sóc molt aficionat a Linux i al programari lliure i, com en aquella època l'ús d'aquesta mena de programari era bastant limitat, vaig decidir venir a l'estranger. Des de llavors he estat treballant a Londres i Nova York i he tingut l'oportunitat d'estudiar.
Què és el que feu en Micromuse? I què és exactament el que tu fas?
Micromus desenvolupa programari. Realitzem aplicacions per a monitorar la seguretat de les xarxes de dades en temps real i són utilitzades per grans empreses de telecomunicacions per a controlar xarxes gegants.
Jo treballo en el departament de control de qualitat de programari, buscant errors de programació i seguretat dels nostres programes. Estic desenvolupant un cercador d'errors que el faci automàticament.
En el tema de la criptografia, aquesta sensació de seguretat en les comunicacions per ordinador és falsa, no? És fàcil detectar els missatges que circulen per la xarxa?
Lamentablement, avui dia la seguretat està totalment en mans dels usuaris, ja que internet no ofereix cap seguretat.
En el correu ordinari, si s'envia el missatge sense sobre, el correu podrà llegir els missatges. El mateix ocorre amb el correu electrònic.
El desplegament de xarxes ha facilitat molt la comunicació però no tenim cap control de la xarxa, és a dir, del canal de comunicació.
És habitual detectar missatges? Quines són les principals raons?
Des que existeix l'escriptura, l'home ha tractat de detectar missatges escrits. Les raons poden ser molt diferents, des de la mera curiositat fins a les raons econòmiques, polítiques o militars. La informació sempre ha estat un recurs molt valorat.
La majoria de les comunicacions actuals es transmeten i emmagatzemen de manera digital, la qual cosa facilita enormement la captura, còpia, filtrat i altres processos automatitzats de dades.
La nostra informació personal, historial clínic, moviments bancaris, llista de trucades telefòniques, etc., estan emmagatzemats de manera digital i aquesta informació està generalment dispersa per la xarxa. Això incideix en la necessitat de protegir adequadament la informació.
Pot pensar-se que, sent un un usuari normal, ningú podrà detectar els seus missatges o que si els detecta li és igual.
Encara que el valor de la nostra informació sigui petit, és molt estrany enviar una carta sense sobre. Ens sentiríem observats perquè som conscients que la carta ha de passar per diversos mitjans. Una persona genera més desconfiança que una màquina, però hem de recordar que darrere de totes les màquines hi ha persones.
La privacitat és un dret legalment protegit en la majoria dels països. No obstant això, les institucions que les creen són les que més atempten contra aquest dret. Si la llei no ens protegeix, hem de protegir-nos de les matemàtiques.
I si vols que els teus missatges siguin llegits per un destinatari concret, i no per un altre, és necessari recórrer a la criptografia?
En principi sí, mentre el canal no sigui segur, haurem de protegir d'alguna manera el missatge, i per a això la via és utilitzar la criptografia. De fet, és alguna cosa que sempre s'ha fet.
Juli Cèsar guardava els seus missatges amb un codi determinat per a fer-los incomprensibles per als seus enemics. Al mateix temps, l'escriptor de la Celestina va ocultar la seva identitat entre les línies del llibre per a defensar-se.
Avui dia, gràcies a la capacitat dels ordinadors, s'utilitzen complexes funcions matemàtiques per a xifrar i ocultar missatges.
Què és la criptografia? En què consisteix?
La criptografia és art d'una banda i ciència per un altre. L'objectiu és fer incomprensibles textos, sons, imatges o qualsevol altre tipus d'informació.
La criptografia es basa en la realització de transformacions sobre el text original, modificant la posició de les lletres (desplaçament) o substituint (substitució). Per exemple:
elhuyar --- (intercanviant per parelles) --- leuhayr
elhuyar -- (alfabèticament + 3) --- hñkybdu
Un algorisme de criptografia defineix com es duen a terme aquestes transformacions. Els algorismes utilitzats actualment són públics i coneguts. Aquests algorismes transformaran la informació d'una manera o una altra en funció d'una variable. Aquesta variable es denomina clau. La seguretat del criptosistema és clau, no en el propi algorisme.
Existeix un únic sistema de xifrat de missatges? Quina diferència hi ha entre sistemes?
Com hem esmentat, necessitem una clau per a xifrar els nostres missatges i mantenir la clau en secret. Segons aquesta clau es distingeixen dos sistemes de criptografia diferents.
La criptografia simètrica utilitza la mateixa clau per a xifrar i desxifrar el missatge.
Imaginem que tenim una caixa de seguretat en la qual volem guardar els nostres secrets. El pany es tanca mitjançant una combinació de 3 dígits. Si hem utilitzat la combinació 0-7-4 per a tancar-la, haurem d'utilitzar la mateixa combinació d'estès.
La criptografia asimètrica, no obstant això, utilitza claus addicionals per a xifrar i desxifrar els missatges. Una clau només pot desxifrar el que xifra altra i viceversa.
Suposem que en dissenyar la caixa de seguretat hem fixat que la suma de les dues claus ha de ser 8-0-0 i que aquesta dada només el coneixem nosaltres. Si hem utilitzat la combinació 2-0-0 per a tancar la caixa de seguretat, haurem d'utilitzar la combinació 6-0-0 per a expandir.
Mitjançant aquest sistema, la clau de xifrat (en aquest cas 2-0-0) pot fer-se pública ja que no serveix per a desxifrar. El missatge pot ser xifrat per qualsevol, però només nosaltres podrem desxifrar-ho. Sabent una clau no és possible calcular l'altra, ja que la suma de totes dues (8-0-0) és desconeguda.
Els programes de xifrat també seran varis. Tots serveixen per al mateix?
L'exemple més conegut és el programa lliure PGP (Pretty Good Privacy). Es va dissenyar per a l'ús de correu electrònic segur, encara que admet altres usos. Gràcies al PGP s'ha aconseguit acostar la criptografia sòlida que fins llavors estava en mans de governs o institucions militars als usuaris habituals.
Una altra implementació que cada vegada usem més és la denominada X.509. Els navegadors més coneguts incorporen aquest estàndard i s'utilitza per a dirigir el comerç electrònic de manera segura.
L'únic objectiu de la criptografia és protegir els missatges?
No, en absolut. Ocultar el missatge és un ús possible, però la criptografia té altres aplicacions. Permet, entre altres coses, assegurar la integritat del missatge o verificar la identitat de l'autor del missatge. Aquests dos últims són la base de la signatura digital.
Per descomptat, hi haurà sistemes de captura i lectura no autoritzada de missatges.
La criptoanàlisi analitza les vies de lectura no autoritzada d'un criptograma.
Cada llengua segueix diverses repeticions de lletres. També es pot analitzar el nombre de vegades que apareixen algunes lletres en cada idioma. Tenint en compte aquesta informació, es podria suposar que la lletra I que apareix un X% en el criptograma pot ser originalment.
Està completament segur el criptosistema per a acabar?
La criptografia protegeix un gran secret (el nostre missatge) d'un petit secret (la clau). I la robustesa dels sistemes criptogràfics actuals es basa en la longitud de la clau.
Igual que succeïa amb la caixa de seguretat, en utilitzar 3 dígits només hi ha 1.000 claus diferents, per la qual cosa el presumpte agressor no trigarà molt temps a realitzar diversos intents d'obertura.
Com és possible provar totes les claus possibles, no existeix un veritable criptosistema segur. Però si el temps o cost necessari per a desxifrar un criptograma és major que el valor de la informació, podem dir que és un sistema robust.
Un ordinador, fins i tot amb un milió d'intents per segon, necessitarà més de mil anys per a demostrar totes les possibles claus de 56 bits. És clar que per a llavors la informació perdrà el seu valor.
No és una cosa incòmoda caminar amb claus i criptografies? Requereix molta feina per a l'usuari?
El xifrat i desxifrat de missatges és immediat amb el programa PGP. No obstant això, abans de començar a xifrar els missatges, haurem d'instal·lar el programa, crear el parell de claus (pública i privada) i distribuir la clau pública. Aquest treball no és especialment complicat. No obstant això, al meu entendre, el més difícil és explicar als altres què és la criptografia i per què han d'usar-la.
I en el teu cas, estàs pensant a quedar-te a Londres. No és possible actuar en l'àmbit en el qual treballes a Euskal Herria?
La veritat és que avui dia en el món informàtic la paraula distancia també ha perdut sentit. Encara que jo estic a Londres, treball en ordinadors a Nova York a través de la xarxa.
La incorporació de la nova tecnologia al País Basc està sent molt ràpida i la necessitat de tècnics qualificats és cada vegada més evident. Jo també tinc intenció de tornar a casa algun dia, però de moment estic satisfet aquí i em queden molts per a estudiar i veure.
Buletina
Bidali zure helbide elektronikoa eta jaso asteroko buletina zure sarrera-ontzian
Teknopolis
