Liher Elgezabal: "la criptografía es arte y ciencia por un lado"
Liher Elgezabal: "la criptografía es arte y ciencia por un lado"
Hola Liher, estás trabajando en Londres. ¿Cómo?
El motivo principal para venir a Londres fue la curiosidad. Soy muy aficionado a Linux y al software libre y, como en aquella época el uso de este tipo de software era bastante limitado, decidí venir al extranjero. Desde entonces he estado trabajando en Londres y Nueva York y he tenido la oportunidad de estudiar.
¿Qué es lo que hacéis en Micromuse? ¿Y qué es exactamente lo que tú haces?
Micromus desarrolla software. Realizamos aplicaciones para monitorizar la seguridad de las redes de datos en tiempo real y son utilizadas por grandes empresas de telecomunicaciones para controlar redes gigantes.
Yo trabajo en el departamento de control de calidad de software, buscando errores de programación y seguridad de nuestros programas. Estoy desarrollando un buscador de errores que lo haga automáticamente.
En el tema de la criptografía, esa sensación de seguridad en las comunicaciones por ordenador es falsa, ¿no? ¿Es fácil detectar los mensajes que circulan por la red?
Lamentablemente, hoy en día la seguridad está totalmente en manos de los usuarios, ya que internet no ofrece ninguna seguridad.
En el correo ordinario, si se envía el mensaje sin sobre, el correo podrá leer los mensajes. Lo mismo ocurre con el correo electrónico.
El despliegue de redes ha facilitado mucho la comunicación pero no tenemos ningún control de la red, es decir, del canal de comunicación.
¿Es habitual detectar mensajes? ¿Cuáles son las principales razones?
Desde que existe la escritura, el hombre ha tratado de detectar mensajes escritos. Las razones pueden ser muy diferentes, desde la mera curiosidad hasta las razones económicas, políticas o militares. La información siempre ha sido un recurso muy valorado.
La mayoría de las comunicaciones actuales se transmiten y almacenan de forma digital, lo que facilita enormemente la captura, copia, filtrado y otros procesos automatizados de datos.
Nuestra información personal, historial clínico, movimientos bancarios, lista de llamadas telefónicas, etc., están almacenados de forma digital y esta información está generalmente dispersa por la red. Esto incide en la necesidad de proteger adecuadamente la información.
Puede pensarse que, siendo uno un usuario normal, nadie podrá detectar sus mensajes o que si los detecta le da igual.
Aunque el valor de nuestra información sea pequeño, es muy raro enviar una carta sin sobre. Nos sentiríamos observados porque somos conscientes de que la carta tiene que pasar por varios medios. Una persona genera más desconfianza que una máquina, pero debemos recordar que detrás de todas las máquinas hay personas.
La privacidad es un derecho legalmente protegido en la mayoría de los países. Sin embargo, las instituciones que las crean son las que más atentan contra este derecho. Si la ley no nos protege, tenemos que protegernos de las matemáticas.
¿Y si quieres que tus mensajes sean leídos por un destinatario concreto, y no por otro, es necesario recurrir a la criptografía?
En principio sí, mientras el canal no sea seguro, tendremos que proteger de alguna manera el mensaje, y para ello la vía es utilizar la criptografía. De hecho, es algo que siempre se ha hecho.
Julio César guardaba sus mensajes con un código determinado para hacerlos incomprensibles para sus enemigos. Al mismo tiempo, el escritor de La Celestina ocultó su identidad entre las líneas del libro para defenderse.
Hoy en día, gracias a la capacidad de los ordenadores, se utilizan complejas funciones matemáticas para cifrar y ocultar mensajes.
¿Qué es la criptografía? ¿En qué consiste?
La criptografía es arte por un lado y ciencia por otro. El objetivo es hacer incomprensibles textos, sonidos, imágenes o cualquier otro tipo de información.
La criptografía se basa en la realización de transformaciones sobre el texto original, modificando la posición de las letras (desplazamiento) o sustituyendo (sustitución). Por ejemplo:
elhuyar --- (intercambiando por parejas) --- leuhayr
elhuyar -- (alfabéticamente + 3) --- hñkybdu
Un algoritmo de criptografía define cómo se llevan a cabo estas transformaciones. Los algoritmos utilizados actualmente son públicos y conocidos. Estos algoritmos transformarán la información de una manera u otra en función de una variable. Esta variable se denomina clave. La seguridad del criptosistema es clave, no en el propio algoritmo.
¿Existe un único sistema de cifrado de mensajes? ¿Qué diferencia hay entre sistemas?
Como hemos mencionado, necesitamos una clave para cifrar nuestros mensajes y mantener la clave en secreto. Según esta clave se distinguen dos sistemas de criptografía diferentes.
La criptografía simétrica utiliza la misma clave para cifrar y descifrar el mensaje.
Imaginemos que tenemos una caja de seguridad en la que queremos guardar nuestros secretos. La cerradura se cierra mediante una combinación de 3 dígitos. Si hemos utilizado la combinación 0-7-4 para cerrarla, tendremos que utilizar la misma combinación de extendido.
La criptografía asimétrica, sin embargo, utiliza claves adicionales para cifrar y descifrar los mensajes. Una clave sólo puede descifrar lo que cifra otra y viceversa.
Supongamos que al diseñar la caja de seguridad hemos fijado que la suma de las dos claves debe ser 8-0-0 y que este dato solo lo conocemos nosotros. Si hemos utilizado la combinación 2-0-0 para cerrar la caja de seguridad, tendremos que utilizar la combinación 6-0-0 para expandir.
Mediante este sistema, la clave de cifrado (en este caso 2-0-0) puede hacerse pública ya que no sirve para descifrar. El mensaje puede ser cifrado por cualquiera, pero sólo nosotros podremos descifrarlo. Sabiendo una clave no es posible calcular la otra, ya que la suma de ambas (8-0-0) es desconocida.
Los programas de cifrado también serán varios. ¿Todos sirven para lo mismo?
El ejemplo más conocido es el programa libre PGP (Pretty Good Privacy). Se diseñó para el uso de correo electrónico seguro, aunque admite otros usos. Gracias al PGP se ha conseguido acercar la criptografía sólida que hasta entonces estaba en manos de gobiernos o instituciones militares a los usuarios habituales.
Otra implementación que cada vez usamos más es la denominada X.509. Los navegadores más conocidos incorporan este estándar y se utiliza para dirigir el comercio electrónico de forma segura.
¿El único objetivo de la criptografía es proteger los mensajes?
No, en absoluto. Ocultar el mensaje es un uso posible, pero la criptografía tiene otras aplicaciones. Permite, entre otras cosas, asegurar la integridad del mensaje o verificar la identidad del autor del mensaje. Estos dos últimos son la base de la firma digital.
Por supuesto, habrá sistemas de captura y lectura no autorizada de mensajes.
El criptoanálisis analiza las vías de lectura no autorizada de un criptograma.
Cada lengua sigue varias repeticiones de letras. También se puede analizar el número de veces que aparecen algunas letras en cada idioma. Teniendo en cuenta esta información, se podría suponer que la letra Y que aparece un X% en el criptograma puede ser originalmente.
¿Está completamente seguro el criptosistema para terminar?
La criptografía protege un gran secreto (nuestro mensaje) de un pequeño secreto (la clave). Y la robustez de los sistemas criptográficos actuales se basa en la longitud de la clave.
Al igual que sucedía con la caja de seguridad, al utilizar 3 dígitos sólo hay 1.000 claves diferentes, por lo que el presunto agresor no tardará mucho tiempo en realizar varios intentos de apertura.
Como es posible probar todas las claves posibles, no existe un verdadero criptosistema seguro. Pero si el tiempo o coste necesario para descifrar un criptograma es mayor que el valor de la información, podemos decir que es un sistema robusto.
Un ordenador, incluso con un millón de intentos por segundo, necesitará más de mil años para demostrar todas las posibles claves de 56 bits. Está claro que para entonces la información perderá su valor.
¿No es algo incómodo caminar con claves y criptografías? ¿Requiere mucho trabajo para el usuario?
El cifrado y descifrado de mensajes es inmediato con el programa PGP. No obstante, antes de comenzar a cifrar los mensajes, deberemos instalar el programa, crear el par de claves (pública y privada) y distribuir la clave pública. Este trabajo no es especialmente complicado. Sin embargo, en mi opinión, lo más difícil es explicar a los demás qué es la criptografía y por qué deben usarla.
Y en tu caso, estás pensando en quedarte en Londres. ¿No es posible actuar en el ámbito en el que trabajas en Euskal Herria?
La verdad es que hoy en día en el mundo informático la palabra distancia también ha perdido sentido. Aunque yo estoy en Londres, trabajo en ordenadores en Nueva York a través de la red.
La incorporación de la nueva tecnología en el País Vasco está siendo muy rápida y la necesidad de técnicos cualificados es cada vez más evidente. Yo también tengo intención de volver a casa algún día, pero de momento estoy satisfecho aquí y me quedan muchos para estudiar y ver.
Buletina
Bidali zure helbide elektronikoa eta jaso asteroko buletina zure sarrera-ontzian