Cifrado y esteganografía

Has visto un libro raro que quieres comprar en línea y cuesta, espéralo, $500. Está en una subasta en línea, así que tienes que actuar rápido. Afortunadamente, pujas a tiempo para ganar y el libro es tuyo. Contento con su éxito, ingresa los datos de su tarjeta de crédito para pagar, sin siquiera pensarlo.

Gracias a las maravillas del comercio electrónico, una de las piezas de información más valiosas que posee (de hecho, la clave de toda su cuenta bancaria) silba a través del éter a través de comerciantes y bancos y el vendedor recibe su pago unos segundos más tarde.

¿Soñarías con enviar $500 en efectivo de esta manera? ¿Pasarlo de persona a persona, a través de una larga cadena de personas que nunca has conocido, con una pequeña nota adjunta: “Dale esto a Joe en Duluth”? ¡Por supuesto que no!

Y, sin embargo, te sientes totalmente cómodo haciendo exactamente lo mismo en línea.

La diferencia es que, cuando paga electrónicamente, su información de pago se “codifica” a medida que viaja, de modo que solo usted y la persona que recibe el dinero (o su banco) pueden verla.

Esa es la brillantez de una tecnología matemática llamada encriptación(a veces también denominado criptografía). Cada vez más, se usa con otra tecnología llamada esteganografía que consiste en ocultar información para que ni siquiera sepas que está ahí. ¡Echemos un vistazo más de cerca a cómo funcionan estas cosas!

Cifrado

Encriptación es otra palabra para “codificación”, por lo que cuando hablamos de encriptar algo, en realidad solo nos referimos a convertirlo en un mensaje indescifrable usando un código secreto. A todos nos gusta jugar a los espías cuando somos niños, pero ¿por qué querríamos hacer eso como adultos?

En estos días, la razón principal es que compartimos tanta información en línea. Por su propia naturaleza, Internet es un medio público. Cada vez que envía un correo electrónico o navega por una página web, la información de su computadora envía y recibe tiene que pasar por tal vez una docena o más de otras máquinas en su camino hacia y desde su destino final. En cada etapa, esa información podría ser interceptada por delincuentes u otras personas con intenciones dudosas.

Cifrar la información la mantiene segura el tiempo suficiente para hacer el viaje. Hay otra razón por la que podría querer usar el cifrado: probar que la información realmente proviene de usted. Cualquiera puede enviar un correo electrónico fingiendo ser de otra persona; puede utilizar el cifrado para “firmar” digitalmente sus mensajes y verificar su identidad.

¿Cómo funciona la criptografía de clave secreta?

Todos los códigos son un poco como candados. Usted “bloquea” su mensaje, el mensaje viaja a su destino y luego el destinatario lo “desbloquea” y lo lee. Pero no todos los códigos funcionan de la misma manera.

Los agentes secretos en las películas de espías usan un método llamado criptografía de clave secreta. Suponga que es un agente que trabaja en Washington, DC y necesita enviar un mensaje a otro agente en Roma, Italia.

La mejor manera de hacerlo es que los dos se reúnan por adelantado, en persona, y acuerden un método para bloquear y desbloquear todos los mensajes que enviarán y recibirán en el futuro. Este método se llama clave secreta., porque solo ustedes dos tendrán acceso a él.

La clave secreta podría ser algo así como “Reemplazar cada letra del mensaje con otra letra tres más adelante en el alfabeto”. Entonces, para enviar el mensaje “HOLA” a su contacto en Roma, simplemente mueva cada letra tres hacia adelante, lo que le da “KHOOR”.

Cuando la persona en el otro extremo recibe el mensaje, simplemente tiene que mover cada letra hacia atrás tres posiciones en el alfabeto para saber lo que realmente estás diciendo.

En este caso, la llave no es una pieza de metal que metes en una cerradura: es el método de descifrar el código cambiando las letras. Las claves secretas reales son obviamente mucho más complejas y sofisticadas que esto.

Esta forma de proteger la información también se denomina clave precompartida (PSK) y, en algunas circunstancias, es muy eficaz. Es ampliamente utilizado para proteger las redes internet inalámbrica, por ejemplo.

Cuando configuras una red inalámbrica segura, se le pide que elija una clave secreta (efectivamente, una contraseña) que sea conocida tanto por su enrutador inalámbrico (su principal punto de acceso local a Internet) como por cualquier computadora portátil que necesite usar eso.

Cuando usa Internet inalámbrico, puede notar que su conexión está encriptada con algo llamado WPA-PSK (Acceso protegido Wi-Fi-Clave precompartida). Si intenta iniciar sesión en una nueva red inalámbrica y se le pide una contraseña, lo que

Aunque las claves secretas (precompartidas) son efectivas y seguras para cosas como esta, no son del todo útiles en otras situaciones, como enviar mensajes seguros a personas que nunca conoces. Esto se debe a que confían en que usted conozca y se reúna con la persona con la que se está comunicando de antemano para intercambiar la clave secreta.

¿Qué pasa si no puedes hacer eso? ¿Qué sucede si desea intercambiar información segura con alguien que nunca conoció, alguien que podría estar en el otro lado del mundo? Ese es exactamente el problema que tienes cuando pagas cosas en línea.

¿Cuál es el truco?

¡Parece un truco! ¿Cómo puede alguien cifrar un mensaje pero solo usted puede descifrarlo? Sin duda, si una persona puede cifrar un mensaje con una clave disponible públicamente, ¿otras personas también pueden descifrarlo con la misma clave? ¡No tan!

La respuesta está en las dos claves diferentes y en el hecho de que algunos procesos matemáticos son mucho más difíciles de realizar de una forma que de la otra.

Considere los dos números primos 7901 y 7919 (los números primos son aquellos que no puede dividir por otros números que uno y ellos mismos). Suponga que los multiplica para obtener 62568019. Esa es una operación bastante simple que cualquiera puede hacer en dos segundos con una calculadora.

Pero, ¿qué pasa si te doy el número 62568019 y te digo que averigües los dos números que multipliqué para formar ese número? ¡Estarías allí todo el día!

¿Qué pasaría si cifrar un mensaje fuera tan fácil como multiplicar dos números primos pero descifrarlo fuera tan difícil como averiguar cuáles son esos números? Esa es la idea básica detrás de la criptografía de clave pública.

Cuando asegura un mensaje con la clave pública de alguien, su computadora realiza una operación matemática fácil que cualquiera podría hacer. Pero una vez que el mensaje está encriptado, descubrir qué información contiene es una operación matemática muy difícil que le llevaría días, semanas o meses completar (a menos que conozca la clave secreta).

Verá a partir de esto que hay una falla básica en el cifrado de clave pública. Con suficiente tiempo y poder de cómputo, siempre podría descifrar la clave secreta de la clave pública y descifrar el mensaje. Es por eso que el cifrado de clave pública se basa en claves que son realmente grandes.

Las claves que usa mi computadora, por ejemplo, están compuestas por 1024 bits (dígitos binarios): una cadena de 1024 ceros o unos en una línea larga. Cuanto más largas sean las claves que utilice (es decir, cuantos más bits tengan), más difícil será el cifrado y más seguro será su mensaje. Las páginas web seguras generalmente usan encriptación de 128 o 256 bits cuando viajan hacia y desde su navegador con información bancaria.

Tipos de cifrado de clave pública

Hay varios tipos diferentes de cifrado de clave pública con los que se encontrará. La idea original fue inventada a mediados de la década de 1970 por dos matemáticos de la Universidad de Stanford llamados Whitfield Diffie y Martin Hellman y los sistemas que utilizan su método de codificación matemática particular (que se conoce como algoritmo) suelen llamarse DH (Diffie-Hellman).

Otros incluyen RSA (llamado así por Ron Rivest, Adi Shamir y Leonard Adleman), Elgamal (llamado así por Taher Elgamal), Data Encryption Standard (DES) y Triple-DES, y el sucesor de DES, conocido como Advanced Encryption Standard (AES) o Rijndael.

Los navegadores web y los servidores utilizan métodos de encriptación llamados SSL (Secure Sockets Layer) y TLS (Transport Layer Security), basados en algoritmos como RSA y DH, para proteger la información que viaja de un lado a otro de la red.

Algunos programas de correo electrónico tienen cifrado incorporado para facilitar el envío y la recepción de mensajes seguros; también hay un popular sistema de correo electrónico basado en la web llamado Hushmail que tiene cifrado incorporado como estándar.

Muchas PC usan un programa de encriptación ampliamente disponible llamado PGP(Pretty Good Privacy) desarrollado por el ingeniero de software estadounidense Philip Zimmermann en 1991 (los equivalentes de Linux de PGP incluyen KGPG y GnuPG, y el equivalente de teléfono inteligente Android es APG).

¿Las computadoras cuánticas harán imposible el cifrado?

Hay un gran interés en las computadoras cuánticas que utilizan átomos(o partículas subatómicas como los electrones) para realizar tareas similares a las de las computadoras convencionales pero a una velocidad mucho mayor, en paralelo.

Como acabamos de ver, la efectividad del cifrado de clave pública se basa en la dificultad de calcular factores de números grandes; incluso mediante el ensayo y error de fuerza bruta, las computadoras convencionales tardan demasiado en resolver problemas esencialmente “insolubles” como este.

Pero una computadora cuántica que use procesamiento paralelo podría potencialmente descifrar la información cifrada de esta manera en un abrir y cerrar de ojos, haciendo inútil el cifrado de clave pública convencional. ¡Adiós a las transacciones seguras en línea!

Afortunadamente, esta aterradora posibilidad tiene una solución igualmente tentadora: usar métodos de mecánica cuántica para crear códigos que teóricamente son imposibles de descifrar.

La idea básica es que dos personas, Annie y Bob, utilicen la imprevisibilidad inherente de los estados cuánticos para generar y compartir una clave de forma segura (una técnica conocida como distribución de claves cuánticas).(QKD), que luego utilizan para cifrar y descifrar de forma segura los mensajes que intercambian.

A diferencia de la criptografía de clave pública, donde la clave es pública pero esencialmente inútil, este es otro ejemplo de un sistema de clave precompartida (PSK) donde la clave real permanece en secreto para terceros.

Con QKD, también es posible detectar cualquier intento de un tercero de espiar y descubrir la clave, lo que la cambiaría de manera notoria (porque escuchar a escondidas equivaldría a “medir” la clave y, de acuerdo con las leyes de la mecánica cuántica , no se puede medir algo como esto sin alterarlo de alguna manera).

Esteganografía

El problema con el cifrado es que llama la atención sobre sí mismo. Si envía un correo electrónico encriptado con PGP, no es solo una cadena de bytes de aspecto aleatorio que contienen datos inocentes: está claramente etiquetado como BEGIN PGP SIGNED MESSAGE, por lo que prácticamente dice “¡Soy un secreto emocionante! ¡Mírame!”

Esto plantea un problema real para las personas que desean utilizar el cifrado para enviar cosas de forma segura: cuanta más atención llames a algo secreto, más probable es que la gente lo mire e intente descifrarlo.

Por eso hay un interés creciente en la esteganografía , que es una forma totalmente diferente de ocultar información.

¿Qué es la esteganografía?

La esteganografía consiste en ocultar mensajes para que ni siquiera sepas que están ahí. Cuando marca sus pertenencias con tinta antirrobo que se muestra en la luz ultravioleta, ese es un ejemplo de esteganografía. Escribir un mensaje con tinta invisible es otro ejemplo.

¿Suficientemente inocente, tal vez? Pero si eres Annie y Bob te ha dicho previamente que te enviará información codificada utilizando las letras iniciales de cada palabra, recibirás un mensaje completamente diferente (oro, zinc, estaño, níquel) que podría ser una lista de ingredientes metálicos secretos. Eso también es esteganografía, aunque de un tipo muy básico y fácil de detectar.

La esteganografía que la gente usa hoy en día es mucho más sofisticada que esto y se basa en la forma en que ahora nos comunicamos principalmente por medios analógicos.

Cuando enviamos una foto por correo electrónico a alguien, enviamos una imagen codificada digitalmente por una línea de fibra óptica; cuando descargamos música de la Red, nuestros ordenadores absorben archivos MP3 codificados digitalmente; cuando chateamos por voz con alguien que usa Skype (un tipo de VoIP , estamos intercambiando información de audio codificada digitalmente.

Es relativamente sencillo ocultar información en imágenes digitales, archivos MP3 y chats de voz de tal manera que nadie sepa que está allí. Incluso puede utilizar la esteganografía para ocultar información en la charla ordinaria del tráfico de la red informática (paquetes de datos de Internet).

Por supuesto, puede utilizar la esteganografía para ocultar información cifrada, lo que la hace doblemente difícil de encontrar y descifrar.

¿Quién lo usa?

Busque en línea y encontrará todo tipo de rumores sobre terroristas que usan esteganografía para enviar mensajes secretos a sus seguidores a través de las redes sociales. Es imposible probar o refutar ese tipo de cosas, pero es una buena historia en la atmósfera febril que crea el terrorismo.

Los expertos en seguridad son mucho más escépticos, pero no hay duda de que la esteganografía podría usarse en todo tipo de formas nefastas. Las herramientas de esteganografía ahora están ampliamente disponibles (solo busque en la tienda de aplicaciones desde su dispositivo móvil y encontrará muchas), por lo que nadie sabe cuántas personas podrían estar usando la tecnología.

¿Tiene usos legítimos?

La esteganografía suena muy tortuosa y podrías pensar que solo los espías sospechosos, los criminales y los terroristas estarían interesados en usarla. De hecho, tiene algunas aplicaciones bastante legítimas. Los disidentes políticos y los periodistas pueden usarlo para enviar mensajes sin ponerse en riesgo ni a ellos ni a sus contactos.

Los fotógrafos que deseen proteger sus imágenes del robo de derechos de autor pueden incorporar “marcas de agua” esteganográficas invisibles. Los archivos MP3, las películas en DVD y los libros electrónicos a veces también se protegen de esta manera para evitar la piratería.

La esteganografía a veces se usa para proteger documentos del espionaje industrial. Si se entregan documentos confidenciales a algunas personas en una empresa, pero cada uno está marcado en secreto con una “firma” esteganográfica única, cualquier filtración puede rastrearse fácilmente hasta la persona responsable.

¿Puedes descifrarlo?

Con suficiente tiempo y poder de cómputo, es teóricamente posible descifrar cualquier tipo de encriptación. Pero ¿qué pasa con la esteganografía?

El primer problema es detectar que un mensaje secreto está incluso presente. Si estamos hablando de mensajes ocultos en el tráfico de Internet, es una tarea increíblemente difícil, porque la cantidad de mensajes que usan esteganografía representa una fracción absolutamente minúscula de todo el tráfico digital que va y viene en todo el mundo.

Los expertos dicen que detectar la esteganografía no es como buscar una aguja en un pajar, sino un trozo de paja ligeramente descolorido; en realidad, dada la enorme cantidad de tráfico de Internet, es más como detectar uno o dos pedazos de paja en toda la cosecha de heno del mundo.

Pero así como la criptografía (creación de códigos) generó el criptoanálisis (desciframiento de códigos), la esteganografía (ocultación de información) ha llevado al esteganálisis.(detectar información oculta).

El método original se reducía a una simple inspección visual (donde la información se ha ocultado en una imagen, ¿puedes detectar cambios sutiles en el brillo o el color?), pero ahora que la esteganografía se ha vuelto digital, tenemos que confiar en el análisis estadístico de fuerza bruta. (como tratar de encontrar un patrón oculto en imágenes digitales o información inusual en archivos MP3 y tráfico de Internet).

Desde MP3stego (que oculta cosas en archivos de música) hasta SkyDe (un complemento esteganográfico para Skype), la web abunda en herramientas para ocultar información; pero también hay una batería cada vez mayor de herramientas de estegoanálisis, como Stegdetect (para encontrar información oculta en imágenes) y StegoHunt (de Wetstone Technologies).

Relacionados

Deja un comentario