Por @Alvy — 15 de Septiembre de 2005

Recuerdo cuando hace años a un amigo usaba claves de 1.024 bits para cifrar correo y ficheros y le llamábamos «paranoico perdido» porque era una exageración y un inútil gasto de tiempo, etc... Bueno: lo que cambia el cuento:

RSA: 1024 ya no es suficiente - La factorización de números enteros grandes está experimentando en la actualidad grandes avances mediante la utilización de hardware especializado, hasta el punto en que hoy podría ser posible factorizar enteros de 1.024 bits en el plazo de un año y a un coste cercano al millón de dólares, nada del otro mundo para las agencias gubernamentales interesadas.
Lo bueno dentro de lo malo es que el incremento de seguridad es exponencial a medida que pones más bits, es decir que una clave de 1.025 bits sería el «doble de segura» que una de 1.024, etc (en realidad no es exactamente así, pero para entendernos). Así que parece razonable que si usas RSA 2048 estarás seguro al menos otra temporadilla. Si estás paranoico perdido (sí, ya, ya sabemos que es porque realmente te persiguen), entonces mejor usa 4.096 bits. Nadie cree hoy en día que una clave de esa longitud sea posible romperla en un futuro razonablemente cercano. Bueno, también está la fecha 2015 como entrada de la criptografía y criptoanálisis cuánticos y entonces RSA dejaría de ser seguro, pero esa es otra historia.

(Vía Kriptopolis.)

Compartir en Flipboard  Compartir en Facebook  Tuitear

15 comentarios

#1 — Jose A. Suárez

Alguien dijo alguna vez que cuantos mas candados y cerrojos pones a una puerta para guardar lo que hay dentro mas curiosidad levanta y mas retos presenta a los curiosos que quieren saber (con o sin animo de fastidiar) lo que allí se guerda.

#2 — frank

al fin alguien entiende que realmente me siguen, nos sigun a todos, la CIA nos vigila!

#3 — Jose A. Suárez

Frank,

"Bienvenidos, señores de la CIA, pasen y vean. Y diganme cuantas leyes he violado hoy" ;-)

#4 — Jordi

no entiendo lo del 2015 xD
saludos!

#5 — Alvy

Si sigues el enlace de Wikipedia sobre Seguridad del algoritmo RSA que había en el post, te explica que hacia 2015 es probable que la informática cuántica haya dado sus primeros frutos prácticos y haya ordenadores cuánticos. Bien, una de las aplicaciones para la que ya se han demostrado algoritmos funcionales (ej. algoritmo de factorización de Shor) es precisamente una especie de computación masivamente paralela que resuelve problemas hasta ahora inatacables como la factorización. Funciona porque ataca el problema en paralelo con un gasto computacional ridículo y una velocidad infinitamente más rápida que la de los ordenadores actuales. Es algo así como probar las 2^2048 claves a la vez en un solo ciclo de reloj, en vez de probarlas una a una como ahora. Literalmente exponencialmente más rápido, casi infinito en comparación.

Eso quiere decir que cuando hacia 2015 haya ordenadores cuánticos adiós RSA y sistemas similares basados en la tecnología actual, las claves se romperán en cuestión de segundos. (Esto es un problema en el diseño actual de sistemas criptográficos porque tienes que contar con «lo rápido que serán los ordenadores en el futuro» de cara a garantizar la seguridad de cierto tipo de información.)

A cambio de este problemilla para el RSA, en criptografía cuántica resulta que hay soluciones infinitamente más seguras que las actuales, que no son atacables ni con ordenadores cuánticos. Esto está ya tan avanzado que se conocen esos sistemas, algoritmos y todo lo necesario, incluso antes de que esos ordenadores existan realmente.

En otras palabras: en la carrera del criptógrafo que oculta la información tras un cifrado y los criptoanalistas que quieren romper ese sistema, ya se sabe que ganan los criptógrafos.

#6 — Oopsh!

«Tambien a los paranoicos nos persiguen» Paquito D'Rivera

#7 — drpollo

¿4096 bits no era lo que Neil Stephenson definía en el Criptonomicon como "paranoicamente absurdo" o algo así?, como cambian los tiempos.

"Que seas paranoico no significa que no te esten persiguiendo"

#8 — Alex

#7: Gran libro. Creo que GnuPG tiene problemas con claves de 4096 bits, así que si las usas debes de ser un poco paranoico. De verdad alguien considera que tus correos cuestan 1 millón $ y un año de trabajo? Casi prefiero que me paguen el dinero y cuando pasen 12 meses les doy yo mismo mis correos desencriptados :D De todas formas no está de más usar claves más largas, no cuesta nada y te da más seguridad. En otro libro de Neal Stephenson, La era del diamante, habla de un futuro en que cada vez las claves son más largas, para hacer frente a los criptoanalistas, pero que siempre los criptógrafos llevan ventaja.

Por cierto, que estaba escribiendo unos artículos sobre criptografía y he tenido que actualizar y decir que quizá 1024 bits no sean suficientes para sistemas de clave pblica.

#9 — Ender

Bueno, esto es como el chiste de los dos cazadores que, por la selva, se encuentran un león cuando ya han gastado todas sus municiones. Uno de los cazadores echa a correr, mientras que el otro se toma su tiempo para agacharse, quitarse las botas y ponerse unas zapatillas de atletismo.

El que ha echado a correr le mira, se para y pregunta:

-¿Eres imbécil? ¿Crees que con esas zapatillas vas a correr más que un león?

-NO, PERO SEGURO QUE VOY A CORRER MUCHO MáS QUE TU.

Moraleja: salvo que seas un terrorista islámico o un espía industrial, si proteges correos y ficheros con criptografía que resulte astronómica y ridículamente cara descifrar, te aseguras de que ni a la CIA, ni a la ASN (Agencia de Seguridad Nacional, el doble de grande que la CIA, aunque menos conocida), ni la ONR (Oficina Nacional de Reconocimiento, más grande que la ASN y todavía más anónima) les resulte RENTABLE descifrarla. Recordad que, por mucha seguridad nacional que haya en juego, toda agencia pblica se haya atada por una correa muy estrecha: EL PRESUPUESTO.

#10 — Scila

No tengo mucha idea de criptografía, pero en cierta ocasión, hablando con un amigo que si la tiene, le dije algo así como que si los ordenadores eran cada vez más potentes, con el tiempo, cada vez serían capaces de romper claves más largas por simple fuerza bruta. Me contestó que por muy potentes que fuesen los ordenadores, cada cambio de estado de la materia implicaba un gasto de energía, y que para claves a partir de una determinada longitud, asequible relativamente, no había suficiente energía en el universo para romperlas por fuerza bruta.

#11 — Alvy

Sí, eso es más o menos así utilizando computación tradicional, que es un poco como lineal. Pero atacando el problema por otro sistema diferente, en paralelo digamos, factorizar nmeros es casi un juego de niños en computación cuántica.

#12 — Folken

Hay un punto que no estais teniendo en cuenta en criptografia que es probablemente el mas importante, y es la utilidad de los datos pasado un tiempo determinado.

Por mucho que rebajes el tiempo en descifrar un mensaje concreto (a un mes por ejemplo), si ese dato era el lugar donde se iba a bombardear al dia siguiente, la utilidad de este proceso es mas bien ridicula y estupida. No importa mucho tardar un mes o doce, importa que se tarde mas del dia que es necesario que permanezca el dato secreto.

No se me ocurre practicamente ningun tipo de email que sea util pasado un año. La formula de la coca-cola no creo que se envie por email.

/bofh mode on/

Y cualquier cosa de este tipo es mucho mas facil de averiguar con procedimientos de ingeneria social que con la informatica (aunque suene mucho a clasico, es lo cierto, el punto mas debil de cualquier sistema informatico es siempre el usuario, que suele ser inutil).

/bofh mode off/

Un saludo!

#13 — Alvy

Todo eso es muy muy cierto Folken.

#14 — jolupumo

Como estoy descubriendo estos días la novela de Neal Stephenson "Criptonomicón" he vuelto unas páginas atrás para revisar lo que decía acerca de la longitud de las claves de cifrado. He aquí algunas frases interesantes del libro:

"La pregunta es: ¿qué nivel de paranoia es realmente apropiado[para cifrar]?"
"...si cada una de las partículas de materia del universo pudiese emplearse para construir un nico superordenador cósmico, y ese ordenador trabajase en intentar romper la clave de cifrado de 4096 bits, le llevaría más tiempo que la vida estimada del universo. [] - Empleando la tecnología actual.[] Pero ¿qué hay de los ordenadores cuánticos?"
"...la longitud de la clave que empleas es por sí misma una especie de código."

Utilizar una clave de longitud 4096 bits podría hacer sospechar a alguna agencia gubernamental de inteligencia de que se está tratando de ocultar algn secreto importante y con la actual obsesión por los ataques terroristas ¿cuántos mensajes cifrados con tal longitud de clave pasarán inadvertidos?

#15 — jolupumo

Como estoy descubriendo estos días la novela de Neal Stephenson "Criptonomicón" he vuelto unas páginas atrás para revisar lo que decía acerca de la longitud de las claves de cifrado. He aquí algunas frases interesantes:

"La pregunta es: ¿qué nivel de paranoia es realmente apropiado[para cifrar]?"
"...si cada una de las partículas de materia del universo pudiese emplearse para construir un nico superordenador cósmico, y ese ordenador trabajase en intentar romper la clave de cifrado de 4096 bits, le llevaría más tiempo que la vida estimada del universo. [] - Empleando la tecnología actual.[] Pero ¿qué hay de los ordenadores cuánticos?"
"...la longitud de la clave que empleas es por sí misma una especie de código."

Utilizar una clave de longitud 4096 bits podría hacer sospechar a alguna agencia gubernamental de inteligencia de que se está tratando de ocultar algn secreto importante y con la actual obsesión por los ataques terroristas ¿cuántos mensajes cifrados con tal longitud de clave pasarán inadvertidos?