Esta detallada Explicación visual del algoritmo DES (Data Encryption Standard) es un curioso documento histórico, porque aunque el DES ya no se suele utilizarse por considerarse inseguro, muestra cómo funciona paso a paso en sus diferentes fases y operaciones. Tan educativo como fascinante.

DES: un algoritmo de cifrado histórico

Técnicamente el DES es un algoritmo de cifrado simétrico, lo que significa que una vez combinado con la clave, el mensaje queda cifrado, pero si se vuelve a aplicar la misma clave se descifra. El DES fue un desarrollo original de IBM que data de los años 70, pero modificado para convertirse en estándar en 1977 para cualquier entidad o empresa que lo necesitara.

Al ser un algoritmo simétrico la seguridad del DES depende de que la clave (única) se guarde a buen recaudo. (El problema de fondo es cómo enviar la clave al destinatario de forma segura, claro; normalmente se hace por otro canal, como por teléfono o en persona). El DES se ideó para usar una clave de 56 bits, aunque cuando años después se vio que eso no era suficiente para resistir diversos tipos de ataques se amplió al Triple DES que parte de la misma idea pero con más rondas y claves de mayor tamaño.

La historia del DES es interesante porque en su definición se incluyeron elementos «clasificados» (secretos) lo cual hizo sospechar de que la NSA había incluido puertas traseras para interceptar las comunicaciones. Esto fue algo bastante controvertido y con un punto conspiranoico. Lo más que se puede afirmar con seguridad es con los cambios que propusieron lo fortalecieron frente a ciertos ataques, como el criptoanálisis diferencial, pero debilitándolo frente a otros, como la «fuerza bruta» para tenerlo más a su alcance. La clave de hecho osciló entre 64, 48 y los 56 bits como tamaño final.

Fue la EFF (Electronic Frontier Foundation) quien en 1998 demostró que el DES era inseguro, diseñando y montando una muy mítica máquina llamada DES Cracker (o Deep Crack, cariñosamente) que prácticamente es el ejemplo paradigmático de la fuerza bruta. Empleaba chips ASIC a medida y les costó unos 250.000 dólares, que consiguieron mediante donaciones. Eran 64 placas de 29 chips; 1.856 chips en total. Podía comprobar todas las posibles claves en 22 horas y 15 minutos.

A raíz de todo esto la industria pasó a utilizar el AES (Advanced Encryption Standard) notablemente más seguro y con claves de 128, 192 y 256 bits. El DES pasó a la historia pero todavía coletea por ahí, como tecnología viejuna y no muy segura.

Ver cómo funciona el DES

En la página de Hereket se puede ver todo esto en acción; basta rellenar los campos de arriba (entrada, clave y vector de inicialización) e ir viendo lo que sucede para llegar al resultado (salida).

El algoritmo consiste en 16 rondas de permutaciones y sustituciones en las que los bytes y bits del mensaje original se combinan con los de la clave mediante diversas operaciones lógicas y permutaciones:. Se intercambian bits de unos y otros sitios, se hacen operaciones XOR (⊕) y se mezclan según diversas funciones y condiciones. En diversos momentos se utilizan «números mágicos» predefinidos, en las llamadas S-Boxes o «cajas de sustitución».

Es todo bastante lioso pero el algoritmo acaba cumpliendo con su función: que no se pierda información pero se pierda todo rastro del original, que cualquier modificación en cualquier bit de las claves trastoque todo el mensaje cifrado, etcétera.

Una visualización interesante para un estándar histórico, que es tan digno de estudio como de admiración.

Actualización (15 de abril de 2024) – Como bonus, un enlace a la misma idea pero en Excel.

Relacionado:

• La criptografía de las claves RSA-2048 todavía NO la ha roto ninguna computadora cuántica, ni tampoco una «normal», según los expertos
• La seguridad de las claves RSA-2048 y los algoritmos cuánticos
• El RSA de 2048 bits tampoco es ya suficiente… ¿o sí?
• Factorizar enteros: el RSA-2048 en 177 días usando 13.436 qubits
• RSA de 1.024 bits ya no es suficiente
• El número RSA-576, factorizado
• Factorizado un número RSA de 200 dígitos
• Ron Rivest, criptógrafo y la «R» de RSA, explica el RSA‑129
• Una de protocolos criptográficos: jugar al póker y repartir cartas
• Nuevo récord de factorización de «casi-primos»: 307 dígitos
• La base matemática de los sistemas de cifrado en criptografía

Desde el departamento de core dumps o «cosas que tengo pendientes pero como no veo cuándo escribir sobre ello» dejo por aquí estos cinco artículos, sin orden ni concierto. Me gustaron los títulos y entradillas; los tenía hace tiempo por ahí marcados como «lecturas largas y tranquilas» y creo que merecen la pena:

• La profesionalizacion de la criptología en la Venecia del siglo XVI – La criptología como negocio y profesión controlada por el estado durante el renacimiento.
• Dune y el delicado arte de los lenguajes ficticios – Sus influencias desde El Señor de los Anillos a la saga de Frank Herbert.
• Anonimato online: un estudio descubre que los «pseudónimos estables» crean un entorno más civilizado que los nombres reales – La reputación va en el nick.
• El pan en la edad media – Algo que todo el mundo come y que causó incluso disputas religiosas.
• Cómo se rompió el código del Lineal B – Una historia sobre el «descifrado» del griego micénico casi tan apasionante como el libro de Chadwick sobre el tema (The Decipherment of Linear B, 1958).

Así que cuando tengas cinco ratos muertos igual quieres echarles un vistazo; son del tipo de cosas que nos gustan por aquí.

Del 12 al 17 de marzo, Tenerife se erige como el núcleo de la innovación tecnológica con la decimotercera edición de Tecnológica Santa Cruz. Este evento, pionero en España en el ámbito de las TIC, promete una agenda repleta de actividades que explorarán desde la inteligencia artificial hasta la realidad virtual, pasando por la ciberseguridad y las nuevas tendencias de la comunicación digital.

Líderes tecnológicos y visionarios digitales

El plato fuerte del evento se servirá el jueves 14 de marzo, a partir de las 17:00 horas, con sus habituales charlas de 20 minutos. Abrirá la jornada Isaac Hernández, Country Manager de Google Cloud y hombre en quien el gigante empresarial ha confiado para enfocarse en la estrategia para empresas en España y Portugal, y continuará con María Ramírez, subdirectora de elDiario.es, quien aportará su visión sobre el periodismo internacional. Carlos Santana, divulgador de IA, y Javier Santaolalla, físico y divulgador científico, tratarán de profundizar en cómo la ciencia y la tecnología se entrelazan con la vida cotidiana y el futuro digital.

Pedro Aznar, de Applesfera y Pedro Lozano, experto en Metaverso, discutirán sobre la influencia de la tecnología en la vida diaria y las revoluciones digitales existentes y las que vienen. Marta Peirano, periodista y escritora española especializada en la intersección entre tecnología y poder, nos introducirá en el mundo de la ciberseguridad, mientras que Mariano Sigman abordará la intersección entre IA y neurociencia, ofreciendo una perspectiva crítica sobre el impacto tecnológico en la sociedad.

La jornada la cerrará Carme Artigas, quien desde su rol en el Órgano Consultivo de Alto Nivel sobre IA de la ONU, hablará sobre el futuro de la digitalización y la IA.

Explorando el horizonte digital

Tecnológica Santa Cruz destaca por su labor divulgativa sobre Tecnología y por contar con una programación paralela que pone a la Tecnología como elemento central.

En esta edición habrá un hackatón “TecnoHack” enfocado en la sostenibilidad medioambiental y el espacio TecnoPlay, que acerca el mundo de los videojuegos y la cultura asiática, así como muestras de artistas digitales o concurso de k-pop durante el fin de semana. Además, en su visión por contemplar la tecnología como eje transversal, TecnoFight busca servir como punto de inspiración dando a conocer las historias de algunos emprendedores, cómo afrontaron algunos desafíos en sus proyectos y los sacaron adelante.

El evento Tecnológica Santa Cruz podrá se emitirá en streaming y se puede consultar toda la información y los detalles en tecnologicasantacruz.com.

Kobi se ha entretenido en encontrar una respuesta a una pregunta que le rondaba la cabeza: ¿Realmente la gente usa contraseñas como las de las películas y los libros? El resultado es descorazonador, con cientos de resultados para muchas de las contraseñas más conocidas, en cierto modo: su inutilidad como contraseñas reales está más allá de toda duda.

En la lista que probó hay de todo: desde TrustNo1 (Expediente X) a Swordfish («Pez espada», de Plumas de caballo, la película de los Hermanos Marx de 1932), pasando por el Open Sesame («Ábrete Sésamo», del clásico Las mil y una noches). Mención especial para 528491 (el número de la caja fuerte en Origen, la película de Cristopher Nolan, de 2010).

Además de esto se ve que es fan de Harry Potter porque dedica varias secciones a hechizos, conjuros, nombres en latín y demás que también podrían considerarse «contraseñas»… Algo que todo muggle debería conocer pero que si no estás en el mundo mágico igual ni te suena.

Técnicamente Kobi hizo las comprobaciones mediante una búsqueda sobre 111 archivos de combinaciones de nombres de usuario + contraseñas reales que encontró «casualmente» en Google, en un paquete de archivos que no enlaza para que no caiga en malas manos.

Relacionado:

• Una recopilación de contraseñas típicas para probar «a ver si cuela»
• Cosas que se pueden aprender analizando 32M de contraseñas
• Un sistema que puede descubrir el PIN secreto de los cajeros
• Algunas ideas sobre las contraseñas tradicionales
• Las nuevas recomendaciones para crear contraseñas más seguras
• Siete consejos de sentido común relacionados con las contraseñas