Taller de Criptografa - Informe 26

La seguridad de los telfonos mviles

Fecha: 16 Marzo 2.001
Con la excepcin del venerable (y ya prximo a la jubilacin) !"# lo$ algoritmo$ de cifrado u$ado$
por lo$ tel%fono$ mvile$ $on lo$ m&$ u$ado$ en el mundo' Cada ve( )ue un u$uario ec*a mano de
$u mvil# un $ofi$ticado $i$tema de protocolo$ criptogr&fico$ $e pone en marc*a' !l objetivo e$
*acer la conver$acin impenetrable a fi$gone$ inde$eable$# al meno$ en el tramo de la
conver$acin comprendido entre el tel%fono y la e$tacin ba$e )ue recibe la llamada' +Cmo $on
e$o$ algoritmo$, +e )u% tipo, +"on $eguro$,
!n e$te Taller de Criptografa no podamo$ meno$ )ue involucrarno$ en el a$unto' Ca$ualmente#
poca$ *ora$ ante$ de e$cribir e$ta$ palabra# el C*apucero -efe e$cuc*aba atentamente un noticia
en Informativo$ Telecinco $obre la $eguridad de lo$ tel%fono$ mvile$' !l ca$o e$ )ue reciente$
de$cubrimiento$ *an pue$to en tela de juicio la $eguridad de la$ comunicacione$ mvile$' .eamo$
)u% *ay de cierto# y )u% de leyenda urbana' /o voy a de$velar el final de la pelcula# a$ )ue a
poner$e cmodo y a aprender $e *a dic*o'
Antecedentes y precedentes
0a$ta el advenimiento de la telefona mvil# y con rara$ excepcione$# la$ conver$acione$
telefnica$ no *an incluido una proteccin mediante cifrado' 1o$ motivo$ $on diver$o$' 2parte la$
motivacione$ con$pirativa$ del tipo 3el gobierno no )uiere )ue cifremo$ para poder oir toda$
nue$ta$ llamada$3 ()ue de todo *ay en e$ta vi4a)# el *ec*o e$ )ue ante$ de la invencin de la
telefona digital era muy difcil cifrar llamada$' 1o$ $i$tema$ de encriptacin actuale$ -ba$ado$ en
algoritmo$ y cdigo$ ejecutado$ en $i$tema$ inform&tico$- $on inaplicable$ en telefona analgica#
ya $ea fija o mvil' "era como intentar u$ar 5ord o !xcel en una m&)uina de e$cribir'
!xi$tan# e$o $# di$po$itivo$ 3me(cladore$3 6$crambler7 )ue permitan embarullar la conver$acin
de forma )ue no pudie$e $er oida por tercero$' !$to re$ulta m&$ difcil de lo )ue parece# pue$to
)ue el $er *umano tiene una a$ombro$a capacidad para 3corregir errore$3 y entender voce$ inclu$o
fuertemente alterada$' 1o$ me(cladore$ exi$tente$ e$taban de$tinado$ a proteger llamada$ en
entorno$ de alto $ecreto (rede$ diplom&tica$ o militare$)# y ciertamente no e$taban al alcance de
ciudadano$ de a pie'
Inclu$o en la d%cada de lo$ noventa# lo$ tel%fono$ $eguro$ e$taban fuera de lmite$' 8ruce
"c*neier# en $u Applied Cryptography (29 !dicin# :';;6) menciona un tel%fono di$e4ado por la
/"2 (2gencia de "eguridad /acional) llamado "T<# )ue utili(aba $i$tema$ criptogr&fico$ de clave
p=blica# y )ue $era u$ado por el epartamento de efen$a de !!<< y $u$ contrati$ta$' !xi$te una
ver$in comercial# pero tiene $u$ $i$tema$ de cifrado muy debilitado$# y una ver$in para la
exportacin# m&$ in$egura todava'
>o$teriormente# la /"2 volvi a la carga con el "urity ?'6@@# modelo fabricado (al igual )ue el "T<)
por la 2TAT' "u $eguridad vendra de la mano del c*ip Clipper# )ue u$aba un algoritmo llamado
"BipjacB' Con $u clave de C@ bit$# *ubie$e $ido una buena opcin''' de no $er por la in$i$tencia por
parte del gobierno de )uedar$e con una copia de la clave u$ada por cada tel%fono' 2un)ue $e
intent per$uadir a la$ empre$a$ para )ue lo u$a$en como e$t&ndar# al final no fue u$ado ni por el
propio gobierno norteamericano'
De$ulta digno de mencin el proyecto >E>fone' Fue un intento por parte de >*ilip Gimmermann de
dotar a la$ conver$acione$ de vo( tran$mitida$ por Internet de la mi$ma $eguridad )ue otorga a lo$
men$aje$ de correo electrnico el programa >E>' e$afortunadamente# parece )ue nunca tuvo
%xito comercial# y a pe$ar de lo$ e$fuer(o$ de 5ill >rice y del propio Gimmermann# no pa$ de la
ver$in 2': y no lleg a $er comerciali(ado'
Digital y mvil
Con el advenimiento de la telefona mvil# el cifrado $e convirti en una nece$idad' >ara 3pinc*ar3
un tel%fono fijo# antiguamente *aba )ue introducir$e f$icamente en el $i$tema# $ea en la central
telefnica# en lo$ cable$ de tran$mi$in o en el propio tel%fono' +Hui%n no *a vi$to en una pelcula
al agente federal de turno in$ertar un micro o pinc*ar uno$ cable$ con clip$ de cocodrilo,' >ero $i
u$amo$ un tel%fono mvil# el tramo final de la conver$acin (entre la e$tacin ba$e y el tel%fono)
tiene lugar en el aire mediante microonda$' !$ta$# a fin de cuenta$# no $on $ino un tipo de onda$
de radio# y pueden $er captada$ con un receptor adecuado' 1a $ituacin no e$ muy diferente# en
e$e $entido# de la$ conver$acione$ entre radioaficionado$ de onda corta'
2$ pue$# lo$ tel%fono$ mvile$ de primera generacin (lo$ analgico$) carecan de proteccin
contra e$cuc*a$ ilegale$' !n !$pa4a# *a$ta donde yo $%# $olamente Ioviline comerciali( e$te tipo
de $i$tema$' J aun)ue eran in$eguro$# no *ubo muc*a gente )ue cayera en e$e detalle' 2 fin de
cuenta$# e$o de liberarno$ del cable y caminar por la calle con el tel%fono en la mano y aire$ de
$uperioridad era ya novedad $uficiente para lo$ u$uario$ de la nueva telefona'
>ero como contrapartida# $e emitan al %ter conver$acione$ confidenciale$ de per$ona$ )ue crean
*ablar por un tel%fono m&$ $eguro )ue lo$ de tipo fijo' !n un ca$o )ue $e *i(o famo$o# el dirigente
del >"K! Txi)ui 8enega$ $ufri el pinc*a(o de $u mvil por parte de un grupo de avi$pado$
periodi$ta$' !l grado de de$conocimiento $obre lo$ problema$ de la telefona mvil analgica era
tal )ue el propio 8enega$ $e neg a creer )ue le *aban interceptado la$ llamada$# replicando )ue
3iba a m&$ de 2@@ BmL*# y e$ impo$ible )ue me *ayan pinc*ado el mvil'3 ejando aparte el rie$go
de accidente in*erente a una carrera a tale$ velocidade$ por la$ calle$ de Iadrid# creo )ue alguien
debiera *aber informado al $e4or 8enega$ $obre la velocidad de la$ onda$ electromagn%tica$'''
!n cual)uier ca$o# la $egunda generacin de telefona mvil apareca en el *ori(onte' 2l contrario
)ue $u *ermana# %$ta u$aba tecnologa digital' Como con$ecuencia de ello# el u$uario tena un
canal de comunicacin m&$ claro y libre de interferencia$' J m&$ $eguro# por)ue la$ $e4ale$
digitale$ $e pueden cifrar a conveniencia' Decordemo$ )ue ello no $ignifica un cifrado durante todo
el recorrido de la llamada# $ino $olamente entre la e$tacin ba$e y el tel%fono receptorM el re$to del
camino# la $e4al va $in cifrar' >ero por fin $e pudo cerrar la 3ventana de vulnerabilidad3 ba$e-
receptor' 2l mi$mo tiempo# $e perfeccionan lo$ $i$tema$ de autenticacin# de manera )ue nadie
puede 3clonar3 un mvil y *acer$e pa$ar por otro' 2 cada uno# $u mvil ''' y $u factura'
>ero $i *ay algo )ue lo$ fiele$ lectore$ de e$to$ Informe$ *abr&n aprendido a e$ta$ altura$# e$ )ue
en el mundo de la criptografa $uele *aber un buen trec*o entre teora y pr&ctica' +Cmo *an
re$pondido lo$ mvile$ a la$ prueba$ del mundo real,
El debilucho primo americano
1a$ $igla$ E"I $on para lo$ europeo$ $innima$ de mvil digital# pero no $ucede a$ en !$tado$
<nido$' !n :';;2# $u 2$ociacin de Indu$tria$ de Telecomunicacione$ (TI2) de$arroll un conjunto
de e$t&ndare$ para la integracin de la$ tecnologa$ de cifrado en $u$ $i$tema$ de telefona celular
avan(ada' "e eligieron lo$ mejore$ $i$tema$ di$e4ador por $u$ mejore$ t%cnico$' "in embargo# el
proce$o $e llev a cabo en un ambiente cerrado# $in e$crutinio p=blico y $in revi$in por parte de
experto$ externo$' J# como en muc*o$ otro$ ca$o$ de 3$eguridad mediante o$curidad3# e$to
re$ult $er una mala idea'
Ja en :';;2 $e pudo comprobar )ue el algoritmo u$ado para el cifrado de vo( era in$eguro (e$to
no $ignifica nece$ariamente )ue $ea in=til# pero $ )ue e$ cuando mnimo muc*o meno$ fuerte de
lo )ue $e $upona )ue debera $er)' >o$teriormente fue atacado el algoritmo u$ado para cifrar
$ervicio$ de dato$' J en :';;N# $e anunci )ue $u algoritmo CI!2 era a$imi$mo in$eguro' >ara no
extenderno$ en explicacione$# ba$te decir )ue CI!2 protega lo$ n=mero$ )ue $e pul$aban en el
teclado del mvil# incluyendo lo$ del cdigo de identificacin (>I/)'
1a *i$toria de la ruptura de CI!2 y $u$ repercu$ione$ no tiene de$perdicio' >ara empe(ar# CI!2
e$ un cdigo de cifrado con clave de 6O bit$' !$o $ignifica )ue# de *aber e$tado bien di$e4ado# un
atacante *abra tenido )ue probar 2P6O clave$ di$tinta$' K dic*o en lenguaje t%cnico# tendra un
3factor de trabajo3 de 6O bit$' "in embargo# avid 5agner# 8ruce "c*neier y -o*n Qel$ey
mo$traron )ue el factor de trabajo real e$taba entre 2O y ?2 bit$' !$ decirR a todo$ lo$ efecto$# e$
como $i el algoritmo tuvie$e $olamente entre 2O y ?2 bit$' >uede *allar$e el artculo )ue mue$tra
dic*o ata)ue en la p&gina de Counterpane S*ttpRLLTTT'counterpane'comU'
>ongamo$ el con$abido ejemplo del maletn con cerradura de combinacin' <na combinacin de
tre$ digito$ )ue varan entre @ y ; no$ da un total de :'@@@ po$ible$ combinacione$' 2$# un ladrn
)ue no cono(ca la combinacin tendra )ue probar lo$ :'@@@ po$ible$ n=mero$' 2*ora bien#
$upongamo$ )ue *aya un error de di$e4o# gracia$ al cual un ladrn inteligente $olamente tuvie$e
)ue probar la$ combinacione$ )ue fue$en m=ltiplo$ de tre$' !$to $ignifica )ue $olamente *abra
)ue probar ??? n=mero$' e repente# la tarea del ladrn $e *a *ec*o tre$ vece$ m&$ f&cil' !n el
ca$o de CI!2# el trabajo del atacante $e *a *ec*o *a$ta un billn de vece$ m&$ $encillo'
Conclu$inR la$ e$cuc*a$# )ue ante$ eran poco meno$ )ue impo$ible$# $e *acen factible$'
1a$ reaccione$ al ata)ue 5"Q (5agner# "c*neier# Qel$ey) $on digna$ de pa$ar a la *i$toria del
di$parate' !n un comunicado# la CTI2 (2$ociacin de Indu$tria$ de Telecomunicacione$ Celulare$)
$e defiende afirmando )ueR
el algoritmo de cifrado de vo( no fue atacado en e$ta oca$in' Cierto' >ero e$e algoritmo
ya fue atacado en :';;2' e *ec*o# e$taba ba$ado en el cifrado .igenVre# )ue fue
reventado Wdurante la d%cada de :'CX@W
el ata)ue re)uiere 3conocimiento$ criptogr&fico$ muy $ofi$ticado$3 >or lo )ue yo *e vi$to#
cual)uier criptgrafo medianamente competente podra entender y aplicar dic*o$
conocimiento$'
cual)uier tecnologa de$arrollada por una per$ona puede $er reventada por otra con la
aplicacin de la $uficiente tecnologa' Cierto' >ero me preguntoR $i me venden una puerta
acora(ada y un atacante con$igue abrirla con un abrelata$# +$irve e$a explicacin como
con$uelo,
e$ irrelevante para lo$ u$uario$ de telefona analgica' Claro )ue lo$ tel%fono$ analgico$
no $ufren ata)ue$ criptoanaltico$R Wno tienen $i$tema$ de cifrado en ab$olutoW
un tel%fono con algoritmo$ de cifrado $eguro $era inviable por $u co$te y exigencia$
t%cnica$' 2un)ue como afirma "c*neier# 3$e re)uiere m&$ proce$amiento computacional
para digitali(ar la vo( )ue para encriptarla'3
!l lector intere$ado puede leer por $ mi$mo el comunicado S*ttpRLLTTT'counterpane'comLcmea-
ctia'*tmU de la CTI2 y la re$pue$ta S*ttpRLLTTT'counterpane'comLcmea-re$pon$e'*tmU de 8ruce
"c*neier'
De$ulta a$imi$mo muy in$tructivo leer lo$ comunicado$ de pren$a de alguna$ de la$ empre$a$
fabricante$ de tel%fono$ analgico$' Hualcomm S*ttpRLLTTT'counterpane'comLcmea-
)ualcomm'*tmU# $in reconocer ni negar la veracidad del ata)ue 5"Q# $e ratifica en la nece$idad
de aumentar la $eguridad y privacidad para lo$ u$uario$' >acific 8ell Iobile "ervice$
S*ttpRLLTTT'counterpane'comLcmea-pactel'*tmU afirma tajante )ue la$ e$cuc*a$ telefnica$ $on
actividade$ ilegale$# $i bien tanto e$ta empre$a como Kmnipoint
S*ttpRLLTTT'counterpane'comLcmea-omnipoint'*tmU y >oTertel
S*ttpRLLTTT'counterpane'comLcmea-poTertel'*tmU afirman $er inmune$ a e$te ata)ue' !l motivo
e$ )ue no u$an CI!2 ni ning=n otro algoritmo de la TI2' !n $u lugar# *an preferido apo$tar por
una tecnologa de allende lo$ mare$# denominada E"I' 3/ue$tra tecnologa pone una $lida
barrera contra intento$ de intru$in electrnica3# llega a afirmar Kmnipoint
>ero como dijo >edro /avaja# $orpre$a$ te da la vida'
Entra el GSM
>or )u% $on lo$ protocolo$ criptogr&fico$ de lo$ tel%fono$ mvile$ norteamericano$ e$ un tema de
debate' 2lguno$ ven tra$ ello la mano de la podero$a /"2# )ue durante d%cada$ $e *a e$for(ado
en re$tringir el u$o de criptografa fuerte' Ktro$ lo explican en t%rmino$ de $imple incompetencia#
$a(onada con algo de arrogancia' >robablamente *abr& de todo un poco' !n cual)uier ca$o# lo$
ata)ue$ anteriormente de$crito$ elevaron la coti(acin de la telefona E"I'
!l $i$tema E"I (Elobal "y$tem for Iobile communication$# o Erupe "peci&l Iobile# )ue en e$to
no *ay unanimidad) fue de$arrollado por el In$tituto !uropeo de !$t&ndare$ en
Telecomunicacione$ !T"I S*ttpRLLTTT'et$i'orgU para proporcionar un e$t&ndar com=n a lo$
$i$tema$ de telefona mvil en el viejo continente' 2l igual )ue en el ca$o norteamericano# $e
incluyeron un conjunto de protocolo$ criptogr&fico$ para proporcionar tanto confidencialidad como
autenticacin' "on lo$ $iguiente$R
A3 !$ el algoritmo de autenticacin' !$ el )ue *ace )ue cada tel%fono mvil $ea =nico'
>ermite# entre otra$ co$a$# $aber a )ui%n *ay )ue cobrar la llamada'
A !$ el algoritmo de cifrado de vo(' Eracia$ a %l# la conver$acin va encriptada' "e trata
de un algoritmo de flujo 6$tream cip*er7 con una clave de 6O bit$' 0ay do$ ver$ione$#
denominada$ 2XL: y 2XL2M e$ta =ltima e$ la ver$in autori(ada para la exportacin# y en
con$ecuencia re$ulta m&$ f&cil de atacar'
A! !$ el algoritmo )ue genera clave$ tanto para autenticacin (2?) como para encriptacin
(2X)' 8&$icamente# $e trata de una funcin undireccional parecida a la$ funcione$ 3*a$*3
(tipo IX o "02-:) )ue permiten la firma digital en lo$ documento$ electrnico$'
"#M$%&! !$ un algoritmo )ue permite funcionar a lo$ 2? y 2C' 1a$ e$pecificacione$ E"I
permiten el u$o de vario$ tipo$ de algoritmo$ como 3cora(n3 de 2? y 2C' CKI>:2C e$
uno de ello$' /o e$ el =nico po$ible# pero $ uno de lo$ m&$ u$ado$'
J a*ora# ag&rren$e# por)ue para entender lo$ ata)ue$ contra lo$ algoritmo$ E"I *emo$ de
explicar cmo funcionan' /o $e preocupen# )ue no vamo$ a $acar cdigo fuente ni funcione$
matem&tica$' "implemente# vamo$ a explicar lo$ ra$go$ b&$ico$ de $u funcionamiento' 2pue$to a
)ue lo *allar& ba$tante in$tructivo'
"upongamo$ )ue u$ted va tan tran)uilo por la calle cuando decide llamar a $u $uegra' In$erta $u
n=mero >I/ ($i e$ )ue no lo *i(o con anterioridad)# y mientra$ u$ted $e pega el auricular a la oreja#
en la$ tripa$ electrnica$ de $u mvil $e llevan a cabo lo$ $iguiente$ pa$o$R
"u tel%fono toma de la tarjeta ("II) una clave )ue e$taba almacenada en $u interior'
1lamaremo$ Ki a dic*a clave'
2 continuacin# el tel%fono toma cierto$ dato$ aleatorio$ )ue $e intercambian entre %$te y
la e$tacin ba$e m&$ cercana' 2 e$te pa)uete de dato$ $e le $uele llamar 3$emilla
aleatoria3 6random $eed7'
!l conjunto claveY$emilla $on tran$formado$ mediante el algoritmo de autenticacin 2?' !l
re$ultado de dic*a tran$formacin e$ enviada a la e$tacin ba$e'
1a e$tacin ba$e autentica la identidad del llamante' !$ decir# toma lo$ dato$ de $emilla
aleatoria y la clave del tel%fono Ki ()ue e$t&n almacenado$ a di$po$icin de dic*a e$tacin)
y reali(a la comprobacin'
"i la e$tacin ba$e *a )uedado $ati$fec*a con lo$ re$ultado$ de la comprobacin# da va
libre a la comunicacin' Toma la clave del tel%fono Ki y una $emilla aleatoria para crear una
clave de $e$in Kc# de 6O bit$ de longitud' !$a clave e$ u$ada para encriptar la
comunicacin# gracia$ al algoritmo 2X'
J e$o e$ todo' !l re$to $on detalle$ triviale$R )ue el tel%fono receptor tenga cobertura# )ue no $e
)uede u$ted $in batera# )ue no $alte el conte$tador ''' pecata minuta' 1o$ algoritmo$ *an cumplido
$u funcin'
.%a$e# por lo tanto# cmo la autenticacin de la llamada recae $obre el algoritmo 2?# en tanto )ue
la confidencialidad de %$ta e$ tarea de 2X' 2mbo$ algoritmo$ re)uieren de una clave# generada
mediante 2C' e *ec*o# lo$ algoritmo$ 2? y 2C $uelen tratar$e pr&cticamente como $i fue$en uno
$olo'
+J )u% pinta el CKI>:2C, Como *e dic*o# e$ una de la$ po$ible$ variante$ )ue $e pueden u$ar
en 2? y 2C' igamo$ )ue# $i 2? y 2C fue$en un modelo de automvil# CKI>:2C $era uno de lo$
motore$ )ue pueden llevar en $u interior (Ti# ga$olina# inyeccin directa# ETi''')' "e $upone )ue
cada empre$a de telecomunicacin puede u$ar $u propio algoritmo' >ero en la pr&ctica# la gran
mayora de ella$ $e limitaron a implementar CKI>:2C# )ue e$ el algoritmo de prueba pre$ente en
la$ e$pecificacione$ t%cnica$ (.odap*one# $eg=n Iarc 8riceno# e$ una de la$ compa4a$ )ue /K
utili(a CKI>:2C)'
J ya ba$ta de tecnici$mo$' >a$emo$ al ata)ue
Ata'ue al A3
>ue$to )ue 2? e$ el algoritmo de autenticacin# $u ruptura permitira 3clonar3 tel%fono$# e$ decir#
*acer )ue un tercero utili(a$e el mi$mo n=mero de tel%fono )ue otro ''' y le carga$e a %$te la$
factura$' /i )ue decir tiene )ue la$ teleco$ $e guardaran muc*o de permitir )ue e$o ocurrie$e'
!n 2bril de :';;C# $e public la noticia de )ue Ian Eoldberg y avid 5agner (del grupo I"22C de
la <niver$idad de 8erBeley)# junto con Iarc 8riceno (de la "martcard eveloper 2$$ociation)
con$iguieron 3clonar3 un mvil )ue u$aba CKI>:2C como algoritmo de 2? y 2C' 1o )ue *icieron
$e denomina ata)ue mediante texto e$cogido 6c*o$en-c*allenge attacB7' 8&$icamente#
3interrogaban3 al tel%fono de forma controlada' Cotejando lo$ dato$ emitido$ por el mvil# lo$
inve$tigadore$ con$iguieron obtener la clave Ki# )ue como vimo$ anteriormente $e utili(aba para
autenticacin'
!l proce$o re)uera acce$o f$ico al tel%fono# cierto e)uipo inform&tico y un proce$o de interaccin
con el tel%fono de una$ C *ora$ de duracin' /o e$ tan r&pido como *acer fotocopia$# pero el
*ec*o de )ue $e pudie$e extraer la clave Ki del "II con poco m&$ de :X@'@@@ interaccione$ *aca
)uedar mal tanto al algoritmo como a $u$ due4o$'
1a E"I 2lliance contraatac S*ttpRLLjya'comLg$m@O@2;C'txtU vigoro$amente# intentando cuando
meno$ minimi(ar lo$ da4o$ (recomiendo leer la intere$ante li$ta de puntuali(acione$ redactada por
-e$=$ Cea 2vin S*ttpRLLTTT'argo'e$LZjceaLarticLg$m'*tmU al re$pecto)' !n primer lugar# negaron
)ue el ata)ue permitie$e clonar tel%fono$# ya )ue no $e pueden u$ar do$ tel%fono$ con el mi$mo
n=mero al mi$mo tiempo' !$to e$ di$cutible# cuando meno$# ya )ue la$ rede$ de telefona mvil $e
di$e4aron pen$ando )ue e$o no $ucedera# y muc*a$ $implemente no pueden adaptar$e a la
nueva $ituacin'
2 continuacin# $e cuidaron de recordar )ue el ata)ue re)uera acce$o f$ico' !$ decir# *abra )ue
obtener el tel%fono# interactuar con %l y devolverlo $in )ue $u due4o $e percata$e (ya )ue llamar
para de$activarlo e$ cue$tin de $egundo$)' "in embargo# *ay )ue tener un *ec*o bien claroR un
ata)ue 3en el aire3 (interactuando de$de el aire# $in acce$o f$ico) no e$ impo$ible' e *ec*o# lo$
inve$tigadore$ fueron incapace$ de clonar un mvil 3en el aire3# no por)ue no fue$e t%cnicamente
po$ible# $ino porque es ilegal' e *ec*o# avid 5agner afirma )ue
S*ttpRLLTTT'i$aac'c$'berBeley'eduLi$aacLg$m'*tmlUR
Extesas co!ersacioes co igeieros de "#M os hace cocluir que los ataques $por el
aire$ de%e ser cosiderados posi%le e la pr&ctica para u atacate so'isticado. (o he)os
itetado a* costruir ua de)ostraci+ de la%oratorio ,parece que ser-a ilegal. %a/o las leyes
de EE00. hacer este tipo de i!estigaci+1. pero los expertos de "#M co los que he)os
ha%lado ha co'ir)ado que ser-a posi%le e teor-a y e la pr&ctica. 2a i'or)ado de que
di!ersos aspectos de los protocolos "#M se co)%ia para per)itir )otar el ataque
)ate)&tico de etrada escogida so%re C3M4125. si se pudiese costruir ua estaci+ %ase
'alsa. 6al estaci+ %ase o ecesita soportar todo el protocolo "#M. y podr-a ser costruida
por uos 10.000 d+lares
!$ decir# )ue con un par de millone$ de pe$eta$ podramo$ montar una e$tacin 3de pega3 )ue $e
dedica$e a interrogar a todo mvil )ue permanecie$e una$ cuanta$ *ora$ en $u radio de accin# 2O
*ora$ al da'
!n alguno$ punto$ la$ empre$a$ u$uaria$ de E"I tienen ra(n' Copiar tel%fono$ mediante la
t%cnica de interrogacin electrnica mediante contacto f$ico $era t%cnicamente difcil# y de
re$ultado$ limitado$# ya )ue el tel%fono clonado no puede en teora u$ar$e $imult&neamente con el
legtimo y no podra# por tanto# u$ar$e para e$piar conver$acione$' >ero $in duda tiene muc*a$
aplicacione$' >or ejemplo# e$ una buena *erramienta para la$ agencia$ de e$pionaje electrnico#
grupo$ del crimen organi(ado y# en general# entidade$ con recur$o$ econmico$ y t%cnico$ )ue
tengan nece$idad y gana$ de complicar$e la vida $i la recompen$a lo re)uirie$e'
Cuale$)uiera )ue fue$en $u$ re$ultado$ en la pr&ctica# el *ec*o e$ )ue el )ue $e crea invulnerable
algoritmo 2? re$ulta de calidad mediocreM o# para $er m&$ exacto# el algoritmo CKI>:2C u$ado
por 2? re$ulta vulnerable' De$ulta e$pecialmente llamativo el *ec*o de )ue CKI>:2C era un
algoritmo $ecreto' "in embargo# lo$ inve$tigadore$ con$iguieron recomponerlo mediante t%cnica$
de ingeniera inver$a y diver$o$ documento$ (alguno$ p=blico$# otro$ filtrado$ de una u otra forma)'
!$to no e$ $ino otro recordatorio de )ue la t%cnica de $eguridad mediante o$curidad# $implemente#
no funciona'
J $i tre$ cientfico$ norteamericano$ pudieron atacarlo# otro$ podran copiar dic*o ata)ue' e
*ec*o# a finale$ de 2bril# el grupo alem&n C*ao$ Computer Club anunci )ue *aba pue$to en
pr&ctica el ata)ue a 2? con %xito en una de la$ rede$ alemana$ E"I# llamada$ 2' Inclu$o
afirmaron )ue con$iguieron conectar a la red ambo$ tel%fono$ (el legtimo y el clonado)
$imult&neamente'
Como vemo$# el e$)uema de 3$eguridad mediante o$curidad3 $implemente no funciona' Ja en
:';;N# dentro de la conferencia Elobal Communication$ Interactive [;N# Il*ana /urBic
S*ttpRLLTTT'globalcomm$'co'uBLinteractiveLdevelopmentL2:'*tmlU afirmaba )ue una de la$
debilidade$ en el di$e4o del $i$tema E"I era la au$encia de la re$i$tencia de lo$ algoritmo$
u$ado$' J a4adaR 3>arece )ue no e$ po$ible un cambio dram&tico po$itivo en el clima actual#
donde $e mantiene el [mito[ de la E"I $egura''' parece )ue lo$ intere$e$ comerciale$ y poltico$
(de corta$ mira$) )uieren explorar la infrae$tructura proporcionada por E"I# a$ como la$
$olucione$ de $eguridad fragmentada$ y convencionale$ de tipo E"I ()ue tambi%n permite la
interceptacin por motivo$ de nter%$ =ltimo[)' Como mnimo# lo$ teleco$ no podr&n decir )ue no
e$taban avi$ado$'
Ata'ue al A((( en varios asaltos(
Como *emo$ vi$to# el conocimiento de la clave Ki permite 3clonar3 tel%fono$' !n principio# tambi%n
permitiran de$cifrar la conver$acin# e$ decir# poder e$cuc*ar lo )ue do$ interlocutore$ *ablan'
!$to e$ po$ible por)ue la clave de $e$in Kc (u$ada para cifrar la llamada) $e obtiene mediante la
clave Ki y una $emilla aleatoria' >ero *abra )ue obtener e$a $emilla para cada conver$acin# y
*ay )ue recordar )ue el ata)ue anteriormente de$crito re)uiera *ora$ o da$' J recordemo$ )ue
$olamente $on vulnerable$ lo$ $i$tema$ )ue utilicen el algoritmo CKI>:2C para autenticacin y
generacin de clave$' >or ello# ni lo$ propio$ autore$ e$timaron )ue $u m%todo fue$e =til en la
pr&ctica para interceptar y de$cifrar la llamada' >ero $e la$ arreglaron para darno$ otro $u$to'
Como ya $e *a dic*o# la clave de $e$in Kc -u$ada por el algoritmo 2X para cifrar la$ llamada$-
tiene una longitud de 6O bit$' !$to $ignifica )ue# $i el algoritmo e$tuvie$e bien di$e4ado# un
atacante tendra )ue probar la$ 2P6O combinacione$ po$ible$ de clave$ para de$cifrar el men$aje'
J 2P6O $on ca$i veinte trillone$# una cantidad grande' !$t& tericamente al alcance de atacante$
bien organi(ado$# pero $lo mediante e$fuer(o$ enorme$ tanto en material como en recur$o$
econmico$ (v%a$e lo$ Informe$ 22 Sinfo@22'*tmU y 2? Sinfo@2?'*tmU)' ema$iado trabajo para
pinc*ar una $imple llamada'
"in embargo# Eoldberg# 5agner y 8riceno *icieron un in)uietante de$cubrimiento adicional' "u
an&li$i$ de lo$ algoritmo$ del $i$tema E"I mo$traron ine)uvocamente )ue# de lo$ 6O bit$ de la
clave de $e$in Kc# Wdie( de ello$ $on $iempre iguale$ a ceroW !$te debilitamiento# aparentemente
deliberado# de la clave# pone la$ co$a$ 2P:@ \ :'@2O vece$ m&$ f&cile$ a un atacante intere$ado '''
como# por ejemplo# una agencia de inteligencia con gran pre$upue$to' >or $upue$to# la indu$tria no
reconoce )ue $ea %$e el motivo' !n una vuelta de tortilla# afirmaron )ue lo$ :@ bit$ proporcionan
una 3flexibilidad adicional en re$pue$ta a amena(a$ de fraude$ y de $eguridad'3 !$te debilitamiento
$e vio en todo$ la$ implementacione$ del algoritmo generador de clave$ 2C# inclu$o la$ )ue no
u$aban CKI>:2C' !$ decir# parece $er una caracter$tica global a toda la infrae$tructura E"I'
"egundo a$altoR nte$e )ue *ace do$ p&rrafo$ aparece el condicional 3$i el algoritmo e$tuvie$e
bien di$e4ado'3 2l igual )ue $u primo autenticador# 2X fue de$arrollado de puerta$ para adentro# en
la creencia de )ue mantener el algoritmo $ecreto evitara )ue $e le pudie$e atacar' >arece )ue
nadie le$ *a explicado todava )ue exi$te algo llamado ingeniera inver$a' Iarc 8riceno afirma
*aber recon$truido el algoritmo 2X en $u$ rato$ libre$# a lo largo de uno$ poco$ me$e$# bajo un
pre$upue$to de meno$ de cien dlare$'
>odra *aber$e a*orrado el trabajo' Cuenta 8ruce "c*neier en $u Applied Cryptography )ueR
ua co)pa7-a tele'+ica %rit&ica dio toda la docu)etaci+ 8so%re A9: a la 0i!ersidad de
;rad'ord si recordarles que de%-a 'ir)ar u acuerdo de o re!elaci+. #e 'iltr+ aqu- y all-. y
e!etual)ete aca%+ e <teret. 0 art-culo descri%iedo A9 'ue 8presetado e el cogreso
C2<(AC=>46?@A: ...
24ade "c*neier )ue *ubo muc*a$ co$a$ rara$ alrededor de 2X' "eg=n cierto$ rumore$# *ubo
diver$a$ pelea$ entre agencia$ de inteligencia$ europea$R lo$ alemane$ )ueran cifrado m&$ fuerte#
pero lo$ otro$ pa$e$ ignoraron $u$ peticione$ y acabaron imponi%ndo$e la$ te$i$ france$a$'
Dumore$ aparte# *ay un ata)ue criptoanaltico )ue re)uiere un total de 2PO@ cifrado$# y entre 2PO@
y 2POX operacione$ inform&tica$# bien al alcance de lo$ ordenadore$ actuale$ de alta velocidad# o
bien de c*ip$ con$truido$ a tal efecto' Ja en :';;O# el criptgrafo Do$$ 2nder$on abogaba por)ue
2X $e con$idera$e un algoritmo exportable# ya )ue pareca $er e)uivalente en fortale(a a $i$tema$
como DC2 o DCO con clave de O@ bit$'
2X tiene do$ 3$abore$3R la ver$in 2XL: (para u$o dom%$tico) y la 2XL2 (para la exportacin)' /o
*ay )ue $er un genio para $uponer )ue la ver$in exportable e$tar& lo ba$tante debilitada como
para )ue cual)uier agencia de e$pionaje electrnico medianamente competente pueda com%r$ela
con patata$'
/o *e *allado dato$ $obre la fortale(a terica de 2XL2# $alvo un documento titulado <'or)e so%re
la especi'icaci+ y e!aluaci+ del algorit)o de ci'rado "#M A9B2 redactado en :';;6 por el Erupo
de !xperto$ $obre "eguridad de 2lgoritmo$ 6"ecurity 2lgorit*m$ Eroup of !xpert$# "2E!7 del
In$tituto !uropeo de !$t&ndare$ de Telecomunicacin 6!T"I7' ic*o documento (cdigo !TD 2NC)
$e prodiga poco en dato$ t%cnico$# pero afirma )ueR
los resultados de los a&lisis )ate)&ticos o ideti'icaro caracter-sticas del algorit)o que
pudiera ser explotadas para u ataque de iterceptaci+ pr&ctico e el tra)o radio de "#M
<na de do$R o el grupo de experto$ "2E! e$ una banda de c*apucero$ o# por el contrario# *icieron
un excelente trabajo de evaluacin ante un algoritmo deliberadamente debilitado' <n ata)ue
di$e4ado por 5agner# Eoldberg y 8riceno en ago$to de :';;; mo$tr )ue $olamente tena una
re$i$tencia e)uivalente a la de un algoritmo de :6 bit$' !$ decir# $olamente *ay )ue *acer un
e$fuer(o computacional e)uivalente a probar 66'@@@ clave$# y ya e$t&' !n palabra$ de Eoldberg#
3puede $er reventado en tiempo real ''' lo mi$mo dara )ue lo$ E"I no lleva$en e$ta algoritmo de
privacidad de vo('3 !fectivamente# un men$aje )ue pueda $er de$cifrado en mili$egundo$ tanto
dara )ue no fue$e cifrado'
<n miembro de otro e)uipo de criptgrafo$ )ue criptoanali( la variante 2XL2 con %xito afirm
3nue$tro ata)ue $olamente funciona por)ue diver$a$ propiedade$ del $i$tema de cifrado $on ju$to
la$ correcta$' +Ca$ualidad, Iuc*o$ lo dudan' "olamente podemo$ e$perar y ver $i la$ mi$ma$
[coincidencia$ afortunada$[ funcionan tambi%n en un ata)ue contra 2XL:'3 !$e era el e$tado de
co$a$ a finale$ de :';;;# mientra$ el mundo e$taba preocupado por el cambio de milenio (o no)'
Efecto &()))* versin israel+
!n iciembre de :';;;# lo$ inve$tigadore$ i$raele$ 2lex 8iryuBov y 2di "*amir (la " en D"2)
lan(aron un ata)ue criptoanaltico $obre 2XL: aprovec*ando cierto$ 3fallo$ $utile$'3 Con el ttulo de
Criptoan&li$i$ de 2XL: en tiempo real con un >C S*ttpRLLcryptome'orgLaX:-b$T'*tmU# el artculo de
8iryuBov y "*amir $orprendi a lo$ entendido$ por la relativa facilidad con la )ue $e pueden
de$cifrar conver$acione$ cifrada$ mediante 2XL:' +1o$ medio$, /ada de grande$ e)uipo$
inform&tico$ ni pre$upue$to$ multimillonario$' !$to e$ lo )ue nece$ita el malo de la pelcula para
*u$mear donde no le llamanR un ordenador per$onal con :2C Ib de D2I (el artculo menciona lo$
>C# pero no creo )ue le *agan a$co$ a lo$ Iac R-)# una capacidad de almacenamiento e)uivalente
a entre do$ y cuatro di$co$ duro$ de N? Eb cada uno y un e$c&ner digital (e$to =ltimo no $e
menciona en el artculo# pero $era nece$ario para un ata)ue real)'
!l ata)ue preci$a de una etapa de c&lculo previo con$i$tente en uno$ 2POC pa$o$# )ue $olamente
*a de llevar$e a cabo una ve(' <na ve( *ec*o# el atacante puede elegir entre diver$o$ tipo$ de
ata)ue' !n uno de ello$ $e preci$a el e)uivalente a un par de $egundo$ de conver$acin (cifrada)#
y el ata)ue re)uiere uno$ minuto$' !n otro# e$ preci$o obtener do$ minuto$ de conver$acin# pero
el tiempo del ata)ue $e reduce a apena$ un $egundo'
/o cabe duda )ue e$to$ dato$ pueden mejorar$e# tal y como $ugieren lo$ propio$ autore$' <na de
la$ co$a$ )ue llaman la atencin e$ )ue /K $e aprovec*an del *ec*o de )ue :@ de lo$ 6O bit$ de
la clave de cifrado $on cero' !$ decir# el ata)ue valdra *a$ta para clave$ )ue incorpora$en lo )ue
la indu$tria denominaba 3flexibilidad adicional3 +>odra obtener$e un re$ultado m&$ r&pidamente
para una clave de XO bit$ efectivo$, 0agan $u$ apue$ta$'
Como puede uno imaginar$e# un ata)ue criptoanaltico pr&cticamente en tiempo real# al alcance de
cual)uiera )ue $epa leer ingl%$# programar y di$ponga de un ordenador de $obreme$a y uno$ :X@
Eb no e$ lo )ue denominaramo$ trivial' >ero no parece )ue la indu$tria de telecomunicacione$
pierda el $ue4o por ello' !n un artculo del /eT JorB Time$ de N de iciembre# un portavo( de
Kminpoint (la )ue pre$uma de $er inmune$ a lo$ ata)ue$ contra el algoritmo CI!2# +recuerdan,)
calific lo$ re$ultado$ como 3ridculo$''' lo )ue de$criben e$ un ejercicio acad%mico )ue nunca
funcionara en el mundo real'3
!l lector intere$ado puede leer lo$ comentario$ de Eregorio ]lvare( Iara4n (8oletn del
Criptonomicn# n^ 62 S*ttpRLLTTT'iec'c$ic'e$LcriptonomiconL$u$urro$L$u$urro$:X'*tmU y 8ruce
"c*neier (Crypto-Eram :X iciembre :';;;
S*ttpRLLTTT'counterpane'comLcrypto_gram_;;:2'*tmlUM exi$te traduccin en Qriptpoli$R Cripto-
Erama n^ 2@ S*ttpRLLTTT'Briptopoli$'comLcriptogramaLcg'*tmlU)
2l da de *oy# centenare$ de millone$ de tel%fono$ E"I $iguen funcionando por todo el mundo'
>uede )ue u$ted $ea u$uario$ de e$te tipo de tecnologa' >uede )ue# ante$ de leer e$te informe#
$e creye$e a $alvo de odo$ indi$creto$ gracia$ a tanto cdigo de blo)ueo y de$blo)ueo# >I/# ><Q
y $imilare$' 1e pido di$culpa$ por *aberle robado $u tran)uilidad' >ero e$o e$ lo )ue *ay' +J )u%
)uiere )ue le diga, "e $upone )ue lo$ experto$ $aban *acer $u trabajo'
+1o $aben todava,
3G, la nueva generacin
1a tecnologa analgica con$tituy la 3primera generacin3 de telefona mvil' 1a telefona digital
(E"I) fue la $egunda' 2*ora $e e$t& preparando la tercera generacin (llamada <IT" o ?E)# )ue
no$ promete acce$o mvil a Internet# videoconferencia y un $inn=mero de maravilla$' 2 la vi$ta de
la *i$toria reciente# cabe preguntar$e $i veremo$ cometer$e lo$ mi$mo$ errore$'
!n un principio# tambi%n lo$ algoritmo$ de la telefona de tercera generacin (llam%mo$la ?E)
fueron mantenido$ en $ecreto' >ero en "eptiembre de 2'@@@# la !T"I public un comunicado
S*ttpRLLTTT'et$i'orgLpre$$Lalgo?gpp'*tmU en el )ue anunciaba la di$tribucin de lo$ algoritmo$ de
confidencialidad f! e integridad f- )ue proteger&n el tramo a%reo en la$ futura$ comunicacione$
?E' Tamben $e *an *ec*o p=blico$ lo$ detalle$ de funcionamiento del conjunto de algoritmo$ para
autenticacin y generacin de clave$ (f:# f:`# f2# f?# fO# fX y fX`)' !n realidad# la e$tructura ?E e$
ba$tante m&$ compleja )ue la E"I a efecto$ de confidencialidad y autenticacin# a$ )ue pido
di$culpa$ $i cometo alg=n error' .amo$ all&'
1a $eguridad en ?E $er& tal )ue no $er& nece$ario )ue todo$ lo$ operadore$ u$en lo$ mi$mo$
algoritmo$ para autenticacin o intercambio de clave$' !l problema e$ )ue lo mi$mo $ucedin en el
ca$o de E"I# y lo$ operadore$ $e limitaron en $u mayora a adoptar el algoritmo proporcionado
como ejemplo' /o ob$tante# a la vi$ta de lo$ documento$ )ue *e ledo# parece )ue e$ta ve( $e
toman m&$ en $erio la po$ibilidad de elegir algoritmo$ 3a la carta'3
!n el ca$o de ?E# el conjunto de algoritmo$ de autenticacin y generacin de clave$ $ugerido
como ejemplo $e denomina M.LE/AGE' !$te e$ un conjunto con$truido alrededor del cifrado en
blo)ue conocido como Dijndael' !xi$tan bueno$ motivo$ para elegir DijndaelR tiene clave de :2C
bit$# *a $ido bien e$tudiado# e$ de dominio p=blico (e$ decir# carece de patente$ )ue puedan limitar
$u u$o)# e$ eficiente tanto en funcionando en *ardTare como en $oftTare# y en el momento de $er
propue$to era uno de lo$ finali$ta$ para $er elegido como !$t&ndar de Cifrado 2van(ado (2!")# el
$uce$or del ya caduco !"' !$to =ltimo $ignifica )ue Dijndael ya $ido exten$amente atacado por la
comunicad criptogr&fica# y )ue por tanto Iilenage no $e convertira en otro algoritmo de$arrollado
en $ecreto'
2un)ue el grupo "2E! no lo $aba en e$e momento# e$taban dando en el clavo' Dijndael fue
finalmente e$cogido por el /I"T (In$tituto /acional de !$t&ndare$ y Tecnologa) norteamericano
como algoritmo 2!"' !$to $ignifica )ue el n=cleo de la $eguridad ?E e$ el mi$mo algoritmo )ue
$er& difundido para todo tipo de aplicacione$ de cifrado# y por lo tanto $er& uno de lo$ m&$
ampliamente e$tudiado$ de la *i$toria'
Como contrapartida# la confidencialidad e integridad en el intervalo a%reo (entre el mvil y la
e$taci ba$e) e$ tarea re$ervada al algoritmo 0AS1M.' Traducible como 3niebla3# Qa$umi parece
$er un algoritmo en blo)ue de :2C bit$ )ue tiene cierto$ derec*o$ intelectuale$' 1a au$encia de
ata)ue$ conocido$ *a$ta a*ora contra Qa$umi $ignifica una de do$ co$a$R o bien yo $oy un manta
bu$cando informacin R-(# o bien no exi$ten *a$ta la fec*a'
2 falta de m&$ dato$# )uiero pen$ar )ue e$te algoritmo *a $ido bien di$e4ado' >er$onalmente#
*ubie$e preferido un algoritmo m&$ conocido y u$ado (por ejemplo# el mi$mo Dijndael)# pero
recono(co )ue me ba$o en lo$ prejuicio$' !n cual)uier ca$o# e$ bueno )ue el algoritmo Qa$umi
*aya $ido *ec*o p=blico# de forma )ue la 3$eguridad mediante o$curidad3 $ea $u$tituida por la
alternativa 3lu( y ta)ugrafo$3 )ue tan bueno$ re$ultado$ *a dado *a$ta a*ora para $eparar el trigo
de la paja'
J a*ora# )uerido lector (o mejorR de$pu%$ de leer e$te Informe) puede u$ted ec*arle un vi$ta(o a
lo$ algoritmo$' -anoT$ C$irij# de la 2TAT 1ab$ De$earc*# mantiene una introduccin a la $eguridad
en ?E# junto con enlace$ a Iilenage y Qa$umi# en S*ttpRLLTTT're$earc*'att'comLZjano$L?gpp'*tmU'
1a !T"I# entidad co-cu$todia de lo$ algoritmo$ fC y f;# lo$ tiene en un enlace en
S*ttpRLLTTT'et$i'orgLdvbandcaU' J puede leer un artculo $obre la re$i$tencia de Qa$umi a lo$
ata)ue$ de criptoan&li$i$# e$crito por -o*an 5all%n de la <niver$idad Tecnolgica de 0el$inBi#
enS*ttpRLLTTT'niB$ula'c$'*ut'fiLZjTallenLBa$umiLBa$umi'*tmlU' >a$en y pngan$e cmodo$'
$alabras finales 2por ahora3
ebemo$ a*ora bajarno$ del limbo de la$ ab$traccione$ criptogr&fica$ y poner lo$ pie$ en el $uelo'
Inclu$o $i Qa$umi# Dijndael y toda $u co*orte de algoritmo$ funcionan perfectamente# y a=n $i el
e$)uema de $eguridad para la telefona ?E $oporta lo$ embate$ del mundo real debemo$ tener
pre$ente$ )ue la conver$acin $olamente e$ $egura en el trayecto )ue va de la e$tacin ba$e al
mvil' urante el re$to del trayecto (de la e$tacin ba$e de un interlocutor a la del otro)# la
conver$acin viaja $in cifrar' !$to $ignifica )ue cual)uier per$ona o entidad con acce$o a la red
telefnica podr& pinc*ar la$ llamada$' /ue$tra privacidad $igue $in e$tar garanti(ada m&$ )ue a
tro(o$'
J un avi$o final' /o crean )ue tanta autenticacin y cifrado $irve para mantener $u$
comunicacione$ a $alvo de lo$ odo$ del !$tado' Todo$ lo$ $i$tema$ de comunicacin actuale$
incluyen $i$tema$ para el llamado 3acce$o legal3# de forma )ue una autoridad policial pueda e$piar
en la conver$acin *aya o no cifrado de por medio' !n el ca$o de la telefona ?E# lo$ re)ui$ito$
$obre 3interceptacin legal3 *an $ido pla$mado$ en lo$ documento$ TD??':@6 y TD??':@N' >or
cierto# una de la$ referencia$ contenida$ en dic*o$ documento$ $e denomina =esoluci+ del
Cose/o de la 0i+ Europea so%re la <terceptaci+ Cegal de las 6eleco)uicacioes de :N
!nero de :';;X' !$ta De$olucin fue ampliada en :';;; y $e *i(o muy conocida bajo el nombre de
re$olucin !nfopol' Tal ve( *ayan odo *ablar de ella'
a 2rturo Huirante$ 2'@@:' Correo electrnicoR a'uiran arroba ugr(es
.uelta a la $eccin Informe$ del Taller de Criptografa S''Linforme$'*tmU