Cifrado negable

Summary

En criptografía y esteganografía, el cifrado negable es un tipo de cifrado que permite negar en modo convincente que los datos están cifrados, o de ser capaz de descifrarlos. La negación, aunque falsa, no puede ser verificada por el atacante sin la cooperación del usuario, que podría realmente no ser capaz de descifrar los datos. El cifrado negable sirve para socavar la confianza del atacante y su duda se convierte en otra forma de protección.[1]

Función

editar

Normalmente, un texto cifrado puede ser descifrado en un solo texto simple. El cifrado negable permite al usuario descifrar el texto cifrado y producir, en caso necesario, un texto simple diferente que hace función de señuelo. El atacante, aunque esté en condición de forzar la producción de un texto simple, no puede revelar alguna diferencia entre el texto verdadero y aquello alternativo. El usuario puede siempre defenderse escogiendo, de vez en vez, cuál de los textos producir a partir desde el mismo texto cifrado.

El concepto "de cifrado negable" fue utilizado por Julian Assange y Ralf Weinmann en el Rubberhose filesystem y explicado en detalle en un documento elaborado por Ran Canetti, Cynthia Dwork, Moni Naor y Rafail Ostrovsky[2]​ en 1996.

Escenario

editar

El cifrado negable permite al emisor desmentir el envío de un mensaje cifrado. Esto requiere un tercero de confianza. He aquí un escenario posible:

  1. Alice es la esposa de Bob, que sospecha que su mujer sea adúltera. Ella quiere comunicarse con su amante secreto Carl. Ella crea dos claves, una (K1) destinada a ser sacrificada y otra (K2) con la intención de mantenerla en secreto. Ella pasa la clave secreta a Carl.
  2. Alice construye un mensaje inocuo M1 para Carl (destinado a ser revelado a Bob en caso de emergencia) y un mensaje comprometedor M2 para Carl. M1 es cifrado con la clave K1 y M2 con la clave K2. En el momento de la codificación, M1 y M2 se fusionan en un único mensaje cifrado que se envía a Carl.
  3. Carl utiliza la clave secreta K2 para descifrar el mensaje y lee el texto secreto M2.
  4. Bob descubre el mensaje cifrado a Carl, se hace sospechoso y obliga Alice a descifrar el mensaje.
  5. Alice sacrifica la clave K1 y revela Bob el mensaje inocuo M1. Bob no sabe de la existencia de la otra clave y tiene que presumir que no hay otro mensaje M2.

Otro escenario posible es la creación de un mensaje cifrado con instrucciones secretas de Alice a Bob y Carl, que tienen que recibir instrucciones diferentes y no deben llegar a saber las instrucciones del otro. Carl puede recibir el mensaje solamente por el trámite de Bob.

  1. Alice construye el mensaje cifrado (M1 con K1 y M2 con K2) y lo envía a Bob.
  2. Bob utiliza su clave K1 y lee sus instrucciones M1. No puede leer M2.
  3. Bob reenvía el mensaje cifrado a Carl.
  4. Carl utiliza su clave K2 y lee sus instrucciones M2. No puede leer M1.

Formas modernas de cifrado negable

editar

Las técnicas modernas de cifrado negable explotan las propiedades de permutación pseudoaleatoria de los cifrados por bloques, por las que no es posible probar que el texto cifrado no coincide con datos aleatorios generados por un generador de números pseudoaleatorios criptográficamente seguro. Se utilizan también algunos datos de señuelo, que el usuario supuestamente quiere mantener en secreto y que serán revelados en caso de ataque, afirmando que esto es todo lo que hay. Esta forma de cifrado negable se refiere a veces como esteganografía.

Otro ejemplo de cifrado negable es el sistema de archivos cifrado que utiliza el concepto de niveles abstractos, donde cada nivel está cifrado con una clave diferente, y niveles adicionales especiales, con función de "chaff", llenos de datos aleatorios. El usuario almacena archivos de señuelo en uno o más niveles y niega la existencia de otros niveles con archivos ocultos, afirmando que el resto del espacio está ocupado solo por los niveles de chaff. Físicamente, estos sistemas de archivos se almacenan en un directorio único y todos los archivos tienen mismo tamaño y timestamp aleatorio. Los nombres son aleatorios - si pertenecen a niveles de chaff - o son hash criptográficos de las cadenas que identifican los bloques. El sistema de archivos Rubberhose y PhoneBookFS utilizan este enfoque.

Otro método, utilizado por algunos software de cifrado de disco, es la creación de un segundo volumen cifrado dentro de un volumen contenedor. El volumen contenedor está formateado con datos aleatorios cifrados[3]​ y luego inicializado con un sistema de archivos que el usuario rellene con datos sensibles creíbles. Después se inserta internamente al volumen contenedor un segundo volumen oculto y cifrado, en lo que el usuario almacena datos secretos. Como en los otros ejemplos, la protección del volumen cifrado trae origen de las propiedades de permutación pseudoaleatoria de los cifrados por bloques.[4]

La integridad del volumen cifrado depende de la posibilidad de no aumentar el tamaño de los datos contenidos en el volumen contenedor hasta sobrescribir el espacio oculto cifrado asignado en el interno. Tal vez puede ser necesario "congelar" en el tiempo el volumen contenedor para preservar aquello oculto, corriendo el riesgo de hacerlo sospechoso en consecuencia de los timestamp del último acceso y modificación nunca más actualizados. FreeOTFE y BestCrypt pueden contener más volúmenes cifrados en el interno de un volumen contenedor; TrueCrypt se limita a un volumen oculto.[5]

Críticas

editar

La existencia de un volumen oculto puede ser comprometida por implementaciones con elementos criptográficos predecibles o por algunas herramientas forenses que pueden revelar la presencia de datos cifrados no aleatorios.[6][7]​ También se sugirió una vulnerabilidad de los volúmenes cifrados por trámite de la prueba de aleatoriedad chi-cuadrado, por la que sería necesaria, después de cada modificación de los datos cifrados, la inclusión de elementos correctivos para llevar el volumen a una condición de aleatoriedad verosímil.[8]

El cifrado negable fue criticado también por su imposibilidad de defender los usuarios contra el criptoanálisis de manguera de goma (Rubber-hose cryptanalysis). Algunos usuarios y proyectistas temen que la utilización misma de instrumentos que soporten el cifrado negable puede empujar los atacantes a no interrumpir la investigación, incluso si el usuario proporciona una contraseña válida.[9]

Véase también

editar

Referencias

editar
  1. http://es.zettapedia.com/tag/criptoan%C3%A1lisis.htm#/negable-cifrado.htm (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última).
  2. Ran Canetti, Cynthia Dwork, Moni Naor, Rafail Ostrovsky (10 de mayo de 1996). «Deniable Encryption» (PostScript). Lecture Notes in Computer Science 1294: 90-104. ISBN 978-3-540-63384-6. doi:10.1007/BFb0052229. Consultado el 5 de enero de 2007. 
  3. http://www.freeotfe.org/docs/Main/plausible_deniability.htm
  4. https://web.archive.org/web/20120120195948/http://e-privacy.winstonsmith.info/atti/e-privacy-2011-14-luci_e_ombre_di_truecrypt-gagliardoni.pdf
  5. http://www.truecrypt.org/hiddenvolume
  6. Adal Chiriliuc (23 de octubre de 2003). BestCrypt IV generation flaw. Archivado desde el original el 21 de julio de 2006. Consultado el 23 de agosto de 2006. 
  7. «Encrypted hard drives may not be safe: Researchers find that encryption is not all it claims to be.». Archivado desde el original el 30 de marzo de 2013. Consultado el 13 de octubre de 2011. 
  8. MultiObfuscator - Manuale: Architettura e meccanismo di difesa dal test chi quadrato
  9. http://embeddedsw.net/doc/physical_coercion.txt Julian Assange: Physical Coercion]

Bibliografía

editar
  • Czeskis, A.; St. Hilaire, D. J.; Koscher, K.; Gribble, S. D.; Kohno, T.; Schneier, B. (2008). USENIX, ed. Defeating Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of the Tattling OS and Applications. 3rd Workshop on Hot Topics in Security. 
  • Howlader, Jaydeep; Basu Saikat (2009). IEEE, ed. Sender-Side Public Key Deniable Encryption Scheme. Proceedings of the International Conference on Advances in Recent Technologies in Communication and Computing. doi:10.1109/ARTCom.2009.107. 
  • Howlader, Jaydeep; Nair Vivek; Basu Saikat (2011). Springer, ed. Deniable Encryption in Replacement of Untappable Channel to Prevent Coercion. Proc. Advances in Networks and Communications 132. Communications in Computer and Information Science. pp. 491-501. doi:10.1007/978-3-642-17878-8_50. 
  •   Datos: Q2657061