Cifrado denegable

Técnicas de cifrado en las que un adversario no puede demostrar que los datos en texto simple existen

En criptografía y esteganografía , el cifrado plausiblemente negable describe técnicas de cifrado en las que la existencia de un archivo o mensaje cifrado es negable en el sentido de que un adversario no puede probar que existen los datos en texto simple . ^[1]

Los usuarios pueden negar de manera convincente que una determinada pieza de datos esté cifrada, o que sean capaces de descifrar una determinada pieza de datos cifrados, o que existan determinados datos cifrados. ^[2] Dichas negaciones pueden ser genuinas o no. Por ejemplo, puede resultar imposible demostrar que los datos están cifrados sin la cooperación de los usuarios. Si los datos están cifrados, es posible que los usuarios no puedan descifrarlos. La negación del cifrado sirve para socavar la confianza de un atacante en que los datos están cifrados o en que la persona que los posee puede descifrarlos y proporcionar el texto sin formato asociado .

En su artículo fundamental de 1996, Ran Canetti , Cynthia Dwork , Moni Naor y Rafail Ostrovsky introdujeron el concepto de cifrado denegable, un avance criptográfico que garantiza la privacidad incluso bajo coerción. Este concepto permite a los participantes de una comunicación cifrada negar de forma plausible el verdadero contenido de sus mensajes. Su trabajo establece los principios fundamentales del cifrado denegable, ilustrando su papel fundamental en la protección de la privacidad contra las divulgaciones forzadas. Esta investigación se ha convertido en una piedra angular para los futuros avances en criptografía, enfatizando la importancia del cifrado denegable para mantener la seguridad de las comunicaciones. ^[3] La noción de fue utilizada por Julian Assange y Ralf Weinmann en el sistema de archivos Rubberhose. ^{[4] [2]}

Función

El cifrado denegable hace imposible probar el origen o la existencia del mensaje de texto simple sin la clave de descifrado adecuada. Esto se puede hacer permitiendo que un mensaje cifrado se descifre en diferentes textos simples sensatos, según la clave utilizada. Esto permite que el remitente tenga una negación plausible si se ve obligado a entregar su clave de cifrado.

Guión

En algunas jurisdicciones, las leyes presuponen que los operadores humanos tienen acceso a elementos como las claves de cifrado. Un ejemplo es la Ley de Regulación de los Poderes de Investigación del Reino Unido ^{[5] [6],} que tipifica como delito no entregar las claves de cifrado cuando se lo pida un funcionario del gobierno autorizado por la ley. Según el Ministerio del Interior , la carga de la prueba de que una persona acusada está en posesión de una clave recae sobre la acusación; además, la ley contiene una defensa para los operadores que han perdido u olvidado una clave, y no son responsables si se determina que han hecho lo que podían para recuperar una clave. ^{[5] [6]}

En criptografía , el criptoanálisis con manguera de goma es un eufemismo para la extracción de secretos criptográficos (por ejemplo, la contraseña de un archivo cifrado) de una persona mediante coerción o tortura ^[7] —como golpear a esa persona con una manguera de goma , de ahí el nombre— en contraste con un ataque criptoanalítico matemático o técnico .

Un uso temprano del término fue en el grupo de noticias sci.crypt , en un mensaje publicado el 16 de octubre de 1990 por Marcus J. Ranum , aludiendo al castigo corporal :

...la técnica de criptoanálisis de la manguera de goma (en la que se aplica una manguera de goma con fuerza y ​​frecuencia a las plantas de los pies hasta que se descubre la clave del criptosistema, un proceso que puede llevar un tiempo sorprendentemente corto y es bastante económico desde el punto de vista computacional). ^[8]

El cifrado denegable permite que el remitente de un mensaje cifrado niegue el envío de ese mensaje. Para ello es necesario un tercero de confianza. Un posible escenario es el siguiente:

1. Bob sospecha que su esposa, Alice, está cometiendo adulterio. En ese caso, Alice quiere comunicarse con su amante secreto, Carl. Crea dos llaves, una destinada a mantenerse en secreto y la otra a ser sacrificada. Le pasa la llave secreta (o ambas) a Carl.
2. Alice construye un mensaje inocuo M1 para Carl (que Bob debe revelar en caso de que lo descubran) y una carta de amor incriminatoria M2 para Carl. Construye un texto cifrado C a partir de ambos mensajes, M1 y M2, y se lo envía por correo electrónico a Carl.
3. Carl usa su clave para descifrar M2 (y posiblemente M1, para poder leer también el mensaje falso).
4. Bob se entera del correo electrónico a Carl, sospecha y obliga a Alice a descifrar el mensaje.
5. Alice usa la llave de sacrificio y revela el mensaje inocuo M1 a Bob. Como es imposible para Bob saber con seguridad que puede haber otros mensajes contenidos en C, podría suponer que no hay otros mensajes.

Otro escenario es el de Alice enviando el mismo texto cifrado (algunas instrucciones secretas) a Bob y Carl, a quienes les ha entregado claves diferentes. Bob y Carl recibirán instrucciones diferentes y no deben poder leer las instrucciones del otro. Bob recibirá el mensaje primero y luego se lo reenviará a Carl.

1. Alice construye el texto cifrado a partir de ambos mensajes, M1 y M2, y se lo envía por correo electrónico a Bob.
2. Bob usa su clave para descifrar M1 y no puede leer M2.
3. Bob reenvía el texto cifrado a Carl.
4. Carl usa su clave para descifrar M2 y no puede leer M1.

Formas de cifrado denegable

Normalmente, los textos cifrados se descifran en un único texto plano que se pretende mantener en secreto. Sin embargo, una forma de cifrado denegable permite a sus usuarios descifrar el texto cifrado para producir un texto plano diferente (inocuo pero plausible) y afirmar de manera plausible que es lo que cifraron. El poseedor del texto cifrado no podrá diferenciar entre el texto plano verdadero y el texto plano falso. En general, un texto cifrado no se puede descifrar en todos los textos planos posibles a menos que la clave sea tan grande como el texto plano , por lo que no es práctico en la mayoría de los casos que un texto cifrado no revele información alguna sobre su texto plano. ^[9] Sin embargo, algunos esquemas permiten el descifrado para engañar a los textos planos que son cercanos al original en alguna métrica (como la distancia de edición ). ^[10]

Las técnicas modernas de cifrado denegable explotan el hecho de que sin la clave no es posible distinguir entre el texto cifrado, los cifrados en bloque y los datos generados por un generador de números pseudoaleatorios criptográficamente seguro (las propiedades de permutación pseudoaleatoria del cifrado ). ^[11]

Esto se utiliza en combinación con algunos datos engañosos que el usuario probablemente querría mantener confidenciales y que serán revelados al atacante, alegando que eso es todo lo que hay. Esta es una forma de esteganografía . ^{[ cita requerida ]}

Si el usuario no proporciona la clave correcta para los datos verdaderamente secretos, al descifrarlos se obtendrán datos aparentemente aleatorios, indistinguibles de no haber almacenado allí ningún dato en particular. ^{[ cita requerida ]}

Ejemplos

Capas

Un ejemplo de cifrado denegable es un sistema de archivos criptográfico que emplea un concepto de "capas" abstractas, donde cada capa puede ser descifrada con una clave de cifrado diferente. ^{[ cita requerida ] Además, las "capas} de paja " especiales se llenan con datos aleatorios para tener una negación plausible de la existencia de capas reales y sus claves de cifrado. ^{[ cita requerida ]} El usuario puede almacenar archivos señuelo en una o más capas mientras niega la existencia de otras, alegando que el resto del espacio está ocupado por capas de paja. ^{[ cita requerida ]} Físicamente, este tipo de sistemas de archivos generalmente se almacenan en un solo directorio que consiste en archivos de igual longitud con nombres de archivo que son aleatorios (en caso de que pertenezcan a capas de paja) o hashes criptográficos de cadenas que identifican los bloques. ^{[ cita requerida ]} Las marcas de tiempo de estos archivos siempre son aleatorias. ^{[ cita requerida ]} Ejemplos de este enfoque incluyen el sistema de archivos Rubberhose.

Rubberhose (también conocido por su nombre en código de desarrollo Marutukku) ^[12] es un programa de cifrado que se puede negar y que cifra los datos en un dispositivo de almacenamiento y oculta los datos cifrados. La existencia de los datos cifrados solo se puede verificar utilizando la clave criptográfica adecuada. Fue creado por Julian Assange como una herramienta para los defensores de los derechos humanos que necesitaban proteger datos sensibles en el campo y se lanzó inicialmente en 1997. ^[12]

El nombre Rubberhose es una referencia jocosa al término criptoanálisis rubber-hose de los cypherpunks , en el que las claves de cifrado se obtienen por medio de la violencia.

Fue escrito para el kernel Linux 2.2, NetBSD y FreeBSD entre 1997 y 2000 por Julian Assange , Suelette Dreyfus y Ralf Weinmann. La última versión disponible, todavía en fase alfa, es la v0.8.3. ^[13]

Volúmenes de contenedores

Otro enfoque utilizado por algunos paquetes de software de cifrado de discos convencionales es la creación de un segundo volumen cifrado dentro de un volumen contenedor. El volumen contenedor se formatea primero llenándolo con datos aleatorios cifrados ^[14] y luego inicializando un sistema de archivos en él. Luego, el usuario llena parte del sistema de archivos con archivos señuelo legítimos, pero de apariencia plausible, que el usuario parecería tener un incentivo para ocultar. A continuación, se asigna un nuevo volumen cifrado (el volumen oculto) dentro del espacio libre del sistema de archivos contenedor que se utilizará para los datos que el usuario realmente desea ocultar. Dado que un adversario no puede diferenciar entre los datos cifrados y los datos aleatorios utilizados para inicializar el volumen externo, este volumen interno ahora es indetectable. LibreCrypt ^[15] y BestCrypt pueden tener muchos volúmenes ocultos en un contenedor; TrueCrypt está limitado a un volumen oculto ^[16] .

Otro software

• OpenPuff , esteganografía de código semiabierto y gratuito para MS Windows.
• LibreCrypt , cifrado de disco transparente de código abierto para MS Windows y PDA PocketPC que proporciona tanto cifrado denegable como denegación plausible . ^{[14] [17]} Ofrece una amplia gama de opciones de cifrado y no necesita ser instalado antes de su uso siempre que el usuario tenga derechos de administrador.
• Mensajería extraoficial , una técnica criptográfica que proporciona verdadera negación para la mensajería instantánea.
• StegFS , el sucesor actual de las ideas incorporadas por los sistemas de archivos Rubberhose y PhoneBookFS.
• VeraCrypt (un sucesor del discontinuado TrueCrypt ), un software de cifrado de disco sobre la marcha para Windows, Mac y Linux que proporciona cifrado denegable limitado ^[18] y, hasta cierto punto (debido a las limitaciones en la cantidad de volúmenes ocultos que se pueden crear ^[16] ), denegación plausible , sin necesidad de ser instalado antes de su uso, siempre que el usuario tenga derechos de administrador completos.
• Vanish , un prototipo de investigación que implementa un almacenamiento de datos autodestructivo.

Detección

La existencia de datos cifrados ocultos puede revelarse por fallas en la implementación. ^{[19] [ fuente autopublicada ]} También puede revelarse por un llamado ataque de marca de agua si se utiliza un modo de cifrado inadecuado. ^[20] La existencia de los datos puede revelarse por su "filtración" en un espacio de disco no cifrado ^[21] donde pueden ser detectados por herramientas forenses . ^{[22] [ fuente autopublicada ]}

Se han planteado dudas sobre el nivel de negación plausible en los "volúmenes ocultos" ^{[23] [ fuente autopublicada ]} : el contenido del sistema de archivos del contenedor "externo" debe estar "congelado" en su estado inicial para evitar que el usuario corrompa el volumen oculto (esto se puede detectar a partir de las marcas de tiempo de acceso y modificación), lo que podría generar sospechas. Este problema se puede eliminar indicando al sistema que no proteja el volumen oculto, aunque esto podría provocar la pérdida de datos. ^{[ cita requerida ]}

Desventajas

La posesión de herramientas de cifrado que se puedan negar podría llevar a los atacantes a seguir torturando a un usuario incluso después de que este haya revelado todas sus claves, porque los atacantes no podrían saber si el usuario había revelado su última clave o no. Sin embargo, el conocimiento de este hecho puede desincentivar a los usuarios a revelar cualquier clave desde el principio, ya que nunca podrán demostrarle al atacante que han revelado su última clave. ^[24]

Autenticación denegable

Algunas suites de mensajería cifrada en tránsito, como Off-the-Record Messaging , ofrecen autenticación denegable que otorga a los participantes una negación plausible de sus conversaciones. Si bien la autenticación denegable no es técnicamente "cifrado denegable" en el sentido de que no se niega el cifrado de los mensajes, su negabilidad se refiere a la incapacidad de un adversario de demostrar que los participantes mantuvieron una conversación o dijeron algo en particular.

Esto se logra porque toda la información necesaria para falsificar mensajes se adjunta a los mensajes cifrados: si un adversario es capaz de crear mensajes digitalmente auténticos en una conversación (véase el código de autenticación de mensajes basado en hash (HMAC)), también puede falsificar mensajes en la conversación. Esto se utiliza junto con el secreto directo perfecto para garantizar que la vulneración de las claves de cifrado de mensajes individuales no comprometa conversaciones o mensajes adicionales.

Véase también

• Descascarillado y cribado  : técnica criptográfica
• Autenticación denegable  : autenticación de mensajes entre un conjunto de participantes en la que los propios participantes pueden confiar en la autenticidad de los mensajes, pero no se puede probar a un tercero después del evento.Pages displaying wikidata descriptions as a fallback
• dm-crypt  – Software de cifrado de discos
• Ley de divulgación de claves  : legislación que exige que las personas entreguen claves criptográficas a las autoridades policiales.
• Negación plausible  – Capacidad de negar la responsabilidad
• Esteganografía  : ocultar mensajes en otros mensajes
• Distancia de unicidad  : longitud del texto cifrado necesaria para descifrar un código de manera inequívoca

Referencias

1. Véase http://www.schneier.com/paper-truecrypt-dfs.html Archivado el 27 de junio de 2014 en Wayback Machine . Consultado el 26 de julio de 2013.
2. Chen, Chen; Chakraborti, Anrin; Sion, Radu (2020). "INFUSE: Sistema de archivos invisible plausiblemente negable para flash NAND". Actas sobre tecnologías de mejora de la privacidad . 2020 (4): 239–254. doi : 10.2478/popets-2020-0071 . ISSN  2299-0984. Archivado desde el original el 2023-02-08 . Consultado el 2024-04-02 .
3. Ran Canetti, Cynthia Dwork, Moni Naor, Rafail Ostrovsky (1996-05-10). "Cifrado denegable" (PostScript) . Avances en criptología – CRYPTO '97 . Apuntes de clase en informática. Vol. 1294. págs. 90-104. doi :10.1007/BFb0052229. ISBN. 978-3-540-63384-6Archivado desde el original el 24 de agosto de 2020. Consultado el 5 de enero de 2007 .{{cite book}}: CS1 maint: multiple names: authors list (link)
4. Véase "Sistema de cifrado de disco transparente criptográficamente denegable de Rubberhose". Archivado desde el original el 15 de septiembre de 2010. Consultado el 21 de octubre de 2010 .. Recuperado el 22 de julio de 2009.
5. "The RIP Act". The Guardian . Londres. 25 de octubre de 2001. Archivado desde el original el 28 de marzo de 2023 . Consultado el 19 de marzo de 2024 .
6. "Proyecto de ley de regulación de los poderes de investigación; en sesión 1999-2000, publicaciones en Internet, otros proyectos de ley ante el Parlamento". Cámara de los Lores. 9 de mayo de 2000. Archivado desde el original el 8 de noviembre de 2011. Consultado el 5 de enero de 2011 .
7. Schneier, Bruce (27 de octubre de 2008). "Criptoanálisis con manguera de goma". Schneier on Security . Archivado desde el original el 30 de agosto de 2009. Consultado el 29 de agosto de 2009 .
8. Ranum, Marcus J. (16 de octubre de 1990). "Re: Criptografía y la ley..." Grupo de noticias : sci.crypt. Usenet:  [email protected]. Archivado desde el original el 2 de abril de 2024. Consultado el 11 de octubre de 2013 .
9. Shannon, Claude (1949). "Teoría de la comunicación de los sistemas secretos" (PDF) . Bell System Technical Journal . 28 (4): 659–664. doi :10.1002/j.1538-7305.1949.tb00928.x. Archivado (PDF) desde el original el 2022-01-14 . Consultado el 2022-01-14 .
10. Trachtenberg, Ari (marzo de 2014). Say it Ain't So - An Implementation of Deniable Encryption (PDF) . Blackhat Asia. Singapur. Archivado (PDF) desde el original el 21 de abril de 2015. Consultado el 6 de marzo de 2015 .
11. Chakraborty, Debrup; Rodríguez-Henríquez., Francisco (2008). Çetin Kaya Koç (ed.). Ingeniería Criptográfica. Saltador. pag. 340.ISBN​ 9780387718170Archivado desde el original el 2 de abril de 2024. Consultado el 18 de noviembre de 2020 .
12. "Sistema de cifrado de disco transparente criptográficamente denegable de Rubberhose". marutukku.org . Archivado desde el original el 16 de julio de 2012 . Consultado el 12 de enero de 2022 .
13. "Sistema de cifrado de disco transparente criptográficamente denegable de Rubberhose". marutukku.org . Archivado desde el original el 16 de julio de 2012 . Consultado el 12 de enero de 2022 .
14. "LibreCrypt: cifrado de disco transparente sobre la marcha para Windows. Compatible con LUKS: Tdk/LibreCrypt". GitHub . 2019-02-09. Archivado desde el original el 2019-12-15 . Consultado el 2015-07-03 .
15. "Documentación de LibreCrypt sobre la negación plausible". GitHub . 2019-02-09. Archivado desde el original el 2019-12-15 . Consultado el 2015-07-03 .
16. "TrueCrypt". Archivado desde el original el 14 de septiembre de 2012. Consultado el 16 de febrero de 2006 .
17. Véase su sección de documentación sobre "Negación plausible" Archivado el 15 de diciembre de 2019 en Wayback Machine )
18. "TrueCrypt - Software gratuito de cifrado de disco de código abierto y sobre la marcha para Windows Vista/XP, Mac OS X y Linux - Volumen oculto". Archivado desde el original el 15 de octubre de 2013. Consultado el 16 de febrero de 2006 .
19. Adal Chiriliuc (23 de octubre de 2003). «Falla de generación de BestCrypt IV». Archivado desde el original el 21 de julio de 2006. Consultado el 23 de agosto de 2006 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
20. [title=https://lists.gnu.org/archive/html/qemu-devel/2013-07/msg04229.html Archivado el 2 de julio de 2016 en Wayback Machine [Qemu-devel] Criptografía QCOW2 y manejo seguro de claves]
21. "Los discos duros encriptados pueden no ser seguros: los investigadores descubren que el cifrado no es todo lo que promete ser". Archivado desde el original el 2013-03-30 . Consultado el 2011-10-08 .
22. http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&t=3970 Archivado el 5 de septiembre de 2014 en Wayback Machine ¿Hay alguna manera de saber en Encase si hay un volumen TrueCrypt oculto? Si es así, ¿cómo?
23. "Apoyo plausible a la negación de LUKS". Archivado desde el original el 21 de octubre de 2019. Consultado el 3 de julio de 2015 .
24. "Julian Assange: Coerción física". Archivado desde el original el 23 de julio de 2013. Consultado el 8 de octubre de 2011 .

Lectura adicional

• Czeskis, A.; St. Hilaire, DJ; Koscher, K.; Gribble, SD; Kohno, T.; Schneier, B. (2008). "Cómo derrotar a los sistemas de archivos cifrados y denegables: TrueCrypt v5.1a y el caso del SO y las aplicaciones chivatos" (PDF) . Tercer taller sobre temas de actualidad en seguridad . USENIX.
• Howlader, Jaydeep; Basu, Saikat (2009). "Esquema de cifrado denegable mediante clave pública del lado del remitente". Actas de la Conferencia internacional sobre avances en tecnologías recientes en comunicación y computación . IEEE. doi :10.1109/ARTCom.2009.107.
• Howlader, Jaydeep; Nair, Vivek; Basu, Saikat (2011). "Cifrado denegable en sustitución de un canal inexplorable para prevenir la coerción". Proc. Avances en redes y comunicaciones . Comunicaciones en informática y ciencias de la información. Vol. 132. Springer. págs. 491–501. doi :10.1007/978-3-642-17878-8_50.