El chaffing y el winnowing son técnicas criptográficas que permiten lograr confidencialidad sin utilizar cifrado al enviar datos a través de un canal inseguro . El nombre deriva de la agricultura: después de que el grano ha sido cosechado y trillado , permanece mezclado con paja fibrosa no comestible . La paja y el grano se separan luego mediante el aventado y la paja se descarta. La técnica criptográfica fue concebida por Ron Rivest y publicada en un artículo en línea el 18 de marzo de 1998. [1] Aunque tiene similitudes tanto con el cifrado tradicional como con la esteganografía , no se puede clasificar en ninguna de las dos categorías.
Esta técnica permite al remitente negar la responsabilidad de cifrar su mensaje. Al utilizar chaffing y winnowing, el remitente transmite el mensaje sin cifrar, en texto claro. Aunque el remitente y el receptor comparten una clave secreta, la utilizan únicamente para la autenticación . Sin embargo, un tercero puede hacer que su comunicación sea confidencial enviando simultáneamente mensajes especialmente diseñados a través del mismo canal.
El remitente ( Alice ) quiere enviar un mensaje al receptor ( Bob ). En la configuración más simple, Alice enumera los símbolos en su mensaje y envía cada uno en un paquete separado . Si los símbolos son lo suficientemente complejos, como texto en lenguaje natural, un atacante puede ser capaz de distinguir los símbolos reales de los símbolos de paja mal falsificados, lo que plantea un problema similar al de la esteganografía en la necesidad de generar falsificaciones altamente realistas; para evitar esto, los símbolos se pueden reducir a solo bits 0/1, y luego se pueden generar falsificaciones realistas simplemente de forma aleatoria 50:50 y son indistinguibles de los símbolos reales. En general, el método requiere que cada símbolo llegue en orden y sea autenticado por el receptor. Cuando se implementa en redes que pueden cambiar el orden de los paquetes, el remitente coloca el número de serie del símbolo en el paquete, el símbolo en sí (ambos sin cifrar) y un código de autenticación de mensaje (MAC). Muchos MAC utilizan una clave secreta que Alice comparte con Bob, pero es suficiente que el receptor tenga un método para autenticar los paquetes.
Rivest señala una propiedad interesante del método chaffing-and-winnowing: terceros (como un ISP) pueden agregarlo de manera oportunista a las comunicaciones sin necesidad de permiso o coordinación con el remitente/destinatario. Un tercero (llamado "Charles" ) que transmite los paquetes de Alice a Bob, intercala los paquetes con los paquetes falsos correspondientes (llamados "chaff") con los números de serie correspondientes, símbolos arbitrarios y un número aleatorio en lugar de la MAC. Charles no necesita saber la clave para hacer eso (las MAC reales son lo suficientemente grandes como para que sea extremadamente improbable generar una válida por casualidad, a diferencia del ejemplo). Bob usa la MAC para encontrar los mensajes auténticos y descarta los mensajes "chaff". Este proceso se llama "winnowing".
Un espía situado entre Alice y Charles puede leer fácilmente el mensaje de Alice, pero un espía situado entre Charles y Bob tendría que saber qué paquetes son falsos y cuáles son reales (es decir, para separar el trigo de la paja). Esto no es factible si la dirección MAC utilizada es segura y Charles no filtra ninguna información sobre la autenticidad de los paquetes (por ejemplo, a través de la sincronización).
Si una cuarta parte se suma al ejemplo (llamada Darth ) que quiere enviar mensajes falsificados para hacerse pasar por Alice, requeriría que Alice revele su clave secreta. Si Darth no puede obligar a Alice a revelar una clave de autenticación (cuyo conocimiento le permitiría falsificar mensajes de Alice), entonces sus mensajes permanecerán confidenciales. Charles, por otro lado, no es un objetivo de Darth en absoluto, ya que Charles ni siquiera posee ninguna clave secreta que pueda ser revelada.
La variante simple de la técnica de separación y cribado descrita anteriormente agrega muchos bits de sobrecarga por bit del mensaje original. Para que la transmisión sea más eficiente, Alice puede procesar su mensaje con una transformación de todo o nada y luego enviarlo en fragmentos mucho más grandes. Los paquetes de chatarra deberán modificarse en consecuencia. Debido a que el mensaje original solo se puede reconstruir conociendo todos sus fragmentos, Charles necesita enviar solo los paquetes de chatarra suficientes para que encontrar la combinación correcta de paquetes sea computacionalmente inviable.
La técnica de chaffing y winnowing es especialmente adecuada para entornos de redes con conmutación de paquetes , como Internet , donde cada mensaje (cuya carga útil suele ser pequeña) se envía en un paquete de red independiente. En otra variante de la técnica, Charles entrelaza cuidadosamente los paquetes que provienen de varios remitentes, lo que elimina la necesidad de que Charles genere e inyecte paquetes falsos en la comunicación. Sin embargo, el texto del mensaje de Alice no puede protegerse bien de otras partes que se comunican a través de Charles al mismo tiempo. Esta variante también ayuda a proteger contra la fuga de información y el análisis de tráfico . [ cita requerida ]
Ron Rivest sugiere que las leyes relacionadas con la criptografía, incluidos los controles de exportación, no se aplicarían al chaffing y al winnowing porque no emplean ningún tipo de cifrado. [1]
El poder de autenticar es en muchos casos el poder de controlar, y entregar todo el poder de autenticación al gobierno está más allá de toda razón.
— Ronald L. Rivest, 1998 [1]
El autor del artículo propone que las implicaciones de seguridad de entregar las claves de autenticación de todos los usuarios al gobierno para fines de aplicación de la ley serían demasiado arriesgadas, ya que la posesión de la clave permitiría a alguien hacerse pasar por otra entidad y comunicarse como tal, como un controlador de una aerolínea. Además, Ron Rivest contempla la posibilidad de que funcionarios policiales corruptos incriminen a partes inocentes introduciendo la información confidencial en sus comunicaciones, y concluye que redactar una ley que restrinja la manipulación y el filtrado de información sería demasiado difícil. [1]
El término "winnowing" fue sugerido por el padre de Ronald Rivest. Antes de la publicación del artículo de Rivest en 1998, otras personas le habían llamado la atención sobre una novela de 1965, The Doorbell Rang de Rex Stout , que describe el mismo concepto y, por lo tanto, se incluyó en las referencias del artículo. [1]