En criptografía y esteganografía , el cifrado plausiblemente negable describe técnicas de cifrado en las que la existencia de un archivo o mensaje cifrado es negable en el sentido de que un adversario no puede probar que existen los datos en texto simple . [1]
Los usuarios pueden negar de manera convincente que una determinada pieza de datos esté cifrada, o que sean capaces de descifrar una determinada pieza de datos cifrados, o que existan determinados datos cifrados. [2] Dichas negaciones pueden ser genuinas o no. Por ejemplo, puede resultar imposible demostrar que los datos están cifrados sin la cooperación de los usuarios. Si los datos están cifrados, es posible que los usuarios no puedan descifrarlos. La negación del cifrado sirve para socavar la confianza de un atacante en que los datos están cifrados o en que la persona que los posee puede descifrarlos y proporcionar el texto sin formato asociado .
En su artículo fundamental de 1996, Ran Canetti , Cynthia Dwork , Moni Naor y Rafail Ostrovsky introdujeron el concepto de cifrado denegable, un avance criptográfico que garantiza la privacidad incluso bajo coerción. Este concepto permite a los participantes de una comunicación cifrada negar de forma plausible el verdadero contenido de sus mensajes. Su trabajo establece los principios fundamentales del cifrado denegable, ilustrando su papel fundamental en la protección de la privacidad contra las divulgaciones forzadas. Esta investigación se ha convertido en una piedra angular para los futuros avances en criptografía, enfatizando la importancia del cifrado denegable para mantener la seguridad de las comunicaciones. [3] La noción de fue utilizada por Julian Assange y Ralf Weinmann en el sistema de archivos Rubberhose. [4] [2]
El cifrado denegable hace imposible probar el origen o la existencia del mensaje de texto simple sin la clave de descifrado adecuada. Esto se puede hacer permitiendo que un mensaje cifrado se descifre en diferentes textos simples sensatos, según la clave utilizada. Esto permite que el remitente tenga una negación plausible si se ve obligado a entregar su clave de cifrado.
En algunas jurisdicciones, las leyes presuponen que los operadores humanos tienen acceso a elementos como las claves de cifrado. Un ejemplo es la Ley de Regulación de los Poderes de Investigación del Reino Unido [5] [6], que tipifica como delito no entregar las claves de cifrado cuando se lo pida un funcionario del gobierno autorizado por la ley. Según el Ministerio del Interior , la carga de la prueba de que una persona acusada está en posesión de una clave recae sobre la acusación; además, la ley contiene una defensa para los operadores que han perdido u olvidado una clave, y no son responsables si se determina que han hecho lo que podían para recuperar una clave. [5] [6]
En criptografía , el criptoanálisis con manguera de goma es un eufemismo para la extracción de secretos criptográficos (por ejemplo, la contraseña de un archivo cifrado) de una persona mediante coerción o tortura [7] —como golpear a esa persona con una manguera de goma , de ahí el nombre— en contraste con un ataque criptoanalítico matemático o técnico .
Un uso temprano del término fue en el grupo de noticias sci.crypt , en un mensaje publicado el 16 de octubre de 1990 por Marcus J. Ranum , en alusión al castigo corporal :
...la técnica de criptoanálisis de la manguera de goma (en la que se aplica una manguera de goma con fuerza y frecuencia a las plantas de los pies hasta que se descubre la clave del criptosistema, un proceso que puede llevar un tiempo sorprendentemente corto y es bastante económico desde el punto de vista computacional). [8]
El cifrado denegable permite que el remitente de un mensaje cifrado niegue el envío de ese mensaje. Para ello es necesario un tercero de confianza. Un posible escenario es el siguiente:
Otro escenario es el de Alice enviando el mismo texto cifrado (algunas instrucciones secretas) a Bob y Carl, a quienes les ha entregado claves diferentes. Bob y Carl deben recibir instrucciones diferentes y no deben poder leer las instrucciones del otro. Bob recibirá el mensaje primero y luego se lo reenviará a Carl.
Normalmente, los textos cifrados se descifran en un único texto plano que se pretende mantener en secreto. Sin embargo, una forma de cifrado denegable permite a sus usuarios descifrar el texto cifrado para producir un texto plano diferente (inocuo pero plausible) y afirmar de forma plausible que es lo que cifraron. El poseedor del texto cifrado no podrá diferenciar entre el texto plano verdadero y el texto plano falso. En general, un texto cifrado no se puede descifrar en todos los textos planos posibles a menos que la clave sea tan grande como el texto plano , por lo que no es práctico en la mayoría de los casos que un texto cifrado no revele información alguna sobre su texto plano. [9] Sin embargo, algunos esquemas permiten el descifrado para engañar a los textos planos que son cercanos al original en alguna métrica (como la distancia de edición ). [10]
Las técnicas modernas de cifrado denegable explotan el hecho de que sin la clave no es posible distinguir entre el texto cifrado, los cifrados en bloque y los datos generados por un generador de números pseudoaleatorios criptográficamente seguro (las propiedades de permutación pseudoaleatoria del cifrado ). [11]
Esto se utiliza en combinación con algunos datos engañosos que el usuario probablemente querría mantener confidenciales y que serán revelados al atacante, alegando que eso es todo lo que hay. Esta es una forma de esteganografía . [ cita requerida ]
Si el usuario no proporciona la clave correcta para los datos verdaderamente secretos, al descifrarlos se obtendrán datos aparentemente aleatorios, indistinguibles de no haber almacenado allí ningún dato en particular. [ cita requerida ]
Un ejemplo de cifrado denegable es un sistema de archivos criptográfico que emplea un concepto de "capas" abstractas, donde cada capa puede ser descifrada con una clave de cifrado diferente. [ cita requerida ] Además, las "capas de paja " especiales se llenan con datos aleatorios para tener una negación plausible de la existencia de capas reales y sus claves de cifrado. [ cita requerida ] El usuario puede almacenar archivos señuelo en una o más capas mientras niega la existencia de otras, alegando que el resto del espacio está ocupado por capas de paja. [ cita requerida ] Físicamente, este tipo de sistemas de archivos generalmente se almacenan en un solo directorio que consiste en archivos de igual longitud con nombres de archivo que son aleatorios (en caso de que pertenezcan a capas de paja) o hashes criptográficos de cadenas que identifican los bloques. [ cita requerida ] Las marcas de tiempo de estos archivos siempre son aleatorias. [ cita requerida ] Ejemplos de este enfoque incluyen el sistema de archivos Rubberhose.
Rubberhose (también conocido por su nombre en clave de desarrollo Marutukku) [12] es un programa de cifrado que se puede negar y que cifra los datos en un dispositivo de almacenamiento y oculta los datos cifrados. La existencia de los datos cifrados solo se puede verificar utilizando la clave criptográfica adecuada. Fue creado por Julian Assange como una herramienta para los defensores de los derechos humanos que necesitaban proteger datos sensibles en el campo y se lanzó inicialmente en 1997. [12]
El nombre Rubberhose es una referencia jocosa al término criptoanálisis rubber-hose de los cypherpunks , en el que las claves de cifrado se obtienen por medio de la violencia.
Fue escrito para el kernel Linux 2.2, NetBSD y FreeBSD entre 1997 y 2000 por Julian Assange , Suelette Dreyfus y Ralf Weinmann. La última versión disponible, todavía en fase alfa, es la v0.8.3. [13]
Otro enfoque utilizado por algunos paquetes de software de cifrado de discos convencionales es la creación de un segundo volumen cifrado dentro de un volumen contenedor. El volumen contenedor se formatea primero llenándolo con datos aleatorios cifrados [14] y luego inicializando un sistema de archivos en él. Luego, el usuario llena parte del sistema de archivos con archivos señuelo legítimos, pero de apariencia plausible, que el usuario parecería tener un incentivo para ocultar. A continuación, se asigna un nuevo volumen cifrado (el volumen oculto) dentro del espacio libre del sistema de archivos contenedor que se utilizará para los datos que el usuario realmente desea ocultar. Dado que un adversario no puede diferenciar entre los datos cifrados y los datos aleatorios utilizados para inicializar el volumen externo, este volumen interno ahora es indetectable. LibreCrypt [15] y BestCrypt pueden tener muchos volúmenes ocultos en un contenedor; TrueCrypt está limitado a un volumen oculto [16] .
La existencia de datos cifrados ocultos puede revelarse por fallas en la implementación. [19] [ fuente autopublicada ] También puede revelarse por un llamado ataque de marca de agua si se utiliza un modo de cifrado inadecuado. [20] La existencia de los datos puede revelarse por su "filtración" en un espacio de disco no cifrado [21] donde pueden ser detectados por herramientas forenses . [22] [ fuente autopublicada ]
Se han planteado dudas sobre el nivel de negación plausible en los "volúmenes ocultos" [23] [ fuente autopublicada ] : el contenido del sistema de archivos del contenedor "externo" debe estar "congelado" en su estado inicial para evitar que el usuario corrompa el volumen oculto (esto se puede detectar a partir de las marcas de tiempo de acceso y modificación), lo que podría generar sospechas. Este problema se puede eliminar indicando al sistema que no proteja el volumen oculto, aunque esto podría provocar la pérdida de datos. [ cita requerida ]
La posesión de herramientas de cifrado que se puedan negar podría llevar a los atacantes a seguir torturando a un usuario incluso después de que este haya revelado todas sus claves, porque los atacantes no podrían saber si el usuario había revelado su última clave o no. Sin embargo, el conocimiento de este hecho puede desincentivar a los usuarios a revelar cualquier clave desde el principio, ya que nunca podrán demostrarle al atacante que han revelado su última clave. [24]
Algunas suites de mensajería cifrada en tránsito, como Off-the-Record Messaging , ofrecen autenticación denegable que otorga a los participantes una negación plausible de sus conversaciones. Si bien la autenticación denegable no es técnicamente "cifrado denegable" en el sentido de que no se niega el cifrado de los mensajes, su negabilidad se refiere a la incapacidad de un adversario de demostrar que los participantes mantuvieron una conversación o dijeron algo en particular.
Esto se logra porque toda la información necesaria para falsificar mensajes se adjunta a los mensajes cifrados: si un adversario es capaz de crear mensajes digitalmente auténticos en una conversación (véase el código de autenticación de mensajes basado en hash (HMAC)), también puede falsificar mensajes en la conversación. Esto se utiliza junto con el secreto directo perfecto para garantizar que la vulneración de las claves de cifrado de mensajes individuales no comprometa conversaciones o mensajes adicionales.
{{cite book}}
: CS1 maint: multiple names: authors list (link){{cite journal}}
: Requiere citar revista |journal=
( ayuda )