Mates aplicadas 6. Criptografía.

1 El análisis de frecuencia

La ciencia criptográfica tiene una historia tan antigua como la humanidad y autores tan prolíficos y populares como Alan Poe, Julio Verne o Conan Doyle la utilizaron en sus absorbentes historias. Una buena manera de tratar temas inter disciplinares.

El criptoanálisis venció a los métodos de cifra por sustitución utilizando el análisis de frecuencias. Poe realiza una genial presentación de este método en "El escarabajo de oro".

--> -->

Fig. 3.4. Análisis de frecuencias aplicado a ENIGMA.

2 Algoritmos modernos

Hoy en día casi todo el mundo utiliza WhatsApp, especialmente y de forma masiva los menores. Lo que poca gente sabe es que WhatsApp no aplicó ningún tipo de cifrado a los mensajes intercambiados, transmitiéndolos "en claro" hasta 2011.

La empresa palió el problema, aunque aplicando una mala implementación del algoritmo RC4, considerada vulnerable. Para colmo de males, en 2012 se descubrió un bug que permitía impersonar a cualquier usuario sabiendo tan solo su número de móvil.

Fig. 3.5. Esquema de RC4, el criticado algoritmo criptográfico que implementó WhatsApp.

Las funciones Hash constituyen otro interesante campo para que los alumnos se sientan como criptoanalistas. Cuando estudian funciones, entienden perfectamente que una función de este tipo es aquella en que la imagen se calcula con rapidez y facilidad, pero la contraimagen requiere tiempos de computación astronómicos.

Sin entrar en detalles técnicos, se puede explicar lo fácil que resulta multiplicar dos números primos grandes (tomados de una tabla online con los primeros 10000 primos) y la complicación de realizar la descomposición factorial del resultado.

El uso del maltrecho algoritmo de resumen MD5 en pequeños wargames criptográficos, permite verificar la obsolescencia programada de funciones y protocolos.

2.1 Ejercicio de criptografía

Acceder al buscador anónimo DuckDuck Go.

1. Crear una contraseña segura de 8 caracteres:

password 8 strong

y copiarla el el Password Check de www.cryptool-online.org/.

2. Repetir el proceso para una contraseña fuerte de 12 caracteres. Se demuestra que el aumento de caracteres incrementa de forma radical la fortaleza de una contraseña.

Fig. 3.6. El comprobador de contraseñas nos muestra los criterios que añaden fortaleza a nuestras claves.

3. Realizar un hash MD5:

md5 saturno

Copiar el hash obtenido.

4. Analizar lo copiado para que el motor determine el algoritmo utilizado:

hash 2a04fd2148d785756c9ffa5fca78cc44

Fig. 3.7. Los recursos criptográficos del buscador anónimo DuckDuck Go.

Lo determina correctamente.

5. Copiar el hash en una base de datos online de MD5.

Lo "descifra" (realmente busca coincidencias de hashes precalculados) correctamente.

Esta es una buena manera de explicar cómo nuestros equipos pueden responder a nuestras claves de acceso sin necesidad de almacenarlas. Al introducirlas por primera vez, calculan su hash (con algoritmos más modernos que MD5 como SHA) y esto es lo que queda almacenado. Cada vez que el usuario introduce la contraseña, el equipo calcula la función hash y compara el resultado con el guardado. Como las funciones hash son unidireccionales, aunque alguien robe nuestro hash, no podría recuperar la contraseña.

Buscar en este blog

[CyberMath] * {Matemáticas y Ciberseguridad}

Mates aplicadas 6. Criptografía.

Comentarios

Publicar un comentario

Entradas populares

Termux 4. Retrohacking con telnet.

Dominios intervenidos, secuestrados y explotados.