Eludir el cifrado libera las manos de la NSA en línea

Una serie de filtraciones este verano reveló que la Agencia de Seguridad Nacional utiliza interpretaciones novedosas de la ley estadounidense para recopilar datos en masa de las empresas de Internet más grandes del mundo. Ahora, nuevos informes sobre las capacidades técnicas de la NSA sugieren que la agencia puede leer la mayoría de las comunicaciones en línea sin tener que dirigirse directamente a los proveedores de servicios.





El New York Times , citando documentos filtrados por el excontratista de la NSA Edward Snowden, informes que la NSA ha eludido o descifrado gran parte del cifrado utilizado en línea. Dichas capacidades podrían combinarse de manera muy poderosa con el acceso que se sabe que la agencia tiene al tráfico realizado por los proveedores de servicios de Internet y los principales cables de telecomunicaciones internacionales.

Esto sugiere que ya no tienen que ir a, digamos, Google; pueden descifrar datos de AT&T o usar su propia infraestructura, por ejemplo, en los cables submarinos, dice Dan Auerbach, un técnico de personal de la Fundación Frontera Electrónica .

El uso de la NSA de sus capacidades de vigilancia está limitado por la ley estadounidense, que prohíbe la vigilancia de ciudadanos estadounidenses. Sin embargo, las filtraciones a principios de este verano revelaron que la agencia utilizó interpretaciones legales previamente desconocidas para justificar la recopilación de datos a granel de las empresas de comunicaciones de EE. UU. Para un análisis posterior (consulte La vigilancia de la NSA refleja una interpretación más amplia de la Ley Patriota). Los que se oponen a la táctica dicen que la recolección masiva aumenta el riesgo de abuso de los poderes de vigilancia, accidental o de otro tipo.



El Veces informe y uno del guardián basados ​​en los mismos documentos omiten muchos detalles sobre las capacidades de la NSA, pero describen métodos que se dividen en dos categorías amplias: esfuerzos dirigidos que evitan el cifrado utilizado por una empresa en particular y métodos que pueden atacar los sistemas criptográficos subyacentes utilizados por muchas empresas.

En la primera categoría, se dice que la NSA mantiene una base de datos de claves de cifrado que utilizan muchos proveedores en línea para proteger los datos, lo que permite descifrar fácilmente cualquier dato de esos servicios. Según los informes, las claves se obtienen mediante órdenes judiciales, ganando la colaboración voluntaria de las empresas o pirateando empresas para robar sus claves. Aparentemente, los ataques a empresas específicas también son posibles porque la NSA ha comprometido los chips de cifrado utilizados por algunos proveedores de servicios. Hizo esto, dice el informe, descubriendo fallas de seguridad o incluso persuadiendo a los fabricantes para que instalen puertas traseras.

El poder y el alcance de la segunda categoría de ataques, que buscan socavar los algoritmos criptográficos, es menos claro. El Veces dice que la NSA ha avanzado con técnicas que podrían hacer que sea práctico revertir el cifrado que generalmente se supone seguro, en parte al influir en el diseño de estándares criptográficos para crear una puerta trasera secreta. Uno de los principales focos de esos ataques fue SSL, la tecnología utilizada para hacer cumplir las conexiones seguras a servicios en línea como la banca.



Los expertos en criptografía están luchando por digerir la noticia de que los estándares que creían seguros pueden tener vulnerabilidades introducidas por la NSA. Sin embargo, sin detalles sobre la naturaleza y la eficiencia de tales ataques, es poco probable que se abandone SSL.

Existen tecnologías que podrían permitir a las empresas limitar la capacidad de la NSA para eludir el cifrado al obtener su clave de cifrado utilizada para proteger los datos. Una técnica llamada secreto directo perfecto evitaría que la agencia utilizara una clave de cifrado que había sido tomada de una empresa, o que fue descifrada matemáticamente, para descifrar todas las comunicaciones pasadas y futuras. En lugar de usar una clave que se usa una y otra vez, el secreto directo perfecto crea claves temporales que se usan solo para una sesión de comunicación segura particular entre un usuario y un proveedor.

Google adoptó el método en 2011 y Auerbach dice que, según tengo entendido, es el único proveedor de servicios importante que lo utiliza. La EFF ha intentado durante meses persuadir a otras empresas de Internet para que sigan su ejemplo, sin éxito.



Auerbach espera que las noticias de esta semana hagan que las empresas de Internet hagan que la implementación del secreto directo perfecto sea una prioridad. Muchas empresas ya han reexaminado sus prácticas de seguridad y privacidad a la luz de las revelaciones de la NSA, dice, y es poco probable que esa agencia sea la única que intente eludir el cifrado. No solo estamos hablando del gobierno de Estados Unidos, sino también de otras organizaciones de inteligencia.

Joseph Lorenzo Hall, tecnólogo senior de la Centro para la democracia y la tecnología , una organización sin fines de lucro de Washington, dice que las soluciones técnicas como el perfecto secreto hacia adelante podrían llevar a la NSA a obligar a los proveedores de servicios de Internet a instalar una solución. Incluso si tuvieras que inventar una buena solución técnica, es posible que te pongan en una posición en la que se te ordene comprometerla, dice. Al crear tales puertas traseras, dice, la NSA en realidad socavaría la seguridad nacional de los EE. UU. Al crear formas en las que otros actores podrían explotar.

esconder