|
||||||||||||
|
Viernes 7 de julio de 2006 La criptografía es una de las áreas de la matemática que mayores aplicaciones encuentra en el mundo moderno. Sus principios se aplican cada vez que alguien envía un e-mail, compra por Internet y a la hora de proteger de ojos curiosos la privacidad y la confidencialidad. Carlos Sarraute estudió matemática en la FCEyN y actualmente trabaja en criptografía en el laboratorio de investigación de Core Security Technologies. Por Federico Kukso (*)
Puede que el escritor Dan Brown la haya puesto en boca de todo el mundo con sus best-sellers conspirativos, paranoicos y previsibles. Puede que se la asocie siempre con secretos y acciones bélicas, con el ocultamiento de la verdad, con la astucia, el ingenio y la perspicacia de las “mentes brillantes”. Pero lo cierto es que la criptografía, una de las tantas aplicaciones prácticas de la matemática, como la teoría de las probabilidades, forma parte de la cotidianidad mucho más de lo que se cree. Sus principios se aplican cada vez que alguien manda un mail, compra alguna chuchería por Internet o que algún impávido se pretende aferrar hasta más no poder a la confortable idea de privacidad, como bien lo explica el matemático Carlos Sarraute. – Empiece contándome a qué se dedica. – Trabajo en el laboratorio de investigación de Core Security Technologies, donde estudiamos cosas de criptografía, ataques informáticos y seguridad de la información. – ¿Core Security Technologies? – Sí. Es una empresa de seguridad informática que, entre otras cosas, tiene un producto llamado “Core Impact” para hacer “test de intrusión” o penetration test. – Y eso es... – ... un servicio de consultoría que una compañía contrata para testear la seguridad de sus redes informáticas. El test consiste básicamente en atacar la red y ver si lográs meterte en alguna máquina, acceder a archivos, robar información. Es algo así como buscar alguna vulnerabilidad interna. – ¿Y usted a qué se dedica en particular? – Yo trabajo en varios proyectos, como por ejemplo modelar ataques: tanto modelar al atacante como la red atacada. Es una simulación de alto nivel para ver cuál sería el camino más conveniente para un atacante que pretenda maximizar sus intentos de meterse en las computadoras de una empresa. – Sería algo así como pensar cómo lo haría un hacker. – Exacto. El punto de vista siempre es el del atacante. La idea es poder usar eso después para una defensa. Ver por dónde se metería el atacante, cuáles son los caminos más críticos para mejorarlos. De hecho, el servicio de consultoría es como un ataque real. Una empresa contrata el servicio, pero no avisa a sus trabajadores para testear también los mecanismos normales de defensa de su infraestructura. Un sistema se considera seguro si resiste a los ataques. – Se parece a las simulaciones de incendio, donde la gente no sabe si es una simulación o un incendio real. – Y... sí. – ¿Y eso qué tiene que ver con la matemática? – Mucho. Es matemática aplicada. El contacto más común que tiene la gente con las matemáticas consiste en entenderlas como algo medio abstracto, como si nadie supiera bien para qué sirven. Pero de hecho sirven mucho. Es más, muchas teorías abstractas surgen de intentar resolver problemas concretos. Para no ir más lejos, la aritmética partió de la idea de contar elementos, la geometría, de medir campos para la agricultura. Y hay otros dos casos que rozan más lo concreto que lo abstracto: la criptografía y la teoría de las probabilidades. – Cuénteme eso. – Hay una historia muy interesante que tiene como protagonista al noble francés Chevalier de Mére, que en 1654 inventó un juego que consistía en tirar un dado cuatro veces y, si en alguna de las tiradas salía un seis, ganaba. El asunto es que efectivamente terminaba ganando siempre y ya los amigos de la corte no querían jugar más. Hasta que inventó otro juego que se basaba en sacar doble seis en veinticuatro tiradas. Y ahí empezó a perder. Consternado, le pidió a Blas Pascal que lo ayudara a estudiar las probabilidades de éxito o fracaso en ciertos juegos de azar. Fue pensando en estos problemas de dados que empezó a desarrollarse la teoría de las probabilidades que ahora se usa prácticamente en todos los campos. Recién en el siglo XX, un matemático ruso, Andrei Kolmogorov, formalizó la teoría. – La sacó del mundo de los dados... – Sí, y le dio la forma con la que se la enseña ahora. – ¿Y la criptografía? – La criptografía es una de las herramientas de base para la seguridad informática. Es la que provee todos los bloques básicos para encriptar mensajes, proveer confidencialidad. Los puristas llaman criptografía a lo que tiene que ver con fabricar código; criptoanálisis, a las técnicas para romper códigos; y a la disciplina que engloba a los dos, criptología. Pero todo el mundo usa la palabra criptografía. Una pequeña definición podría ser “el estudio de las comunicaciones en presencia de adversarios”. Introduce los términos principales: gente que busca comunicarse en un ambiente hostil, donde se quiere o espiar las comunicaciones o meterse en el medio y falsear los mensajes. – ¿Le parece que la mayoría de las personas sigue pensando con los mismos conceptos del correo habitual? – Así es. Los mails antes de llegar a destino pasan en el medio por docenas de servidores y de personas que los puede leer tranquilamente. Lo curioso es que hay muchas herramientas gratis para encriptar mails y, sin embargo, la mayoría del mundo los manda como texto plano. – Como también ocurre con los mensajes de texto. – La criptografía tiene una historia muy antigua. El primer cifrado conocido es el de Julio César, que era sumar a cada letra tres: la A se reemplazaba por D, la B por E... y así. Hasta el siglo XX todos los sistemas de cifrado estaban basados en letras. Uno de los que se usó por más tiempo fue el de sustitución: agarrar una letra y reemplazarla por otra, o por un símbolo. – Y el boom ocurrió en la Segunda Guerra Mundial con la máquina de cifrado alemana Enigma, Alan Turing y los intentos de romper los códigos nazis. Todo esto habla mucho de la importancia de la comunicación como un factor desestabilizante, ¿no? – Exacto. Uno de los objetivos de la criptografía es la confidencialidad. Poder comunicarse en forma segura sobre un canal inseguro. Por el desarrollo de Internet es una necesidad básica. También tiene que ver con proteger la privacidad de la gente. Fácilmente puede haber sistemas a la escala del Estado registrando todos los mails de los ciudadanos buscando palabras clave. – Como la famosa red de espionaje norteamericana Echelon. – Si uno quiere tener comunicaciones privadas tiene que encriptarlas. – ¿Hay algún código que no pueda ser descifrado? – Sí. Es algo que estuvo estudiando Claude Shannon durante la Segunda Guerra Mundial. Pensó cómo sería un sistema que resista a cualquier atacante incluso si tuviera poder de cómputo y tiempo infinito. Llegó a la conclusión de que la clave tiene que ser tan larga como el mensaje. En la práctica mucho no sirve, pero da un límite teórico a lo que se puede hacer. El sistema se llama one time pad y se usó durante la Guerra Fría entre Washington y el Kremlin. – ¿Cree que se puede legislar sobre estos asuntos? – En la Argentina no hay mucha legislatura en cuanto a seguridad informática, pero en Estados Unidos es terrible. No sólo prohíbe meterse en la red de alguien y robarle información, sino que prohíbe hacer lo que se conoce como “ingeniería inversa” de productos comerciales. – ¿Cómo es eso? – La ingeniería inversa es cuando agarrás un programa, o sea una serie de códigos para la máquina, y lo empezás a interpretar. Te dan un programa y no tenés derecho a analizarlo. Es como si te dieran una máquina y te prohibieran abrir la tapa para ver cómo funciona por dentro. Es una de las formas que encontraron para poder reforzar medidas de seguridad y de protección de contenido digital; como no pueden encontrar la manera de resolverlo técnicamente, ponen leyes que prohíben directamente mirar lo que tienen “adentro”. – De ahí surge toda la filosofía del software libre con Linux a la cabeza. – Así es. – La idea de privacidad también cambia. Es como si uno se estuviese manejando con ideas viejas. Hay una ilusión de privacidad. – Es un tema recurrente en seguridad informática que, cuando tenés una ilusión de seguridad o de privacidad, es mucho peor. La sensación de seguridad hace también que el trabajo de uno se vuelva más inseguro. – Bueno, pero uno no puede vivir con una sensación de inseguridad permanente. – No, pero digamos que la gente que trabaja en seguridad informática es bastante paranoica... (*) Publicado en la Sección Ciencia del diario Página/12.
|
|||||||||||