Criptoanálisis con manguera de goma - Rubber-hose cryptanalysis
En criptografía , el criptoanálisis con manguera de goma es un eufemismo para la extracción de secretos criptográficos (por ejemplo, la contraseña de un archivo cifrado) de una persona mediante coacción o tortura , como golpear a esa persona con una manguera de goma , de ahí el nombre, en contraste con un ataque criptoanalítico matemático o técnico .
Detalles
Según Amnistía Internacional y la ONU , muchos países del mundo torturan a personas de forma rutinaria. Por lo tanto, es lógico suponer que al menos algunos de esos países usan (o estarían dispuestos a usar) alguna forma de criptoanálisis con manguera de goma. En la práctica, la coacción psicológica puede resultar tan eficaz como la tortura física . Los métodos que no son físicamente violentos pero muy intimidantes incluyen tácticas como la amenaza de duras sanciones legales. El incentivo para cooperar puede ser alguna forma de negociación de culpabilidad , como una oferta para retirar o reducir los cargos penales contra un sospechoso a cambio de una cooperación total con los investigadores. Alternativamente, en algunos países se pueden amenazar con procesar como co-conspiradores (o infligir violencia a) parientes cercanos (por ejemplo, cónyuge, hijos o padres) de la persona interrogada a menos que cooperen.
En algunos contextos, el criptoanálisis de manguera de goma puede no ser un ataque viable debido a la necesidad de descifrar los datos de forma encubierta; información como una contraseña puede perder su valor si se sabe que ha sido comprometida. Se ha argumentado que uno de los propósitos de la criptografía fuerte es obligar a los adversarios a recurrir a ataques menos encubiertos.
El primer uso conocido del término fue en el grupo de noticias sci.crypt , en un mensaje publicado el 16 de octubre de 1990 por Marcus J. Ranum , aludiendo al castigo corporal :
... la técnica de la manguera de goma del criptoanálisis. (en el que se aplica una manguera de goma con fuerza y frecuencia en las plantas de los pies hasta que se descubre la clave del criptosistema, un proceso que puede llevar un tiempo sorprendentemente corto y es bastante económico desde el punto de vista computacional).
Aunque el término se usa irónicamente , sus implicaciones son serias: en los criptosistemas modernos , el eslabón más débil suele ser el usuario humano. Un ataque directo en un algoritmo de cifrado, o de los protocolos criptográficos utilizados, es probable que sea mucho más caro y difícil de apuntar a las personas que utilizan o administran el sistema. Por lo tanto, muchos criptosistemas y sistemas de seguridad están diseñados con especial énfasis en mantener la vulnerabilidad humana al mínimo. Por ejemplo, en la criptografía de clave pública , el defensor puede tener la clave para cifrar el mensaje, pero no la clave de descifrado necesaria para descifrarlo. El problema aquí es que el defensor puede ser incapaz de convencer al atacante de que detenga la coacción. En el cifrado plausiblemente negable , se crea una segunda clave que desbloquea un segundo mensaje convincente pero relativamente inofensivo (por ejemplo, escritos aparentemente personales que expresan pensamientos o deseos "desviados" de algún tipo que son legales pero tabú), para que el defensor pueda demostrar que tiene entregó las llaves mientras el atacante desconoce el mensaje oculto principal. En este caso, la expectativa del diseñador es que el atacante no se dé cuenta de esto y renuncie a las amenazas o torturas reales. El riesgo, sin embargo, es que el atacante puede ser consciente de un cifrado negable y asumirá que el defensor conoce más de una clave, lo que significa que el atacante puede negarse a dejar de coaccionar al defensor incluso si se revelan una o más claves: asumiendo que el defensor sigue reteniendo claves adicionales que contienen información adicional.
Consuegro
En algunas jurisdicciones, los estatutos asumen lo contrario: que los operadores humanos saben (o tienen acceso a) cosas como las claves de sesión, una suposición que es paralela a la que hacen los practicantes de las mangueras de goma. Un ejemplo es la Ley de Regulación de Poderes de Investigación del Reino Unido , que tipifica como delito no entregar claves de cifrado a pedido de un funcionario gubernamental autorizado por la ley.
Según el Ministerio del Interior , la carga de la prueba de que un acusado está en posesión de una llave recae en la acusación; además, la ley contiene una defensa para los operadores que han perdido u olvidado una clave, y no son responsables si se considera que han hecho todo lo posible para recuperar una clave.
Posible caso
En el período previo a las elecciones generales de Kenia de 2017 , el jefe de información, comunicaciones y tecnología de la Comisión Independiente Electoral y de Límites, Christopher Msando, fue asesinado . Había desempeñado un papel importante en el desarrollo del nuevo sistema de votación para las elecciones. Su cuerpo mostraba señales aparentes de tortura, y existía la preocupación de que los asesinos hubieran intentado sacarle la información de la contraseña.
En la cultura popular
- En el cómic xkcd # 538 ( Seguridad ), en el primer panel, un nerd criptográfico imagina que debido a su cifrado avanzado, los crackers serán finalmente derrotados. En el segundo panel, el autor sugiere que en el mundo real, las personas con el deseo de acceder a esta información simplemente usarían la tortura para obligar al nerd a darles la contraseña. xkcd 538: Seguridad Explicar xkcd 538: Seguridad
Ver también
- Criptoanálisis de bolsa negra : adquisición de secretos criptográficos mediante robo u otros medios encubiertos
- Cifrado denegable : técnicas de cifrado en las que un adversario no puede probar que los datos de texto sin formato existen.
- Ley de divulgación clave
- Ingeniería social : manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial.
- Rubberhose (sistema de archivos cifrado)